电子数据取证综合实训平台设计与实践

2021-04-06 01:09
实验技术与管理 2021年2期
关键词:镜像内存实训

刘 琛

(江苏警官学院 计算机信息与网络安全系,江苏 南京 210031)

电子数据取证课程[1-3]要求学生能够掌握电子数据取证的基本概念,熟悉电子数据取证的工作流程,掌握单机及网络环境下的电子数据取证技术、常见的取证工具和设备的使用方法,具备公安机关电子数据取证工作需要的实践能力和研究潜力。电子取证课程目前主要面向公安专业学生,学生就业后将从事现场勘查、数据分析等工作。因此,教学中仅着眼于讲解基本概念与基本原理是不够的,实验教学应当贯穿整个教学的全过程,让学生在实际操作中进一步强化对理论知识的掌握。

目前,电子数据取证实训项目主要受到3 个方面因素的制约:一是实验资源较少,实验硬件设备缺乏;二是实验内容之间联系不够紧密,实验体系有待完善;三是原理性、演示性实验居多,综合性、探究性实验较少。实训环节的薄弱导致学生对电子数据取证的掌握仅停留在基本概念、基本理论的层面,面对实际问题时仍然无法找到解决的切入点,缺乏电子数据取证实践能力。因此,根据教学实践情况,本文开发了基于虚拟仿真技术的电子数据取证综合实训平台,以案例探索的方式,将最新的科研成果融入实验教学,辅助电子数据取证课程的理论教学,以增强学生对电子数据取证理论和方法的掌握,激发学生的学习兴趣和创造性思维。

1 电子数据取证

1.1 电子数据取证的概念

(1)电子数据[4-5]。电子数据也称为电子证据、电子物证,是指案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。电子数据依托现代电子信息等技术,以电子、数字、电磁、光信号等形式存储在计算机、网络、手机等电子介质中,借助一定媒介转换为人们所识别、认知和研究的内容,被作为一类证据证明案件的事实。电子数据的种类繁多、形式复杂。电子数据既包括网页、博客等网络平台发布的信息,也包括手机短信、电子邮件等网络应用服务的通信信息,以及文档、图片、音视频等电子文件。与传统证据相比,电子数据有以下几个特性:一是虚拟性。电子数据不具有物理形态,而是以二进制码的虚拟形态保存的,必须依附一定的软硬件作为载体呈现出来。二是易破坏性。环境的影响、人为的操作都会导致电子数据改变或灭失,从而影响电子数据的真实性和完整性。此外,电子数据的记录方式以及介质的特殊性决定了它自身具有一定的易破坏性。三是客观性。电子数据的内容如果来源真实、合法,能够生动反映案件的客观事实,可以作为直接证据使用。

(2)电子数据取证。电子数据取证是指执法人员依法收集、固定与违法行为有关的电子数据,并进行检查、分析、调查的行政执法行为。电子数据取证程序应当遵守国家法律、法规、规章的一般规定。从电子数据取证的流程来看,主要分为准备阶段、现场勘查、数据获取、数据固定、数据分析、生成报告6 个步骤[6]。其中,准备阶段需要全面了解可能与案件相关的电子数据材料,制定取证方案,准备可能用到的取证设备;现场勘查的目的是保护数据的原始性,避免造成电子数据的丢失与更改;数据获取的任务是在只读的条件下完成电子数据备份文件的制作;数据固定需要及时记录电子数据获取的基本信息,并妥善保管好存储介质;数据分析是取证中的关键环节,需要对电子数据进行深入分析,以找到关键证据或线索;生成报告是对取证工作的总结,包含取证过程、所使用的工具及版本、分析的步骤、找到的线索、得出的结论等。报告中所记录事项需满足合法性、准确性的要求,结论需要有完整的证据链进行印证。

1.2 电子数据取证实训教学的重要性

公安院校的网络安全与执法、刑事科学技术、公安视听技术等专业都开设了电子数据取证课程,并将其定位为人才培养方案中的特色课程。此外,在全国性电子数据取证比赛的有力推动下,其他非公安院校在网络安全、信息安全专业中也增设了计算机取证等类似课程。由此可见,各高校对电子数据取证课程的重视程度正在不断提高。目前,大部分高校电子数据取证理论课程的开展比较顺利,但由于受到教学资源、师资力量、学生数量、软硬件设备等因素的限制,很多高校没有开设对应的实验实训课程,或者实验实训课程开展的效果并不理想。

电子数据取证是近年来打击网络犯罪的一个重要技术手段,它具有很强的实践性和操作性。实训教学不是对理论教学的简单补充,而是实现课程人才培养目标的必需途径。通过系统的实训教学可以夯实学生的理论基础,增强学生的实战水平,培养学生潜在的创新能力。因此,电子数据取证综合实训平台的建设,不仅满足了信息安全领域人才培养的需要,更是为公安机关培育了一线执法人员和后备研究力量。

