鄭清安,黃云峰

(福建警察學(xué)院 計(jì)算機(jī)與信息安全管理系，福建 福州 350007)

0 引言

2012年3月14日，最新修訂的刑事訴訟法新增了一種證據(jù)種類“電子數(shù)據(jù)”，自此，電子數(shù)據(jù)作為獨(dú)立的一種證據(jù)種類可以在法庭上呈現(xiàn)[1]。為了保證取證所獲取的電子數(shù)據(jù)的客觀性、完整性、合法性，取證人員在提取電子數(shù)據(jù)的過程中所采取的方法手段恰當(dāng)與否非常關(guān)鍵，它將直接影響后續(xù)的取證分析環(huán)節(jié)及電子證據(jù)的司法有效性，對(duì)電子證據(jù)被采納具有重要影響[2]。因此，對(duì)于前期電子數(shù)據(jù)的獲取固定研究具有重要意義。

目前，對(duì)于電子數(shù)據(jù)的獲取固定常見方式有兩種：一種是直接對(duì)可拆機(jī)取出的物理磁盤使用硬盤復(fù)制機(jī)或者只讀鎖配合磁盤鏡像工具、綜合取證軟件等專用設(shè)備來(lái)獲取磁盤鏡像副本；另一種是在無(wú)法拆機(jī)或者使用硬盤復(fù)制機(jī)和只讀鎖無(wú)法獲取數(shù)據(jù)的情況下，通過取證專用的啟動(dòng)光盤、啟動(dòng)U盤等軟件來(lái)啟動(dòng)目標(biāo)機(jī)器，獲取目標(biāo)存儲(chǔ)介質(zhì)中的數(shù)據(jù)。拆機(jī)獲取數(shù)據(jù)的方法相對(duì)成熟，只要取出物理硬盤，大多數(shù)情況都可以通過取證設(shè)備獲取硬盤鏡像副本，但也有例外。如隨著硬盤技術(shù)的快速發(fā)展，對(duì)于一些特殊定制的硬盤接口，取證設(shè)備中還沒有對(duì)應(yīng)的轉(zhuǎn)換器，以致無(wú)法完成數(shù)據(jù)獲取。另外,有些一體化的機(jī)器也不容易拆卸，有時(shí)受取證時(shí)間緊、機(jī)器被物理鎖定等客觀條件的約束也不可能去拆卸。在這種情況下，通過取證專用啟動(dòng)盤來(lái)啟動(dòng)機(jī)器獲取數(shù)據(jù)成為取證人員的首要選擇。

當(dāng)前，常見的取證專用啟動(dòng)盤有WinFE、Helix、Kali Linux、PALADIN、DEFT、CAINE等，使用這些基于預(yù)安裝環(huán)境(Pre-installation Environment,PE系統(tǒng))的專用取證系統(tǒng)來(lái)獲取存儲(chǔ)介質(zhì)中的數(shù)據(jù)，在技術(shù)層面上防止了原始數(shù)據(jù)因提取檢驗(yàn)而被更改或破壞的發(fā)生，保證了所收集數(shù)據(jù)的客觀性。但是，取證專用啟動(dòng)盤在使用可靠性、兼容性和可擴(kuò)展性方面，還存在諸多問題亟待解決。

(1)Helix、Kali Linux、PALADIN、DEFT、CAINE是以Ubuntu的Linux PE系統(tǒng)為基礎(chǔ)環(huán)境開發(fā)的取證系統(tǒng)，對(duì)于國(guó)內(nèi)軟件多數(shù)基于Windows平臺(tái)開發(fā)的綜合取證工具無(wú)法兼容。

(2)WinFE是基于Windows PE[3]系統(tǒng)改進(jìn)的，只支持運(yùn)行基于Windows系統(tǒng)環(huán)境開發(fā)的取證工具軟件，并且原生制作的WinFE啟動(dòng)盤只能在命令行提示符模式下操作，不支持圖形用戶界面。另外，對(duì)取證工具軟件的增加修改，需要重新制作WinFE鏡像，操作過程較為繁鎖，使用上不夠靈活，取證效率不高。

