虛擬化教學平臺在電子取證實踐中的應用

張斐

本文對虛擬化教學平臺在電子取證實踐教學中的應用研究進行了分析，指出在現有情況下開展此類教學和研究活動存在的一些問題，并對解決這些問題提出了一些方法，最后對未來的發展進行了展望。

【關鍵詞】虛擬化 電子取證 實踐教學

1 國內研究現狀分析

近年隨著我國網絡安全的需要，電子數據取證在我國得到了較快的發展，國內幾乎所有的公安、政法類大學均開設有電子數據取證的相關課程，并建立了一整套匹配的實驗實訓教程。

以國內公安院校為例，中國人民公安大學的電子取證教學近年已經實現了X-Ways Forensics和虛擬硬盤Mount Image Pro在教學中的結合，將虛擬硬盤工具引入到實訓教學過程中后，絕大多數學生都能夠迅速準確的掌握該知識點。究其原因主要在于虛擬硬盤工具的呈現方式非常直觀，使學生很容易在磁盤鏡像文件和虛擬硬盤之間建立起聯系，進而理解教學內容。湖北警官學院2011年即開始探索虛擬化技術在電子取證教學和科研中的應用，裸機型Hypervisor的服務器虛擬方式以及桌面虛擬化VDI技術在其所轄的三真司法鑒定所的電子取證實驗室中開始運用，有效優化了其網絡安全與執法本科專業學生的電子取證教學環境。

2 虛擬平臺的應用

2.1 虛擬硬盤的應用

磁盤鏡像文件是電子取證課程中最常見的數據載體和檢材，也是教學中的重點。在教學中，很少有學生能直接將單個磁盤鏡像文件與包含若干文件的硬盤聯系起來，甚至講解后仍有少數學生并不完全理解，因此它也是教學中的難點內容。

雖然相關高校使用的取證工具X-Ways Forensics功能強大，但直接使用專業工具給學生進行演示和講解的效果不理想，而將虛擬硬盤工具引入到教學中，多數學生都能夠迅速準確的掌握該知識點。原因是虛擬硬盤工具的呈現方式直觀，使學生容易在磁盤鏡像文件和虛擬硬盤之間建立起聯系，進而理解內容。虛擬硬盤工具有很多種，其中比較適合在實訓教學過程中使用的是Mount Image Pro。

如果所在的教學環境不能正常安裝新的軟件并且教學內容只是需要利用虛擬硬盤進行分區、格式化或數據擦除等演示，則可使用Windows系統自帶的磁盤管理工具創建虛擬磁盤。該工具只支持“.vhd”和“.vhdx”格式的文件，而不支持“.dd”等其他格式的文件。這是因為二者與“.dd”的文件結構均不相同，在“.vhd”文件的尾部有一些特有的數據，而“.vhdx”文件的結構與“.dd”的差異更大，因此磁盤管理工具不能加載常見的磁盤鏡像文件。

除了上述由磁盤鏡像文件生成的虛擬硬盤外，還有另外一種由內存生成的虛擬硬盤，這種虛擬硬盤不占用物理磁盤空間，但會占用內存空間，數據在計算機斷電后不保存。通過引導學生使用此類工具生成虛擬硬盤，并在計算機重啟后觀察虛擬硬盤中數據的保存情況，能使學生深入理解易失性和非易失性存儲器這兩個重要概念。

2.2 虛擬軟件的應用

虛擬機是虛擬化技術的一個主要應用方向，也是一種可以被應用于信息技術相關實驗課程的重要工具。利用虛擬機工具可以在一臺物理計算機上生成許多獨立運行的虛擬機實例，并且每臺虛擬機都可以安裝獨立的操作系統。在虛擬機上安裝操作系統時，可對虛擬機中的硬盤進行分區而不影響物理硬盤的分區，完全可將虛擬機中的硬盤當作虛擬硬盤使用，只是不方便。

對于實訓課程中的病毒分析實驗、數據擦除及恢復等對系統環境具有破壞性的實驗，則可以利用VMware的克隆和快照功能，迅速簡便的將虛擬機恢復至指定狀態。VMware中還包含有一個圖形化的快照管理器，非常直觀的為虛擬機創建多個快照并進行管理。

此外在開展網絡課程的路由和交換教學中，利用packet tracker模擬真實環境，對于初學者比較適宜，尤其是加深對抽象的通信原理的了解有一定的幫助。如果要滿足深度的學習需求，就是用GNS3，這個軟件是用dynamips為核心，圖形化界面，操作方便。但是只能模擬幾個型號的IOS，可以用相關module來練習交換命令，但是和真實的交換機還是有區別的。如果要模擬交換機，只能是用IOU（IOS On Unix），這個是思科做的虛擬機，可以用思科開發的IOS來模擬交換和路由環境，消耗資源不大，可以搭建CCIE RS的環境。

3 對高職教育改革與發展的意義

針對我院司法信息安全專業，電子數據取證類課程的實踐教學是鞏固和驗證所學知識，培養學生對于電子證據的分析和解決問題能力的重要環節。當前的計算機實踐教學注重在現有硬件環境下進行實驗教學，注重硬件環境的建設，對配套軟件環境的建設重視不夠。隨著學院的大量投入，實驗室的硬件環境得到了很大改善，很多計算機專業課程實驗得以順利開設，尤其是電子取證類的實踐教學在沒有專業實驗實訓室的情況下，已經開始利用現有的通用計算機設備開展教學，但有些實驗在沒有引進新的軟件環境和采用新的教學方法前仍然是無法進行的，因此我們探索使用虛擬機搭建取證平臺，從而模擬計算機犯罪現場，最大可能實現對現有硬件資源的利用，對于電子取證教學不失為當前一條行之有效的解決方案。

普通計算機機房的PC機一般都是固定安裝Windows操作系統，要學習配置使用多種操作系統的話是不現實的。目前借助福建銳捷的云課堂技術，實現了在不改變當前機房的操作系統、不增加硬件投入的情況下實現多操作系統的實驗教學。對于信息類相關專業，教學中需要大量在不同操作系統環境下進行的計算機實驗，尤其是以電子取證課程的實踐教學為例，需要大量在特定環境下的計算機犯罪現場模擬和計算機病毒樣本，這給我們現有的實驗室軟件環境帶來了很大的挑戰。

4 結語

電子取證是法學和計算機科學的交叉學科，其研究領域日益豐富，在當前涉及電子證據案件日趨增多的情況下，如何從我院自身專業實際情況出發，深刻認識電子取證教學中的許多問題，通過建立虛擬化的教學平臺，推動模擬電子取證實務化教學的開展，進一步提高相關專業學生的專業技能意義重大。

作者單位

陜西警官職業學院 陜西省西安市 710021