该实验室模块的目的是恢复介质,在其原始状态下实施观察。所用的设备是,取证计算机、嫌疑计算机、目标驱动器、取证软件、恢复软件、虚拟机软件(VMWare)。
该实验室模块的局限是,硬件设置有可能会影响进入恢复的介质,只能够进入逻辑文件系统;正确启动操作系统有可能需要许可;成功启动需要虚拟功能。
具体程序是:
(1)恢复:许多时候需要在证据原始状态下对其进行观察,使用同样存储容量的镜像进行恢复是可以接受的,恢复的介质可以插入原始设备用以启动硬件,包括,将恢复的驱动器连接工作站,使用恢复软件打开镜像克隆或恢复所有镜像文件,记录所使用的方法,确定恢复镜像的Hash值,将其与原始证据的Hash值作比较;
(2)虚拟化:另一个选项是使用虚拟镜像技术,提供的虚拟环境能够使检验人员像嫌疑人计算机的真实用户一样实施检验;
(3)本地或虚拟的连接驱动器:将克隆或镜像文件作为虚拟驱动器安装于虚拟机上,EnCase或是FTK均允许这样做;运行虚拟机软件,将虚拟驱动器和虚拟机相连接,启动虚拟机软件环境下的虚拟计算机镜像;
(4)实时查看:对目标硬盘做一个DD镜像,打开实时浏览,通过DD镜像制作一个虚拟机,在分析机器上保存虚拟机,使用虚拟化软件启动虚拟机。
【注释】
[1]刘耀,中国工程院院士,公安部物证鉴定中心主任。杜春鹏,中国政法大学刑事司法学院讲师。(www.zuozong.com)
[2]参见丁丽萍、王永吉:“多维计算机取证模型研究”,载《信息网络安全》2005年第10期。
[3]参见麦永浩等:《计算机取证与司法鉴定》,清华大学出版社2009年版,第14页。
[4]参见张楚、张樊:“网络取证中的若干问题研究”,载《证据科学》2007年第Z1期。
[5]参见蒋平、黄淑华、杨莉莉:《数字取证》,清华大学出版社、中国人民公安大学出版社2007年版,第86页。
[6]See Reith Mark,Carr Clint,etc.“An Examination of Digital Models”.International Journal of Digital Evidence.Fall 2002(Volume 1,Issue 3),pp.3-6.
[7]参见The Enhanced Digital Investigation Process Model,http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.60.492&rep=rep1&type=pdf,最后访问时间:2013年12月31日。
[8]参见宋佳、闫晓婷:“计算机取证模型研究”,载《科技广场》2007年第3期。
[9]参见丁丽萍、王永吉:“多维计算机取证模型研究”,载《第二十次全国计算机安全学术交流会论文集》2005年版。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
