VMWare虚拟机在电子取证实践教学中的研究
2017-07-27丁璇
丁璇
摘要:电子取证是一门实践性很强的课程,为了解决实践教学中存在的设备不足,硬件损害等问题,该文提出了一中基于VMware虚拟机技术的解决方法,提高了设备利用率,同时从实验内容、实验对象和实验目的等方面进行了探讨,为电子取证实践教学提供了便利和保障。
关键词:虚拟化技术;VMwareWorkstation;电子取证
为了满足各级公安机关的需求,很多公安院校都增加了电子取证这门课程,而电子取证要求学生的实践能力很高,所以需要设置专用的电子取证实验室,通过上机操作使学生真正理解和消化有关的理论知识。受限于实验室的实验设备昂贵、资源利用率不高、缺乏统一的管理,远远不能满足实践的需求,制约着电子取证教学的发展。而虚拟化技术由于可以有效利用各种IT资源,快速部署操作系统和减少了对硬件的依赖等优点,为实验室提供了提高教学质量行之有效的手段。
1电子取证的概念和目标
随着Internet的快速发展,用户之间的交流越来越方便,但是随之而来的利用信息技术手段进行犯罪的情况也变得越来越多,越来越容易。比如网页模仿,网页篡改,木马攻击,计算机病毒,网络诈骗等具有危害的事件经常发生。尤其是在近几年,犯罪行为逐渐深入到了移动商务领域。而电子取证成了警察针对这种高科技犯罪的关键。但是目前公安人员普遍缺乏电子取证的知识与技能,人才的不足使得公安院校开展电子取证的研究和开发,为社会培养大量具有扎实理论基础,丰富实践经验的电子取证人才。
电子取证的概念堤:在1991年在美国举行的国际计算机专家会议IACIS(International Association of Computer Special-ists)首次提出的。电子取证是指取证人员按照符合法律规范的方式,对能够成为合法、可靠、可信的且存在于计算机、相关外设和网络中的电子证据的识别、获取、传输、保存、分析和提交数字证据的过程。电子取证是一门综合性、又性的学科,它涉及法律、侦查学、计算机科学、计算机工程学、软件工程学、心理学、社会学等等。
电子取证教学的总体目标是,首先要满足基础教学需求,理解电子证据、电子取证等概念,掌握相关法律法规,了解操作系统的基本原理和主流文件系统的结构,同时培养学生的学习能力和思维能力,使学生通过实验掌握计算机取证技术的基本技能和技巧,熟练使用常用的计算机取证硬件工具和软件工具,对嫌疑计算机或者各种电子设备中的数据进行备份、恢复、分析、检查、打印,并且能对所分析数据作出报告,最后,培养丰富的相关法律和电子取证意识,成为有着钻研精神、灵活的思维、强烈的职业责任感的人才。
2虚拟化技术与VMware
2.1虚拟化技术
虚拟化技术就是指把一个物理单元虚拟成多个逻辑单元,供多个应用一起使用。虚拟化的对象包括各种各样的计算机资源,应用程序访问的虚拟化的资源是透明的。这样做的主要目的是为了提高资源的使用效率并方便管理各种资源。同时为我们实验教学需要的不同的操作系统提供了透明,即不同的操作系统都可以运行在其虚拟机中。通过虚拟化技术可以最大限度地屏蔽软硬件资源的差异,灵活分配资源,减少总体的成本。
2.2 VMware Workstation
VMwareWorkstation是美国VMware公司出品的一款虚拟机软件。虚拟机fVirtual Machine)指运行于物理计算机上的由软件模拟出来的计算机,也可以称为逻辑上的计算机。
VMware Workstation可以在一个主机上模拟出多个虚拟计算机,每台计算机可以安装独立的操作系统,并且互不影响,这些虚拟机上可以像真正的计算机一样,拥有自己独立的CPU、BIOS、显卡、声卡、硬盘、内存及其他硬件,从而实现了一台计算机可同时运行多个不同的操作系统的目的。VMware Worksta-tion创建的虚拟机可以像其他Windows应用程序那样轻松切换,而不需要重新启动机器。各个操作系统之间不仅可以通过虚拟网卡进行数据的传递,也可以和主机相连的网络中的计算机系统进行通信。
VMware虚拟机具有以下四个关键特性1)兼容性,虚拟机具有物理计算机上的所有组件,因此虚拟机与所有标准的操作系统、应用程序和设备驱动程序完全兼容,你可以在虚拟机上运行那些能运行在物理计算机上的所有相同软件;2)隔离性,一个主机上模拟出多个虚拟计算机,虽然多个虚拟机可以共享一台计算机的物理资源,但是它们之间保持完成隔离状态,就如同是四台物理计算机,如果有一台虚拟机出现错误无法运行,其他的虚拟机不会被影响;3)封装性,虚拟机将一套虚拟硬件资源和应用程序封在一个软件包里,这使其有良好的移动性;4)独立于硬件,虚拟机完全独立于底层物理硬件,如虚拟机的cpu,网卡等与物理硬件不同,各个虚拟机可以运行不同的操作系统,如Windows、Linux、Unix等等。
