VMWare虛擬機(jī)在電子取證實(shí)踐教學(xué)中的研究

丁璇

摘要：電子取證是一門實(shí)踐性很強(qiáng)的課程，為了解決實(shí)踐教學(xué)中存在的設(shè)備不足，硬件損害等問題，該文提出了一中基于VMware虛擬機(jī)技術(shù)的解決方法，提高了設(shè)備利用率，同時(shí)從實(shí)驗(yàn)內(nèi)容、實(shí)驗(yàn)對(duì)象和實(shí)驗(yàn)?zāi)康牡确矫孢M(jìn)行了探討，為電子取證實(shí)踐教學(xué)提供了便利和保障。

關(guān)鍵詞：虛擬化技術(shù)；VMwareWorkstation；電子取證

為了滿足各級(jí)公安機(jī)關(guān)的需求，很多公安院校都增加了電子取證這門課程，而電子取證要求學(xué)生的實(shí)踐能力很高，所以需要設(shè)置專用的電子取證實(shí)驗(yàn)室，通過上機(jī)操作使學(xué)生真正理解和消化有關(guān)的理論知識(shí)。受限于實(shí)驗(yàn)室的實(shí)驗(yàn)設(shè)備昂貴、資源利用率不高、缺乏統(tǒng)一的管理，遠(yuǎn)遠(yuǎn)不能滿足實(shí)踐的需求，制約著電子取證教學(xué)的發(fā)展。而虛擬化技術(shù)由于可以有效利用各種IT資源，快速部署操作系統(tǒng)和減少了對(duì)硬件的依賴等優(yōu)點(diǎn)，為實(shí)驗(yàn)室提供了提高教學(xué)質(zhì)量行之有效的手段。

1電子取證的概念和目標(biāo)

隨著Internet的快速發(fā)展，用戶之間的交流越來越方便，但是隨之而來的利用信息技術(shù)手段進(jìn)行犯罪的情況也變得越來越多，越來越容易。比如網(wǎng)頁模仿，網(wǎng)頁篡改，木馬攻擊，計(jì)算機(jī)病毒，網(wǎng)絡(luò)詐騙等具有危害的事件經(jīng)常發(fā)生。尤其是在近幾年，犯罪行為逐漸深入到了移動(dòng)商務(wù)領(lǐng)域。而電子取證成了警察針對(duì)這種高科技犯罪的關(guān)鍵。但是目前公安人員普遍缺乏電子取證的知識(shí)與技能，人才的不足使得公安院校開展電子取證的研究和開發(fā)，為社會(huì)培養(yǎng)大量具有扎實(shí)理論基礎(chǔ)，豐富實(shí)踐經(jīng)驗(yàn)的電子取證人才。

電子取證的概念堤：在1991年在美國舉行的國際計(jì)算機(jī)專家會(huì)議IACIS（International Association of Computer Special-ists）首次提出的。電子取證是指取證人員按照符合法律規(guī)范的方式，對(duì)能夠成為合法、可靠、可信的且存在于計(jì)算機(jī)、相關(guān)外設(shè)和網(wǎng)絡(luò)中的電子證據(jù)的識(shí)別、獲取、傳輸、保存、分析和提交數(shù)字證據(jù)的過程。電子取證是一門綜合性、又性的學(xué)科，它涉及法律、偵查學(xué)、計(jì)算機(jī)科學(xué)、計(jì)算機(jī)工程學(xué)、軟件工程學(xué)、心理學(xué)、社會(huì)學(xué)等等。

電子取證教學(xué)的總體目標(biāo)是，首先要滿足基礎(chǔ)教學(xué)需求，理解電子證據(jù)、電子取證等概念，掌握相關(guān)法律法規(guī)，了解操作系統(tǒng)的基本原理和主流文件系統(tǒng)的結(jié)構(gòu)，同時(shí)培養(yǎng)學(xué)生的學(xué)習(xí)能力和思維能力，使學(xué)生通過實(shí)驗(yàn)掌握計(jì)算機(jī)取證技術(shù)的基本技能和技巧，熟練使用常用的計(jì)算機(jī)取證硬件工具和軟件工具，對(duì)嫌疑計(jì)算機(jī)或者各種電子設(shè)備中的數(shù)據(jù)進(jìn)行備份、恢復(fù)、分析、檢查、打印，并且能對(duì)所分析數(shù)據(jù)作出報(bào)告，最后，培養(yǎng)豐富的相關(guān)法律和電子取證意識(shí)，成為有著鉆研精神、靈活的思維、強(qiáng)烈的職業(yè)責(zé)任感的人才。

