電子數(shù)據(jù)取證綜合實(shí)訓(xùn)平臺(tái)設(shè)計(jì)與實(shí)踐
所屬分類:電子論文 閱讀次 時(shí)間:2021-02-27 10:20 本文摘要:摘要:針對(duì)電子數(shù)據(jù)取證課程特點(diǎn),分析了實(shí)訓(xùn)教學(xué)環(huán)節(jié)在人才培養(yǎng)中的重要性與必要性,設(shè)計(jì)了一套以培養(yǎng)學(xué)生學(xué)習(xí)興趣和科研能力為目標(biāo)的綜合性實(shí)訓(xùn)平臺(tái)���。該平臺(tái)基于虛擬仿真技術(shù)�����,整合了電子數(shù)據(jù)取證課程中的基礎(chǔ)性實(shí)驗(yàn)�,開發(fā)了具有創(chuàng)新實(shí)踐特點(diǎn)的綜合探究性
摘要:針對(duì)電子數(shù)據(jù)取證課程特點(diǎn),分析了實(shí)訓(xùn)教學(xué)環(huán)節(jié)在人才培養(yǎng)中的重要性與必要性�����,設(shè)計(jì)了一套以培養(yǎng)學(xué)生學(xué)習(xí)興趣和科研能力為目標(biāo)的綜合性實(shí)訓(xùn)平臺(tái)���。該平臺(tái)基于虛擬仿真技術(shù)��,整合了電子數(shù)據(jù)取證課程中的基礎(chǔ)性實(shí)驗(yàn)�,開發(fā)了具有創(chuàng)新實(shí)踐特點(diǎn)的綜合探究性實(shí)訓(xùn)項(xiàng)目�。除了滿足日常教學(xué)需要,實(shí)訓(xùn)平臺(tái)應(yīng)用于學(xué)生科研創(chuàng)新���,促進(jìn)了學(xué)生實(shí)踐能力和創(chuàng)新能力的提高�����。
關(guān)鍵詞:電子數(shù)據(jù)取證;實(shí)訓(xùn)平臺(tái);虛擬仿真技術(shù)
電子數(shù)據(jù)取證課程[1-3]要求學(xué)生能夠掌握電子數(shù)據(jù)取證的基本概念��,熟悉電子數(shù)據(jù)取證的工作流程�����,掌握單機(jī)及網(wǎng)絡(luò)環(huán)境下的電子數(shù)據(jù)取證技術(shù)�、常見(jiàn)的取證工具和設(shè)備的使用方法�,具備公安機(jī)關(guān)電子數(shù)據(jù)取證工作需要的實(shí)踐能力和研究潛力。電子取證課程目前主要面向公安專業(yè)學(xué)生,學(xué)生就業(yè)后將從事現(xiàn)場(chǎng)勘查��、數(shù)據(jù)分析等工作��。因此����,教學(xué)中僅著眼于講解基本概念與基本原理是不夠的,實(shí)驗(yàn)教學(xué)應(yīng)當(dāng)貫穿整 個(gè)教學(xué)的全過(guò)程�����,讓學(xué)生在實(shí)際操作中進(jìn)一步強(qiáng)化對(duì)理論知識(shí)的掌握�。
仿真技術(shù)論文范例:仿真實(shí)訓(xùn)在通信技術(shù)專業(yè)教學(xué)的應(yīng)用研究
目前,電子數(shù)據(jù)取證實(shí)訓(xùn)項(xiàng)目主要受到3個(gè)方面因素的制約:一是實(shí)驗(yàn)資源較少�����,實(shí)驗(yàn)硬件設(shè)備缺乏;二是實(shí)驗(yàn)內(nèi)容之間聯(lián)系不夠緊密�,實(shí)驗(yàn)體系有待完善;三是原理性、演示性實(shí)驗(yàn)居多�,綜合性、探究性實(shí)驗(yàn)較少�����。實(shí)訓(xùn)環(huán)節(jié)的薄弱導(dǎo)致學(xué)生對(duì)電子數(shù)據(jù)取證的掌握僅停留在基本概念、基本理論的層面��,面對(duì)實(shí)際問(wèn)題時(shí)仍然無(wú)法找到解決的切入點(diǎn)���,缺乏電子數(shù)據(jù)取證實(shí)踐能力。