电子数据取证综合实训平台设计与实践

　　摘要：针对电子数据取证课程特点，分析了实训教学环节在人才培养中的重要性与必要性，设计了一套以培养学生学习兴趣和科研能力为目标的综合性实训平台。该平台基于虚拟仿真技术，整合了电子数据取证课程中的基础性实验，开发了具有创新实践特点的综合探究性实训项目。除了满足日常教学需要，实训平台应用于学生科研创新，促进了学生实践能力和创新能力的提高。

　　关键词：电子数据取证;实训平台;虚拟仿真技术

　　电子数据取证课程[1-3]要求学生能够掌握电子数据取证的基本概念，熟悉电子数据取证的工作流程，掌握单机及网络环境下的电子数据取证技术、常见的取证工具和设备的使用方法，具备公安机关电子数据取证工作需要的实践能力和研究潜力。电子取证课程目前主要面向公安专业学生，学生就业后将从事现场勘查、数据分析等工作。因此，教学中仅着眼于讲解基本概念与基本原理是不够的，实验教学应当贯穿整 个教学的全过程，让学生在实际操作中进一步强化对理论知识的掌握。

　　仿真技术论文范例：仿真实训在通信技术专业教学的应用研究

　　目前，电子数据取证实训项目主要受到3个方面因素的制约：一是实验资源较少，实验硬件设备缺乏;二是实验内容之间联系不够紧密，实验体系有待完善;三是原理性、演示性实验居多，综合性、探究性实验较少。实训环节的薄弱导致学生对电子数据取证的掌握仅停留在基本概念、基本理论的层面，面对实际问题时仍然无法找到解决的切入点，缺乏电子数据取证实践能力。因此，根据教学实践情况，本文开发了基于虚拟仿真技术的电子数据取证综合实训平台，以案例探索的方式，将最新的科研成果融入实验教学，辅助电子数据取证课程的理论教学，以增强学生对电子数据取证理论和方法的掌握，激发学生的学习兴趣和创造性思维。

　　1电子数据取证

　　1.1电子数据取证的概念

　　(1)电子数据[4-5]。

　　电子数据也称为电子证据、电子物证，是指案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据。电子数据依托现代电子信息等技术，以电子、数字、电磁、光信号等形式存储在计算机、网络、手机等电子介质中，借助一定媒介转换为人们所识别、认知和研究的内容，被作为一类证据证明案件的事实。电子数据的种类繁多、形式复杂。

　　电子数据既包括网页、博客等网络平台发布的信息，也包括手机短信、电子邮件等网络应用服务的通信信息，以及文档、图片、音视频等电子文件。与传统证据相比，电子数据有以下几个特性：一是虚拟性。电子数据不具有物理形态，而是以二进制码的虚拟形态保存的，必须依附一定的软硬件作为载体呈现出来。二是易破坏性。环境的影响、人为的操作都会导致电子数据改变或灭失，从而影响电子数据的真实性和完整性。此外，电子数据的记录方式以及介质的特殊性决定了它自身具有一定的易破坏性。三是客观性。电子数据的内容如果来源真实、合法，能够生动反映案件的客观事实，可以作为直接证据使用。

　　(2)电子数据取证。电子数据取证是指执法人员依法收集、固定与违法行为有关的电子数据，并进行检查、分析、调查的行政执法行为。电子数据取证程序应当遵守国家法律、法规、规章的一般规定。从电子数据取证的流程来看，主要分为准备阶段、现场勘查、数据获取、数据固定、数据分析、生成报告6个步骤[6]。

　　其中，准备阶段需要全面了解可能与案件相关的电子数据材料，制定取证方案，准备可能用到的取证设备;现场勘查的目的是保护数据的原始性，避免造成电子数据的丢失与更改;数据获取的任务是在只读的条件下完成电子数据备份文件的制作;数据固定需要及时记录电子数据获取的基本信息，并妥善保管好存储介质;数据分析是取证中的关键环节，需要对电子数据进行深入分析，以找到关键证据或线索;生成报告是对取证工作的总结，包含取证过程、所使用的工具及版本、分析的步骤、找到的线索、得出的结论等。报告中所记录事项需满足合法性、准确性的要求，结论需要有完整的证据链进行印证。

