美章网 资料文库 浅谈虚拟环境下的计算机取证范文

浅谈虚拟环境下的计算机取证范文

本站小编为你精心准备了浅谈虚拟环境下的计算机取证参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。

浅谈虚拟环境下的计算机取证

摘要:研究了虚拟环境计算机取证调查分析阶段的潜在作用。提出了虚拟环境计算机取证软件工具的一般概念;指出了虚拟环境的局限性,设计了一种同时独立使用传统环境和虚拟环境的新方法,并证明这种方法可以大大缩短计算机取证调查分析阶段的时间。

关键词:计算机取证;虚拟机;计算机证据

引言

虚拟化是一个古老的概念,在20世纪60年代随着大型计算机的出现而首次引入。它在20世纪90年代被重新引入个人电脑。虚拟机(也称为“VM”)是一种软件产品,允许用户创建一个或多个单独的环境,每个环境模拟自己的硬件集和自己的软件。理想情况下,每个虚拟机都应该像一台完全独立的计算机,具有自己的操作系统和硬件。用户可以独立地控制每个环境,如果需要,还可以将网络虚拟计算机连接在一起或将它们连接到外部物理网络[1]。

1计算机取证和虚拟机环境

传统的计算机取证过程包括许多步骤,可以大致分为4个关键阶段:(1)访问;(2)收购;(3)分析(本文的重点);(4)报告。在获取阶段,调查人员捕获尽可能多的实时系统易失性数据,关闭系统,然后为所有存储设备创建一个法医图像[2]。存储设备的图像通常是使用许多基于dd(dd,Unix命令行工具)的工具。此图像以dd格式存储,或通常基于dd的专有格式存储。图像是原始磁盘的相同副本[3]。但是,目前常用的许多专有格式可能与原始硬盘不完全相同,它们可能包括额外的元数据[4]。专有格式的一个例子是最近开发的并日益流行的高级取证格式(AFF)[5]。AFF甚至对原始图像进行了进一步的分割,其中每个段都有一个头部、一个名称、一个32位的参数、一个可选的数据负载,最后还有一个尾部。这个简短的图像格式概述的相关性在于,计算机专家的发现可能也基于对图像的检查,该图像在某些方面发生了变化,并且与原始图像不相同。由于dd映像与原始映像相同,因此可以将其复制到相同的或更大的硬盘上,并在另一个计算机系统上引导。由于有太多可能的硬件组合,这种方法在重新创建原始环境时是不切实际的。此外,一些已安装的服务和软件产品可能拒绝启动,或者根本无法启动系统。虚拟环境中也存在类似的问题。虚拟机只模拟一些基本的硬件组件,获取的dd映像不能立即在虚拟环境中引导,因为虚拟机需要包含有关正在引导的环境信息的附加文件。各种软件工具都可以通过创建带有虚拟机所需参数的附加文件来解决这个问题。其中一些实用工具是:(1)封装物理磁盘模拟器(PDE),商业产品(封装法医模块,2007);(2)ProDiscover系列的商业和免费的计算机安全工具技术;(3)实时视图,Gnu公共许可证(GPL)下提供的免费工具。使用虚拟机环境进行计算机取证数据分析,但在法庭上以这种方式获得的结果作为证据的适用性是值得怀疑的[6]。要使映像在虚拟环境中引导,需要对原始环境进行许多更改,并且一旦系统启动,就会将新的数据写入原始映像,从而修改它。黄金法则是在备份目的地创建证据的逐位副本,确保原始数据受写保护。后续的数据分析应该在这个副本上执行,而不是在原始证据上。

2建议的并行方法

前一节中提到的计算机取证过程的4个阶段,每一个阶段都被进一步划分为特定的步骤,每一个步骤都必须遵循严格的程序。分析计算机证据的过程应该遵循以下基本规则:(1)对原件的最小处理;(2)解释任何变化;(3)遵守证据规则;(4)不要超越你的知识。目前还没有普遍接受计算机法医认证,但人们希望进行分析并在法庭上提交报告的人是拥有相关专业知识的“专家”[8]。这个过程的准确性可以大大提高。如果这个过程扩大到包括两个并行的调查,分析数据所需的总时间可以缩短[9]。在建立的模型中,使用了两个级别的计算机取证人员,这样一个小组的工作方式如下[10]:训练有素、经验丰富的专业调查员严格遵循计算机取证调查方法。非专业计算机技术人员不需要严格遵守法医规则,也从不直接参与正式的报告流程。电脑技术员的职责是检查资料的副本,以找出任何可能引起兴趣的资料,然后向专业调查人员报告调查结果。在计算机取证调查的分析阶段,将获取的图像副本交给计算机技术人员。其任务是在虚拟的机器环境中启动图像,将其作为一个正常的“活动”系统,并搜索与调查相关的所有细节。所有的调查结果都会交给专业调查人员,然后由专业调查人员使用适当的计算机取证技术来确认调查结果,并在必要时进行进一步的数据搜索。计算机技术人员的调查结果从来没有直接包括在报告过程中。