因此�,根據(jù)教學(xué)實(shí)踐情況,本文開發(fā)了基于虛擬仿真技術(shù)的電子數(shù)據(jù)取證綜合實(shí)訓(xùn)平臺(tái)��,以案例探索的方式����,將最新的科研成果融入實(shí)驗(yàn)教學(xué),輔助電子數(shù)據(jù)取證課程的理論教學(xué)�,以增強(qiáng)學(xué)生對(duì)電子數(shù)據(jù)取證理論和方法的掌握,激發(fā)學(xué)生的學(xué)習(xí)興趣和創(chuàng)造性思維����。
1電子數(shù)據(jù)取證
1.1電子數(shù)據(jù)取證的概念
(1)電子數(shù)據(jù)[4-5]。
電子數(shù)據(jù)也稱為電子證據(jù)����、電子物證,是指案件發(fā)生過(guò)程中形成的��,以數(shù)字化形式存儲(chǔ)、處理�、傳輸?shù)模軌蜃C明案件事實(shí)的數(shù)據(jù)����。電子數(shù)據(jù)依托現(xiàn)代電子信息等技術(shù),以電子�����、數(shù)字���、電磁����、光信號(hào)等形式存儲(chǔ)在計(jì)算機(jī)�、網(wǎng)絡(luò)、手機(jī)等電子介質(zhì)中��,借助一定媒介轉(zhuǎn)換為人們所識(shí)別��、認(rèn)知和研究的內(nèi)容�,被作為一類證據(jù)證明案件的事實(shí)。電子數(shù)據(jù)的種類繁多����、形式復(fù)雜�。
電子數(shù)據(jù)既包括網(wǎng)頁(yè)��、博客等網(wǎng)絡(luò)平臺(tái)發(fā)布的信息��,也包括手機(jī)短信�、電子郵件等網(wǎng)絡(luò)應(yīng)用服務(wù)的通信信息�����,以及文檔���、圖片�、音視頻等電子文件��。與傳統(tǒng)證據(jù)相比����,電子數(shù)據(jù)有以下幾個(gè)特性:一是虛擬性。電子數(shù)據(jù)不具有物理形態(tài)���,而是以二進(jìn)制碼的虛擬形態(tài)保存的����,必須依附一定的軟硬件作為載體呈現(xiàn)出來(lái)。二是易破壞性�����。環(huán)境的影響�、人為的操作都會(huì)導(dǎo)致電子數(shù)據(jù)改變或滅失,從而影響電子數(shù)據(jù)的真實(shí)性和完整性��。此外����,電子數(shù)據(jù)的記錄方式以及介質(zhì)的特殊性決定了它自身具有一定的易破壞性。三是客觀性����。電子數(shù)據(jù)的內(nèi)容如果來(lái)源真實(shí)、合法���,能夠生動(dòng)反映案件的客觀事實(shí)��,可以作為直接證據(jù)使用�����。
(2)電子數(shù)據(jù)取證�。電子數(shù)據(jù)取證是指執(zhí)法人員依法收集、固定與違法行為有關(guān)的電子數(shù)據(jù)���,并進(jìn)行檢查�、分析����、調(diào)查的行政執(zhí)法行為。電子數(shù)據(jù)取證程序應(yīng)當(dāng)遵守國(guó)家法律�����、法規(guī)�����、規(guī)章的一般規(guī)定����。從電子數(shù)據(jù)取證的流程來(lái)看�,主要分為準(zhǔn)備階段、現(xiàn)場(chǎng)勘查��、數(shù)據(jù)獲取、數(shù)據(jù)固定��、數(shù)據(jù)分析�、生成報(bào)告6個(gè)步驟[6]。