　　1.2电子数据取证实训教学的重要性

　　公安院校的网络安全与执法、刑事科学技术、公安视听技术等专业都开设了电子数据取证课程，并将其定位为人才培养方案中的特色课程。此外，在全国性电子数据取证比赛的有力推动下，其他非公安院校在网络安全、信息安全专业中也增设了计算机取证等类似课程。由此可见，各高校对电子数据取证课程的重视程度正在不断提高。目前，大部分高校电子数据取证理论课程的开展比较顺利，但由于受到教学资源、师资力量、学生数量、软硬件设备等因素的限制，很多高校没有开设对应的实验实训课程，或者实验实训课程开展的效果并不理想。

　　电子数据取证是近年来打击网络犯罪的一个重要技术手段，它具有很强的实践性和操作性。实训教学不是对理论教学的简单补充，而是实现课程人才培养目标的必需途径。通过系统的实训教学可以夯实学生的理论基础，增强学生的实战水平，培养学生潜在的创新能力。因此，电子数据取证综合实训平台的建设，不仅满足了信息安全领域人才培养的需要，更是为公安机关培育了一线执法人员和后备研究力量。

　　2基于虚拟仿真的电子数据取证实训平台

　　2.1实训平台设计

　　本文设计的电子数据取证综合实训平台搭建在VMwareWorkstation虚拟机软件上，通过虚拟化技术[7-8]将现有硬件及软件资源整合为一体，实现多个虚拟的硬件系统平台。各系统平台可以独立运行不同的操作系统，这些操作系统通过虚拟监控器程序来访问实际的物理资源，从而最大限度地降低硬件成本，节约资源，提高系统资源利用率。

　　2.2实训平台功能

　　电子数据取证综合实训平台包含电子数据固定、提取、恢复、呈证等部分，通过全方位的训练，能够将电子数据取证理论知识、操作技能、流程规范系统生动地传授给学生，从而使学生在实践中磨砺取证技术，培养真正的取证实战能力。实训平台结合专题训练和综合实训两大需求，共分为电子数据固定、个人计算机专项与综合取证、服务器专项与综合取证、手机与平板设备专项取证、计算机病毒与恶意代码专项与综合取证、内存等易失数据专项与综合取证、鉴定文书制作、真实案例综合取证8个模块。

　　2.3实训平台优势

　　利用虚拟化技术搭建的电子数据取证综合实训平台具有以下几个显著优势：(1)有利于实验内容的模块化。将同一类实验所需要的实验镜像、实验文档以及实验工具都封装在同一个虚拟机中，通过对虚拟应用的封装，可以将实验模块化、系统化。

　　(2)有利于实验环境的稳定性。多个虚拟机通过共享主机硬件资源的方式运行在同一台主机上，相互之间并不影响，当单个虚拟机出现故障时，不会对其他虚拟机的正常运行造成影响。同时，采用快照恢复实现故障虚拟机的快速恢复，可有效保证实验环境的稳定性。(3)有利于管理的便捷性。封装后的虚拟机文件不依赖于主机系统硬件，可以通过复制虚拟机文件的方式不加修改地迁移到另一台主机，为具体实验的发放和拷贝带来更高的可用性和更灵活的资源分配方式。

　　3实训平台支持的实验内容

　　根据我校教学实际，实训平台目前开发了以下几方面具体实验内容。

　　3.1电子数据固定电子数据固定是取证的基础，它直接决定了电子数据的有效性[9]。本模块针对电子数据取证规范和存证流程，通过虚拟磁盘的创建、只读锁的使用、检材镜像的制作、检材镜像的哈希值比对、加密容器及加密磁盘的解密等实验内容，使学生掌握电子数据固定的相关知识和操作技能，培养学生规范取证的专业素养。

