【行业资讯】浅议云环境下涉案电子数据取证研究

原创： 警察技术   作者：陈梓鉴
 

摘要：大数据时代带来了云计算技术的发展和普及，为人们提供了经济便捷的云服务，但利用云平台实施的网络犯罪也日益猖獗。云计算具有海量数据分散存储、虚拟化、数据弹性存储易失的特点，传统的电子数据取证方法提供的取证数据吞吐量有限，盲目对云环境开展涉案电子证据取证无异于大海捞针，通过对云环境取证基础概述和当前云环境下电子数据取证所面临困难的分析，提出了云环境下电子数据取证流程，探讨云环境下电子数据取证技术框架和取证思路，并给出云环境涉案电子数据取证实例，最后对云取证技术未来发展做出展望。
 

引言：
 

近年来大数据技术迅猛发展，尤其是云计算技术的快速发展和应用已渗透到社会的各个层面，云计算给用户提供经济、便捷的信息服务，但利用云计算平台实施网络犯罪行为也日益猖獗。与传统信息系统相比，云平台系统结构更加复杂，数据规模巨大，应用类型多样，加之相关法律规章的不完善和技术手段的匮乏，因此以单一、离散、非系统线索及事后取证为主的传统电子数据取证方法已不能有效地适应云取证要求。所以，研究如何从云环境中提取完整可信的电子证据已成为当前云取证技术研究的热点问题。本文基于云环境取证的基础概述，分析云环境下电子数据取证所面临的问题，提出云环境涉案电子数据取证流程，探讨云环境下电子数据取证技术框架、取证思路，给出取证实例，最后对未来云环境电子数据取证发展做出一定展望。
 

一、云环境取证基础概述
 

（一）云环境电子数据取证的含义

美国国家标准与技术研究院（NIST）定义：云计算是一种IT资源的使用模式，这种模式提供可用的、便捷的、按需的网络访问， 进入后可配置计算资源共享池（资源包括网络，服务器，存储，应用软件，服务），资源以共享资源池的方式统一管理，这些资源的使用和释放能够快速进行，同时只需投入很少的管理工作，或与服务供应商进行很少的交互即可。当前，公认的云计算服务模型有3种：软件即服务（SaaS）、平台即服务（PaaS）、基础设施即服务（IaaS）,其中SaaS的典型实例有百度云,360云等个人应用云，PaaS的典型实例有Sina AppEngine(SAE)等；IaaS的典型实例有阿里云、Amazon EC2等；云计算有四种部署模式：私有云、社区云、公有云和混合云。
 

目前对电子数据取证的定义：取证主体严格按照符合法律规定的程序，遵循合乎标准的技术流程以发现、固定、提取、分析、检验、记录和展示涉案电子设备中存储的电子数据，找出其与案件事实之间的客观联系，确定其证明力的过程。
 

综合以上两点看，云环境电子数据取证的实质就是电子数据取证目标对象是虚拟化应用（平台环境）的取证活动，由于云环境引入了虚拟化技术和分布式技术，因此云环境取证具备了有别于传统计算机犯罪侦查取证的特点，证据的获取一般不能物理扣押，只能在线提取，难以确定某特定时间点确切的证据位置。
 

（二）云环境下电子数据取证面临的问题
 

基于云环境的特点，云环境电子数据取证主要面临的问题有：
 

1．用户对数据控制能力有限。云计算三类服务模型（IAAS、PAAS、SAAS），每一种模型的用户对数据的掌控能力都是有约束限度的，此时若发生攻击等意外，用户和调查取证者必须依赖云服务提供商才能完成云服务相关云端数据的调查取证，同时云环境下实际存储节点的物理地址等情况对用户来说是未知的，用户、调查取证者对数据失去自主控制、自主取证的能力，而一旦服务提供商不配合或配合过程复杂，就会给云环境数据取证带来重重困难。
 

2.云环境弹性存储模式，证据数据易丢失。云计算用户使用的资源同业务需求一致，虚拟机实例会按需求进行分配和回收，自动适应业务负载的动态变化，这种弹性存储模式会导致支撑云应用运行的虚拟机实例个数根据实际任务需要动态增加或减少，当某个云服务被终止时，使用完毕的虚拟机实例就会被注销，相关资源被回收并重新提供给新的用/租户，新的实例数据就会迅速覆盖旧的实例数据，同时由于云端数据更新速度快，证据数据可能随时都会被污染，破坏证据数据的原始性，因此若不能在数据被覆盖或被污染之前及时提取虚拟机实例中的电子证据，就会造成相关电子证据信息不可逆转的丢失，破坏电子证据的原始性、完整性、可重现性。
 