其中���,準(zhǔn)備階段需要全面了解可能與案件相關(guān)的電子數(shù)據(jù)材料���,制定取證方案,準(zhǔn)備可能用到的取證設(shè)備;現(xiàn)場(chǎng)勘查的目的是保護(hù)數(shù)據(jù)的原始性�����,避免造成電子數(shù)據(jù)的丟失與更改;數(shù)據(jù)獲取的任務(wù)是在只讀的條件下完成電子數(shù)據(jù)備份文件的制作;數(shù)據(jù)固定需要及時(shí)記錄電子數(shù)據(jù)獲取的基本信息�,并妥善保管好存儲(chǔ)介質(zhì);數(shù)據(jù)分析是取證中的關(guān)鍵環(huán)節(jié),需要對(duì)電子數(shù)據(jù)進(jìn)行深入分析���,以找到關(guān)鍵證據(jù)或線索;生成報(bào)告是對(duì)取證工作的總結(jié)�����,包含取證過(guò)程����、所使用的工具及版本、分析的步驟��、找到的線索����、得出的結(jié)論等。報(bào)告中所記錄事項(xiàng)需滿足合法性��、準(zhǔn)確性的要求����,結(jié)論需要有完整的證據(jù)鏈進(jìn)行印證。
1.2電子數(shù)據(jù)取證實(shí)訓(xùn)教學(xué)的重要性
公安院校的網(wǎng)絡(luò)安全與執(zhí)法����、刑事科學(xué)技術(shù)��、公安視聽技術(shù)等專業(yè)都開設(shè)了電子數(shù)據(jù)取證課程��,并將其定位為人才培養(yǎng)方案中的特色課程���。此外��,在全國(guó)性電子數(shù)據(jù)取證比賽的有力推動(dòng)下����,其他非公安院校在網(wǎng)絡(luò)安全、信息安全專業(yè)中也增設(shè)了計(jì)算機(jī)取證等類似課程�。由此可見(jiàn),各高校對(duì)電子數(shù)據(jù)取證課程的重視程度正在不斷提高���。目前��,大部分高校電子數(shù)據(jù)取證理論課程的開展比較順利�,但由于受到教學(xué)資源��、師資力量���、學(xué)生數(shù)量�、軟硬件設(shè)備等因素的限制�,很多高校沒(méi)有開設(shè)對(duì)應(yīng)的實(shí)驗(yàn)實(shí)訓(xùn)課程,或者實(shí)驗(yàn)實(shí)訓(xùn)課程開展的效果并不理想�����。
電子數(shù)據(jù)取證是近年來(lái)打擊網(wǎng)絡(luò)犯罪的一個(gè)重要技術(shù)手段��,它具有很強(qiáng)的實(shí)踐性和操作性。實(shí)訓(xùn)教學(xué)不是對(duì)理論教學(xué)的簡(jiǎn)單補(bǔ)充��,而是實(shí)現(xiàn)課程人才培養(yǎng)目標(biāo)的必需途徑���。通過(guò)系統(tǒng)的實(shí)訓(xùn)教學(xué)可以夯實(shí)學(xué)生的理論基礎(chǔ)��,增強(qiáng)學(xué)生的實(shí)戰(zhàn)水平���,培養(yǎng)學(xué)生潛在的創(chuàng)新能力。因此�����,電子數(shù)據(jù)取證綜合實(shí)訓(xùn)平臺(tái)的建設(shè)�����,不僅滿足了信息安全領(lǐng)域人才培養(yǎng)的需要����,更是為公安機(jī)關(guān)培育了一線執(zhí)法人員和后備研究力量����。
2基于虛擬仿真的電子數(shù)據(jù)取證實(shí)訓(xùn)平臺(tái)
2.1實(shí)訓(xùn)平臺(tái)設(shè)計(jì)
本文設(shè)計(jì)的電子數(shù)據(jù)取證綜合實(shí)訓(xùn)平臺(tái)搭建在VMwareWorkstation虛擬機(jī)軟件上,通過(guò)虛擬化技術(shù)[7-8]將現(xiàn)有硬件及軟件資源整合為一體,實(shí)現(xiàn)多個(gè)虛擬的硬件系統(tǒng)平臺(tái)�。各系統(tǒng)平臺(tái)可以獨(dú)立運(yùn)行不同的操作系統(tǒng),這些操作系統(tǒng)通過(guò)虛擬監(jiān)控器程序來(lái)訪問(wèn)實(shí)際的物理資源�,從而最大限度地降低硬件成本,節(jié)約資源�����,提高系統(tǒng)資源利用率���。
