電子數(shù)據(jù)取證綜合實訓(xùn)平臺設(shè)計與實踐

　　摘要：針對電子數(shù)據(jù)取證課程特點，分析了實訓(xùn)教學(xué)環(huán)節(jié)在人才培養(yǎng)中的重要性與必要性，設(shè)計了一套以培養(yǎng)學(xué)生學(xué)習(xí)興趣和科研能力為目標(biāo)的綜合性實訓(xùn)平臺。該平臺基于虛擬仿真技術(shù)，整合了電子數(shù)據(jù)取證課程中的基礎(chǔ)性實驗，開發(fā)了具有創(chuàng)新實踐特點的綜合探究性實訓(xùn)項目。除了滿足日常教學(xué)需要，實訓(xùn)平臺應(yīng)用于學(xué)生科研創(chuàng)新，促進了學(xué)生實踐能力和創(chuàng)新能力的提高。

　　關(guān)鍵詞：電子數(shù)據(jù)取證;實訓(xùn)平臺;虛擬仿真技術(shù)

　　電子數(shù)據(jù)取證課程[1-3]要求學(xué)生能夠掌握電子數(shù)據(jù)取證的基本概念，熟悉電子數(shù)據(jù)取證的工作流程，掌握單機及網(wǎng)絡(luò)環(huán)境下的電子數(shù)據(jù)取證技術(shù)、常見的取證工具和設(shè)備的使用方法，具備公安機關(guān)電子數(shù)據(jù)取證工作需要的實踐能力和研究潛力。電子取證課程目前主要面向公安專業(yè)學(xué)生，學(xué)生就業(yè)后將從事現(xiàn)場勘查、數(shù)據(jù)分析等工作。因此，教學(xué)中僅著眼于講解基本概念與基本原理是不夠的，實驗教學(xué)應(yīng)當(dāng)貫穿整 個教學(xué)的全過程，讓學(xué)生在實際操作中進一步強化對理論知識的掌握。

　　仿真技術(shù)論文范例：仿真實訓(xùn)在通信技術(shù)專業(yè)教學(xué)的應(yīng)用研究

　　目前，電子數(shù)據(jù)取證實訓(xùn)項目主要受到3個方面因素的制約：一是實驗資源較少，實驗硬件設(shè)備缺乏;二是實驗內(nèi)容之間聯(lián)系不夠緊密，實驗體系有待完善;三是原理性、演示性實驗居多，綜合性、探究性實驗較少。實訓(xùn)環(huán)節(jié)的薄弱導(dǎo)致學(xué)生對電子數(shù)據(jù)取證的掌握僅停留在基本概念、基本理論的層面，面對實際問題時仍然無法找到解決的切入點，缺乏電子數(shù)據(jù)取證實踐能力。因此，根據(jù)教學(xué)實踐情況，本文開發(fā)了基于虛擬仿真技術(shù)的電子數(shù)據(jù)取證綜合實訓(xùn)平臺，以案例探索的方式，將最新的科研成果融入實驗教學(xué)，輔助電子數(shù)據(jù)取證課程的理論教學(xué)，以增強學(xué)生對電子數(shù)據(jù)取證理論和方法的掌握，激發(fā)學(xué)生的學(xué)習(xí)興趣和創(chuàng)造性思維。

　　1電子數(shù)據(jù)取證

　　1.1電子數(shù)據(jù)取證的概念

　　(1)電子數(shù)據(jù)[4-5]。

　　電子數(shù)據(jù)也稱為電子證據(jù)、電子物證，是指案件發(fā)生過程中形成的，以數(shù)字化形式存儲、處理、傳輸?shù)模�能夠證明案件事實的數(shù)據(jù)。電子數(shù)據(jù)依托現(xiàn)代電子信息等技術(shù)，以電子、數(shù)字、電磁、光信號等形式存儲在計算機、網(wǎng)絡(luò)、手機等電子介質(zhì)中，借助一定媒介轉(zhuǎn)換為人們所識別、認(rèn)知和研究的內(nèi)容，被作為一類證據(jù)證明案件的事實。電子數(shù)據(jù)的種類繁多、形式復(fù)雜。

　　電子數(shù)據(jù)既包括網(wǎng)頁、博客等網(wǎng)絡(luò)平臺發(fā)布的信息，也包括手機短信、電子郵件等網(wǎng)絡(luò)應(yīng)用服務(wù)的通信信息，以及文檔、圖片、音視頻等電子文件。與傳統(tǒng)證據(jù)相比，電子數(shù)據(jù)有以下幾個特性：一是虛擬性。電子數(shù)據(jù)不具有物理形態(tài)，而是以二進制碼的虛擬形態(tài)保存的，必須依附一定的軟硬件作為載體呈現(xiàn)出來。二是易破壞性。環(huán)境的影響、人為的操作都會導(dǎo)致電子數(shù)據(jù)改變或滅失，從而影響電子數(shù)據(jù)的真實性和完整性。此外，電子數(shù)據(jù)的記錄方式以及介質(zhì)的特殊性決定了它自身具有一定的易破壞性。三是客觀性。電子數(shù)據(jù)的內(nèi)容如果來源真實、合法，能夠生動反映案件的客觀事實，可以作為直接證據(jù)使用。