3.云环境下数据规模巨大，难以直接获得有效证据数据。传统的电子数据取证主要依靠单机（工作机）直接对涉案电子设备或网站开展勘验活动，剔除无用数据，发现与案件有关的电子证据。而在云环境下，电子数据量大、格式繁杂多样，要在海量、格式繁杂、来自不同主机节点的海量数据中分析检索出与案件相关的电子证据，需要强大的存储空间与计算能力，这是传统的单机取证无法完成的，目前缺乏成熟的取证规则和技术工具。
 

4.云端数据存在加密。目前许多云服务商为保证数据安全性对云端存储的原始数据都进行加密，不同厂商的加密算法也不相同，因此如何对云端数据进行解密破解分析也是云环境数据取证要关注的重点问题。

针对目前云环境电子数据取证所面临的问题，笔者借鉴传统电子数据取证方法，并结合实际工作经验提出云环境电子数据取证流程。
 

二、云环境电子数据取证流程
 

依据现行关于数据取证的具体规程，参考远程主机/网站数据获取方法，笔者结合实际工作，总结归纳云环境下电子数据取证流程，保证获取电子证据的合法性、完整性和可用性，具体取证流程如图1所示。 

1. 对案件发生的环境、案件性质等具体案件情况进行分析，明确数据取证要获取的目标数据；
 

2. 分析案件云环境的具体架构，确定云服务的具体类型，同时参考传统的电子数据取证方法，结合案情和取证目标设计具体取证思路、流程；
 

3. 构建取证环境（如构建跳板机），开展全方位数据取证工作，可以从两个方面入手：
 

（1）取证客户端

云环境下数据虽然主要在网络服务器上完成处理，但都离不开客户端软件、浏览器的参与的，因此在本地客户端会留下一些痕迹数据（如账号、缓存数据、浏览历史、系统日志、cookie、移动终端上的图片、SQLITE数据、浏览器、恢复数据信息等），侦查人员可深入扫描客户端的存储残留区、未分配簇、缓冲区，结合文件过滤、设置关键词等手段最大限度提取本地残留数据，根据这些残留数据线索信息，得到案件嫌疑人的相关信息，方便进一步进行取证分析活动。例如在一些跨国电子邮件网络诈骗案中，邮箱服务器往往在国外，直接取证邮箱服务器数据会有一定的困难，通过取证客户端仍能够获得包含诈骗邮件的网页缓存和cookie等信息。
 

（2）取证云服务器端或子云服务提供商

云环境下的服务都是在线完成的，比如Amazon E2私有云服务，其服务分类属于IaaS，用户向CPS申请AMI（Amazon Machine Image），构建自己的虚拟主机，客户无需安装任何软件直接在线设置进行操作，CPS对其用户数据有绝对的控制权，在获得法律授权的情况下，取证人员应转换角度，将取证目标放在CPS的云端服务器上，对云端服务器开展数据取证。同时一些子云服务提供商会租用如Google，IBM等大型云服务商的云服务器，因此可根据案件具体情况，直接从子云服务提供商处进行取证，提高取证效率降低取证成本。
 

根据云环境电子数据取证流程的具体步骤，接下来详细说明云环境电子数据取证技术架构和一般取证思路。

三、云环境电子数据取证技术框架和取证思路
 

 NIST 定义下的云体系结构主要由物理资源层（包括物理硬件和基础设施，如CPU、路由器、防火墙）、资源抽象和控制层（云服务提供商通过软件抽象用来提供和管理访问物理计算资源管理的系统组件，如虚拟机）、服务层（云服务提供商为云消费者访问计算服务定义接口的层，包括SaaS、PaaS、IaaS）三层构成，如图2所示。

依据云计算体系架构，针对每一云体系架构层，设计云环境下电子数据取证总体技术框架如下：
 

1.物理资源层。采用现场勘验的方式，分析物理硬盘、网络拓扑，获取网络流量和网络拓扑结果。
 

2.资源抽象和控制层。采用现场勘验和证据调取的方式，获取分析虚拟磁盘、安全架构和安全日志。
 

3.服务层。采用现场勘验、远程勘验和证据调取相结合的方式，勘验相关应用，获取分析虚拟系统镜像，进行仿真勘验分析。
 

具体技术框架详见表1。

取证技术框架解决了云环境下电子数据取证“有什么技术可用”和“有什么数据可取”的问题，但针对具体案件如何高效的开展电子数据取证，即要解决“怎么取”的问题，还要结合是否有享有云端数据权限的情况设计云环境电子数据取证思路，具体如下：
 