針對(duì)這些問題，由位曉曉等人提出了通過制作WinPE的啟動(dòng)U盤,快速提取電腦使用的系統(tǒng)信息和使用痕跡信息，而對(duì)于WinPE系統(tǒng)啟動(dòng)加載涉案盤可能對(duì)涉案盤數(shù)據(jù)產(chǎn)生的影響并未涉及[4]。陳明金分析了免拆機(jī)取證技術(shù)的發(fā)展?fàn)顩r，提到了WinFE系統(tǒng)環(huán)境可保證不對(duì)源盤進(jìn)行改動(dòng)，從而保證所獲取數(shù)據(jù)的司法有效性，但并未提及具體原理方法[5]。其他的相關(guān)研究多數(shù)集中在基于WinPE系統(tǒng)的U盤量產(chǎn)制作方面，例如，顧超捷等人研究通過USB-CD和USB-ZIP兩種啟動(dòng)模式，實(shí)現(xiàn)具有WinPE系統(tǒng)的U盤啟動(dòng)功能的量產(chǎn)[6]。以上這些方法普遍受制于各自應(yīng)用的局限性，很難在取證時(shí)兼顧所獲取的數(shù)據(jù)的司法有效性、可靠性和啟動(dòng)盤的兼容性、易用性、可擴(kuò)展性。因此，本文通過分析制作WinFE系統(tǒng)保證司法有效性的核心原理，提出對(duì)原生制作的WinFE系統(tǒng)進(jìn)行優(yōu)化，并通過分析系統(tǒng)啟動(dòng)引導(dǎo)磁盤的機(jī)制，探討對(duì)U盤進(jìn)行分區(qū)，將優(yōu)化后的WinFE系統(tǒng)寫入到U盤隱藏分區(qū)制作成可啟動(dòng)U盤。實(shí)驗(yàn)測(cè)試表明，改進(jìn)后的WinFE系統(tǒng)U盤啟動(dòng)盤在保證司法有效性的同時(shí)，其易用性、可靠性、兼容性和可擴(kuò)展性方面明顯提高。

1 WinFE系統(tǒng)制作原理分析

WinFE的全稱是Windows Forensic Environment，是2008年微軟公司的研究人員Troy Larson開發(fā)的一款專用于電子數(shù)據(jù)取證領(lǐng)域進(jìn)行數(shù)據(jù)獲取和分析的Windows PE系統(tǒng)?；赪indows PE系統(tǒng)的WinFE裝載在存儲(chǔ)介質(zhì)中默認(rèn)設(shè)置為只讀，其工作原理類似于Linux系統(tǒng)的LiveCD,啟動(dòng)時(shí)不自動(dòng)掛載任何存儲(chǔ)介質(zhì)[7]。與Linux的LiveCD不同的是，WinFE可以運(yùn)行基于Windows系統(tǒng)環(huán)境的取證工具軟件。因此，所有基于Windows平臺(tái)開發(fā)的綜合取證工具軟件以及常見的便攜式工具都可以在WinFE上運(yùn)行。

1.1 WinFE系統(tǒng)制作原理

WinFE的整個(gè)制作工作流程如圖1所示[8]。

圖1 WinFE制作工作流程

WinFE制作的具體關(guān)鍵環(huán)節(jié)在于以下幾點(diǎn)：

(1)使用AIK命令拷貝WinPE的主要文件到WinFE文件夾，掛載boot.wim鏡像文件修改配置系統(tǒng)環(huán)境。

(2)修改模板鏡像文件中的注冊(cè)表的兩個(gè)鍵值，使得整個(gè)系統(tǒng)符合取證環(huán)境的需要。

①使用RegEdit加載WinFE中的注冊(cè)表文件SYSTEM，配置單元命名為WinFE，在注冊(cè)表“HKEY_LOCAL_MACHINEWinFEControlSet001servicesmountmgr”下創(chuàng)建一個(gè)DWORD(32)的類型項(xiàng)，鍵名為NoAutoMount，鍵值設(shè)置為1，這個(gè)鍵值的作用是Mount-Manager服務(wù)不會(huì)自動(dòng)掛載任何存儲(chǔ)設(shè)備。