3VMware Workstation在电子取证实验室中的应用
在电子取证的课程实验环节,却是存在一些问题:实验室设备不足,实验任务重,由于实验内容的不同,造成了实验环境频繁的删除和重建;实验室设备可能在实验过程中出现故障,不能及时修复,直接影响了实验操作时间,降低了教学效果。
VMware虚拟机具有以上特点,可以把它应用到电子取证的实践教学中:
1)计算机搜查和现场勘探实验
虚拟机上可以安装多个不同的操作系统,如Windows操作系统,MAC操作系统,Linux操作系统。首先,学生需要掌握对这些操作系统的操作能力:第一,关键词搜索技术,利用一个或多个关键词对一定范围内的信息进行搜索,需要根据具体情况设定关键词,分析目标可能使用的字符集和编码方式;第二,注册表分析,注册表是Windows系统存储计算机信息的核心数据库,其中的数据是以二进制的方式进行存储,存放着各种参数,直接控制着Windows的启动、硬件驱动程序的装载以及一些应用程序的运行,通过对注册表的分析可以获得很多有用的信息;第三,日志分析,日志一般有操作系统日志,应用程序日志和服务日志,防火墻入侵检测日志,通过分析日志文件可以发现用户在某一段时间做了什么,也可以帮助用户找到攻击者的IP地址和入侵行为,把握犯罪分子的行踪,得到证据,为案件提供有力的证明。
通过这种实验掌握计算机搜查的能力,保护计算机现场的程序和方法,和一些工具的使用,如使用镜像工具SafeBack创建备份文件,文件只读浏览软件Quik View Plus,图片检查与管理工具Thumbs Plus,文本关键词搜索dtSearch,CD-ROM数据查阅工具CD-R Diagnostics等。
2)数据恢复实验
犯罪分子进行了入侵操作后,可能会把入侵的犯罪證据进行删除,这就需要对数据进行恢复。如果在实验室的计算机上进行执行比如格式化、安装操作系统、备份与恢复等系统维护实验,将会破坏硬盘数据的完整性,这有可能会对设备造成破坏,所以一般是不允许的。而学生完全可以在虚拟机中进行这类破坏性比较大的实验,由于虚拟机的封装特性,一个虚拟机对应的仅是真实主机上的一个文件,在虚拟机中进行的任何操作都不会对现有的硬盘分区和数据造成破坏,原系统的安全就得到了保证,而且在完成实验后,如果对虚拟机造成了破坏,可以通过快照及还原功能可以轻松将系统恢复到原样。图2为快照管理器。
在这项实验中,要理解FAT32和NTFS文件系统的结构,掌握数据恢复的原理和几种常见的数据恢复软件,如EasyRecov-ery、DataExplore、Recuva等。
3)网络安全实验
电子取证中,网络实验也是重要的一环,一般要用到多台计算机,安装VMware Workstation后可以在一台电脑上虚拟出多个虚拟机,从而在单台计算机上可以组建一个网络环境,学生在一台计算机上就可以进行各种网络配置,这不但提高了设备的利用率,增加了动手的机会,而且由于虚拟机的特点独立于硬件,不用担心损坏硬件设备,放心进行各种操作,这会带来更好的实验效果。
VMware Workstation上的虚拟机有以下几种联网方式,Bridge(桥接)模式,NAT(网络地址转换)模式,Host-Only(主机)模式。虚拟机可以模仿复杂多变的环境,如在进行网络攻击时,如果可能对其它同学的计算机产生影响,可以使用Host-0nlv模式(如下图)虚拟子系统和主机构成了一个封闭的局域网。
在实践中,可以模拟网络攻击,利用数据包嗅探器(packetsniffers)捕获数据包,分析得到的数据包,也可以使用专业的网络取证工具,收集检查和分析网络数据。通过实验要练习蜜阱取证技术,掌握数据截获工具如Netxray,SinfferPro,TCP Dump等。
4)辅助教学
利用VMware虚拟机,还有一项非常实用的功能,即可以进行屏幕截图和视频捕捉。在授课过程中可以利用屏幕截图功能事先把操作画面抓取下来,或者直接利用视频捕捉功能把操作过程全部录制下来,然后在课堂上使用投影仪播放出来。
5)手机系统操作实验
随着智能手机的快速发展,信息犯罪也扩展到了移动端,人们常用的手机中也可能受到安全威胁,掌握手机的取证也是至关重要的。VMware Workstation还可以安装安卓和苹果系统,掌握手机取证工具箱的使用,如MOBILeditforensic。
4结束语
VMware Workstation的出现,给电子取证实践教学带来了有效的辅助工具,它丰富了教学手段,不仅解决了实验设备不足的问题、避免了软件冲突问题、降低了实验室总体成本,而且在一定程度提高了实验设备利用率和安全性,帮助学生提高实践能力,熟悉电子取证的工作流程,掌握常用的电子取证工具。因此,虚拟化技术的推广在实践教学中有重要的意义。