VMware虛擬機(jī)技術(shù)在電子數(shù)據(jù)取證中的應(yīng)用

羅 林

(湖北省恩施土家族苗族自治州公安局網(wǎng)安支隊(duì) 湖北 445000)

0 引言

電子數(shù)據(jù)取證是打擊網(wǎng)絡(luò)犯罪的重要環(huán)節(jié)，在實(shí)際應(yīng)用中可以劃分為靜態(tài)取證模型和動(dòng)態(tài)取證模型。

靜態(tài)取證強(qiáng)調(diào)對(duì)證據(jù)的事后發(fā)現(xiàn)與分析，本質(zhì)上是一種被動(dòng)的取證模型，其優(yōu)點(diǎn)是有利于對(duì)涉案電子證據(jù)的提取和保存，缺點(diǎn)是對(duì)“活”的電子數(shù)據(jù)進(jìn)行行為分析和抽樣鑒定存在局限性。動(dòng)態(tài)取證強(qiáng)調(diào)證據(jù)的及時(shí)獲取，是一種主動(dòng)的取證模型，其優(yōu)點(diǎn)是通過實(shí)時(shí)監(jiān)控分析全面客觀反映系統(tǒng)安全狀態(tài)，并在犯罪實(shí)施階段獲取有效的數(shù)據(jù)，缺點(diǎn)是需要經(jīng)過預(yù)先部署，對(duì)取證方法的針對(duì)行要求較高，在司法實(shí)踐中往往達(dá)不到理想的環(huán)境。

動(dòng)態(tài)仿真取證技術(shù)就是在吸取、借鑒傳統(tǒng)取證方法各自優(yōu)勢(shì)的基礎(chǔ)上，將仿真技術(shù)運(yùn)用于計(jì)算機(jī)犯罪調(diào)查司法實(shí)踐而產(chǎn)生的新的取證方法。

1 動(dòng)態(tài)仿真取證技術(shù)

基于動(dòng)態(tài)仿真技術(shù)的取證分析方法是建立在功能型的取證模型之上的，它沒有使用時(shí)間因素作為流程劃分的基準(zhǔn)，而是按照不同取證環(huán)境下的特殊要求，在取證分析過程中運(yùn)用動(dòng)態(tài)仿真技術(shù)獲取原始電子證據(jù)或者在取樣分析階段模擬原始環(huán)境加以利用的特殊分析方法。

動(dòng)態(tài)仿真取證技術(shù)在不破壞原始證據(jù)的完整性、有效性、真實(shí)性的前提下，注重從功能上實(shí)現(xiàn)對(duì)電子證據(jù)的收集，分析鑒別所獲得的數(shù)據(jù)信息，提取并固定對(duì)偵查、起訴有價(jià)值的電子證據(jù)信息。在取證分析中，通過虛擬機(jī)技術(shù)實(shí)現(xiàn)原始證據(jù)的克隆、模擬系統(tǒng)環(huán)境，以第一視角的方式進(jìn)行電子數(shù)據(jù)分析。

基于VMware虛擬機(jī)技術(shù)的動(dòng)態(tài)仿真取證技術(shù)是運(yùn)用VMware虛擬機(jī)技術(shù)實(shí)現(xiàn)對(duì)物理計(jì)算機(jī)的遷移和轉(zhuǎn)換，并在虛擬系統(tǒng)環(huán)境中實(shí)現(xiàn)對(duì)電子數(shù)據(jù)的動(dòng)態(tài)取證分析的計(jì)算機(jī)犯罪調(diào)查方法。

2 虛擬機(jī)技術(shù)

虛擬機(jī)是利用虛擬化技術(shù)，通過在現(xiàn)有的硬件平臺(tái)上添加一個(gè)稱為虛擬機(jī)監(jiān)視軟件的中間層，從而實(shí)現(xiàn)對(duì)處理器、內(nèi)存管理單元、輸入輸出系統(tǒng)等計(jì)算機(jī)必備系統(tǒng)的虛擬化，進(jìn)而在硬件平臺(tái)上虛擬出一臺(tái)功能完善的計(jì)算機(jī)。從應(yīng)用程序的角度來(lái)看，應(yīng)用程序都在某一特定的指令體系（instruction set architecture，ISA）或操作系統(tǒng)上運(yùn)行，根本感知不到是運(yùn)行在一臺(tái)虛擬機(jī)上還是在一臺(tái)實(shí)體計(jì)算機(jī)。