②在“HKEY_LOCAL_MACHINEsystemControlSet001ServicespartmgrParameters”下有一個(gè)鍵為“SanPolicy”，這個(gè)鍵原值為1，將它修改為3或者4，其中1表示全部聯(lián)機(jī)，3表示全部脫機(jī)，4表示內(nèi)部脫機(jī)，即只有內(nèi)置磁盤是脫機(jī)的。之所以要脫機(jī)是因?yàn)橐坏┞?lián)機(jī)，磁盤屬性變成可寫狀態(tài)，在可寫的狀態(tài)下系統(tǒng)掛載卷時(shí)會(huì)向磁盤寫入4字節(jié)的標(biāo)簽代碼，從而破壞磁盤的原始性。對(duì)于取證來(lái)說，這是一個(gè)潛在的改變檢測(cè)數(shù)據(jù)的風(fēng)險(xiǎn)，雖然還沒有證明這些數(shù)據(jù)是有影響的，但是通過對(duì)整個(gè)物理磁盤校驗(yàn)哈希值，發(fā)現(xiàn)這個(gè)數(shù)值已經(jīng)發(fā)生改變，所以取證環(huán)境下不能直接掛載需要取證的磁盤。

(3)添加常用的取證工具軟件，通常是添加不需要安裝、可以移植運(yùn)行的應(yīng)用程序，如命令行應(yīng)用程序Garner Forensic Acquisition Utilities、NTI Suite、Sysinternals、Maresware applications、FTK Imager Lite、X-Ways Forensics等。取證人員可根據(jù)使用習(xí)慣和特長(zhǎng)將取證所需工具拷貝到事先創(chuàng)建的文件夾WinFETools下，隨時(shí)調(diào)用。

(4)添加驅(qū)動(dòng)程序，通常根據(jù)需要可以將通用或特定的視頻驅(qū)動(dòng)程序、RAID驅(qū)動(dòng)程序和其他特定于硬件的驅(qū)動(dòng)程序添加至鏡像中。使用的AIK命令示例如下：

peimg.exe /inf=C:drivers*.inf C:winFEmountWindows

(5)使用AIK命令創(chuàng)建ISO鏡像，將ISO文件刻錄至光盤。

1.2 WinFE系統(tǒng)使用分析

WinFE系統(tǒng)一般可以刻錄成啟動(dòng)光盤，通過可啟動(dòng)光盤可以直接引導(dǎo)啟動(dòng)被檢計(jì)算機(jī)，其最大的優(yōu)點(diǎn)是通過修改注冊(cè)表鍵值，不自動(dòng)掛載存儲(chǔ)設(shè)備和使磁盤處于脫機(jī)狀態(tài)，保證了被取證對(duì)象磁盤數(shù)據(jù)的客觀性。然而WinFE實(shí)際操作起來(lái)也有明顯的局限性。

(1)WinFE默認(rèn)啟動(dòng)操作界面是命令行提示符模式，對(duì)多任務(wù)的操作要來(lái)回切換，操作麻煩，沒有圖形界面直觀，取證效率不高。雖然可以通過添加第三方的GUI菜單管理應(yīng)用程序一定程度上解決這個(gè)問題，但實(shí)際操作過程中穩(wěn)定性并不高。

(2)對(duì)WinFE啟動(dòng)盤的任何改動(dòng)，例如要再次添加、更新、修改取證工具軟件等，即使該軟件是可移植運(yùn)行的免安裝程序，都必須重新制作WinFE鏡像，操作過程較為繁鎖。

2 WinFE啟動(dòng)盤改進(jìn)方案

關(guān)于Windows PE系統(tǒng)的研究，技術(shù)層面上有許多成熟的應(yīng)用解決方案[9]，由于WinFE本身是基于Windows PE系統(tǒng)改進(jìn)而來(lái)的，針對(duì)WinFE系統(tǒng)的局限性問題，理論上都可以通過對(duì)Windows PE系統(tǒng)進(jìn)行進(jìn)一步改進(jìn)，進(jìn)而應(yīng)用于WinFE系統(tǒng)解決相關(guān)問題。下面從WinFE系統(tǒng)的制作優(yōu)化以及刻錄到U盤使用，探討WinFE電子數(shù)據(jù)取證啟動(dòng)盤的改進(jìn)方案。

2.1 WinFE系統(tǒng)的優(yōu)化

2.1.1 增加圖形化界面

對(duì)于WinFE系統(tǒng)默認(rèn)啟動(dòng)沒有圖形用戶界面的問題，其原因在于制作時(shí)并沒有考慮到用戶交互的問題，啟動(dòng)時(shí)默認(rèn)使用命令提示符cmd.exe來(lái)操作系統(tǒng)進(jìn)行交互。針對(duì)這個(gè)問題，解決思路是通過在系統(tǒng)啟動(dòng)時(shí)直接添加Windows Explorer作為默認(rèn)的命令解析器與操作系統(tǒng)進(jìn)行交互，具體操作方法有以下兩種。

