虚拟环境下的计算机取证分析
邵彦宁
(广东电网有限责任公司河源供电局,广东河源 517000)
摘要: 研究了虚拟环境在计算机取证调查分析阶段的潜在作用。提出了虚拟环境计算机取证软件工具的一般概念;指出了虚拟环境的局限性,设计了一种同时独立使用传统环境和虚拟环境的新方法,并证明这种方法可以大大缩短计算机取证调查分析阶段的时间。
关键词: 计算机取证;虚拟机;计算机证据
0 引言
虚拟化是一个古老的概念,在20世纪60年代随着大型计算机的出现而首次引入。它在20世纪90年代被重新引入个人电脑。虚拟机(也称为“VM”)是一种软件产品,允许用户创建一个或多个单独的环境,每个环境模拟自己的硬件集和自己的软件。理想情况下,每个虚拟机都应该像一台完全独立的计算机,具有自己的操作系统和硬件。用户可以独立地控制每个环境,如果需要,还可以将网络虚拟计算机连接在一起或将它们连接到外部物理网络[1]。
1 计算机取证和虚拟机环境
传统的计算机取证过程包括许多步骤,可以大致分为4个关键阶段:(1)访问;(2)收购;(3)分析(本文的重点);(4)报告。在获取阶段,调查人员捕获尽可能多的实时系统易失性数据,关闭系统,然后为所有存储设备创建一个法医图像[2]。存储设备的图像通常是使用许多基于dd(dd,Unix命令行工具)的工具。此图像以dd格式存储,或通常基于dd的专有格式存储。图像是原始磁盘的相同副本[3]。但是,目前常用的许多专有格式可能与原始硬盘不完全相同,它们可能包括额外的元数据[4]。专有格式的一个例子是最近开发的并日益流行的高级取证格式(AFF)[5]。AFF甚至对原始图像进行了进一步的分割,其中每个段都有一个头部、一个名称、一个32位的参数、一个可选的数据负载,最后还有一个尾部。这个简短的图像格式概述的相关性在于,计算机专家的发现可能也基于对图像的检查,该图像在某些方面发生了变化,并且与原始图像不相同。
由于dd映像与原始映像相同,因此可以将其复制到相同的或更大的硬盘上,并在另一个计算机系统上引导。由于有太多可能的硬件组合,这种方法在重新创建原始环境时是不切实际的。此外,一些已安装的服务和软件产品可能拒绝启动,或者根本无法启动系统。
虚拟环境中也存在类似的问题。虚拟机只模拟一些基本的硬件组件,获取的dd映像不能立即在虚拟环境中引导,因为虚拟机需要包含有关正在引导的环境信息的附加文件。各种软件工具都可以通过创建带有虚拟机所需参数的附加文件来解决这个问题。其中一些实用工具是:(1)封装物理磁盘模拟器(PDE),商业产品(封装法医模块,2007);(2)ProDiscover系列的商业和免费的计算机安全工具技术;(3)实时视图,Gnu公共许可证(GPL)下提供的免费工具。
使用虚拟机环境进行计算机取证数据分析,但在法庭上以这种方式获得的结果作为证据的适用性是值得怀疑的[6]。要使映像在虚拟环境中引导,需要对原始环境进行许多更改,并且一旦系统启动,就会将新的数据写入原始映像,从而修改它。黄金法则是在备份目的地创建证据的逐位副本,确保原始数据受写保护。后续的数据分析应该在这个副本上执行,而不是在原始证据上。
2 建议的并行方法
前一节中提到的计算机取证过程的4个阶段,每一个阶段都被进一步划分为特定的步骤,每一个步骤都必须遵循严格的程序。分析计算机证据的过程应该遵循以下基本规则:(1)对原件的最小处理;(2)解释任何变化;(3)遵守证据规则;(4)不要超越你的知识。
(2)原始获得的图像B。dd仍由专业调查员保管;它没有改变,在法律上是有效的。计算机技术员向专业调查员汇报下列基本调查结果:很可能没有太多与调查有关的文件的痕迹,因为使用计算机的人安装了一个安全删除工具,所有这些文件都有可能被不可恢复地删除了;证据价值的材料很可能没有保存在计算机上,因为所有者有一个虚拟的因特网存储帐户,允许他们将所有数据保存在远程服务器上;可以恢复到远程存储系统帐户的用户名和密码。
目前还没有普遍接受计算机法医认证,但人们希望进行分析并在法庭上提交报告的人是拥有相关专业知识的“专家”[8]。这个过程的准确性可以大大提高。如果这个过程扩大到包括两个并行的调查,分析数据所需的总时间可以缩短[9]。
在建立的模型中,使用了两个级别的计算机取证人员,这样一个小组的工作方式如下[10]:训练有素、经验丰富的专业调查员严格遵循计算机取证调查方法。非专业计算机技术人员不需要严格遵守法医规则,也从不直接参与正式的报告流程。电脑技术员的职责是检查资料的副本,以找出任何可能引起兴趣的资料,然后向专业调查人员报告调查结果。
计算机技术人员从另一台计算机上检查因特网,要访问C帐户,需要一个用户名和密码。用户名“D”在登录面板中是可见的,但密码隐藏在一排圆点后面。为了弄清密码是什么,计算机技术人员决定在虚拟机中安装一个名为“密码揭秘器”的附加软件。最后工具破译密码[4]。
在计算机取证调查的分析阶段,将获取的图像副本交给计算机技术人员。其任务是在虚拟的机器环境中启动图像,将其作为一个正常的“活动”系统,并搜索与调查相关的所有细节。所有的调查结果都会交给专业调查人员,然后由专业调查人员使用适当的计算机取证技术来确认调查结果,并在必要时进行进一步的数据搜索。计算机技术人员的调查结果从来没有直接包括在报告过程中。
3 示例场景
