羅 林

(湖北省恩施土家族苗族自治州公安局網(wǎng)安支隊 湖北 445000)

0 引言

電子數(shù)據(jù)取證是打擊網(wǎng)絡(luò)犯罪的重要環(huán)節(jié)，在實際應(yīng)用中可以劃分為靜態(tài)取證模型和動態(tài)取證模型。

靜態(tài)取證強調(diào)對證據(jù)的事后發(fā)現(xiàn)與分析，本質(zhì)上是一種被動的取證模型，其優(yōu)點是有利于對涉案電子證據(jù)的提取和保存，缺點是對“活”的電子數(shù)據(jù)進行行為分析和抽樣鑒定存在局限性。動態(tài)取證強調(diào)證據(jù)的及時獲取，是一種主動的取證模型，其優(yōu)點是通過實時監(jiān)控分析全面客觀反映系統(tǒng)安全狀態(tài)，并在犯罪實施階段獲取有效的數(shù)據(jù)，缺點是需要經(jīng)過預(yù)先部署，對取證方法的針對行要求較高，在司法實踐中往往達不到理想的環(huán)境。

動態(tài)仿真取證技術(shù)就是在吸取、借鑒傳統(tǒng)取證方法各自優(yōu)勢的基礎(chǔ)上，將仿真技術(shù)運用于計算機犯罪調(diào)查司法實踐而產(chǎn)生的新的取證方法。

1 動態(tài)仿真取證技術(shù)

基于動態(tài)仿真技術(shù)的取證分析方法是建立在功能型的取證模型之上的，它沒有使用時間因素作為流程劃分的基準(zhǔn)，而是按照不同取證環(huán)境下的特殊要求，在取證分析過程中運用動態(tài)仿真技術(shù)獲取原始電子證據(jù)或者在取樣分析階段模擬原始環(huán)境加以利用的特殊分析方法。

動態(tài)仿真取證技術(shù)在不破壞原始證據(jù)的完整性、有效性、真實性的前提下，注重從功能上實現(xiàn)對電子證據(jù)的收集，分析鑒別所獲得的數(shù)據(jù)信息，提取并固定對偵查、起訴有價值的電子證據(jù)信息。在取證分析中，通過虛擬機技術(shù)實現(xiàn)原始證據(jù)的克隆、模擬系統(tǒng)環(huán)境，以第一視角的方式進行電子數(shù)據(jù)分析。

基于VMware虛擬機技術(shù)的動態(tài)仿真取證技術(shù)是運用VMware虛擬機技術(shù)實現(xiàn)對物理計算機的遷移和轉(zhuǎn)換，并在虛擬系統(tǒng)環(huán)境中實現(xiàn)對電子數(shù)據(jù)的動態(tài)取證分析的計算機犯罪調(diào)查方法。

2 虛擬機技術(shù)

虛擬機是利用虛擬化技術(shù)，通過在現(xiàn)有的硬件平臺上添加一個稱為虛擬機監(jiān)視軟件的中間層，從而實現(xiàn)對處理器、內(nèi)存管理單元、輸入輸出系統(tǒng)等計算機必備系統(tǒng)的虛擬化，進而在硬件平臺上虛擬出一臺功能完善的計算機。從應(yīng)用程序的角度來看，應(yīng)用程序都在某一特定的指令體系（instruction set architecture，ISA）或操作系統(tǒng)上運行，根本感知不到是運行在一臺虛擬機上還是在一臺實體計算機。

虛擬機技術(shù)分為完全虛擬化（fullvirtualizatio）和準(zhǔn)虛擬化（aravirtulizatio）兩種類型。二者的區(qū)別在于客體的操作系統(tǒng)指令體系（ISA）和宿主的操作系統(tǒng)指令體系（ISA）是否相同。因此，采用完全虛擬化技術(shù)的虛擬機具有很好的兼容性，VMware屬于采用完全虛擬化技術(shù)的虛擬機。

2.1 虛擬機轉(zhuǎn)換技術(shù)

VMware提供了將虛擬機、系統(tǒng)鏡像和物理計算機轉(zhuǎn)換為VMware產(chǎn)品托管的可擴展解決解決方案，可以實現(xiàn)物理機到虛擬機（P2V）、虛擬機到虛擬機（V2V）、磁盤鏡像到虛擬機（I2V）的遷移。轉(zhuǎn)換物理機時，Converter Standalone組件會通過克隆復(fù)制源物理磁盤或邏輯卷，并將該數(shù)據(jù)傳輸至目標(biāo)虛擬磁盤來創(chuàng)建目標(biāo)虛擬機。