(1) 修改WinFE的原始鏡像文件boot.wim，手動(dòng)添加操作系統(tǒng)的資源管理器Explorer。

其主要操作步驟為：

①修改WinFE的SOFTWARE注冊(cè)表權(quán)限等配置，獲取完整的SOFTWARE注冊(cè)表文件。

②更改啟動(dòng)時(shí)調(diào)用的命令解析器，將SOFTWARE注冊(cè)表路徑為MicrosoftWindows NTCurrentVersionWinlogon下的“Shell”=“cmd.exe /k start cmd.exe”改成“Shell”=“explorer.exe”Shell。

③從install.wim中拷貝資源管理器運(yùn)行所需要的系列文件到boot.wim中相對(duì)應(yīng)的位置，保存修改并重新打包boot.wim,按圖1WinFE制作工作流程操作，創(chuàng)建新的ISO鏡像文件。

(2)使用具有圖形用戶界面的Windows PE系統(tǒng)作為樣本，提取其中的boot.wim鏡像文件作為源文件，按照?qǐng)D1 WinFE制作工作流程，從具體關(guān)鍵環(huán)節(jié)的步驟(2)修改注冊(cè)表的兩個(gè)鍵值開始操作，創(chuàng)建新的WinFE系統(tǒng)。其中，具有圖形用戶界面的Windows PE系統(tǒng)可以通過WinPE系統(tǒng)的制作工具Winbuilder定制創(chuàng)建[10]。

2.1.2 增加磁盤保護(hù)鎖

出于對(duì)獲取數(shù)據(jù)司法有效性的考慮[11]，WinFE系統(tǒng)不會(huì)自動(dòng)掛載存儲(chǔ)設(shè)備，系統(tǒng)啟動(dòng)時(shí)，默認(rèn)配置取證對(duì)象磁盤不聯(lián)機(jī)，要對(duì)磁盤進(jìn)行在線檢驗(yàn)分析必須聯(lián)機(jī)掛載磁盤。有實(shí)驗(yàn)研究表明，聯(lián)機(jī)掛載非Windows操作系統(tǒng)的磁盤時(shí)，WinFE會(huì)在磁盤偏移位置Ox1B8處寫入4個(gè)字節(jié)的數(shù)據(jù)，用于標(biāo)記Windows驅(qū)動(dòng)器簽名，通過只讀方式掛載卷“volume”時(shí)將會(huì)向磁盤偏移位置Ox417處寫入控制代碼。雖然這些并非用戶創(chuàng)建的數(shù)據(jù)，其行為是可以預(yù)見和解釋的，但是為了更好地保護(hù)磁盤數(shù)據(jù)，預(yù)防潛在的可能改變檢測(cè)數(shù)據(jù)的風(fēng)險(xiǎn)，增加磁盤保護(hù)鎖工具顯得十分必要。磁盤保護(hù)鎖是一個(gè)簡(jiǎn)易的免安裝應(yīng)用程序，例如Clin Ramsden等人研發(fā)的開源程序WinFE Write Protect Tool，其主要功能為精確控制磁盤的只讀、讀寫、掛載、卸載等操作，保證在線檢驗(yàn)分析時(shí)所獲取數(shù)據(jù)的可靠性。將WinFE Write Protect Tool封裝到WinFE系統(tǒng)，按照?qǐng)D1 WinFE制作工作流程，從具體關(guān)鍵環(huán)節(jié)的步驟(3)添加常用的取證工具軟件開始操作，添加此應(yīng)用程序并配置程序隨WinFE系統(tǒng)開機(jī)啟動(dòng)。

2.2 基于U盤分區(qū)的WinFE系統(tǒng)啟動(dòng)盤

WinFE系統(tǒng)添加新的取證工具軟件必須重新制作鏡像，主要原因是整個(gè)系統(tǒng)鏡像是一個(gè)封閉的只讀空間，把WinFE系統(tǒng)刻錄到光盤，由于光盤不可分區(qū)，無(wú)法擴(kuò)展出可利用的閑置空間，因此，每次新增數(shù)據(jù)必須重新封裝鏡像。如果將WinFE系統(tǒng)刻錄到U盤，充分利用U盤的可分區(qū)功能，將U盤劃出的部分專用空間去裝載WinFE系統(tǒng)鏡像，并模擬成啟動(dòng)盤，剩余空間當(dāng)成普通存儲(chǔ)使用，很大程度上能夠避免新增軟件帶來(lái)的重復(fù)制作鏡像問題。如此一來(lái)，需要往系統(tǒng)中添加新的取證工具軟件、文檔等，只須簡(jiǎn)單移動(dòng)復(fù)制至U盤閑置存儲(chǔ)區(qū)即可，另外，在取證分析時(shí)所獲取的數(shù)據(jù)也可以臨時(shí)存放在閑置存儲(chǔ)空間，對(duì)于取證來(lái)說充分地利用了U盤的存儲(chǔ)空間。