虛擬機(jī)技術(shù)分為完全虛擬化（fullvirtualizatio）和準(zhǔn)虛擬化（aravirtulizatio）兩種類型。二者的區(qū)別在于客體的操作系統(tǒng)指令體系（ISA）和宿主的操作系統(tǒng)指令體系（ISA）是否相同。因此，采用完全虛擬化技術(shù)的虛擬機(jī)具有很好的兼容性，VMware屬于采用完全虛擬化技術(shù)的虛擬機(jī)。

2.1 虛擬機(jī)轉(zhuǎn)換技術(shù)

VMware提供了將虛擬機(jī)、系統(tǒng)鏡像和物理計(jì)算機(jī)轉(zhuǎn)換為VMware產(chǎn)品托管的可擴(kuò)展解決解決方案，可以實(shí)現(xiàn)物理機(jī)到虛擬機(jī)（P2V）、虛擬機(jī)到虛擬機(jī)（V2V）、磁盤鏡像到虛擬機(jī)（I2V）的遷移。轉(zhuǎn)換物理機(jī)時(shí)，Converter Standalone組件會(huì)通過克隆復(fù)制源物理磁盤或邏輯卷，并將該數(shù)據(jù)傳輸至目標(biāo)虛擬磁盤來(lái)創(chuàng)建目標(biāo)虛擬機(jī)。

2.2 基于磁盤的克隆和基于卷的克隆

Converter Standalone支持基于磁盤的克隆和基于卷的克隆。基于卷的克隆是將卷從源計(jì)算機(jī)復(fù)制到目標(biāo)計(jì)算機(jī)。源計(jì)算機(jī)動(dòng)態(tài)磁盤在目標(biāo)虛擬機(jī)上會(huì)轉(zhuǎn)換為基本卷。基于卷的克隆可在文件級(jí)別或塊級(jí)別執(zhí)行。當(dāng)選擇小于 NTFS 原始卷的大小或選擇調(diào)整 FAT 卷大小時(shí)執(zhí)行基于卷的文件級(jí)克隆。當(dāng)選擇保持源卷的大小或?yàn)?NTFS 源卷指定更大的卷大小時(shí)可進(jìn)行基于卷的塊級(jí)克隆。

基于磁盤的克隆會(huì)轉(zhuǎn)移所有磁盤的所有扇區(qū)，為所有類型的基本磁盤和動(dòng)態(tài)磁盤創(chuàng)建源計(jì)算機(jī)的副本，并保留所有卷元數(shù)據(jù)，目標(biāo)虛擬機(jī)接收的分區(qū)類型、大小和結(jié)構(gòu)與源虛擬機(jī)完全相同。

2.3 物理機(jī)的熱克隆和冷克隆

2.3.1 熱克隆

熱克隆也叫做實(shí)時(shí)克隆或聯(lián)機(jī)克隆，在機(jī)操作系統(tǒng)運(yùn)行狀態(tài)下對(duì)源計(jì)算機(jī)進(jìn)行遷移轉(zhuǎn)換。由于在轉(zhuǎn)換期間進(jìn)程繼續(xù)在源計(jì)算機(jī)上運(yùn)行，因此生成的虛擬機(jī)不是源計(jì)算機(jī)的精確副本，需要配置Converter Standalone選項(xiàng)，使程序在熱克隆后將目標(biāo)虛擬機(jī)與源計(jì)算機(jī)同步。同步操作允許將物理機(jī)源無(wú)縫遷移到虛擬機(jī)目標(biāo)，目標(biāo)計(jì)算機(jī)將接管源計(jì)算機(jī)操作。

對(duì)于雙引導(dǎo)系統(tǒng)的源計(jì)算機(jī)，熱克隆只能克隆 boot.ini文件指向的默認(rèn)操作系統(tǒng)。在更改源計(jì)算機(jī)的boot.ini文件以指向另一個(gè)操作系統(tǒng)之后，重新啟動(dòng)源計(jì)算機(jī)，才能對(duì)另一個(gè)操作系統(tǒng)重新進(jìn)行克隆。如果另一個(gè)操作系統(tǒng)是 Linux 系統(tǒng)，則可以使用克隆Linux物理機(jī)源的標(biāo)準(zhǔn)過程引導(dǎo)和克隆該系統(tǒng)。

