邁入數位化時代,使用者若想在硬體資源有限情況下,滿足使用多種作業系統的需求,虛擬化技術是大部分使用者的選擇。但在電腦犯罪中,犯罪者也可能利用虛擬機器軟體建置多個虛擬主機進行非法活動,獲取不法利益。有鑑於此,在進行虛擬機器的鑑識工作前,除了基本的數位鑑識知識外,必須了解虛擬機器的架構,並知悉如何復原損壞的映像檔。
1. 分析虛擬機器類型及採用的虛擬化技術
在進行虛擬機器的數位鑑識時,首先必須知道主機上運行的虛擬機器軟體以及所使用的虛擬化技術。原因在於,目前市面上有許多不同的虛擬機器軟體,而每一種軟體都有其特性,鑑識人員依據軟體特性,決定鑑識方法。
了解A君是使用VMware的虛擬軟體後,立即對虛擬機器進行資料萃取和蒐集,例如遭刪除的資料、加密的檔案及其他活動紀錄檔。
由於虛擬機器檔案容量都很大,因此虛擬機器的檔案被刪除,並不會被丟進資源回收筒中,而是直接被系統直接刪除。所以,為了確保資料能夠完整萃取分析,鑑識人員需要進行映像檔的還原,並在映像檔中萃取數位跡證。
2. 虛擬機器上進行數位鑑識的方法
由於虛擬機器映像檔必須完整才可啟動虛擬機器,鑑識人員在進行虛擬機器的數位鑑識時,為了避免虛擬機器的資料遭受損害,應盡量採用現場蒐證鑑識法。
也就是,在主機仍在運行的情況下,進行資料的取證以及分析。如此一來,除了可取得揮發性記憶體中的資料外,也避免因為關機或系統重新啟動而失去一些重要的資料。
虛擬機器的數位鑑識方法有兩種,第一種是先依照鑑識作業流程,將電腦中的資料利用Encase或FTK等鑑識軟體完整拷貝成映像檔至鑑識硬碟內,並在之後對映像檔內容進行分析。
如圖4所示,對於虛擬機器的鑑識,要特別注意虛擬機器內相關的檔案。這些檔案含有重要的跡證資料,之後鑑識人員進行分析時也需要利用這些檔案重建虛擬機器。
|
▲圖4 VMware檔案及其檔案類型。 |
第二種方式是,虛擬機器藉由該軟體相關程式輸出成一個映像檔。之後再利用虛擬機器軟體載入此映像檔,直接透過鑑識工具進行資料的採集和分析。
3. 虛擬機器映像檔復原
由於A君在鑑識人員進入房間時,已經有做一些破壞的動作,因此鑑識人員進行映像檔的輸出或拷貝時發生映像檔損壞的情形,必須先檢視該映像檔是否可以進行復原。
在復原的方面,若是映像檔為SPARCE文件,在一定的損壞程度中,檔案是可以被復原的,SPARCE文件結構如圖5所示。復原的工作將分成下列的步驟:
|
▲圖5 SPARCE文件結構。 |
首先在表頭(Sparse header)部分,可以根據Vmx檔和Log檔的內容進行表頭的復原,因為表頭內主要都存放一些虛擬機器的設定值。
前面有提到Vmx檔主要記錄的是虛擬軟體的設定值,而Log檔則記錄一些主要的活動。因此若是設定值有所變更,也可以從Log檔內發現。
在進行表頭的復原中,主要有以下三個欄位:
- (1)Extent的大小
- (2)存放Metadata的Sector數量
- (3)Grain資料夾的位置。其他欄位採用預設值即可。
完成表頭復原工作後,檢查SPARCE文件結構內的欄位是否有所損壞,若有損壞,則對以下欄位進行復原動作:
- (1)CID及Parent CID:此欄位值可以從虛擬機器的快照中找到,也就是本文前段所提到的Vmsd檔、Vmsn檔及Vmss檔,若是沒有虛擬機器的快照,或是無法找尋到此欄位的內容,可以將其設為此欄位本身的預設值”ffffffff”。
- (2)Extent的大小:此欄位值與表頭中第一個要復原的欄位是相同的值。
- (3)Extent的格式:格式可以分為sparse和flat,此欄位可以由Vmx與Log檔的檔名進行辨識。
- (4)Extense的儲存檔名:此欄位亦可由Vmx檔及Log檔中發現。
完成這兩個復原動作後,映像檔大致上已經復原,可以進行分析的動作。
4. 若無法復原以及其他鑑識手法
若採用上述的方法,映像檔仍然無法恢復,鑑識人員還是必須對於映像檔進行metadata的採取及分析。此外,若虛擬機器是建置於Windows作業系統環境下,可以從註冊檔中找到A君在拍賣所使用的帳號和線索。
除了分析映像檔外,鑑識人員也必須針對Vmem檔進行分析,因為Vmem檔為虛擬機器中的記憶體,在分析Vmem檔時可以利用Compare VMware snapshots或是Memparser工具從記憶體中取得有用的資料,Memparser工具如圖6所示。
|
▲圖6 Memparser工具。 |
從虛擬機器中所鑑識出的資料,可提供鑑識人員推斷犯罪者的犯罪手法。同一台機器中,單一作業系統已經不是唯一的選擇。面對能夠多方執行作業系統的虛擬機器,鑑識人員必須了解運作狀態,進而選擇適當的鑑識方法。
結語
虛擬化技術在雲端技術廣泛的應用下更趨重要,對於犯罪者而言也是方便管理並且可以快速損毀證據的工具。虛擬機器雖然聽起來是透過模擬而產生的系統,但虛擬機器中模擬出的硬體確實是虛擬,但是存在於虛擬機器中的資料卻是實質上的證據。有時鑑識人員可能因為疏忽了虛擬機器而忽略掉重要的證據。鑑識人員在進行虛擬機器的數位鑑識時,必須對虛擬機器有一定的了解,才能夠在虛擬機器中取出更多有用的證據。
<中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>