此類啟動(dòng)盤的制作如同制作主流的U盤Windows PE維護(hù)系統(tǒng)一樣，基本原理是基于計(jì)算機(jī)系統(tǒng)的引導(dǎo)機(jī)制。計(jì)算機(jī)系統(tǒng)的引導(dǎo)過程，根據(jù)配置模式分為L(zhǎng)egacy BIOS和UEFI兩種，具體流程如圖2所示[12]。

圖2 系統(tǒng)啟動(dòng)引導(dǎo)過程

傳統(tǒng)的BIOS啟動(dòng)過程中，BIOS自檢硬件正常后，按照主板CMOS中設(shè)置的設(shè)備啟動(dòng)順序檢測(cè)可用的啟動(dòng)設(shè)備，當(dāng)檢測(cè)到有符合要求的啟動(dòng)設(shè)備后，BIOS將控制權(quán)交給該啟動(dòng)設(shè)備的MBR。MBR位于磁盤設(shè)備的0柱面0磁頭1扇區(qū)占用512字節(jié)空間，其中包含446字節(jié)的引導(dǎo)加載程序，64字節(jié)的硬盤分區(qū)表DPT,及結(jié)束標(biāo)志＂55AA＂。MBR獲得控制權(quán)后，其中的引導(dǎo)加載程序會(huì)根據(jù)硬盤分區(qū)表找到硬盤上的可引導(dǎo)分區(qū)，將控制權(quán)轉(zhuǎn)交給分區(qū)PBR,然后調(diào)用對(duì)應(yīng)的啟動(dòng)管理器NTLDR或BOOTMGR或GRLDR，最終進(jìn)入系統(tǒng)。相對(duì)傳統(tǒng)BIOS引導(dǎo)啟動(dòng)方式，UEFI方式引導(dǎo)減少了BIOS自檢環(huán)節(jié)，其余過程類似。

通過對(duì)計(jì)算機(jī)系統(tǒng)的引導(dǎo)過程分析可知，要成功引導(dǎo)操作系統(tǒng)，關(guān)鍵點(diǎn)是要找到驅(qū)動(dòng)器硬件設(shè)備，并且驅(qū)動(dòng)器上要有正確的MBRPBR(或EFI SHELL)、啟動(dòng)管理器等信息，可以引導(dǎo)啟動(dòng)操作系統(tǒng)。根據(jù)此原理，通過對(duì)U盤進(jìn)行分區(qū)的方法，將WinFE電子數(shù)據(jù)取證系統(tǒng)裝載進(jìn)U盤，針對(duì)計(jì)算機(jī)的不同啟動(dòng)引導(dǎo)模式，合理規(guī)劃設(shè)計(jì)系統(tǒng)啟動(dòng)引導(dǎo)文件、鏡像文件的存放位置，以期提升啟動(dòng)盤實(shí)際應(yīng)用的安全性、靈活性及兼容性。下面分別闡述對(duì)U盤進(jìn)行二分區(qū)和三分區(qū)的方法。

