電子數據取證綜合實訓平臺設計與實踐

　　摘要：針對電子數據取證課程特點，分析了實訓教學環節在人才培養中的重要性與必要性，設計了一套以培養學生學習興趣和科研能力為目標的綜合性實訓平臺。該平臺基于虛擬仿真技術，整合了電子數據取證課程中的基礎性實驗，開發了具有創新實踐特點的綜合探究性實訓項目。除了滿足日常教學需要，實訓平臺應用于學生科研創新，促進了學生實踐能力和創新能力的提高。

　　關鍵詞：電子數據取證;實訓平臺;虛擬仿真技術

　　電子數據取證課程[1-3]要求學生能夠掌握電子數據取證的基本概念，熟悉電子數據取證的工作流程，掌握單機及網絡環境下的電子數據取證技術、常見的取證工具和設備的使用方法，具備公安機關電子數據取證工作需要的實踐能力和研究潛力。電子取證課程目前主要面向公安專業學生，學生就業后將從事現場勘查、數據分析等工作。因此，教學中僅著眼于講解基本概念與基本原理是不夠的，實驗教學應當貫穿整 個教學的全過程，讓學生在實際操作中進一步強化對理論知識的掌握。

　　仿真技術論文范例：仿真實訓在通信技術專業教學的應用研究

　　目前，電子數據取證實訓項目主要受到3個方面因素的制約：一是實驗資源較少，實驗硬件設備缺乏;二是實驗內容之間聯系不夠緊密，實驗體系有待完善;三是原理性、演示性實驗居多，綜合性、探究性實驗較少。實訓環節的薄弱導致學生對電子數據取證的掌握僅停留在基本概念、基本理論的層面，面對實際問題時仍然無法找到解決的切入點，缺乏電子數據取證實踐能力。因此，根據教學實踐情況，本文開發了基于虛擬仿真技術的電子數據取證綜合實訓平臺，以案例探索的方式，將最新的科研成果融入實驗教學，輔助電子數據取證課程的理論教學，以增強學生對電子數據取證理論和方法的掌握，激發學生的學習興趣和創造性思維。

　　1電子數據取證

　　1.1電子數據取證的概念

　　(1)電子數據[4-5]。

　　電子數據也稱為電子證據、電子物證，是指案件發生過程中形成的，以數字化形式存儲、處理、傳輸的，能夠證明案件事實的數據。電子數據依托現代電子信息等技術，以電子、數字、電磁、光信號等形式存儲在計算機、網絡、手機等電子介質中，借助一定媒介轉換為人們所識別、認知和研究的內容，被作為一類證據證明案件的事實。電子數據的種類繁多、形式復雜。

　　電子數據既包括網頁、博客等網絡平臺發布的信息，也包括手機短信、電子郵件等網絡應用服務的通信信息，以及文檔、圖片、音視頻等電子文件。與傳統證據相比，電子數據有以下幾個特性：一是虛擬性。電子數據不具有物理形態，而是以二進制碼的虛擬形態保存的，必須依附一定的軟硬件作為載體呈現出來。二是易破壞性。環境的影響、人為的操作都會導致電子數據改變或滅失，從而影響電子數據的真實性和完整性。此外，電子數據的記錄方式以及介質的特殊性決定了它自身具有一定的易破壞性。三是客觀性。電子數據的內容如果來源真實、合法，能夠生動反映案件的客觀事實，可以作為直接證據使用。

　　(2)電子數據取證。電子數據取證是指執法人員依法收集、固定與違法行為有關的電子數據，并進行檢查、分析、調查的行政執法行為。電子數據取證程序應當遵守國家法律、法規、規章的一般規定。從電子數據取證的流程來看，主要分為準備階段、現場勘查、數據獲取、數據固定、數據分析、生成報告6個步驟[6]。

　　其中，準備階段需要全面了解可能與案件相關的電子數據材料，制定取證方案，準備可能用到的取證設備;現場勘查的目的是保護數據的原始性，避免造成電子數據的丟失與更改;數據獲取的任務是在只讀的條件下完成電子數據備份文件的制作;數據固定需要及時記錄電子數據獲取的基本信息，并妥善保管好存儲介質;數據分析是取證中的關鍵環節，需要對電子數據進行深入分析，以找到關鍵證據或線索;生成報告是對取證工作的總結，包含取證過程、所使用的工具及版本、分析的步驟、找到的線索、得出的結論等。報告中所記錄事項需滿足合法性、準確性的要求，結論需要有完整的證據鏈進行印證。