2.2實(shí)訓(xùn)平臺(tái)功能
電子數(shù)據(jù)取證綜合實(shí)訓(xùn)平臺(tái)包含電子數(shù)據(jù)固定���、提取、恢復(fù)�����、呈證等部分����,通過(guò)全方位的訓(xùn)練,能夠?qū)㈦娮訑?shù)據(jù)取證理論知識(shí)���、操作技能�、流程規(guī)范系統(tǒng)生動(dòng)地傳授給學(xué)生,從而使學(xué)生在實(shí)踐中磨礪取證技術(shù)�����,培養(yǎng)真正的取證實(shí)戰(zhàn)能力�����。實(shí)訓(xùn)平臺(tái)結(jié)合專題訓(xùn)練和綜合實(shí)訓(xùn)兩大需求����,共分為電子數(shù)據(jù)固定、個(gè)人計(jì)算機(jī)專項(xiàng)與綜合取證����、服務(wù)器專項(xiàng)與綜合取證、手機(jī)與平板設(shè)備專項(xiàng)取證�、計(jì)算機(jī)病毒與惡意代碼專項(xiàng)與綜合取證、內(nèi)存等易失數(shù)據(jù)專項(xiàng)與綜合取證�����、鑒定文書制作�����、真實(shí)案例綜合取證8個(gè)模塊����。
2.3實(shí)訓(xùn)平臺(tái)優(yōu)勢(shì)
利用虛擬化技術(shù)搭建的電子數(shù)據(jù)取證綜合實(shí)訓(xùn)平臺(tái)具有以下幾個(gè)顯著優(yōu)勢(shì):(1)有利于實(shí)驗(yàn)內(nèi)容的模塊化。將同一類實(shí)驗(yàn)所需要的實(shí)驗(yàn)鏡像�����、實(shí)驗(yàn)文檔以及實(shí)驗(yàn)工具都封裝在同一個(gè)虛擬機(jī)中��,通過(guò)對(duì)虛擬應(yīng)用的封裝����,可以將實(shí)驗(yàn)?zāi)K化、系統(tǒng)化�����。
(2)有利于實(shí)驗(yàn)環(huán)境的穩(wěn)定性����。多個(gè)虛擬機(jī)通過(guò)共享主機(jī)硬件資源的方式運(yùn)行在同一臺(tái)主機(jī)上,相互之間并不影響��,當(dāng)單個(gè)虛擬機(jī)出現(xiàn)故障時(shí)�,不會(huì)對(duì)其他虛擬機(jī)的正常運(yùn)行造成影響�。同時(shí)����,采用快照恢復(fù)實(shí)現(xiàn)故障虛擬機(jī)的快速恢復(fù),可有效保證實(shí)驗(yàn)環(huán)境的穩(wěn)定性����。(3)有利于管理的便捷性。封裝后的虛擬機(jī)文件不依賴于主機(jī)系統(tǒng)硬件�,可以通過(guò)復(fù)制虛擬機(jī)文件的方式不加修改地遷移到另一臺(tái)主機(jī),為具體實(shí)驗(yàn)的發(fā)放和拷貝帶來(lái)更高的可用性和更靈活的資源分配方式���。
3實(shí)訓(xùn)平臺(tái)支持的實(shí)驗(yàn)內(nèi)容
根據(jù)我校教學(xué)實(shí)際�,實(shí)訓(xùn)平臺(tái)目前開發(fā)了以下幾方面具體實(shí)驗(yàn)內(nèi)容�����。
3.1電子數(shù)據(jù)固定電子數(shù)據(jù)固定是取證的基礎(chǔ)����,它直接決定了電子數(shù)據(jù)的有效性[9]。本模塊針對(duì)電子數(shù)據(jù)取證規(guī)范和存證流程���,通過(guò)虛擬磁盤的創(chuàng)建�����、只讀鎖的使用���、檢材鏡像的制作、檢材鏡像的哈希值比對(duì)���、加密容器及加密磁盤的解密等實(shí)驗(yàn)內(nèi)容�,使學(xué)生掌握電子數(shù)據(jù)固定的相關(guān)知識(shí)和操作技能�����,培養(yǎng)學(xué)生規(guī)范取證的專業(yè)素養(yǎng)��。