2.2.1 二分區(qū)法

二分區(qū)法的啟動(dòng)盤結(jié)構(gòu)如圖3所示，它將U盤劃分成兩個(gè)區(qū)，前端為隱藏分區(qū)，后端為可見分區(qū)。由于不管U盤有幾個(gè)分區(qū)，Windows系統(tǒng)最多只識(shí)別一個(gè)U盤分區(qū)，默認(rèn)識(shí)別排列靠前的分區(qū)，因此后端分區(qū)自動(dòng)會(huì)被隱藏。為了能夠充分利用U盤空間，將前端分區(qū)設(shè)置為隱藏活動(dòng)分區(qū)，使得后端分區(qū)可以被Windows系統(tǒng)識(shí)別，同時(shí)讓U盤默認(rèn)從隱藏活動(dòng)分區(qū)引導(dǎo)啟動(dòng)系統(tǒng)。將系統(tǒng)啟動(dòng)引導(dǎo)文件和WinFE系統(tǒng)鏡像存放到隱藏分區(qū)，與可見分區(qū)隔離，更好地保護(hù)了啟動(dòng)引導(dǎo)文件和WinFE系統(tǒng)鏡像文件安全。如果是傳統(tǒng)BIOS引導(dǎo)方式啟動(dòng)，計(jì)算機(jī)就可以按啟動(dòng)原理順序通過訪問MBR-DRB-BOOTMGR-WinFE系統(tǒng)文件來(lái)引導(dǎo)取證啟動(dòng)盤。如果要兼容UEFI引導(dǎo)方式啟動(dòng)，那么隱藏分區(qū)應(yīng)格式化為FAT格式的文件系統(tǒng)類型，然后寫入EFI啟動(dòng)引導(dǎo)文件和支持UEFI引導(dǎo)的WinFE系統(tǒng)鏡像，計(jì)算機(jī)才能夠正常引導(dǎo)取證啟動(dòng)盤。

圖3 WinFE啟動(dòng)盤二分區(qū)結(jié)構(gòu)

實(shí)現(xiàn)步驟：

(1)準(zhǔn)備好上節(jié)改進(jìn)制作好的WinFE取證系統(tǒng)鏡像文件WinFE.ISO及U盤。

(2)將U盤初始格式化為單個(gè)分區(qū)。

(3)使用軟碟通UltraISO工具加載WinFE.ISO，點(diǎn)擊菜單啟動(dòng)-寫入硬盤映像，選擇對(duì)應(yīng)的U盤，以USB-HDD方式寫入，創(chuàng)建隱藏啟動(dòng)分區(qū)。

(4)根據(jù)實(shí)際情況可重新格式化可見分區(qū)為NTFS或者FAT32。

(5)測(cè)試啟動(dòng)盤。

2.2.2 三分區(qū)法

除了二分區(qū)法外，還可以使用三分區(qū)法進(jìn)一步提升啟動(dòng)盤的兼容性。三分區(qū)法的啟動(dòng)盤結(jié)構(gòu)如圖4所示，它與二分區(qū)法的區(qū)別在于它將兼容UEFI引導(dǎo)方式啟動(dòng)所需的文件獨(dú)立存放于高端分區(qū)即UEFI隱藏分區(qū)。這種改進(jìn)方式可以對(duì)獨(dú)立分區(qū)的文件系統(tǒng)格式采用最佳的類型，如UEFI隱藏分區(qū)采用FAT16格式，使得不論是傳統(tǒng)BIOS方式還是UEFI方式引導(dǎo)，系統(tǒng)都能根據(jù)獨(dú)立存放的引導(dǎo)文件引導(dǎo)計(jì)算機(jī)啟動(dòng)，很大程度上提升了啟動(dòng)盤的兼容性。

圖4 WinFE啟動(dòng)盤三分區(qū)結(jié)構(gòu)

實(shí)現(xiàn)步驟：

(1)準(zhǔn)備好上節(jié)改進(jìn)制作好的WinFE取證系統(tǒng)鏡像文件WinFE.ISO及U盤。

(2)將U盤初始格式化為單個(gè)分區(qū)。

(3)使用啟動(dòng)U盤制作工具FbinstTool格式化U盤，分配部分空間建立UD隱藏分區(qū)，將系統(tǒng)鏡像文件WinFE.ISO導(dǎo)入到此分區(qū)，編輯Grldr菜單，添加引導(dǎo)WinFE取證系統(tǒng)的語(yǔ)句：

title 01 WinFE

map (ud)/WinFE.iso (0xff)

map --hook

chainloader (0xff)

(4)使用分區(qū)工具DiskGenius將剩余的U盤空間劃分成兩個(gè)分區(qū)，其中前端的分區(qū)空間可見，可以根據(jù)需要格式化為NTFS或者FAT32，后端的UEFI分區(qū)格式化為FAT16,由于Windows系統(tǒng)只識(shí)別第一個(gè)U盤分區(qū)，因此默認(rèn)UEFI分區(qū)邏輯上不可見，支持UEFI啟動(dòng)的WinFE系統(tǒng)文件暫時(shí)無(wú)法存放進(jìn)去。