　　(2)電子數(shù)據(jù)取證。電子數(shù)據(jù)取證是指執(zhí)法人員依法收集、固定與違法行為有關(guān)的電子數(shù)據(jù)，并進行檢查、分析、調(diào)查的行政執(zhí)法行為。電子數(shù)據(jù)取證程序應(yīng)當(dāng)遵守國家法律、法規(guī)、規(guī)章的一般規(guī)定。從電子數(shù)據(jù)取證的流程來看，主要分為準(zhǔn)備階段、現(xiàn)場勘查、數(shù)據(jù)獲取、數(shù)據(jù)固定、數(shù)據(jù)分析、生成報告6個步驟[6]。

　　其中，準(zhǔn)備階段需要全面了解可能與案件相關(guān)的電子數(shù)據(jù)材料，制定取證方案，準(zhǔn)備可能用到的取證設(shè)備;現(xiàn)場勘查的目的是保護數(shù)據(jù)的原始性，避免造成電子數(shù)據(jù)的丟失與更改;數(shù)據(jù)獲取的任務(wù)是在只讀的條件下完成電子數(shù)據(jù)備份文件的制作;數(shù)據(jù)固定需要及時記錄電子數(shù)據(jù)獲取的基本信息，并妥善保管好存儲介質(zhì);數(shù)據(jù)分析是取證中的關(guān)鍵環(huán)節(jié)，需要對電子數(shù)據(jù)進行深入分析，以找到關(guān)鍵證據(jù)或線索;生成報告是對取證工作的總結(jié)，包含取證過程、所使用的工具及版本、分析的步驟、找到的線索、得出的結(jié)論等。報告中所記錄事項需滿足合法性、準(zhǔn)確性的要求，結(jié)論需要有完整的證據(jù)鏈進行印證。

　　1.2電子數(shù)據(jù)取證實訓(xùn)教學(xué)的重要性

　　公安院校的網(wǎng)絡(luò)安全與執(zhí)法、刑事科學(xué)技術(shù)、公安視聽技術(shù)等專業(yè)都開設(shè)了電子數(shù)據(jù)取證課程，并將其定位為人才培養(yǎng)方案中的特色課程。此外，在全國性電子數(shù)據(jù)取證比賽的有力推動下，其他非公安院校在網(wǎng)絡(luò)安全、信息安全專業(yè)中也增設(shè)了計算機取證等類似課程。由此可見，各高校對電子數(shù)據(jù)取證課程的重視程度正在不斷提高。目前，大部分高校電子數(shù)據(jù)取證理論課程的開展比較順利，但由于受到教學(xué)資源、師資力量、學(xué)生數(shù)量、軟硬件設(shè)備等因素的限制，很多高校沒有開設(shè)對應(yīng)的實驗實訓(xùn)課程，或者實驗實訓(xùn)課程開展的效果并不理想。

　　電子數(shù)據(jù)取證是近年來打擊網(wǎng)絡(luò)犯罪的一個重要技術(shù)手段，它具有很強的實踐性和操作性。實訓(xùn)教學(xué)不是對理論教學(xué)的簡單補充，而是實現(xiàn)課程人才培養(yǎng)目標(biāo)的必需途徑。通過系統(tǒng)的實訓(xùn)教學(xué)可以夯實學(xué)生的理論基礎(chǔ)，增強學(xué)生的實戰(zhàn)水平，培養(yǎng)學(xué)生潛在的創(chuàng)新能力。因此，電子數(shù)據(jù)取證綜合實訓(xùn)平臺的建設(shè)，不僅滿足了信息安全領(lǐng)域人才培養(yǎng)的需要，更是為公安機關(guān)培育了一線執(zhí)法人員和后備研究力量。

　　2基于虛擬仿真的電子數(shù)據(jù)取證實訓(xùn)平臺

　　2.1實訓(xùn)平臺設(shè)計

　　本文設(shè)計的電子數(shù)據(jù)取證綜合實訓(xùn)平臺搭建在VMwareWorkstation虛擬機軟件上，通過虛擬化技術(shù)[7-8]將現(xiàn)有硬件及軟件資源整合為一體，實現(xiàn)多個虛擬的硬件系統(tǒng)平臺。各系統(tǒng)平臺可以獨立運行不同的操作系統(tǒng)，這些操作系統(tǒng)通過虛擬監(jiān)控器程序來訪問實際的物理資源，從而最大限度地降低硬件成本，節(jié)約資源，提高系統(tǒng)資源利用率。