　　3.2个人计算机专项与综合取证

　　该模块主要针对个人计算机取证的技术要点，培养学生掌握磁盘分区、文件系统、数据恢复、注册表分析、正则表达式等相关知识和操作技能[10-13]。(1)磁盘分区的识别与恢复。在实际使用中，硬盘会被划分为若干个逻辑部分，每个部分称为一个磁盘分区。磁盘分区具有固定的结构，根据这一信息，可以识别并恢复被删除的分区数据，这是进一步提取电子数据的基础。(2)文件的恢复。文件系统规定了分区上数据的组织方法和结构。常见的文件系统有FAT32、NTFS等。文件系统决定了文件的存储、删除、增加、修改等操作，理解文件系统的原理是恢复删除文件的前提。本实训单元设置了在FAT32和NTFS这2种文件系统下的文件恢复实验。

　　(3)注册表的解析。注册表是Windows系统存储关于计算机硬件和软件的配置信息、应用软件和文档文件的关联关系以及各种网络状态信息和其他数据的中央数据库。注册表在系统中起着核心作用，掌握注册表的解析操作对电子数据取证非常重要。(4)文件的搜索与过滤。在大量文件中锁定目标文件必须掌握文件的搜索与过滤操作。实训平台安排了基于文件扩展名的搜索与过滤、基于关键词和正则表达式的搜索与过滤、基于哈希值的文件搜索与过滤等方法的专题实训。

　　3.3服务器专项与综合取证

　　服务器取证属于网络取证的重要组成部分。服务器中存放了网站的大量数据，在实际工作中，很多网络诈骗、赌博的案件都涉及服务器取证[14]。本模块包含Linux系统基本信息的提取、网站配置文件的提取、网站日志信息的提取、网站数据库的提取等内容，使学生掌握分析网站服务器的基本思路和操作方法。

　　4综合设计性实验案例

　　本文以模块六——内存等易失数据专项取证为例，具体介绍综合实验平台提供的实验内容。

　　4.1内存取证的方法

　　针对内存取证的方法主要有2种：一种是在线取证分析技术。这类技术通过外部的硬件、软件以及操作系统自身提供的服务来获取。另一种取证方法是对内存镜像的分析。内存镜像就是将计算机系统内存中的所有数据以文件的形式保存到存储介质上。通过这一存储过程，易失性的内存数据转变为非易失性的数据。在此之后，取证鉴定人员通过一定的方法和步骤检查内存镜像中的数据，并还原系统现场，以提取其中有用的证据信息。内存镜像制作和分析软件有Volatility、ProcDump、DumpIT等。

　　4.2实验内容

　　本单元实验由原理性实验及探究性实验组成。原理性实验主要讲解使用Volatility软件获取内存镜像的相关信息以及使用DumpIT软件制作内存镜像的基本操作和注意事项。探究性实验引导学生通过内存取证追踪用户浏览器的访问情况，采用两人一组的方式：第一位同学打开IE浏览器并访问某一网页(例如百度主页)并制作内存镜像;第二位同学根据所学知识提取内存镜像中应用程序的网络连接信息，查找第一位同学IE浏览器访问的目标IP地址，并将结果进行验证。

　　5结语

　　本文介绍的基于虚拟仿真技术的电子数据取证综合实训平台是作者所在教学团队的创新性成果。本平台集成基础实验与综合实验于一体，以案例探索的方式，借助仿真分析手段，加深学生对电子数据取证课程相关概念的理解，提高知识点的综合应用能力，使学生从被动操作的验证者转变为主动探索的求知者。

　　参考文献(References)

　　[1]王玲，钱华林.计算机取证技术及其发展趋势[J].软件学报，2003(9):1635–1644.

　　[2]唐跃进.计算机取证专业课程体系建设研究[J].电信科学，2010,26(S2):183–186.

　　[3]王群，李馥娟.计算机取证技术实验室建设[J].实验室研究与探索，2013,32(10):468–472.

　　[4]万春，王建平，吴孟栓，等.《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》理解与适用[J].人民检察，2017(1):49–59.

　　作者：刘琛

转载请注明来自发表学术论文网：http://www.fbxslw.com/dzlw/25946.html