2 基于虚拟仿真的电子数据取证实训平台

2.1 实训平台设计

本文设计的电子数据取证综合实训平台搭建在VMware Workstation 虚拟机软件上,通过虚拟化技术[7-8]将现有硬件及软件资源整合为一体,实现多个虚拟的硬件系统平台。各系统平台可以独立运行不同的操作系统,这些操作系统通过虚拟监控器程序来访问实际的物理资源,从而最大限度地降低硬件成本,节约资源,提高系统资源利用率。

2.2 实训平台功能

电子数据取证综合实训平台包含电子数据固定、提取、恢复、呈证等部分,通过全方位的训练,能够将电子数据取证理论知识、操作技能、流程规范系统生动地传授给学生,从而使学生在实践中磨砺取证技术,培养真正的取证实战能力。

实训平台结合专题训练和综合实训两大需求,共分为电子数据固定、个人计算机专项与综合取证、服务器专项与综合取证、手机与平板设备专项取证、计算机病毒与恶意代码专项与综合取证、内存等易失数据专项与综合取证、鉴定文书制作、真实案例综合取证8 个模块,具体模块功能如图1 所示。

2.3 实训平台优势

利用虚拟化技术搭建的电子数据取证综合实训平台具有以下几个显著优势:

(1)有利于实验内容的模块化。将同一类实验所需要的实验镜像、实验文档以及实验工具都封装在同一个虚拟机中,通过对虚拟应用的封装,可以将实验模块化、系统化。

(2)有利于实验环境的稳定性。多个虚拟机通过共享主机硬件资源的方式运行在同一台主机上,相互之间并不影响,当单个虚拟机出现故障时,不会对其他虚拟机的正常运行造成影响。同时,采用快照恢复实现故障虚拟机的快速恢复,可有效保证实验环境的稳定性。

(3)有利于管理的便捷性。封装后的虚拟机文件不依赖于主机系统硬件,可以通过复制虚拟机文件的方式不加修改地迁移到另一台主机,为具体实验的发放和拷贝带来更高的可用性和更灵活的资源分配方式。

图1 电子数据取证实训平台各模块功能

3 实训平台支持的实验内容

根据我校教学实际,实训平台目前开发了以下几方面具体实验内容。

3.1 电子数据固定

电子数据固定是取证的基础,它直接决定了电子数据的有效性[9]。本模块针对电子数据取证规范和存证流程,通过虚拟磁盘的创建、只读锁的使用、检材镜像的制作、检材镜像的哈希值比对、加密容器及加密磁盘的解密等实验内容,使学生掌握电子数据固定的相关知识和操作技能,培养学生规范取证的专业素养。

3.2 个人计算机专项与综合取证

该模块主要针对个人计算机取证的技术要点,培养学生掌握磁盘分区、文件系统、数据恢复、注册表分析、正则表达式等相关知识和操作技能[10-13]。

(1)磁盘分区的识别与恢复。在实际使用中,硬盘会被划分为若干个逻辑部分,每个部分称为一个磁盘分区。磁盘分区具有固定的结构,根据这一信息,可以识别并恢复被删除的分区数据,这是进一步提取电子数据的基础。

(2)文件的恢复。文件系统规定了分区上数据的组织方法和结构。常见的文件系统有FAT32、NTFS等。文件系统决定了文件的存储、删除、增加、修改等操作,理解文件系统的原理是恢复删除文件的前提。本实训单元设置了在FAT32 和NTFS 这2 种文件系统下的文件恢复实验。

(3)注册表的解析。注册表是 Windows 系统存储关于计算机硬件和软件的配置信息、应用软件和文档文件的关联关系以及各种网络状态信息和其他数据的中央数据库。注册表在系统中起着核心作用,掌握注册表的解析操作对电子数据取证非常重要。

(4)文件的搜索与过滤。在大量文件中锁定目标文件必须掌握文件的搜索与过滤操作。实训平台安排了基于文件扩展名的搜索与过滤、基于关键词和正则表达式的搜索与过滤、基于哈希值的文件搜索与过滤等方法的专题实训。

3.3 服务器专项与综合取证

服务器取证属于网络取证的重要组成部分。服务器中存放了网站的大量数据,在实际工作中,很多网络诈骗、赌博的案件都涉及服务器取证[14]。本模块包含Linux 系统基本信息的提取、网站配置文件的提取、网站日志信息的提取、网站数据库的提取等内容,使学生掌握分析网站服务器的基本思路和操作方法。

3.4 手机与平板设备专项取证

目前本模块主要针对手机与平板取证的备份文件和镜像文件[15]。本模块涉及常见的安卓系统和IOS 系统的移动设备,包含备份文件与镜像文件的制作、备份文件与镜像文件信息的提取。学生通过这一模块的训练,可以使掌握手机取证的基本操作。