　　1.2電子數據取證實訓教學的重要性

　　公安院校的網絡安全與執法、刑事科學技術、公安視聽技術等專業都開設了電子數據取證課程，并將其定位為人才培養方案中的特色課程。此外，在全國性電子數據取證比賽的有力推動下，其他非公安院校在網絡安全、信息安全專業中也增設了計算機取證等類似課程。由此可見，各高校對電子數據取證課程的重視程度正在不斷提高。目前，大部分高校電子數據取證理論課程的開展比較順利，但由于受到教學資源、師資力量、學生數量、軟硬件設備等因素的限制，很多高校沒有開設對應的實驗實訓課程，或者實驗實訓課程開展的效果并不理想。

　　電子數據取證是近年來打擊網絡犯罪的一個重要技術手段，它具有很強的實踐性和操作性。實訓教學不是對理論教學的簡單補充，而是實現課程人才培養目標的必需途徑。通過系統的實訓教學可以夯實學生的理論基礎，增強學生的實戰水平，培養學生潛在的創新能力。因此，電子數據取證綜合實訓平臺的建設，不僅滿足了信息安全領域人才培養的需要，更是為公安機關培育了一線執法人員和后備研究力量。

　　2基于虛擬仿真的電子數據取證實訓平臺

　　2.1實訓平臺設計

　　本文設計的電子數據取證綜合實訓平臺搭建在VMwareWorkstation虛擬機軟件上，通過虛擬化技術[7-8]將現有硬件及軟件資源整合為一體，實現多個虛擬的硬件系統平臺。各系統平臺可以獨立運行不同的操作系統，這些操作系統通過虛擬監控器程序來訪問實際的物理資源，從而最大限度地降低硬件成本，節約資源，提高系統資源利用率。

　　2.2實訓平臺功能

　　電子數據取證綜合實訓平臺包含電子數據固定、提取、恢復、呈證等部分，通過全方位的訓練，能夠將電子數據取證理論知識、操作技能、流程規范系統生動地傳授給學生，從而使學生在實踐中磨礪取證技術，培養真正的取證實戰能力。實訓平臺結合專題訓練和綜合實訓兩大需求，共分為電子數據固定、個人計算機專項與綜合取證、服務器專項與綜合取證、手機與平板設備專項取證、計算機病毒與惡意代碼專項與綜合取證、內存等易失數據專項與綜合取證、鑒定文書制作、真實案例綜合取證8個模塊。

　　2.3實訓平臺優勢

　　利用虛擬化技術搭建的電子數據取證綜合實訓平臺具有以下幾個顯著優勢：(1)有利于實驗內容的模塊化。將同一類實驗所需要的實驗鏡像、實驗文檔以及實驗工具都封裝在同一個虛擬機中，通過對虛擬應用的封裝，可以將實驗模塊化、系統化。

　　(2)有利于實驗環境的穩定性。多個虛擬機通過共享主機硬件資源的方式運行在同一臺主機上，相互之間并不影響，當單個虛擬機出現故障時，不會對其他虛擬機的正常運行造成影響。同時，采用快照恢復實現故障虛擬機的快速恢復，可有效保證實驗環境的穩定性。(3)有利于管理的便捷性。封裝后的虛擬機文件不依賴于主機系統硬件，可以通過復制虛擬機文件的方式不加修改地遷移到另一臺主機，為具體實驗的發放和拷貝帶來更高的可用性和更靈活的資源分配方式。

　　3實訓平臺支持的實驗內容

　　根據我校教學實際，實訓平臺目前開發了以下幾方面具體實驗內容。

　　3.1電子數據固定電子數據固定是取證的基礎，它直接決定了電子數據的有效性[9]。本模塊針對電子數據取證規范和存證流程，通過虛擬磁盤的創建、只讀鎖的使用、檢材鏡像的制作、檢材鏡像的哈希值比對、加密容器及加密磁盤的解密等實驗內容，使學生掌握電子數據固定的相關知識和操作技能，培養學生規范取證的專業素養。

