張斐

本文對(duì)虛擬化教學(xué)平臺(tái)在電子取證實(shí)踐教學(xué)中的應(yīng)用研究進(jìn)行了分析，指出在現(xiàn)有情況下開(kāi)展此類教學(xué)和研究活動(dòng)存在的一些問(wèn)題，并對(duì)解決這些問(wèn)題提出了一些方法，最后對(duì)未來(lái)的發(fā)展進(jìn)行了展望。

【關(guān)鍵詞】虛擬化 電子取證 實(shí)踐教學(xué)

1 國(guó)內(nèi)研究現(xiàn)狀分析

近年隨著我國(guó)網(wǎng)絡(luò)安全的需要，電子數(shù)據(jù)取證在我國(guó)得到了較快的發(fā)展，國(guó)內(nèi)幾乎所有的公安、政法類大學(xué)均開(kāi)設(shè)有電子數(shù)據(jù)取證的相關(guān)課程，并建立了一整套匹配的實(shí)驗(yàn)實(shí)訓(xùn)教程。

以國(guó)內(nèi)公安院校為例，中國(guó)人民公安大學(xué)的電子取證教學(xué)近年已經(jīng)實(shí)現(xiàn)了X-Ways Forensics和虛擬硬盤(pán)Mount Image Pro在教學(xué)中的結(jié)合，將虛擬硬盤(pán)工具引入到實(shí)訓(xùn)教學(xué)過(guò)程中后，絕大多數(shù)學(xué)生都能夠迅速準(zhǔn)確的掌握該知識(shí)點(diǎn)。究其原因主要在于虛擬硬盤(pán)工具的呈現(xiàn)方式非常直觀，使學(xué)生很容易在磁盤(pán)鏡像文件和虛擬硬盤(pán)之間建立起聯(lián)系，進(jìn)而理解教學(xué)內(nèi)容。湖北警官學(xué)院2011年即開(kāi)始探索虛擬化技術(shù)在電子取證教學(xué)和科研中的應(yīng)用，裸機(jī)型Hypervisor的服務(wù)器虛擬方式以及桌面虛擬化VDI技術(shù)在其所轄的三真司法鑒定所的電子取證實(shí)驗(yàn)室中開(kāi)始運(yùn)用，有效優(yōu)化了其網(wǎng)絡(luò)安全與執(zhí)法本科專業(yè)學(xué)生的電子取證教學(xué)環(huán)境。

2 虛擬平臺(tái)的應(yīng)用

2.1 虛擬硬盤(pán)的應(yīng)用

磁盤(pán)鏡像文件是電子取證課程中最常見(jiàn)的數(shù)據(jù)載體和檢材，也是教學(xué)中的重點(diǎn)。在教學(xué)中，很少有學(xué)生能直接將單個(gè)磁盤(pán)鏡像文件與包含若干文件的硬盤(pán)聯(lián)系起來(lái)，甚至講解后仍有少數(shù)學(xué)生并不完全理解，因此它也是教學(xué)中的難點(diǎn)內(nèi)容。

雖然相關(guān)高校使用的取證工具X-Ways Forensics功能強(qiáng)大，但直接使用專業(yè)工具給學(xué)生進(jìn)行演示和講解的效果不理想，而將虛擬硬盤(pán)工具引入到教學(xué)中，多數(shù)學(xué)生都能夠迅速準(zhǔn)確的掌握該知識(shí)點(diǎn)。原因是虛擬硬盤(pán)工具的呈現(xiàn)方式直觀，使學(xué)生容易在磁盤(pán)鏡像文件和虛擬硬盤(pán)之間建立起聯(lián)系，進(jìn)而理解內(nèi)容。虛擬硬盤(pán)工具有很多種，其中比較適合在實(shí)訓(xùn)教學(xué)過(guò)程中使用的是Mount Image Pro。

如果所在的教學(xué)環(huán)境不能正常安裝新的軟件并且教學(xué)內(nèi)容只是需要利用虛擬硬盤(pán)進(jìn)行分區(qū)、格式化或數(shù)據(jù)擦除等演示，則可使用Windows系統(tǒng)自帶的磁盤(pán)管理工具創(chuàng)建虛擬磁盤(pán)。該工具只支持“.vhd”和“.vhdx”格式的文件，而不支持“.dd”等其他格式的文件。這是因?yàn)槎吲c“.dd”的文件結(jié)構(gòu)均不相同，在“.vhd”文件的尾部有一些特有的數(shù)據(jù)，而“.vhdx”文件的結(jié)構(gòu)與“.dd”的差異更大，因此磁盤(pán)管理工具不能加載常見(jiàn)的磁盤(pán)鏡像文件。

除了上述由磁盤(pán)鏡像文件生成的虛擬硬盤(pán)外，還有另外一種由內(nèi)存生成的虛擬硬盤(pán)，這種虛擬硬盤(pán)不占用物理磁盤(pán)空間，但會(huì)占用內(nèi)存空間，數(shù)據(jù)在計(jì)算機(jī)斷電后不保存。通過(guò)引導(dǎo)學(xué)生使用此類工具生成虛擬硬盤(pán)，并在計(jì)算機(jī)重啟后觀察虛擬硬盤(pán)中數(shù)據(jù)的保存情況，能使學(xué)生深入理解易失性和非易失性存儲(chǔ)器這兩個(gè)重要概念。