3.5 计算机病毒与恶意代码专项与综合取证

计算机病毒是指能够破坏计算机功能或者数据的代码,具有传播性、隐蔽性和破坏性[16]。恶意代码是指能够对计算机网络或系统会产生威胁或潜在威胁的计算机代码[17]。针对病毒与恶意代码的取证主要有2种方式:一是通过反编译软件获取程序的源代码,分析它们的攻击特点;另一种是在安全环境下直接运行程序,通过追踪程序运行过程产生的文件、调用的进程等运行痕迹,获取代码的攻击过程。本模块主要基于第2 种方式,通过让学生测试不同类型病毒与恶意代码的运行过程,使学生掌握分析病毒与恶意代码行为的相关知识和操作技能。

3.6 内存等易失数据专项与综合取证

内存的作用是在计算机运行时为操作系统和各种程序提供临时存储,它可以可以分为物理内存和虚拟内存。物理内存指通过物理内存条而获得的内存空间。虚拟内存是计算机操作系统的一种内存管理技术,它将一部分硬盘空间虚拟化为内存使用,当物理内存耗尽时,计算机会自动调用硬盘空间来存放内存数据,以缓解物理内存的紧张。内存中包含了大量动态变化的系统数据,例如系统运行的进程状态、登录的用户信息、网络连接状态等。这些数据在计算机关机后就会消失,因此在传统的计算机取证领域,内存数据属于易失性证据[18]。本模块由原理性实验及探究性实验组成,包含内存镜像文件的制作、内存镜像文件信息的提取。

3.7 鉴定文书制作

本模块包含取证流程及规范实训、鉴定文书写作。通过这一模块的训练,学生应掌握取证规范和鉴定文书写作。

3.8 真实案例综合取证

本模块设置5 次真实案例的仿真取证实训,全面考察学生对数据固定、数据分析、生成报告等环节取证技术及取证规范的掌握情况,并对课程学习效果进行考核。

4 综合设计性实验案例

本文以模块六——内存等易失数据专项取证为例,具体介绍综合实验平台提供的实验内容。

4.1 内存取证的方法

针对内存取证的方法主要有2 种:一种是在线取证分析技术。这类技术通过外部的硬件、软件以及操作系统自身提供的服务来获取。另一种取证方法是对内存镜像的分析。内存镜像就是将计算机系统内存中的所有数据以文件的形式保存到存储介质上。通过这一存储过程,易失性的内存数据转变为非易失性的数据。在此之后,取证鉴定人员通过一定的方法和步骤检查内存镜像中的数据,并还原系统现场,以提取其中有用的证据信息。内存镜像制作和分析软件有Volatility、ProcDump、DumpIT 等。

4.2 实验内容

本单元实验由原理性实验及探究性实验组成。原理性实验主要讲解使用Volatility 软件获取内存镜像的相关信息以及使用DumpIT 软件制作内存镜像的基本操作和注意事项。探究性实验引导学生通过内存取证追踪用户浏览器的访问情况,采用两人一组的方式:第一位同学打开IE 浏览器并访问某一网页(例如百度主页)并制作内存镜像;第二位同学根据所学知识提取内存镜像中应用程序的网络连接信息,查找第一位同学IE 浏览器访问的目标IP 地址,并将结果进行验证。

4.3 实验结果与分析

首先打开IE 浏览器访问百度主页,并使用DumpIt软件制作内存镜像,如图2 所示。

图2 内存镜像制作过程

其次,用命令行启动Volatility 软件扫描镜像中的进程信息,找到IE 浏览器进程“iexplore.exe”以及对应的进程号,如图3 所示。

图3 IE 浏览器进程信息

最后,扫描进程的网络连接信息,筛选IE 浏览器进程,根据联网状态、进程号以及端口号,确定访问的目标IP 地址为180.101.49.11,通过与百度主页IP比对,验证提取信息的正确性,如图4 所示。

图4 IE 浏览器网络访问的目标IP 地址

4.4 拓展与思考

通过基础性实验与探究性实验相结合,本模块促进学生初步掌握内存取证中有关应用程序联网信息的提取方法。在此基础上,通过对比实验进一步探究访问多个网页以及关闭部分网页等新情况下提取信息的异同,本模块能够提升学生的学习兴趣,培养设置对比组的研究思路,提高对未知问题的自主探究和创新能力。

5 结语

本文介绍的基于虚拟仿真技术的电子数据取证综合实训平台是作者所在教学团队的创新性成果。本平台集成基础实验与综合实验于一体,以案例探索的方式,借助仿真分析手段,加深学生对电子数据取证课程相关概念的理解,提高知识点的综合应用能力,使学生从被动操作的验证者转变为主动探索的求知者。

猜你喜欢
镜像内存实训
镜像
基于CDIO理念的数控实训教学改革与实践
笔记本内存已经在涨价了,但幅度不大,升级扩容无须等待
“春夏秋冬”的内存
镜像
虚拟情景实训环境三维模拟
电工电子实训教学改革与创新
内存搭配DDR4、DDR3L还是DDR3?
样规制作的任务实训
镜像