　　3.2個人計算機專項與綜合取證

　　該模塊主要針對個人計算機取證的技術要點，培養學生掌握磁盤分區、文件系統、數據恢復、注冊表分析、正則表達式等相關知識和操作技能[10-13]。(1)磁盤分區的識別與恢復。在實際使用中，硬盤會被劃分為若干個邏輯部分，每個部分稱為一個磁盤分區。磁盤分區具有固定的結構，根據這一信息，可以識別并恢復被刪除的分區數據，這是進一步提取電子數據的基礎。(2)文件的恢復。文件系統規定了分區上數據的組織方法和結構。常見的文件系統有FAT32、NTFS等。文件系統決定了文件的存儲、刪除、增加、修改等操作，理解文件系統的原理是恢復刪除文件的前提。本實訓單元設置了在FAT32和NTFS這2種文件系統下的文件恢復實驗。

　　(3)注冊表的解析。注冊表是Windows系統存儲關于計算機硬件和軟件的配置信息、應用軟件和文檔文件的關聯關系以及各種網絡狀態信息和其他數據的中央數據庫。注冊表在系統中起著核心作用，掌握注冊表的解析操作對電子數據取證非常重要。(4)文件的搜索與過濾。在大量文件中鎖定目標文件必須掌握文件的搜索與過濾操作。實訓平臺安排了基于文件擴展名的搜索與過濾、基于關鍵詞和正則表達式的搜索與過濾、基于哈希值的文件搜索與過濾等方法的專題實訓。

　　3.3服務器專項與綜合取證

　　服務器取證屬于網絡取證的重要組成部分。服務器中存放了網站的大量數據，在實際工作中，很多網絡詐騙、賭博的案件都涉及服務器取證[14]。本模塊包含Linux系統基本信息的提取、網站配置文件的提取、網站日志信息的提取、網站數據庫的提取等內容，使學生掌握分析網站服務器的基本思路和操作方法。

　　4綜合設計性實驗案例

　　本文以模塊六——內存等易失數據專項取證為例，具體介紹綜合實驗平臺提供的實驗內容。

　　4.1內存取證的方法

　　針對內存取證的方法主要有2種：一種是在線取證分析技術。這類技術通過外部的硬件、軟件以及操作系統自身提供的服務來獲取。另一種取證方法是對內存鏡像的分析。內存鏡像就是將計算機系統內存中的所有數據以文件的形式保存到存儲介質上。通過這一存儲過程，易失性的內存數據轉變為非易失性的數據。在此之后，取證鑒定人員通過一定的方法和步驟檢查內存鏡像中的數據，并還原系統現場，以提取其中有用的證據信息。內存鏡像制作和分析軟件有Volatility、ProcDump、DumpIT等。

　　4.2實驗內容

　　本單元實驗由原理性實驗及探究性實驗組成。原理性實驗主要講解使用Volatility軟件獲取內存鏡像的相關信息以及使用DumpIT軟件制作內存鏡像的基本操作和注意事項。探究性實驗引導學生通過內存取證追蹤用戶瀏覽器的訪問情況，采用兩人一組的方式：第一位同學打開IE瀏覽器并訪問某一網頁(例如百度主頁)并制作內存鏡像;第二位同學根據所學知識提取內存鏡像中應用程序的網絡連接信息，查找第一位同學IE瀏覽器訪問的目標IP地址，并將結果進行驗證。

　　5結語

　　本文介紹的基于虛擬仿真技術的電子數據取證綜合實訓平臺是作者所在教學團隊的創新性成果。本平臺集成基礎實驗與綜合實驗于一體，以案例探索的方式，借助仿真分析手段，加深學生對電子數據取證課程相關概念的理解，提高知識點的綜合應用能力，使學生從被動操作的驗證者轉變為主動探索的求知者。

　　參考文獻(References)

　　[1]王玲，錢華林.計算機取證技術及其發展趨勢[J].軟件學報，2003(9):1635–1644.

　　[2]唐躍進.計算機取證專業課程體系建設研究[J].電信科學，2010,26(S2):183–186.

　　[3]王群，李馥娟.計算機取證技術實驗室建設[J].實驗室研究與探索，2013,32(10):468–472.

　　[4]萬春，王建平，吳孟栓，等.《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》理解與適用[J].人民檢察，2017(1):49–59.

　　作者：劉琛

轉載請注明來自發表學術論文網：http://www.zpfmc.com/dzlw/25946.html