虛擬桌面蒐證難度高 鑑識採證須隨架構而異

自科技時代來臨後，隨著犯罪由傳統犯罪轉為科技犯罪，數位鑑識領域也開始出現學術和實務方面的討論。無論是數位鑑識方法或是數位鑑識流程都隨著時代而變化和進步，以下將探討兩者的改變以及目前的數位鑑識流程和數位鑑識方法。

數位證據若要具備法律效力，鑑識人員必須使用標準的數位鑑識流程。第一個數位鑑識研究研討會（DFRWS）於2001年在倫敦舉行，此次會議根據各個與數位鑑識相關領域的專家共同提出一套數位鑑識流程，流程內容包含識別（Identification）、保存（Preservation）、收集（Collection）、驗證（Examination）、分析（Analysis）以及展示（Presentation），如圖1所示。

▲圖1 DFRWS數位鑑識流程。

隨著DFRWS提出相關的數位鑑識流程，美國的NIJ（National Institute of Justice）也於2001年發布一套電子犯罪的數位鑑識流程，讓鑑識人員在進行數位調查時有一套準則可以依循。

該套模型具備四個流程，包含收集、驗證、分析以及報告，其流程與各步驟如圖2所示。

▲圖2 NIJ數位鑑識流程。

目前國際資訊安全標準程序正在制定的ISO27043則提供了各種事件調查情形調查流程的理想化模型，包括事前準備至證據的儲存，分別有準備程序、初始化程序、獲取程序以及調查程序，四個程序中包含了數位證據的識別、收集與獲取、保存、驗證、分析和解釋等動作的方法以及重要事項。

虛擬桌面之數位鑑識

本文介紹的方法主要著重於虛擬桌面環境下獲取數位證據的方法，並希望此方法可以幫助面對虛擬化技術的鑑識人員，針對虛擬桌面環境的數位採證架構如圖3所示，以下將分點進行說明。

▲圖3 Server Hosted Model虛擬桌面數位鑑識流程。

識別（Identification）

在進行數位鑑識之前，針對所要鑑識的環境必須先有初步的了解，以得知要運用哪些方法找尋潛在的數位證據，並了解潛在數位證據的位置所在。

識別的程序可以幫助鑑識人員減低進行數位鑑識的成本，以及將證據毀壞的程度減至最小，並且找出最大量的潛在數位證據。

在ISO27037中提及，識別程序包含搜尋、辨識及記錄潛在的數位證據。識別程序應該辨識出可能存有與事件相關之數位證據的數位儲存媒體及運行的設備。

當鑑識人員面對虛擬桌面環境時，必須先了解虛擬桌面的技術架構，該環境是採用何種配置以及證據可能存在的儲存媒體。以下幾點為鑑識人員在進行數位鑑識前必須先進行識別的要素。

1. 虛擬桌面硬碟架構
在虛擬桌面的架構下，虛擬桌面的硬碟可以分為Persistent模式和Non-Persistent模式。Non-Persistent模式在虛擬桌面關機以及重開機後會將資料進行抹除，並還原至預設狀態。因此，若是虛擬桌面採用Non-Persistent模式，鑑識人員必須在事件發生時採用Live-Forensics方法，否則將會損失關鍵的數位證據。

2. 虛擬桌面用戶配置
私有雲的虛擬桌面可以讓使用者以各自的帳號進行登錄，若是採用多租戶的概念，則一台伺服器中的資料含有多個使用者。

若是此私有雲含有訪客的帳號，或是鑑識人員沒有足夠資訊指出特定使用者帳號為非法者時，鑑識人員就逕自進行伺服器的位元拷貝並做相關的分析，將可能會危害的其他用戶的隱私權。

除此之外，由於有多個虛擬桌面，因此鑑識人員在進行分析時需要花費大量的時間與成本。因此，在識別程序中必須了解此私有雲的虛擬桌面用戶配置，並且盡可能地取得足夠的資訊鎖定相關的非法者。

3. 數位證據儲存媒體
在虛擬桌面環境中，由於使用者透過精簡型電腦即可控制虛擬桌面，因此與傳統數位鑑識方法相比，必須收集的實體硬體，除了終端使用者所使用的筆電、手機或平板電腦外，亦包含了裝載虛擬桌面的伺服器及管理Event DB的伺服器。

因為犯罪環境可能會隱藏在終端使用者的電腦或是虛擬桌面中，而終端使用者的電腦必不會存有虛擬桌面中的數位證據，因此必須收集裝載虛擬桌面的伺服器，並透過Event DB來判斷使用者是否在何時利用網路連線登入。

4. 實體機器與虛擬桌面啟動狀態
在進行現場調查的時候，必須先觀察目標系統的啟動狀態，若是仍處於啟動狀態，必須馬上進行Live-Forensics以避免遺失揮發性資料，例如記憶體資訊、網路連線資訊或是啟動程序列表等等，而完成Live-Forensics之後再關機進行Bit-by-Bit的映像檔拷貝。若是關機狀態，則直接進行相關的硬碟複製。

收集（Collection）及獲取（Acquisition）

在ISO27037中提到的獲取程序，是將可能存在潛在數位證據的設備移動到鑑識實驗室環境，並進行獲取和分析的動作。需要收集的設備可能為啟動狀態或關機狀態，針對這兩種狀態下的收集方法和工具會有所不同。