其次,教师要构建书香课堂,成立阅读兴趣小组。教师要在进行必要精讲训练的基础上,在课堂上给学生留下大量充足的时间,指导学生阅读,帮助学生养成良好的阅读兴趣和习惯。要组建阅读兴趣小组,通过小组合作交流读书心得、开展读书演讲等方式促进课堂阅读活动,让书香溢满课堂。
假设场景:当一个人的住所被发现时,一台没有电源的个人计算机对涉嫌非法贩运毒品的人进行了搜查[5]。一名计算机取证调查员被要求协助调查此案,找出与毒品贩运有关的所有信息,包括金融交易的细节和任何有关信件或文件[7]。研究人员记录了个人计算机的硬件配置,并使用dd实用程序从HELIX可引导取证CD获得硬盘映像。记录SHA-1和MD5散列值以及相关的案例细节,并根据当地的法医程序创建监护链。名为B的映像的两个副本。在法医实验室,dd被交给了两个人:(1)专业调查员更新保管文件链并将图像锁在安全位置;(2)计算机技术人员,更新第二张图片对应的保管链,并将图片锁在安全位置。
计算机技术员继续使用标准的Windows工具检查启动的系统。Windows资源管理器没有显示与正在调查的案件相关的任何文件夹或文件。然后计算机技术员检查调查系统上安装额外的软件是什么,发现桌面上的一个图标的简单的文件粉碎机,可以安全地删除文件,使他们不可能再恢复。但有以下两点值得注意。
活血软坚方(SEHM)由三棱、莪术、海藻、牡蛎组成。朱思行等[9]发现不同浓度SEHM的可以促进SIVc出芽且交叉效用,特殊浓度下可以促进HUVECs增殖,增殖作用可能与细胞内相关蛋白Akt、p38、p-p38、p44/42、p-p44/42、VEGF-A及其受体(VEGFR-1)有关。说明在体内和体外两种环境下,SEHM促血管新生作用,可能与VEGF信号通路激活有关。
第一次成功后启动系统的计算机技术员的虚拟机器安装了虚拟系统工具提高鼠标操作,并提供一个更高的虚拟屏幕分辨率。再次启动系统前计算机技术员检查虚拟机,并指出只有4个设备安装:内存,硬盘,CD-ROM和USB控制器。虚拟机可用的其他设备可以在添加硬件向导中看到。没有安装以太网控制器,因此虚拟机与任何网络隔离,进而不会成功。
十八大以来,通过全面从严治党,已经形成反腐败压倒性态势,但取得反腐败压倒性胜利的任务依然艰巨复杂;不敢腐的治标效果得到了初步实现,但不能腐的制度制约和不想腐的治本之策依然尚未形成。基于已有的治党成效和党面临的现实状况,党中央提出了“推动全面从严治党向纵深发展”这一论断,具有科学理论指导性和强烈现实针对性,对于实现新时代党的历史使命、解决党内突出矛盾和深层次问题、有效应对“四大考验”与“四大危险”具有重要意义。
(1)用于运行系统的磁盘的映像不再与映像b相同。使用法医学上可靠的方法获得的dd。安装了各种新的设备驱动程序和新的软件包。通过在Windows资源管理器中检查各种文件和文件夹,并在它们的本地应用程序中打开它们,可以“触摸”它们。认为这幅图像仍然是有效的证据是不现实的,现在它被污染了。
设计人员还需要对设计过程中的造价管理进行强化,因为市政工程设计是否合理直接影响到市政工程的造价控制,所以设计单位一定要造价控制进行强化,为市政工程施工过程中的造价控制奠定良好的基础。首先,需要保证施工设计方案的完整性和合理性,确保设计方案的最优化,让设计过程中出现不合理的问题,导致工程变更的情况减少;其次,一定要依照投资金额,合理的进行限额设计,在对方确认之后需要依照市政工程施工时的成本控制进行核算,保证施工的过程中施工的费用不能超出投资金额,在后续造价成本控制的过程中提供相应的帮助;最后在设计市政工程的过程中,一定要保证市政工程的经济性,让经济效益提高。
通过使用这些信息,专业调查员现在可以用可靠的取证方法和适当的取证软件工具来确认所有的发现。可以从另一台计算机访问DriveHQ上的远程帐户,并复制和检查存储在那里的所有文件。dd磁盘映像仍然可以用计算机取证软件分析未分解文件的任何痕迹[6]。
4 结论
上述简单的场景表明,配备不同工具集的两个团队之间的合作,以及使用具有不同专业水平的人员,可以产生更快的结果,并将减少高素质专业调查人员的工作量。使用适当的计算机取证工具和技术的专业调查人员很可能在传统的设置中获得相同的结果,而不需要使用虚拟环境,也不需要计算机技术人员的帮助。然而,所描述的使用传统和虚拟两种环境的方法的一个优势是可以节省时间,增加发现重要证据的机会。
新方法的另一个优势是,技术人员可以分阶段接触计算机取证技术,而不损害真实的证据,同时为过程提供真正有价值的输入。这种方法也可以看作是一个内部培训过程的一部分,一个人的小计算机取证经验,并首次引入司法过程在虚拟环境中进行调查。
本文描述了在计算机取证调查分析阶段使用传统环境和虚拟环境的过程。同时提出了计算机技术人员与专业调查员合作的基本规则。
建筑企业要考虑到建筑整体设计方案、使用方案、项目特点等多方面因素,进行合理招投标。在招投标时,设置一定的额度标准,对造价成本进行控制,从中选择最合理的方案。另外,还需要相关的管理部门积极参与,将经济方案与建筑方案相结合,选择出最经济实惠的方案,充分发挥其监督职能,明确资金流向。与此同时,建筑企业在对设计公司的选择时,需要询问专家意见,确保设计公司的选择的正确性,避免设计方面出现的不合理,造成建筑企业的经济损失。设计公司的正确选择,可以有助于顺利完成招投标,对建筑工程造价进行诸多方面的监控,有效控制建筑造价的成本控制。