2虛擬化技術(shù)與VMware

2.1虛擬化技術(shù)

虛擬化技術(shù)就是指把一個(gè)物理單元虛擬成多個(gè)邏輯單元，供多個(gè)應(yīng)用一起使用。虛擬化的對(duì)象包括各種各樣的計(jì)算機(jī)資源，應(yīng)用程序訪問的虛擬化的資源是透明的。這樣做的主要目的是為了提高資源的使用效率并方便管理各種資源。同時(shí)為我們實(shí)驗(yàn)教學(xué)需要的不同的操作系統(tǒng)提供了透明，即不同的操作系統(tǒng)都可以運(yùn)行在其虛擬機(jī)中。通過虛擬化技術(shù)可以最大限度地屏蔽軟硬件資源的差異，靈活分配資源，減少總體的成本。

2.2 VMware Workstation

VMwareWorkstation是美國VMware公司出品的一款虛擬機(jī)軟件。虛擬機(jī)fVirtual Machine）指運(yùn)行于物理計(jì)算機(jī)上的由軟件模擬出來的計(jì)算機(jī)，也可以稱為邏輯上的計(jì)算機(jī)。

VMware Workstation可以在一個(gè)主機(jī)上模擬出多個(gè)虛擬計(jì)算機(jī)，每臺(tái)計(jì)算機(jī)可以安裝獨(dú)立的操作系統(tǒng)，并且互不影響，這些虛擬機(jī)上可以像真正的計(jì)算機(jī)一樣，擁有自己獨(dú)立的CPU、BIOS、顯卡、聲卡、硬盤、內(nèi)存及其他硬件，從而實(shí)現(xiàn)了一臺(tái)計(jì)算機(jī)可同時(shí)運(yùn)行多個(gè)不同的操作系統(tǒng)的目的。VMware Worksta-tion創(chuàng)建的虛擬機(jī)可以像其他Windows應(yīng)用程序那樣輕松切換，而不需要重新啟動(dòng)機(jī)器。各個(gè)操作系統(tǒng)之間不僅可以通過虛擬網(wǎng)卡進(jìn)行數(shù)據(jù)的傳遞，也可以和主機(jī)相連的網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)進(jìn)行通信。

VMware虛擬機(jī)具有以下四個(gè)關(guān)鍵特性1）兼容性，虛擬機(jī)具有物理計(jì)算機(jī)上的所有組件，因此虛擬機(jī)與所有標(biāo)準(zhǔn)的操作系統(tǒng)、應(yīng)用程序和設(shè)備驅(qū)動(dòng)程序完全兼容，你可以在虛擬機(jī)上運(yùn)行那些能運(yùn)行在物理計(jì)算機(jī)上的所有相同軟件；2）隔離性，一個(gè)主機(jī)上模擬出多個(gè)虛擬計(jì)算機(jī)，雖然多個(gè)虛擬機(jī)可以共享一臺(tái)計(jì)算機(jī)的物理資源，但是它們之間保持完成隔離狀態(tài)，就如同是四臺(tái)物理計(jì)算機(jī)，如果有一臺(tái)虛擬機(jī)出現(xiàn)錯(cuò)誤無法運(yùn)行，其他的虛擬機(jī)不會(huì)被影響；3）封裝性，虛擬機(jī)將一套虛擬硬件資源和應(yīng)用程序封在一個(gè)軟件包里，這使其有良好的移動(dòng)性；4）獨(dú)立于硬件，虛擬機(jī)完全獨(dú)立于底層物理硬件，如虛擬機(jī)的cpu，網(wǎng)卡等與物理硬件不同，各個(gè)虛擬機(jī)可以運(yùn)行不同的操作系統(tǒng)，如Windows、Linux、Unix等等。