(5)通過FbinstTool工具菜單的“啟動(dòng)設(shè)置-分區(qū)表”窗口調(diào)整分區(qū)表順序，將UEFI分區(qū)序號(hào)調(diào)整為0，保存設(shè)置，此時(shí)Windows系統(tǒng)將識(shí)別到UEFI分區(qū)。

(6)解壓支持UEFI啟動(dòng)的WinFE系統(tǒng)文件到UEFI分區(qū)，再通過FbinstTool工具菜單的“啟動(dòng)設(shè)置-分區(qū)表”窗口恢復(fù)調(diào)整前的分區(qū)表順序，隱藏UEFI分區(qū)。

(7)測(cè)試啟動(dòng)盤。

3 實(shí)驗(yàn)測(cè)試及分析

使用VMware虛擬機(jī)分別加載制作好的原始WinFE系統(tǒng)和優(yōu)化后的WinFE系統(tǒng)鏡像文件，均可正常啟動(dòng)系統(tǒng)運(yùn)行取證工具，優(yōu)化前后系統(tǒng)差異如表1所示，顯然圖形界面操作更為直觀，操作可靠性更強(qiáng)，運(yùn)行取證程序及進(jìn)行多任務(wù)操作取證效率更高。

表1 優(yōu)化前后對(duì)比

分別將優(yōu)化后的WinFE系統(tǒng)鏡像刻錄到750 M光盤和64 G U盤，其中U盤前后分別采用二分區(qū)法和三分區(qū)法制作。實(shí)驗(yàn)測(cè)試計(jì)算機(jī)為聯(lián)想臺(tái)機(jī)式啟天M4650，分別配置計(jì)算機(jī)啟動(dòng)模式為L(zhǎng)egacy BIOS和UEFI，設(shè)置正確的啟動(dòng)順序，測(cè)試制作好的光盤和U盤。從安全性、兼容性、可擴(kuò)展性三個(gè)方面設(shè)置主要觀察點(diǎn)對(duì)啟動(dòng)盤進(jìn)行評(píng)估，其中安全性方面考察取證系統(tǒng)本身是否可能被篡改，兼容性方面考察啟動(dòng)盤是否對(duì)BIOS和UEFI兩種啟動(dòng)模式都兼容，可擴(kuò)展性方面考察額外存儲(chǔ)空間的利用和新增取證工具的易操作性，具體觀察點(diǎn)比較如表2所示。

表2 觀察點(diǎn)比較

從表2中可以看出，由于U盤有不計(jì)次數(shù)的可擦寫性能，其重復(fù)利用率更高，而光盤多數(shù)為一次或者有限次的擦寫且易磨損，從實(shí)用性和可靠性角度來(lái)說，U盤優(yōu)于光盤。U盤分區(qū)法在保證安全性的同時(shí)明顯對(duì)UEFI有更好的兼容性，在剩余空間的利用上也更加靈活，新增取證工具時(shí)只需要將文件拷貝到可見存儲(chǔ)區(qū)，啟動(dòng)進(jìn)入取證系統(tǒng)時(shí)即可隨時(shí)調(diào)用，無(wú)需重新壓縮制作鏡像。實(shí)驗(yàn)表明，相較于光盤啟動(dòng)盤，基于U盤分區(qū)的WinFE系統(tǒng)啟動(dòng)盤在實(shí)用性、可靠性、兼容性、可擴(kuò)展性方面具有明顯的優(yōu)勢(shì)。

4 結(jié)論

WinFE系統(tǒng)啟動(dòng)盤在特定場(chǎng)景下具有一定的應(yīng)用價(jià)值，特別是在取證時(shí)間要求比較緊，所獲取的數(shù)據(jù)對(duì)時(shí)間敏感性比較強(qiáng)的時(shí)候，其可靠性、兼容性、可擴(kuò)展性功能至關(guān)重要。本文所做的對(duì)WinFE系統(tǒng)優(yōu)化和制作改良，在底層邏輯上保障司法有效性的同時(shí)提升了取證效率，具有一定的應(yīng)用價(jià)值。隨著取證技術(shù)的發(fā)展，針對(duì)WinFE系統(tǒng)取證啟動(dòng)盤的改進(jìn)還需更深入地研究，例如完善WinFE系統(tǒng)底層驅(qū)動(dòng)提升對(duì)不同品牌計(jì)算機(jī)的兼容度、開發(fā)驅(qū)動(dòng)層級(jí)別的寫保護(hù)控制程序進(jìn)一步提高可靠性等。