2.2 基于磁盤的克隆和基于卷的克隆

Converter Standalone支持基于磁盤的克隆和基于卷的克隆?；诰淼目寺∈菍⒕韽脑从嬎銠C復(fù)制到目標(biāo)計算機。源計算機動態(tài)磁盤在目標(biāo)虛擬機上會轉(zhuǎn)換為基本卷?；诰淼目寺】稍谖募墑e或塊級別執(zhí)行。當(dāng)選擇小于 NTFS 原始卷的大小或選擇調(diào)整 FAT 卷大小時執(zhí)行基于卷的文件級克隆。當(dāng)選擇保持源卷的大小或為 NTFS 源卷指定更大的卷大小時可進行基于卷的塊級克隆。

基于磁盤的克隆會轉(zhuǎn)移所有磁盤的所有扇區(qū)，為所有類型的基本磁盤和動態(tài)磁盤創(chuàng)建源計算機的副本，并保留所有卷元數(shù)據(jù)，目標(biāo)虛擬機接收的分區(qū)類型、大小和結(jié)構(gòu)與源虛擬機完全相同。

2.3 物理機的熱克隆和冷克隆

2.3.1 熱克隆

熱克隆也叫做實時克隆或聯(lián)機克隆，在機操作系統(tǒng)運行狀態(tài)下對源計算機進行遷移轉(zhuǎn)換。由于在轉(zhuǎn)換期間進程繼續(xù)在源計算機上運行，因此生成的虛擬機不是源計算機的精確副本，需要配置Converter Standalone選項，使程序在熱克隆后將目標(biāo)虛擬機與源計算機同步。同步操作允許將物理機源無縫遷移到虛擬機目標(biāo)，目標(biāo)計算機將接管源計算機操作。

對于雙引導(dǎo)系統(tǒng)的源計算機，熱克隆只能克隆 boot.ini文件指向的默認(rèn)操作系統(tǒng)。在更改源計算機的boot.ini文件以指向另一個操作系統(tǒng)之后，重新啟動源計算機，才能對另一個操作系統(tǒng)重新進行克隆。如果另一個操作系統(tǒng)是 Linux 系統(tǒng)，則可以使用克隆Linux物理機源的標(biāo)準(zhǔn)過程引導(dǎo)和克隆該系統(tǒng)。

2.3.2 冷克隆

冷克隆也稱為脫機克隆，在關(guān)機狀態(tài)下對源計算機進行遷移轉(zhuǎn)換。在冷克隆計算機時，需要使用帶有32位子系統(tǒng)的window預(yù)安裝環(huán)境和Converter Standalone應(yīng)用程序的光盤重新引導(dǎo)源計算機。冷克隆在轉(zhuǎn)換期間源計算機上不會發(fā)生任何更改，因此可以創(chuàng)建最一致的源計算機副本。冷克隆在源計算機上不留痕跡，但要求可直接訪問所克隆的源計算機。在冷克隆Linux計算機時，必須在克隆完成后才能配置目標(biāo)虛擬機。對于安裝有雙系統(tǒng)的源計算機，冷克隆可以一次實現(xiàn)源磁盤的完全遷移轉(zhuǎn)換。

3 運用虛擬機技術(shù)進行動態(tài)仿真取證司法實踐的探討

電子證據(jù)作為計算機犯罪調(diào)查取證中的關(guān)鍵證據(jù)，既有一般法律證據(jù)所具有的共性，又有其自身特殊的個性。在司法實踐中要求電子證據(jù)既能夠與其它犯罪證據(jù)緊密相關(guān)，相互印證，充分說明案件基本事實，又必須保證取證分析過程的合法性、證據(jù)獲取的完整性和真實性。鑒于此，筆者著重從虛擬機克隆技術(shù)在司法取證實踐中對證據(jù)客觀性的影響作簡要論述。

3.1 熱克隆技術(shù)對取證的影響

VMware虛擬機的熱克隆技術(shù)不適合于計算機犯罪調(diào)查的現(xiàn)場取證。原因在于其在操作過程中需要創(chuàng)建磁盤快照通過網(wǎng)絡(luò)傳遞給目標(biāo)虛擬機，因此Converter Standalone代理程序會直接安裝運行在開機狀態(tài)下的源計算機中，使源計算機的內(nèi)存狀態(tài)、網(wǎng)絡(luò)狀態(tài)和磁盤結(jié)構(gòu)發(fā)生改變，對原始證據(jù)的唯一性和完整性造成破壞。但是，熱克隆具有良好的硬件兼容性，可以快速搭建脫離硬件環(huán)境的模擬仿真系統(tǒng)，因此熱克隆技術(shù)可以是取證分析人員在特定取證過程中考慮采取的技術(shù)分析方法之一。其分析鑒定的結(jié)果可以作為靜態(tài)取證分析檢驗和參考的依據(jù)。