3VMware Workstation在電子取證實(shí)驗(yàn)室中的應(yīng)用

在電子取證的課程實(shí)驗(yàn)環(huán)節(jié)，卻是存在一些問題：實(shí)驗(yàn)室設(shè)備不足，實(shí)驗(yàn)任務(wù)重，由于實(shí)驗(yàn)內(nèi)容的不同，造成了實(shí)驗(yàn)環(huán)境頻繁的刪除和重建；實(shí)驗(yàn)室設(shè)備可能在實(shí)驗(yàn)過程中出現(xiàn)故障，不能及時(shí)修復(fù)，直接影響了實(shí)驗(yàn)操作時(shí)間，降低了教學(xué)效果。

VMware虛擬機(jī)具有以上特點(diǎn)，可以把它應(yīng)用到電子取證的實(shí)踐教學(xué)中：

1）計(jì)算機(jī)搜查和現(xiàn)場勘探實(shí)驗(yàn)

虛擬機(jī)上可以安裝多個(gè)不同的操作系統(tǒng)，如Windows操作系統(tǒng)，MAC操作系統(tǒng)，Linux操作系統(tǒng)。首先，學(xué)生需要掌握對(duì)這些操作系統(tǒng)的操作能力：第一，關(guān)鍵詞搜索技術(shù)，利用一個(gè)或多個(gè)關(guān)鍵詞對(duì)一定范圍內(nèi)的信息進(jìn)行搜索，需要根據(jù)具體情況設(shè)定關(guān)鍵詞，分析目標(biāo)可能使用的字符集和編碼方式；第二，注冊(cè)表分析，注冊(cè)表是Windows系統(tǒng)存儲(chǔ)計(jì)算機(jī)信息的核心數(shù)據(jù)庫，其中的數(shù)據(jù)是以二進(jìn)制的方式進(jìn)行存儲(chǔ)，存放著各種參數(shù)，直接控制著Windows的啟動(dòng)、硬件驅(qū)動(dòng)程序的裝載以及一些應(yīng)用程序的運(yùn)行，通過對(duì)注冊(cè)表的分析可以獲得很多有用的信息；第三，日志分析，日志一般有操作系統(tǒng)日志，應(yīng)用程序日志和服務(wù)日志，防火墻入侵檢測日志，通過分析日志文件可以發(fā)現(xiàn)用戶在某一段時(shí)間做了什么，也可以幫助用戶找到攻擊者的IP地址和入侵行為，把握犯罪分子的行蹤，得到證據(jù)，為案件提供有力的證明。

通過這種實(shí)驗(yàn)掌握計(jì)算機(jī)搜查的能力，保護(hù)計(jì)算機(jī)現(xiàn)場的程序和方法，和一些工具的使用，如使用鏡像工具SafeBack創(chuàng)建備份文件，文件只讀瀏覽軟件Quik View Plus，圖片檢查與管理工具Thumbs Plus，文本關(guān)鍵詞搜索dtSearch，CD-ROM數(shù)據(jù)查閱工具CD-R Diagnostics等。

2）數(shù)據(jù)恢復(fù)實(shí)驗(yàn)

犯罪分子進(jìn)行了入侵操作后，可能會(huì)把入侵的犯罪證據(jù)進(jìn)行刪除，這就需要對(duì)數(shù)據(jù)進(jìn)行恢復(fù)。如果在實(shí)驗(yàn)室的計(jì)算機(jī)上進(jìn)行執(zhí)行比如格式化、安裝操作系統(tǒng)、備份與恢復(fù)等系統(tǒng)維護(hù)實(shí)驗(yàn)，將會(huì)破壞硬盤數(shù)據(jù)的完整性，這有可能會(huì)對(duì)設(shè)備造成破壞，所以一般是不允許的。而學(xué)生完全可以在虛擬機(jī)中進(jìn)行這類破壞性比較大的實(shí)驗(yàn)，由于虛擬機(jī)的封裝特性，一個(gè)虛擬機(jī)對(duì)應(yīng)的僅是真實(shí)主機(jī)上的一個(gè)文件，在虛擬機(jī)中進(jìn)行的任何操作都不會(huì)對(duì)現(xiàn)有的硬盤分區(qū)和數(shù)據(jù)造成破壞，原系統(tǒng)的安全就得到了保證，而且在完成實(shí)驗(yàn)后，如果對(duì)虛擬機(jī)造成了破壞，可以通過快照及還原功能可以輕松將系統(tǒng)恢復(fù)到原樣。圖2為快照管理器。