　　2.2實訓(xùn)平臺功能

　　電子數(shù)據(jù)取證綜合實訓(xùn)平臺包含電子數(shù)據(jù)固定、提取、恢復(fù)、呈證等部分，通過全方位的訓(xùn)練，能夠?qū)㈦娮訑?shù)據(jù)取證理論知識、操作技能、流程規(guī)范系統(tǒng)生動地傳授給學(xué)生，從而使學(xué)生在實踐中磨礪取證技術(shù)，培養(yǎng)真正的取證實戰(zhàn)能力。實訓(xùn)平臺結(jié)合專題訓(xùn)練和綜合實訓(xùn)兩大需求，共分為電子數(shù)據(jù)固定、個人計算機專項與綜合取證、服務(wù)器專項與綜合取證、手機與平板設(shè)備專項取證、計算機病毒與惡意代碼專項與綜合取證、內(nèi)存等易失數(shù)據(jù)專項與綜合取證、鑒定文書制作、真實案例綜合取證8個模塊。

　　2.3實訓(xùn)平臺優(yōu)勢

　　利用虛擬化技術(shù)搭建的電子數(shù)據(jù)取證綜合實訓(xùn)平臺具有以下幾個顯著優(yōu)勢：(1)有利于實驗內(nèi)容的模塊化。將同一類實驗所需要的實驗鏡像、實驗文檔以及實驗工具都封裝在同一個虛擬機中，通過對虛擬應(yīng)用的封裝，可以將實驗?zāi)�塊化、系統(tǒng)化。

　　(2)有利于實驗環(huán)境的穩(wěn)定性。多個虛擬機通過共享主機硬件資源的方式運行在同一臺主機上，相互之間并不影響，當(dāng)單個虛擬機出現(xiàn)故障時，不會對其他虛擬機的正常運行造成影響。同時，采用快照恢復(fù)實現(xiàn)故障虛擬機的快速恢復(fù)，可有效保證實驗環(huán)境的穩(wěn)定性。(3)有利于管理的便捷性。封裝后的虛擬機文件不依賴于主機系統(tǒng)硬件，可以通過復(fù)制虛擬機文件的方式不加修改地遷移到另一臺主機，為具體實驗的發(fā)放和拷貝帶來更高的可用性和更靈活的資源分配方式。

　　3實訓(xùn)平臺支持的實驗內(nèi)容

　　根據(jù)我校教學(xué)實際，實訓(xùn)平臺目前開發(fā)了以下幾方面具體實驗內(nèi)容。

　　3.1電子數(shù)據(jù)固定電子數(shù)據(jù)固定是取證的基礎(chǔ)，它直接決定了電子數(shù)據(jù)的有效性[9]。本模塊針對電子數(shù)據(jù)取證規(guī)范和存證流程，通過虛擬磁盤的創(chuàng)建、只讀鎖的使用、檢材鏡像的制作、檢材鏡像的哈希值比對、加密容器及加密磁盤的解密等實驗內(nèi)容，使學(xué)生掌握電子數(shù)據(jù)固定的相關(guān)知識和操作技能，培養(yǎng)學(xué)生規(guī)范取證的專業(yè)素養(yǎng)。

　　3.2個人計算機專項與綜合取證

　　該模塊主要針對個人計算機取證的技術(shù)要點，培養(yǎng)學(xué)生掌握磁盤分區(qū)、文件系統(tǒng)、數(shù)據(jù)恢復(fù)、注冊表分析、正則表達式等相關(guān)知識和操作技能[10-13]。(1)磁盤分區(qū)的識別與恢復(fù)。在實際使用中，硬盤會被劃分為若干個邏輯部分，每個部分稱為一個磁盤分區(qū)。磁盤分區(qū)具有固定的結(jié)構(gòu)，根據(jù)這一信息，可以識別并恢復(fù)被刪除的分區(qū)數(shù)據(jù)，這是進一步提取電子數(shù)據(jù)的基礎(chǔ)。(2)文件的恢復(fù)。文件系統(tǒng)規(guī)定了分區(qū)上數(shù)據(jù)的組織方法和結(jié)構(gòu)。常見的文件系統(tǒng)有FAT32、NTFS等。文件系統(tǒng)決定了文件的存儲、刪除、增加、修改等操作，理解文件系統(tǒng)的原理是恢復(fù)刪除文件的前提。本實訓(xùn)單元設(shè)置了在FAT32和NTFS這2種文件系統(tǒng)下的文件恢復(fù)實驗。