3.2個(gè)人計(jì)算機(jī)專項(xiàng)與綜合取證
該模塊主要針對(duì)個(gè)人計(jì)算機(jī)取證的技術(shù)要點(diǎn)����,培養(yǎng)學(xué)生掌握磁盤分區(qū)、文件系統(tǒng)�����、數(shù)據(jù)恢復(fù)����、注冊(cè)表分析��、正則表達(dá)式等相關(guān)知識(shí)和操作技能[10-13]��。(1)磁盤分區(qū)的識(shí)別與恢復(fù)��。在實(shí)際使用中�����,硬盤會(huì)被劃分為若干個(gè)邏輯部分�,每個(gè)部分稱為一個(gè)磁盤分區(qū)�。磁盤分區(qū)具有固定的結(jié)構(gòu),根據(jù)這一信息��,可以識(shí)別并恢復(fù)被刪除的分區(qū)數(shù)據(jù)����,這是進(jìn)一步提取電子數(shù)據(jù)的基礎(chǔ)。(2)文件的恢復(fù)�����。文件系統(tǒng)規(guī)定了分區(qū)上數(shù)據(jù)的組織方法和結(jié)構(gòu)。常見(jiàn)的文件系統(tǒng)有FAT32�����、NTFS等���。文件系統(tǒng)決定了文件的存儲(chǔ)�����、刪除、增加���、修改等操作�����,理解文件系統(tǒng)的原理是恢復(fù)刪除文件的前提��。本實(shí)訓(xùn)單元設(shè)置了在FAT32和NTFS這2種文件系統(tǒng)下的文件恢復(fù)實(shí)驗(yàn)�����。
(3)注冊(cè)表的解析��。注冊(cè)表是Windows系統(tǒng)存儲(chǔ)關(guān)于計(jì)算機(jī)硬件和軟件的配置信息�����、應(yīng)用軟件和文檔文件的關(guān)聯(lián)關(guān)系以及各種網(wǎng)絡(luò)狀態(tài)信息和其他數(shù)據(jù)的中央數(shù)據(jù)庫(kù)��。注冊(cè)表在系統(tǒng)中起著核心作用�����,掌握注冊(cè)表的解析操作對(duì)電子數(shù)據(jù)取證非常重要�����。(4)文件的搜索與過(guò)濾��。在大量文件中鎖定目標(biāo)文件必須掌握文件的搜索與過(guò)濾操作���。實(shí)訓(xùn)平臺(tái)安排了基于文件擴(kuò)展名的搜索與過(guò)濾����、基于關(guān)鍵詞和正則表達(dá)式的搜索與過(guò)濾����、基于哈希值的文件搜索與過(guò)濾等方法的專題實(shí)訓(xùn)����。
3.3服務(wù)器專項(xiàng)與綜合取證
服務(wù)器取證屬于網(wǎng)絡(luò)取證的重要組成部分�。服務(wù)器中存放了網(wǎng)站的大量數(shù)據(jù),在實(shí)際工作中���,很多網(wǎng)絡(luò)詐騙�����、賭博的案件都涉及服務(wù)器取證[14]����。本模塊包含Linux系統(tǒng)基本信息的提取�、網(wǎng)站配置文件的提取�、網(wǎng)站日志信息的提取、網(wǎng)站數(shù)據(jù)庫(kù)的提取等內(nèi)容��,使學(xué)生掌握分析網(wǎng)站服務(wù)器的基本思路和操作方法�。
4綜合設(shè)計(jì)性實(shí)驗(yàn)案例
本文以模塊六——內(nèi)存等易失數(shù)據(jù)專項(xiàng)取證為例,具體介紹綜合實(shí)驗(yàn)平臺(tái)提供的實(shí)驗(yàn)內(nèi)容�。
4.1內(nèi)存取證的方法