1.有云端数据权限的情况。通过先期的一些侦查工作，获得犯罪嫌疑人的云服务账号信息，同时获取云服务商相关信息，通过“犯罪嫌疑人-虚拟身份-云服务-云端数据”的方式，识别获取云服务日志、上传的云端数据等信息。
 

2.没有云端数据权限的情况。可以通过主机渗透等技术手段获取权限或者直接寻求云服务商协助取证，利用VM、P2V等虚拟化迁移技术，对目标云环境的进程、临时文件、网络状态、存储信息等实例进行虚拟机镜像（可参考云端数据的虚拟迁移隔离技术），对获取的虚拟镜像在线构建分析平台或下载镜像后开展电子数据取证分析，获取云端数据信息。
 

综合以上的云环境电子数据取证流程、取证技术框架和取证思路，本文列举两个云环境案件取证工作实例。
 

四、云环境电子数据取证实例
 

（一）实例一：云盘类案件取证方法

常见案件类型：网络贩卖淫秽色情视频牟利案件

作案方式：犯罪嫌疑人组建QQ、微信群组，通过互联网发布群组广告，通过群组传播、出售贩卖存储有淫秽色请视频的云盘账号密码进行牟利

取证方法：

1. 远程勘验，主动取证。利用云盘客户端远程登录、下载、固定云盘内淫秽视频并全程同步录音录像，出具电子数据勘验检查笔录；2.云服务商CPS协助取证。为防止云盘账号被关停而导致数据丢失，在获得法律授权的前提下，可要求CPS冻结相关涉案账号并协助进行数据提取。

需要注意的是如果涉案云盘账号数量众多或存储文件数量巨大的情况，没有必要对案件的全部电子数据进行固定取证，只需对涉案数据进行数据抽样下载固定，保证固定证据量达到法律规定量刑标准即可。
 

（二）实例二：云服务集群取证方法

案件类型:租用云服务器，进行黑客攻击牟利案

作案方式：犯罪嫌疑人租用国内云服务器，通过网络发布雇用信息提供黑客攻击服务牟取暴利

取证方法：

1.通过CPS获取云服务类型、拓扑架构、服务器的账号密码和数据备份计划；

2.根据CPS提供的拓扑架构在网络出口配置镜像端口，用wireshark进行抓包分析，监控流量确定协议类型；

3.构建取证环境，主要是跳板机用作取证临时存储，远程登录重点服务器，固定提取目标集群日志、攻击程序源代码、攻击软件，也可以下载虚拟机镜像（如果条件允许可要求CPS协助取证，提供待勘验虚拟主机镜像）利用FTK Imager加载镜像并进行动态仿真分析，提取相关攻击程序和日志文件；

4.对被攻击网站调取网站被攻击日志作为辅助电子证据，对所有固定提取的云环境电子数据出具电子数据勘验检查笔录。
 

五、云环境下取证发展展望
 

云环境取证作为一种新型的涉案电子数据取证方式，未来应该重点从技术和制度两个方面进一步完善发展。
 

一方面取证技术、工具要不断更新，研究制定更加优化高效的取证模型框架。比如云环境下数据海量和易丢失需要取证工具和取证技术的进一步更新；能否利用云环境本身强大的计算能力和灵活的资源分配方式展开分布式电子数据取证工作，提高大数据时代海量电子数据的取证效率也是值得研究的问题；当然云环境下电子数据取证技术也要进行司法鉴定方面的考虑，需要加强验证使其符合取证的法律效力。
 

另一方面制定并细化云技术电子数据取证的相关配套规范，加强云环境电子数据取证所涉及相关主体机构之间的合作协调，明确云用户、云服务商和侦查取证主体之间的权力和义务责任，进一步完善管理规则，探索落实云服务商数据日志留存和安全审计责任。
 

六、结束语
 

在云计算时代，传统的以具体设备和文件为基础的电子数据取证方式已无法适应云环境电子数据取证的要求，笔者结合实际工作并参考传统电子数据取证技术提出了云环境下电子数据取证流程、取证技术框架和取证思路，希望可以更好的服务于案件侦查实战，当然随着云技术的不断发展，也会衍生出更多的问题，这些都需要进一步的研究学习，希望本文能为在如何在云环境下开展电子数据取证工作提供一定的参考性建议。