虛擬計(jì)算取證技術(shù)研究.pdf

1、虛擬計(jì)算取證技術(shù)研究11緒論1緒論1.1研究背景1.1研究背景當(dāng)前，虛擬計(jì)算技術(shù)正成為計(jì)算機(jī)領(lǐng)域的一個(gè)熱門研究領(lǐng)域和IT業(yè)界的一個(gè)新的經(jīng)濟(jì)增長(zhǎng)點(diǎn)。在計(jì)算機(jī)領(lǐng)域，“虛擬”這個(gè)詞通常是和“物理”或者“硬件”相對(duì)應(yīng)的。虛擬計(jì)算技術(shù)可以有兩個(gè)層次的含義。初級(jí)層次的含義，是利用虛擬化技術(shù)將充裕的計(jì)算資源分配給不同的虛擬機(jī)，協(xié)調(diào)多用戶、多進(jìn)程合理使用實(shí)際的物理設(shè)備，達(dá)到資源共享；更高一層的含義是指通過(guò)互聯(lián)網(wǎng)資源的廣泛聚合和綜合利用，提供強(qiáng)大、靈活、

2、便利的計(jì)算能力，并為互聯(lián)網(wǎng)應(yīng)用提供和諧、安全、透明的一體化服務(wù)支撐。目前，虛擬計(jì)算技術(shù)已經(jīng)廣泛的走入了我們的生活，用戶根本不需要了解虛擬化產(chǎn)品內(nèi)部的工作機(jī)理就可以熟練地使用虛擬化產(chǎn)品，如各種廠家的主機(jī)虛擬化產(chǎn)品（VMwareWkstation、VMwarePlayer、VirtualPC、VirtualBox等）、服務(wù)器虛擬化產(chǎn)品（VMwareESXi、XenServer等），乃至云計(jì)算產(chǎn)品（VMwarevSphere等）。更多的利用數(shù)

3、量和更廣泛的應(yīng)用場(chǎng)合意味著虛擬計(jì)算環(huán)境將不可避免地成為犯罪分子瞄準(zhǔn)的對(duì)象、作案借助的工具或者犯罪證據(jù)隱匿的場(chǎng)所。因此，對(duì)虛擬計(jì)算的計(jì)算機(jī)取證技術(shù)研究已經(jīng)迫在眉睫，具有重要的現(xiàn)實(shí)意義。此外，虛擬計(jì)算帶給我們的是全新的計(jì)算機(jī)層次結(jié)構(gòu)和框架，因此新形勢(shì)下出現(xiàn)的一些能幫助計(jì)算機(jī)取證工作的、基于虛擬計(jì)算的新技術(shù)、方法等也成為了計(jì)算機(jī)取證人員的研究目標(biāo)。1.2研究目的和意義1.2研究目的和意義本文研究的目的在于深入認(rèn)識(shí)虛擬計(jì)算給計(jì)算機(jī)取證帶來(lái)的影響

4、，幫助計(jì)算機(jī)取證人員采用新的取證方法，并對(duì)常見(jiàn)及有價(jià)值的虛擬機(jī)取證對(duì)象進(jìn)行深入的分析。虛擬計(jì)算給計(jì)算機(jī)取證帶來(lái)的影響有以下幾個(gè)方面：一是虛擬機(jī)（虛擬計(jì)算環(huán)境）作為被取證的對(duì)象；二是虛擬計(jì)算技術(shù)作為計(jì)算機(jī)取證的一種新的工具和手段。而目前，對(duì)虛擬計(jì)算對(duì)計(jì)算機(jī)取證的影響的認(rèn)識(shí)還局限與對(duì)某些工具和方法的認(rèn)識(shí)，以及某些特定的案例，還沒(méi)有系統(tǒng)地、完整地從全局高度看待這個(gè)問(wèn)題。虛擬計(jì)算取證技術(shù)研究32相關(guān)技術(shù)綜述2相關(guān)技術(shù)綜述2.1計(jì)算機(jī)取證技術(shù)2.

5、1計(jì)算機(jī)取證技術(shù)計(jì)算機(jī)取證技術(shù)的研究最早可以追溯到1984年，計(jì)算機(jī)取證科學(xué)（computerfensicsscience）主要是基于司法機(jī)關(guān)的執(zhí)法需求而誕生的。1984年，F(xiàn)BI實(shí)驗(yàn)室和其他的執(zhí)法機(jī)構(gòu)開(kāi)始研究計(jì)算機(jī)證據(jù)，并編制程序來(lái)進(jìn)行計(jì)算機(jī)證據(jù)的檢測(cè)。為了滿足調(diào)查人員和檢察官的執(zhí)法需求，美國(guó)FBI成立了計(jì)算機(jī)分析響應(yīng)組（ComputerAnalysisResponseTeam，CART），進(jìn)行計(jì)算機(jī)取證分析工作[1]。2.1.1計(jì)算

6、機(jī)取證的定義計(jì)算機(jī)取證的定義計(jì)算機(jī)取證的定義最早是由InternationalAssociationofComputerSpecialists（IACIS）在1991年舉行的國(guó)際計(jì)算機(jī)專家會(huì)議上首次提出的。計(jì)算機(jī)取證是指“對(duì)能夠?yàn)榉ㄍソ邮艿?、足夠可靠和有說(shuō)服性的、存在于計(jì)算機(jī)和相關(guān)外設(shè)中的電子證據(jù)的確認(rèn)、保護(hù)和提取?！盵1]電子證據(jù)有如下特點(diǎn)[12]：1)數(shù)字性計(jì)算機(jī)證據(jù)的物質(zhì)載體是電子元件和磁性材料等。從物理表示的角度看，如果行為人蓄

7、意操作、改變數(shù)據(jù)或程序，只是集成電路的電子矩陣正負(fù)電平或磁性材料磁體等發(fā)生了變化。獲取這些行為的證據(jù)需要特殊的手段，這與其他證據(jù)的獲取是完全不同的。2)技術(shù)性計(jì)算機(jī)證據(jù)的產(chǎn)生、存儲(chǔ)和傳輸及其采集、分析和判斷都必須借助于計(jì)算機(jī)科學(xué)中的計(jì)算技術(shù)、存儲(chǔ)技術(shù)、網(wǎng)絡(luò)通信技術(shù)及其他相關(guān)技術(shù)。3)脆弱性計(jì)算機(jī)證據(jù)的脆弱性是指，計(jì)算機(jī)信息容易被修改，并且可以使修改后不留痕跡。從這角度來(lái)看，電子證據(jù)是脆弱的。4)多態(tài)性計(jì)算機(jī)證據(jù)的表現(xiàn)形式是多種多樣的，但