DaaS、雲端服務、虛擬化、桌面虛擬化、數位鑑識、虛擬桌面

虛擬桌面蒐證難度高 鑑識採證須隨架構而異

DaaS是雲端運算的新服務,利用伺服器的硬體效能提供虛擬桌面給使用者操作,使用者只須以精簡型電腦便可存取及使用虛擬桌面。虛擬桌面為企業帶來許多益處,但也對傳統鑑識方法帶來極大挑戰。為了使鑑識人員可以在面對虛擬桌面時有效地進行數位證據的收集和獲取,本文介紹處理數位證據的程序以及進行虛擬桌面之數位證據獲取的方法。
在啟動狀態下,必須判斷是否需要揮發性資料而進行啟動狀態下獲取的程序(Live-Forensics),並進行資料的收集後再拔除所有的電力、網路連線以及外接的儲存設備。而在非啟動狀態下,則只要拔除外接的連線後帶回實驗室,再進行獲取的程序(Static-Forensics)即可。

獲取的程序包含對數位證據(整個硬碟、選定的檔案等)進行複製、記錄使用的方法以及執行的行動。進行識別的程序後,緊接著找尋相關的數位證據並進行收集或獲取,與收集的程序相同點為獲取的方法與工具根據現場狀態、目標以及情境而有分為Live-Forensics或是Static-Forensics。

另外,當需要收集的數位證據的檔案過大,或者當系統正在運行重要任務無法關機時,則利用Logical-Acquisition。相關收集與獲取的步驟如下所述。

終端使用者設備數位證據獲取
在終端使用者的電腦中進行收集和獲取數位證據的程序,由於是針對實體的硬體,因此依照終端使用者的硬體為電腦、手機或平板電腦以及啟動狀態而採用對應的鑑識工具,並且準備儲存數位證據的儲存媒體以進行數位證據的獲取與儲存。

若是電腦,可以利用Encase、FTK Imager或Helix進行硬碟和記憶體的獲取,記憶體部分可以利用WinHex等檢視器來進行記憶體內容的解讀,相關鑑識工具如Encase的操作畫面則如圖4所示。


▲圖4 使用Encase鑑識工具進行硬碟的獲取萃取。

倘若使用者是透過手機或平板電腦等設備,則利用XRY進行手機內容的萃取和分析,不過必須注意手機的廠牌、系統以及系統版本有無支援,若系統版本不支援,只能透過手機的同步軟體進行資料萃取,XRY的操作介面如圖5所示。


▲圖5 以鑑識工具XRY進行智慧型設備的資料萃取。

虛擬桌面數位證據獲取
虛擬桌面的資料由於存在伺服器上,且伺服器可能正在運作其他任務,因此無法進行收集的動作,只能透過獲取的程序進行數位證據的儲存。虛擬桌面的數位證據獲取程序依照不同情境而有不同方法。

‧透過終端使用者設備(虛擬桌面啟動狀態):當終 端使用者電腦正在運行虛擬桌面時,鑑識人員可透過使用者的電腦進行虛擬桌面內的數位證據獲取,一樣是透過鑑識軟體的方式將虛擬桌面內的硬碟、記憶體內容複製到儲存數位證據的儲存設備中。

‧透過虛擬桌面管理介面:透過vSphere Client軟體將 Helix鑑識軟體安裝至虛擬桌面中進行虛擬桌面的啟動以及數位證據的獲取,並將數位證據儲存至同一個區網的儲存媒體內,如圖6所示。


▲圖6 透過vSphere Client安裝鑑識軟體。

‧透過虛擬機器轉換軟體(虛擬桌面關閉狀態):透 過vCenter Converter Standalone將該虛擬桌面資料傳送到同一區網的儲存媒體內,此時若是虛擬桌面正在運行,則所傳送的虛擬桌面為傳送時間點的硬碟、記憶體內所含的數位證據,如圖7所示。


▲圖7 利用vCenter Standalone Converter獲取虛擬桌面數位證據。

保存、驗證、分析以及解釋

獲取到的數位證據必須進行妥善地保存,以保證數位證據的完整性。在進行獲取程序後,必須利用公正的驗證方法如MD5、SHA-1等,來輸出原始來源和數位證據複本的函數值。

這兩個函數值在一般情形下必須相同,才能保證數位證據來自數位證據的原始來源。但若使用Live-Forensics,有些資料可能會隨著時間變動、鑑識軟體的安裝以及資料的複製等而有些許改變,鑑識人員若能有合理的解釋並且確信其可信度,亦可為可信賴的數位證據。

分析階段必須依照各個事件的情境、數位證據的內容、各自的關聯性以及其他相關因素來分析獲取到的數位證據,並且進一步利用分析結果解釋、重組案情,找出最具可靠性和可信性的結果,並且產出相關的報告。

實例演練

A企業利用私有雲建置虛擬桌面供公司員工使用,虛擬桌面的配置為每個使用者帳戶有一個指定的虛擬桌面。虛擬桌面的硬碟資料,不會隨著使用者關機或重新開機而還原預設的狀態。A企業的資安部門日前接獲匿名舉報,有公司高階職員甲君利用公司私有雲之虛擬桌面洩漏公司的機密資訊,資安部門為了防範公司機密繼續外洩必須調查甲君利用的虛擬桌面,利用標準的數位調查程序以保證獲取到的數位證據完整性。

資安部門接獲通報時,必須先進行事件的識別。首先,A企業私有雲的虛擬桌面是採用Persistent模式,因此若甲君確實有非法行為,即使虛擬桌面已經關機,也可從中獲取到相關證據;第二,A企業的虛擬桌面使用者配置雖然採用多租戶的配置,但因每一個帳號對應到特定的虛擬桌面,且目前有特定的嫌疑者,因此可以針對單一虛擬桌面進行數位證據的採集;第三,透過調查得知,甲君平時皆透過公司配給的電腦使用虛擬桌面,因此可能存有潛在數位證據的設備為該台電腦和虛擬桌面;第四,當資安部門前往甲君辦公室時,甲君辦公室的電腦為開機狀態,但其並未啟動虛擬桌面。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!