在這項(xiàng)實(shí)驗(yàn)中，要理解FAT32和NTFS文件系統(tǒng)的結(jié)構(gòu)，掌握數(shù)據(jù)恢復(fù)的原理和幾種常見的數(shù)據(jù)恢復(fù)軟件，如EasyRecov-ery、DataExplore、Recuva等。

3）網(wǎng)絡(luò)安全實(shí)驗(yàn)

電子取證中，網(wǎng)絡(luò)實(shí)驗(yàn)也是重要的一環(huán)，一般要用到多臺(tái)計(jì)算機(jī)，安裝VMware Workstation后可以在一臺(tái)電腦上虛擬出多個(gè)虛擬機(jī)，從而在單臺(tái)計(jì)算機(jī)上可以組建一個(gè)網(wǎng)絡(luò)環(huán)境，學(xué)生在一臺(tái)計(jì)算機(jī)上就可以進(jìn)行各種網(wǎng)絡(luò)配置，這不但提高了設(shè)備的利用率，增加了動(dòng)手的機(jī)會(huì)，而且由于虛擬機(jī)的特點(diǎn)獨(dú)立于硬件，不用擔(dān)心損壞硬件設(shè)備，放心進(jìn)行各種操作，這會(huì)帶來更好的實(shí)驗(yàn)效果。

VMware Workstation上的虛擬機(jī)有以下幾種聯(lián)網(wǎng)方式，Bridge（橋接）模式，NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）模式，Host-Only（主機(jī)）模式。虛擬機(jī)可以模仿復(fù)雜多變的環(huán)境，如在進(jìn)行網(wǎng)絡(luò)攻擊時(shí)，如果可能對(duì)其它同學(xué)的計(jì)算機(jī)產(chǎn)生影響，可以使用Host-0nlv模式（如下圖）虛擬子系統(tǒng)和主機(jī)構(gòu)成了一個(gè)封閉的局域網(wǎng)。

在實(shí)踐中，可以模擬網(wǎng)絡(luò)攻擊，利用數(shù)據(jù)包嗅探器（packetsniffers）捕獲數(shù)據(jù)包，分析得到的數(shù)據(jù)包，也可以使用專業(yè)的網(wǎng)絡(luò)取證工具，收集檢查和分析網(wǎng)絡(luò)數(shù)據(jù)。通過實(shí)驗(yàn)要練習(xí)蜜阱取證技術(shù)，掌握數(shù)據(jù)截獲工具如Netxray，SinfferPro，TCP Dump等。

4）輔助教學(xué)

利用VMware虛擬機(jī)，還有一項(xiàng)非常實(shí)用的功能，即可以進(jìn)行屏幕截圖和視頻捕捉。在授課過程中可以利用屏幕截圖功能事先把操作畫面抓取下來，或者直接利用視頻捕捉功能把操作過程全部錄制下來，然后在課堂上使用投影儀播放出來。

5）手機(jī)系統(tǒng)操作實(shí)驗(yàn)

隨著智能手機(jī)的快速發(fā)展，信息犯罪也擴(kuò)展到了移動(dòng)端，人們常用的手機(jī)中也可能受到安全威脅，掌握手機(jī)的取證也是至關(guān)重要的。VMware Workstation還可以安裝安卓和蘋果系統(tǒng)，掌握手機(jī)取證工具箱的使用，如MOBILeditforensic。

4結(jié)束語

VMware Workstation的出現(xiàn)，給電子取證實(shí)踐教學(xué)帶來了有效的輔助工具，它豐富了教學(xué)手段，不僅解決了實(shí)驗(yàn)設(shè)備不足的問題、避免了軟件沖突問題、降低了實(shí)驗(yàn)室總體成本，而且在一定程度提高了實(shí)驗(yàn)設(shè)備利用率和安全性，幫助學(xué)生提高實(shí)踐能力，熟悉電子取證的工作流程，掌握常用的電子取證工具。因此，虛擬化技術(shù)的推廣在實(shí)踐教學(xué)中有重要的意義。