2.2 虛擬軟件的應(yīng)用

虛擬機(jī)是虛擬化技術(shù)的一個(gè)主要應(yīng)用方向，也是一種可以被應(yīng)用于信息技術(shù)相關(guān)實(shí)驗(yàn)課程的重要工具。利用虛擬機(jī)工具可以在一臺(tái)物理計(jì)算機(jī)上生成許多獨(dú)立運(yùn)行的虛擬機(jī)實(shí)例，并且每臺(tái)虛擬機(jī)都可以安裝獨(dú)立的操作系統(tǒng)。在虛擬機(jī)上安裝操作系統(tǒng)時(shí)，可對(duì)虛擬機(jī)中的硬盤(pán)進(jìn)行分區(qū)而不影響物理硬盤(pán)的分區(qū)，完全可將虛擬機(jī)中的硬盤(pán)當(dāng)作虛擬硬盤(pán)使用，只是不方便。

對(duì)于實(shí)訓(xùn)課程中的病毒分析實(shí)驗(yàn)、數(shù)據(jù)擦除及恢復(fù)等對(duì)系統(tǒng)環(huán)境具有破壞性的實(shí)驗(yàn)，則可以利用VMware的克隆和快照功能，迅速簡(jiǎn)便的將虛擬機(jī)恢復(fù)至指定狀態(tài)。VMware中還包含有一個(gè)圖形化的快照管理器，非常直觀的為虛擬機(jī)創(chuàng)建多個(gè)快照并進(jìn)行管理。

此外在開(kāi)展網(wǎng)絡(luò)課程的路由和交換教學(xué)中，利用packet tracker模擬真實(shí)環(huán)境，對(duì)于初學(xué)者比較適宜，尤其是加深對(duì)抽象的通信原理的了解有一定的幫助。如果要滿足深度的學(xué)習(xí)需求，就是用GNS3，這個(gè)軟件是用dynamips為核心，圖形化界面，操作方便。但是只能模擬幾個(gè)型號(hào)的IOS，可以用相關(guān)module來(lái)練習(xí)交換命令，但是和真實(shí)的交換機(jī)還是有區(qū)別的。如果要模擬交換機(jī)，只能是用IOU（IOS On Unix），這個(gè)是思科做的虛擬機(jī)，可以用思科開(kāi)發(fā)的IOS來(lái)模擬交換和路由環(huán)境，消耗資源不大，可以搭建CCIE RS的環(huán)境。

3 對(duì)高職教育改革與發(fā)展的意義

針對(duì)我院司法信息安全專業(yè)，電子數(shù)據(jù)取證類課程的實(shí)踐教學(xué)是鞏固和驗(yàn)證所學(xué)知識(shí)，培養(yǎng)學(xué)生對(duì)于電子證據(jù)的分析和解決問(wèn)題能力的重要環(huán)節(jié)。當(dāng)前的計(jì)算機(jī)實(shí)踐教學(xué)注重在現(xiàn)有硬件環(huán)境下進(jìn)行實(shí)驗(yàn)教學(xué)，注重硬件環(huán)境的建設(shè)，對(duì)配套軟件環(huán)境的建設(shè)重視不夠。隨著學(xué)院的大量投入，實(shí)驗(yàn)室的硬件環(huán)境得到了很大改善，很多計(jì)算機(jī)專業(yè)課程實(shí)驗(yàn)得以順利開(kāi)設(shè)，尤其是電子取證類的實(shí)踐教學(xué)在沒(méi)有專業(yè)實(shí)驗(yàn)實(shí)訓(xùn)室的情況下，已經(jīng)開(kāi)始利用現(xiàn)有的通用計(jì)算機(jī)設(shè)備開(kāi)展教學(xué)，但有些實(shí)驗(yàn)在沒(méi)有引進(jìn)新的軟件環(huán)境和采用新的教學(xué)方法前仍然是無(wú)法進(jìn)行的，因此我們探索使用虛擬機(jī)搭建取證平臺(tái)，從而模擬計(jì)算機(jī)犯罪現(xiàn)場(chǎng)，最大可能實(shí)現(xiàn)對(duì)現(xiàn)有硬件資源的利用，對(duì)于電子取證教學(xué)不失為當(dāng)前一條行之有效的解決方案。

普通計(jì)算機(jī)機(jī)房的PC機(jī)一般都是固定安裝Windows操作系統(tǒng)，要學(xué)習(xí)配置使用多種操作系統(tǒng)的話是不現(xiàn)實(shí)的。目前借助福建銳捷的云課堂技術(shù)，實(shí)現(xiàn)了在不改變當(dāng)前機(jī)房的操作系統(tǒng)、不增加硬件投入的情況下實(shí)現(xiàn)多操作系統(tǒng)的實(shí)驗(yàn)教學(xué)。對(duì)于信息類相關(guān)專業(yè)，教學(xué)中需要大量在不同操作系統(tǒng)環(huán)境下進(jìn)行的計(jì)算機(jī)實(shí)驗(yàn)，尤其是以電子取證課程的實(shí)踐教學(xué)為例，需要大量在特定環(huán)境下的計(jì)算機(jī)犯罪現(xiàn)場(chǎng)模擬和計(jì)算機(jī)病毒樣本，這給我們現(xiàn)有的實(shí)驗(yàn)室軟件環(huán)境帶來(lái)了很大的挑戰(zhàn)。

4 結(jié)語(yǔ)

電子取證是法學(xué)和計(jì)算機(jī)科學(xué)的交叉學(xué)科，其研究領(lǐng)域日益豐富，在當(dāng)前涉及電子證據(jù)案件日趨增多的情況下，如何從我院自身專業(yè)實(shí)際情況出發(fā)，深刻認(rèn)識(shí)電子取證教學(xué)中的許多問(wèn)題，通過(guò)建立虛擬化的教學(xué)平臺(tái)，推動(dòng)模擬電子取證實(shí)務(wù)化教學(xué)的開(kāi)展，進(jìn)一步提高相關(guān)專業(yè)學(xué)生的專業(yè)技能意義重大。

作者單位

陜西警官職業(yè)學(xué)院 陜西省西安市 710021