例如，在網(wǎng)絡(luò)入侵類案件中，取證人員需要針對計算機病毒木馬程序的網(wǎng)絡(luò)態(tài)、進程態(tài)、隱藏態(tài)等特性進行動態(tài)取樣分析時，對源計算機磁盤完整拷貝后，采用熱克隆技術(shù)能夠快速實現(xiàn)樣本程序運行環(huán)境的重建。當(dāng)然，針對不同的取證分析需求，首先必須保證虛擬機對樣本程序運行環(huán)境的改變是可控的。如：樣本程序所占有的內(nèi)存資源、網(wǎng)絡(luò)端口等系統(tǒng)資源不會與Converter Standalone代理程序相沖突；取證人員在虛擬機模擬仿真環(huán)境中對樣本程序功能性分析不會受VMM中間件的影響；樣本程序網(wǎng)絡(luò)功能的實現(xiàn)不依賴于源計算機的MAC地址；對于雙系統(tǒng)的熱克隆必須改變boot.ini指向后分別進行。

3.2 冷克隆技術(shù)對取證的影響

冷克隆在進行磁盤遷移轉(zhuǎn)換的過程中無需在源計算機上進行任何安裝，對源計算機物理磁盤不會產(chǎn)生影響，且對于多操作系統(tǒng)可以一次克隆完成。因此，采用Converter Standalone的冷克隆技術(shù)能夠保證原始硬盤的真實性和電子證據(jù)的完整性，符合電子取證的要求，可以作為現(xiàn)場取證的手段之一。在此基礎(chǔ)之上，調(diào)查人員對取證過程中涉及到的日期和時間、硬盤分區(qū)情況、操作系統(tǒng)和版本、文件信息、數(shù)據(jù)完整性、計算機程序功能檢測分析結(jié)果等進行歸檔處理，能保證調(diào)查取證過程的合法性，形成可以提交法庭質(zhì)證的電子證據(jù)報告。

但冷克隆技術(shù)也有它的局限性：一是轉(zhuǎn)換源計算機必須處于關(guān)機狀態(tài)，由CD進行重新引導(dǎo)，如要獲取正在運行的計算機內(nèi)存中的電子證據(jù)，在現(xiàn)場取證時應(yīng)考慮使用其它技術(shù)手段加以補充；二是Converter Standalone的4.1版本可能對某些特殊的硬件驅(qū)動無法識別（如磁盤陣列卡的硬件驅(qū)動），在具體操作中要區(qū)別對待；三是Converter Standalone 無法檢測大小超過 2 TB 的物理磁盤上的任何源卷和文件系統(tǒng)。

3.3 動態(tài)仿真取證在司法實踐中的意義

基于VMware虛擬機技術(shù)的動態(tài)仿真取證分析方法，能夠?qū)崿F(xiàn)模擬系統(tǒng)環(huán)境的快速搭建，從功能上實現(xiàn)電子數(shù)據(jù)分析鑒定所要求的客觀條件，以便于取證人員提取、固定有利于客觀反映犯罪事實的電子證據(jù)信息。

運用虛擬機技術(shù)進行電子數(shù)據(jù)的動態(tài)取樣分析，能有效證明電子證據(jù)在計算機犯罪案件中與其它關(guān)鍵證據(jù)之間的關(guān)聯(lián)性，對保障偵查、起訴等司法調(diào)查程序有效實施具有重要的實踐意義。同時，虛擬機技術(shù)可以通過直觀展示的方式對證據(jù)分析鑒定報告予以出示，因此可以進一步提高證據(jù)本身的證明力和證據(jù)能力。

[1]張羽，吳瑞.《仿真分析取證模型的形式化研究》.福建警察學(xué)院學(xué)報, 2010,24(1).

[2]錢偉，沙晶.《VMware虛擬磁盤結(jié)構(gòu)分析及在電子數(shù)據(jù)取證中的應(yīng)用》.中國司法鑒定, 2011(2).

[3]李馥娟.《虛擬機技術(shù)在復(fù)雜網(wǎng)絡(luò)實驗中的應(yīng)用》.實驗技術(shù)與管理, 2009,26(12).

[4]周剛，麥永浩，曹強，張鵬.《云計算應(yīng)用對計算機取證技術(shù)的挑戰(zhàn)和對策》.警察技術(shù), 2011(2).

[5]申世濤,王俊.《“運行計算機"的取證問題研究》.成都大學(xué)學(xué)報（教育科學(xué)版）, 2008,22(7).

[6]王俊.《論計算機取證相關(guān)問題—現(xiàn)場動態(tài)分析，獲取“易揮發(fā)數(shù)字證據(jù)”》.中國司法鑒定, 2008(1).

[7]張楊.《電子數(shù)據(jù)鑒定方法與規(guī)范探討——動態(tài)取證技術(shù)在服務(wù)器內(nèi)容鑒定的應(yīng)用》.計算機光盤軟件與應(yīng)用, 2010(9).

[8]武延軍，周鵬，于佳耕.《虛擬機全系統(tǒng)重放技術(shù)》.北京工業(yè)大學(xué)學(xué)報, 2010年.

[9]郝姍姍，陳紅玉.《計算機犯罪案件動態(tài)取證系統(tǒng)的研究與設(shè)計》.鐵道警官高等?？茖W(xué)校學(xué)報, 2011,21(3).