3示例场景

假设场景:当一个人的住所被发现时,一台没有电源的个人计算机对涉嫌非法贩运的人进行了搜查[5]。一名计算机取证调查员被要求协助调查此案,找出与贩运有关的所有信息,包括金融交易的细节和任何有关信件或文件[7]。研究人员记录了个人计算机的硬件配置,并使用dd实用程序从HELIX可引导取证CD获得硬盘映像。记录SHA-1和MD5散列值以及相关的案例细节,并根据当地的法医程序创建监护链。名为B的映像的两个副本。在法医实验室,dd被交给了两个人:(1)专业调查员更新保管文件链并将图像锁在安全位置;(2)计算机技术人员,更新第二张图片对应的保管链,并将图片锁在安全位置。第一次成功后启动系统的计算机技术员的虚拟机器安装了虚拟系统工具提高鼠标操作,并提供一个更高的虚拟屏幕分辨率。再次启动系统前计算机技术员检查虚拟机,并指出只有4个设备安装:内存,硬盘,CD-ROM和USB控制器。虚拟机可用的其他设备可以在添加硬件向导中看到。没有安装以太网控制器,因此虚拟机与任何网络隔离,进而不会成功。计算机技术人员从另一台计算机上检查因特网,要访问C帐户,需要一个用户名和密码。用户名“D”在登录面板中是可见的,但密码隐藏在一排圆点后面。为了弄清密码是什么,计算机技术人员决定在虚拟机中安装一个名为“密码揭秘器”的附加软件。最后工具破译密码[4]。计算机技术员继续使用标准的Windows工具检查启动的系统。Windows资源管理器没有显示与正在调查的案件相关的任何文件夹或文件。然后计算机技术员检查调查系统上安装额外的软件是什么,发现桌面上的一个图标的简单的文件粉碎机,可以安全地删除文件,使他们不可能再恢复。但有以下两点值得注意。(1)用于运行系统的磁盘的映像不再与映像b相同。使用法医学上可靠的方法获得的dd。安装了各种新的设备驱动程序和新的软件包。通过在Windows资源管理器中检查各种文件和文件夹,并在它们的本地应用程序中打开它们,可以“触摸”它们。认为这幅图像仍然是有效的证据是不现实的,现在它被污染了。(2)原始获得的图像B。dd仍由专业调查员保管;它没有改变,在法律上是有效的。计算机技术员向专业调查员汇报下列基本调查结果:很可能没有太多与调查有关的文件的痕迹,因为使用计算机的人安装了一个安全删除工具,所有这些文件都有可能被不可恢复地删除了;证据价值的材料很可能没有保存在计算机上,因为所有者有一个虚拟的因特网存储帐户,允许他们将所有数据保存在远程服务器上;可以恢复到远程存储系统帐户的用户名和密码。通过使用这些信息,专业调查员现在可以用可靠的取证方法和适当的取证软件工具来确认所有的发现。可以从另一台计算机访问DriveHQ上的远程帐户,并复制和检查存储在那里的所有文件。dd磁盘映像仍然可以用计算机取证软件分析未分解文件的任何痕迹[6]。

4结论

上述简单的场景表明,配备不同工具集的两个团队之间的合作,以及使用具有不同专业水平的人员,可以产生更快的结果,并将减少高素质专业调查人员的工作量。使用适当的计算机取证工具和技术的专业调查人员很可能在传统的设置中获得相同的结果,而不需要使用虚拟环境,也不需要计算机技术人员的帮助。然而,所描述的使用传统和虚拟两种环境的方法的一个优势是可以节省时间,增加发现重要证据的机会。新方法的另一个优势是,技术人员可以分阶段接触计算机取证技术,而不损害真实的证据,同时为过程提供真正有价值的输入。这种方法也可以看作是一个内部培训过程的一部分,一个人的小计算机取证经验,并首次引入司法过程在虚拟环境中进行调查。本文描述了在计算机取证调查分析阶段使用传统环境和虚拟环境的过程。同时提出了计算机技术人员与专业调查员合作的基本规则。

作者:邵彦宁 单位:广东电网有限责任公司 河源供电局