　　(3)注冊表的解析。注冊表是Windows系統(tǒng)存儲關(guān)于計算機硬件和軟件的配置信息、應(yīng)用軟件和文檔文件的關(guān)聯(lián)關(guān)系以及各種網(wǎng)絡(luò)狀態(tài)信息和其他數(shù)據(jù)的中央數(shù)據(jù)庫。注冊表在系統(tǒng)中起著核心作用，掌握注冊表的解析操作對電子數(shù)據(jù)取證非常重要。(4)文件的搜索與過濾。在大量文件中鎖定目標(biāo)文件必須掌握文件的搜索與過濾操作。實訓(xùn)平臺安排了基于文件擴展名的搜索與過濾、基于關(guān)鍵詞和正則表達式的搜索與過濾、基于哈希值的文件搜索與過濾等方法的專題實訓(xùn)。

　　3.3服務(wù)器專項與綜合取證

　　服務(wù)器取證屬于網(wǎng)絡(luò)取證的重要組成部分。服務(wù)器中存放了網(wǎng)站的大量數(shù)據(jù)，在實際工作中，很多網(wǎng)絡(luò)詐騙、賭博的案件都涉及服務(wù)器取證[14]。本模塊包含Linux系統(tǒng)基本信息的提取、網(wǎng)站配置文件的提取、網(wǎng)站日志信息的提取、網(wǎng)站數(shù)據(jù)庫的提取等內(nèi)容，使學(xué)生掌握分析網(wǎng)站服務(wù)器的基本思路和操作方法。

　　4綜合設(shè)計性實驗案例

　　本文以模塊六——內(nèi)存等易失數(shù)據(jù)專項取證為例，具體介紹綜合實驗平臺提供的實驗內(nèi)容。

　　4.1內(nèi)存取證的方法

　　針對內(nèi)存取證的方法主要有2種：一種是在線取證分析技術(shù)。這類技術(shù)通過外部的硬件、軟件以及操作系統(tǒng)自身提供的服務(wù)來獲取。另一種取證方法是對內(nèi)存鏡像的分析。內(nèi)存鏡像就是將計算機系統(tǒng)內(nèi)存中的所有數(shù)據(jù)以文件的形式保存到存儲介質(zhì)上。通過這一存儲過程，易失性的內(nèi)存數(shù)據(jù)轉(zhuǎn)變?yōu)榉且资�性的�?shù)據(jù)。在此之后，取證鑒定人員通過一定的方法和步驟檢查內(nèi)存鏡像中的數(shù)據(jù)，并還原系統(tǒng)現(xiàn)場，以提取其中有用的證據(jù)信息。內(nèi)存鏡像制作和分析軟件有Volatility、ProcDump、DumpIT等。

　　4.2實驗內(nèi)容

　　本單元實驗由原理性實驗及探究性實驗組成。原理性實驗主要講解使用Volatility軟件獲取內(nèi)存鏡像的相關(guān)信息以及使用DumpIT軟件制作內(nèi)存鏡像的基本操作和注意事項。探究性實驗引導(dǎo)學(xué)生通過內(nèi)存取證追蹤用戶瀏覽器的訪問情況，采用兩人一組的方式：第一位同學(xué)打開IE瀏覽器并訪問某一網(wǎng)頁(例如百度主頁)并制作內(nèi)存鏡像;第二位同學(xué)根據(jù)所學(xué)知識提取內(nèi)存鏡像中應(yīng)用程序的網(wǎng)絡(luò)連接信息，查找第一位同學(xué)IE瀏覽器訪問的目標(biāo)IP地址，并將結(jié)果進行驗證。

　　5結(jié)語

　　本文介紹的基于虛擬仿真技術(shù)的電子數(shù)據(jù)取證綜合實訓(xùn)平臺是作者所在教學(xué)團隊的創(chuàng)新性成果。本平臺集成基礎(chǔ)實驗與綜合實驗于一體，以案例探索的方式，借助仿真分析手段，加深學(xué)生對電子數(shù)據(jù)取證課程相關(guān)概念的理解，提高知識點的綜合應(yīng)用能力，使學(xué)生從被動操作的驗證者轉(zhuǎn)變?yōu)橹鲃犹剿鞯那笾�者�?/p>

　　參考文獻(References)

　　[1]王玲，錢華林.計算機取證技術(shù)及其發(fā)展趨勢[J].軟件學(xué)報，2003(9):1635–1644.

　　[2]唐躍進.計算機取證專業(yè)課程體系建設(shè)研究[J].電信科學(xué)，2010,26(S2):183–186.

　　[3]王群，李馥娟.計算機取證技術(shù)實驗室建設(shè)[J].實驗室研究與探索，2013,32(10):468–472.

　　[4]萬春，王建平，吳孟栓，等.《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》理解與適用[J].人民檢察，2017(1):49–59.

　　作者：劉琛

轉(zhuǎn)載請注明來自發(fā)表學(xué)術(shù)論文網(wǎng)：http:///dzlw/25946.html