2.3.2 冷克隆

冷克隆也稱為脫機(jī)克隆，在關(guān)機(jī)狀態(tài)下對(duì)源計(jì)算機(jī)進(jìn)行遷移轉(zhuǎn)換。在冷克隆計(jì)算機(jī)時(shí)，需要使用帶有32位子系統(tǒng)的window預(yù)安裝環(huán)境和Converter Standalone應(yīng)用程序的光盤重新引導(dǎo)源計(jì)算機(jī)。冷克隆在轉(zhuǎn)換期間源計(jì)算機(jī)上不會(huì)發(fā)生任何更改，因此可以創(chuàng)建最一致的源計(jì)算機(jī)副本。冷克隆在源計(jì)算機(jī)上不留痕跡，但要求可直接訪問所克隆的源計(jì)算機(jī)。在冷克隆Linux計(jì)算機(jī)時(shí)，必須在克隆完成后才能配置目標(biāo)虛擬機(jī)。對(duì)于安裝有雙系統(tǒng)的源計(jì)算機(jī)，冷克隆可以一次實(shí)現(xiàn)源磁盤的完全遷移轉(zhuǎn)換。

3 運(yùn)用虛擬機(jī)技術(shù)進(jìn)行動(dòng)態(tài)仿真取證司法實(shí)踐的探討

電子證據(jù)作為計(jì)算機(jī)犯罪調(diào)查取證中的關(guān)鍵證據(jù)，既有一般法律證據(jù)所具有的共性，又有其自身特殊的個(gè)性。在司法實(shí)踐中要求電子證據(jù)既能夠與其它犯罪證據(jù)緊密相關(guān)，相互印證，充分說明案件基本事實(shí)，又必須保證取證分析過程的合法性、證據(jù)獲取的完整性和真實(shí)性。鑒于此，筆者著重從虛擬機(jī)克隆技術(shù)在司法取證實(shí)踐中對(duì)證據(jù)客觀性的影響作簡(jiǎn)要論述。

3.1 熱克隆技術(shù)對(duì)取證的影響

VMware虛擬機(jī)的熱克隆技術(shù)不適合于計(jì)算機(jī)犯罪調(diào)查的現(xiàn)場(chǎng)取證。原因在于其在操作過程中需要?jiǎng)?chuàng)建磁盤快照通過網(wǎng)絡(luò)傳遞給目標(biāo)虛擬機(jī)，因此Converter Standalone代理程序會(huì)直接安裝運(yùn)行在開機(jī)狀態(tài)下的源計(jì)算機(jī)中，使源計(jì)算機(jī)的內(nèi)存狀態(tài)、網(wǎng)絡(luò)狀態(tài)和磁盤結(jié)構(gòu)發(fā)生改變，對(duì)原始證據(jù)的唯一性和完整性造成破壞。但是，熱克隆具有良好的硬件兼容性，可以快速搭建脫離硬件環(huán)境的模擬仿真系統(tǒng)，因此熱克隆技術(shù)可以是取證分析人員在特定取證過程中考慮采取的技術(shù)分析方法之一。其分析鑒定的結(jié)果可以作為靜態(tài)取證分析檢驗(yàn)和參考的依據(jù)。

例如，在網(wǎng)絡(luò)入侵類案件中，取證人員需要針對(duì)計(jì)算機(jī)病毒木馬程序的網(wǎng)絡(luò)態(tài)、進(jìn)程態(tài)、隱藏態(tài)等特性進(jìn)行動(dòng)態(tài)取樣分析時(shí)，對(duì)源計(jì)算機(jī)磁盤完整拷貝后，采用熱克隆技術(shù)能夠快速實(shí)現(xiàn)樣本程序運(yùn)行環(huán)境的重建。當(dāng)然，針對(duì)不同的取證分析需求，首先必須保證虛擬機(jī)對(duì)樣本程序運(yùn)行環(huán)境的改變是可控的。如：樣本程序所占有的內(nèi)存資源、網(wǎng)絡(luò)端口等系統(tǒng)資源不會(huì)與Converter Standalone代理程序相沖突；取證人員在虛擬機(jī)模擬仿真環(huán)境中對(duì)樣本程序功能性分析不會(huì)受VMM中間件的影響；樣本程序網(wǎng)絡(luò)功能的實(shí)現(xiàn)不依賴于源計(jì)算機(jī)的MAC地址；對(duì)于雙系統(tǒng)的熱克隆必須改變boot.ini指向后分別進(jìn)行。

3.2 冷克隆技術(shù)對(duì)取證的影響

冷克隆在進(jìn)行磁盤遷移轉(zhuǎn)換的過程中無(wú)需在源計(jì)算機(jī)上進(jìn)行任何安裝，對(duì)源計(jì)算機(jī)物理磁盤不會(huì)產(chǎn)生影響，且對(duì)于多操作系統(tǒng)可以一次克隆完成。因此，采用Converter Standalone的冷克隆技術(shù)能夠保證原始硬盤的真實(shí)性和電子證據(jù)的完整性，符合電子取證的要求，可以作為現(xiàn)場(chǎng)取證的手段之一。在此基礎(chǔ)之上，調(diào)查人員對(duì)取證過程中涉及到的日期和時(shí)間、硬盤分區(qū)情況、操作系統(tǒng)和版本、文件信息、數(shù)據(jù)完整性、計(jì)算機(jī)程序功能檢測(cè)分析結(jié)果等進(jìn)行歸檔處理，能保證調(diào)查取證過程的合法性，形成可以提交法庭質(zhì)證的電子證據(jù)報(bào)告。