針對(duì)內(nèi)存取證的方法主要有2種:一種是在線取證分析技術(shù)。這類技術(shù)通過(guò)外部的硬件����、軟件以及操作系統(tǒng)自身提供的服務(wù)來(lái)獲取���。另一種取證方法是對(duì)內(nèi)存鏡像的分析。內(nèi)存鏡像就是將計(jì)算機(jī)系統(tǒng)內(nèi)存中的所有數(shù)據(jù)以文件的形式保存到存儲(chǔ)介質(zhì)上�。通過(guò)這一存儲(chǔ)過(guò)程,易失性的內(nèi)存數(shù)據(jù)轉(zhuǎn)變?yōu)榉且资缘臄?shù)據(jù)����。在此之后,取證鑒定人員通過(guò)一定的方法和步驟檢查內(nèi)存鏡像中的數(shù)據(jù)����,并還原系統(tǒng)現(xiàn)場(chǎng),以提取其中有用的證據(jù)信息����。內(nèi)存鏡像制作和分析軟件有Volatility、ProcDump�����、DumpIT等���。
4.2實(shí)驗(yàn)內(nèi)容
本單元實(shí)驗(yàn)由原理性實(shí)驗(yàn)及探究性實(shí)驗(yàn)組成����。原理性實(shí)驗(yàn)主要講解使用Volatility軟件獲取內(nèi)存鏡像的相關(guān)信息以及使用DumpIT軟件制作內(nèi)存鏡像的基本操作和注意事項(xiàng)。探究性實(shí)驗(yàn)引導(dǎo)學(xué)生通過(guò)內(nèi)存取證追蹤用戶瀏覽器的訪問(wèn)情況����,采用兩人一組的方式:第一位同學(xué)打開IE瀏覽器并訪問(wèn)某一網(wǎng)頁(yè)(例如百度主頁(yè))并制作內(nèi)存鏡像;第二位同學(xué)根據(jù)所學(xué)知識(shí)提取內(nèi)存鏡像中應(yīng)用程序的網(wǎng)絡(luò)連接信息,查找第一位同學(xué)IE瀏覽器訪問(wèn)的目標(biāo)IP地址���,并將結(jié)果進(jìn)行驗(yàn)證�����。
5結(jié)語(yǔ)
本文介紹的基于虛擬仿真技術(shù)的電子數(shù)據(jù)取證綜合實(shí)訓(xùn)平臺(tái)是作者所在教學(xué)團(tuán)隊(duì)的創(chuàng)新性成果�����。本平臺(tái)集成基礎(chǔ)實(shí)驗(yàn)與綜合實(shí)驗(yàn)于一體���,以案例探索的方式�����,借助仿真分析手段��,加深學(xué)生對(duì)電子數(shù)據(jù)取證課程相關(guān)概念的理解,提高知識(shí)點(diǎn)的綜合應(yīng)用能力����,使學(xué)生從被動(dòng)操作的驗(yàn)證者轉(zhuǎn)變?yōu)橹鲃?dòng)探索的求知者。
參考文獻(xiàn)(References)
[1]王玲����,錢華林.計(jì)算機(jī)取證技術(shù)及其發(fā)展趨勢(shì)[J].軟件學(xué)報(bào),2003(9):1635–1644.
[2]唐躍進(jìn).計(jì)算機(jī)取證專業(yè)課程體系建設(shè)研究[J].電信科學(xué)���,2010,26(S2):183–186.
[3]王群���,李馥娟.計(jì)算機(jī)取證技術(shù)實(shí)驗(yàn)室建設(shè)[J].實(shí)驗(yàn)室研究與探索,2013,32(10):468–472.
[4]萬(wàn)春����,王建平,吳孟栓����,等.《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問(wèn)題的規(guī)定》理解與適用[J].人民檢察,2017(1):49–59.
作者:劉琛
轉(zhuǎn)載請(qǐng)注明來(lái)自發(fā)表學(xué)術(shù)論文網(wǎng):http:///dzlw/25946.html