参考文献:
[1] Bellard, Fabrice. (2007).QEMU [EB/OL].Retrieved January 17, http://fabrice.bellard.free.fr/qemu/index.html,2007.
[2] Brown, C.L.T.Computer Evidence: Collection&Preservation[M].Hingham, MA: Charles River Media.2005.
[3] Bunting, S., &Wei, W..EnCase Computer Forensics: The Official EnCE: EnCase Certified Examiner Study Guide (1st ed.) [M].Indianapolis, IN:Wiley Publishing.2006.
[4] Drive Headquarters[EB/OL].Retrieved 2 November 2006, 2 November 2006, from http://www.drivehq.com/,2007.
[5] E-fense.The HELIX Live CD Page [EB/OL].Retrieved 9 February 2007, from http://www.e-fense.com/helix/.
[6]Garfinkel, S.(2005).The Advanced Forensic Format 1.0 [EB/OL].http://www.afflib.org/affdoc.pdf, 2006(1).
[7] Guidance Software.(2007).EnCase Forensic Modules[EB/OL].http://www.guidancesoftware.com/products/ef_modules.asp.
[8] McKemmish, R.What is Forensic Computing? [Z].Australian Institute of Criminology.1999.
[9] Meyers, M., &Rogers, M.Computer Forensics:The Need for Standardization and Certification[J].International Journal of Digital Evidence,2004,3(2).
[10] Microsoft.Microsoft Virtual PC 2007 [EB/OL].http://www.microsoft.com/windows/products/winfamily/virtualpc/default.mspx, 2007(2).
Computer Forensic Analysis in Virtual Environment
SHAO Yanning
(Heyuan Power Supply Bureau,Guangdong Power Grid Co.,Ltd.,Heyuan,Guangdong 517000,China)
Abstract: The potential role of virtual environment in the stage of computer forensics investigation and analysis is studied.The general concept of virtual environment computer forensics software tools is proposed.The limitations of virtual environment are pointed out,and a new method of using traditional environment and virtual environment independently is designed.It is proved that the method can greatly shorten the stage of computer forensics investigation and analysis time.
Key words: computer forensics;virtual machine;computer evidence
中图分类号: TP31
文献标志码: A
文章编号: 1009-9492(2019)11-0104-03
DOI: 10.3969/j.issn.1009-9492.2019.11.036
邵彦宁.虚拟环境下的计算机取证分析[J].2019,48(11):104-106.
收稿日期: 2019-05-28
作者简介: 邵彦宁(1989-),男,广东河源人,助理工程师。研究领域:虚拟化。
(编辑:麦丽菊)
标签:计算机取证论文; 虚拟机论文; 计算机证据论文; 广东电网有限责任公司河源供电局论文;