但冷克隆技術(shù)也有它的局限性：一是轉(zhuǎn)換源計(jì)算機(jī)必須處于關(guān)機(jī)狀態(tài)，由CD進(jìn)行重新引導(dǎo)，如要獲取正在運(yùn)行的計(jì)算機(jī)內(nèi)存中的電子證據(jù)，在現(xiàn)場(chǎng)取證時(shí)應(yīng)考慮使用其它技術(shù)手段加以補(bǔ)充；二是Converter Standalone的4.1版本可能對(duì)某些特殊的硬件驅(qū)動(dòng)無(wú)法識(shí)別（如磁盤陣列卡的硬件驅(qū)動(dòng)），在具體操作中要區(qū)別對(duì)待；三是Converter Standalone 無(wú)法檢測(cè)大小超過 2 TB 的物理磁盤上的任何源卷和文件系統(tǒng)。

3.3 動(dòng)態(tài)仿真取證在司法實(shí)踐中的意義

基于VMware虛擬機(jī)技術(shù)的動(dòng)態(tài)仿真取證分析方法，能夠?qū)崿F(xiàn)模擬系統(tǒng)環(huán)境的快速搭建，從功能上實(shí)現(xiàn)電子數(shù)據(jù)分析鑒定所要求的客觀條件，以便于取證人員提取、固定有利于客觀反映犯罪事實(shí)的電子證據(jù)信息。

運(yùn)用虛擬機(jī)技術(shù)進(jìn)行電子數(shù)據(jù)的動(dòng)態(tài)取樣分析，能有效證明電子證據(jù)在計(jì)算機(jī)犯罪案件中與其它關(guān)鍵證據(jù)之間的關(guān)聯(lián)性，對(duì)保障偵查、起訴等司法調(diào)查程序有效實(shí)施具有重要的實(shí)踐意義。同時(shí)，虛擬機(jī)技術(shù)可以通過直觀展示的方式對(duì)證據(jù)分析鑒定報(bào)告予以出示，因此可以進(jìn)一步提高證據(jù)本身的證明力和證據(jù)能力。

[1]張羽，吳瑞.《仿真分析取證模型的形式化研究》.福建警察學(xué)院學(xué)報(bào), 2010,24(1).

[2]錢偉，沙晶.《VMware虛擬磁盤結(jié)構(gòu)分析及在電子數(shù)據(jù)取證中的應(yīng)用》.中國(guó)司法鑒定, 2011(2).

[3]李馥娟.《虛擬機(jī)技術(shù)在復(fù)雜網(wǎng)絡(luò)實(shí)驗(yàn)中的應(yīng)用》.實(shí)驗(yàn)技術(shù)與管理, 2009,26(12).

[4]周剛，麥永浩，曹強(qiáng)，張鵬.《云計(jì)算應(yīng)用對(duì)計(jì)算機(jī)取證技術(shù)的挑戰(zhàn)和對(duì)策》.警察技術(shù), 2011(2).

[5]申世濤,王俊.《“運(yùn)行計(jì)算機(jī)"的取證問題研究》.成都大學(xué)學(xué)報(bào)（教育科學(xué)版）, 2008,22(7).

[6]王俊.《論計(jì)算機(jī)取證相關(guān)問題—現(xiàn)場(chǎng)動(dòng)態(tài)分析，獲取“易揮發(fā)數(shù)字證據(jù)”》.中國(guó)司法鑒定, 2008(1).

[7]張楊.《電子數(shù)據(jù)鑒定方法與規(guī)范探討——?jiǎng)討B(tài)取證技術(shù)在服務(wù)器內(nèi)容鑒定的應(yīng)用》.計(jì)算機(jī)光盤軟件與應(yīng)用, 2010(9).

[8]武延軍，周鵬，于佳耕.《虛擬機(jī)全系統(tǒng)重放技術(shù)》.北京工業(yè)大學(xué)學(xué)報(bào), 2010年.

[9]郝姍姍，陳紅玉.《計(jì)算機(jī)犯罪案件動(dòng)態(tài)取證系統(tǒng)的研究與設(shè)計(jì)》.鐵道警官高等專科學(xué)校學(xué)報(bào), 2011,21(3).