鄭清安,黃云峰

(福建警察學(xué)院 計算機與信息安全管理系，福建 福州 350007)

0 引言

2012年3月14日，最新修訂的刑事訴訟法新增了一種證據(jù)種類“電子數(shù)據(jù)”，自此，電子數(shù)據(jù)作為獨立的一種證據(jù)種類可以在法庭上呈現(xiàn)[1]。為了保證取證所獲取的電子數(shù)據(jù)的客觀性、完整性、合法性，取證人員在提取電子數(shù)據(jù)的過程中所采取的方法手段恰當(dāng)與否非常關(guān)鍵，它將直接影響后續(xù)的取證分析環(huán)節(jié)及電子證據(jù)的司法有效性，對電子證據(jù)被采納具有重要影響[2]。因此，對于前期電子數(shù)據(jù)的獲取固定研究具有重要意義。

目前，對于電子數(shù)據(jù)的獲取固定常見方式有兩種：一種是直接對可拆機取出的物理磁盤使用硬盤復(fù)制機或者只讀鎖配合磁盤鏡像工具、綜合取證軟件等專用設(shè)備來獲取磁盤鏡像副本；另一種是在無法拆機或者使用硬盤復(fù)制機和只讀鎖無法獲取數(shù)據(jù)的情況下，通過取證專用的啟動光盤、啟動U盤等軟件來啟動目標(biāo)機器，獲取目標(biāo)存儲介質(zhì)中的數(shù)據(jù)。拆機獲取數(shù)據(jù)的方法相對成熟，只要取出物理硬盤，大多數(shù)情況都可以通過取證設(shè)備獲取硬盤鏡像副本，但也有例外。如隨著硬盤技術(shù)的快速發(fā)展，對于一些特殊定制的硬盤接口，取證設(shè)備中還沒有對應(yīng)的轉(zhuǎn)換器，以致無法完成數(shù)據(jù)獲取。另外,有些一體化的機器也不容易拆卸，有時受取證時間緊、機器被物理鎖定等客觀條件的約束也不可能去拆卸。在這種情況下，通過取證專用啟動盤來啟動機器獲取數(shù)據(jù)成為取證人員的首要選擇。

當(dāng)前，常見的取證專用啟動盤有WinFE、Helix、Kali Linux、PALADIN、DEFT、CAINE等，使用這些基于預(yù)安裝環(huán)境(Pre-installation Environment,PE系統(tǒng))的專用取證系統(tǒng)來獲取存儲介質(zhì)中的數(shù)據(jù)，在技術(shù)層面上防止了原始數(shù)據(jù)因提取檢驗而被更改或破壞的發(fā)生，保證了所收集數(shù)據(jù)的客觀性。但是，取證專用啟動盤在使用可靠性、兼容性和可擴展性方面，還存在諸多問題亟待解決。

(1)Helix、Kali Linux、PALADIN、DEFT、CAINE是以Ubuntu的Linux PE系統(tǒng)為基礎(chǔ)環(huán)境開發(fā)的取證系統(tǒng)，對于國內(nèi)軟件多數(shù)基于Windows平臺開發(fā)的綜合取證工具無法兼容。

(2)WinFE是基于Windows PE[3]系統(tǒng)改進的，只支持運行基于Windows系統(tǒng)環(huán)境開發(fā)的取證工具軟件，并且原生制作的WinFE啟動盤只能在命令行提示符模式下操作，不支持圖形用戶界面。另外，對取證工具軟件的增加修改，需要重新制作WinFE鏡像，操作過程較為繁鎖，使用上不夠靈活，取證效率不高。

針對這些問題，由位曉曉等人提出了通過制作WinPE的啟動U盤,快速提取電腦使用的系統(tǒng)信息和使用痕跡信息，而對于WinPE系統(tǒng)啟動加載涉案盤可能對涉案盤數(shù)據(jù)產(chǎn)生的影響并未涉及[4]。陳明金分析了免拆機取證技術(shù)的發(fā)展?fàn)顩r，提到了WinFE系統(tǒng)環(huán)境可保證不對源盤進行改動，從而保證所獲取數(shù)據(jù)的司法有效性，但并未提及具體原理方法[5]。其他的相關(guān)研究多數(shù)集中在基于WinPE系統(tǒng)的U盤量產(chǎn)制作方面，例如，顧超捷等人研究通過USB-CD和USB-ZIP兩種啟動模式，實現(xiàn)具有WinPE系統(tǒng)的U盤啟動功能的量產(chǎn)[6]。以上這些方法普遍受制于各自應(yīng)用的局限性，很難在取證時兼顧所獲取的數(shù)據(jù)的司法有效性、可靠性和啟動盤的兼容性、易用性、可擴展性。因此，本文通過分析制作WinFE系統(tǒng)保證司法有效性的核心原理，提出對原生制作的WinFE系統(tǒng)進行優(yōu)化，并通過分析系統(tǒng)啟動引導(dǎo)磁盤的機制，探討對U盤進行分區(qū)，將優(yōu)化后的WinFE系統(tǒng)寫入到U盤隱藏分區(qū)制作成可啟動U盤。實驗測試表明，改進后的WinFE系統(tǒng)U盤啟動盤在保證司法有效性的同時，其易用性、可靠性、兼容性和可擴展性方面明顯提高。

1 WinFE系統(tǒng)制作原理分析

WinFE的全稱是Windows Forensic Environment，是2008年微軟公司的研究人員Troy Larson開發(fā)的一款專用于電子數(shù)據(jù)取證領(lǐng)域進行數(shù)據(jù)獲取和分析的Windows PE系統(tǒng)?；赪indows PE系統(tǒng)的WinFE裝載在存儲介質(zhì)中默認設(shè)置為只讀，其工作原理類似于Linux系統(tǒng)的LiveCD,啟動時不自動掛載任何存儲介質(zhì)[7]。與Linux的LiveCD不同的是，WinFE可以運行基于Windows系統(tǒng)環(huán)境的取證工具軟件。因此，所有基于Windows平臺開發(fā)的綜合取證工具軟件以及常見的便攜式工具都可以在WinFE上運行。

1.1 WinFE系統(tǒng)制作原理

WinFE的整個制作工作流程如圖1所示[8]。

圖1 WinFE制作工作流程

WinFE制作的具體關(guān)鍵環(huán)節(jié)在于以下幾點：

(1)使用AIK命令拷貝WinPE的主要文件到WinFE文件夾，掛載boot.wim鏡像文件修改配置系統(tǒng)環(huán)境。

(2)修改模板鏡像文件中的注冊表的兩個鍵值，使得整個系統(tǒng)符合取證環(huán)境的需要。

①使用RegEdit加載WinFE中的注冊表文件SYSTEM，配置單元命名為WinFE，在注冊表“HKEY_LOCAL_MACHINEWinFEControlSet001servicesmountmgr”下創(chuàng)建一個DWORD(32)的類型項，鍵名為NoAutoMount，鍵值設(shè)置為1，這個鍵值的作用是Mount-Manager服務(wù)不會自動掛載任何存儲設(shè)備。

②在“HKEY_LOCAL_MACHINEsystemControlSet001ServicespartmgrParameters”下有一個鍵為“SanPolicy”，這個鍵原值為1，將它修改為3或者4，其中1表示全部聯(lián)機，3表示全部脫機，4表示內(nèi)部脫機，即只有內(nèi)置磁盤是脫機的。之所以要脫機是因為一旦聯(lián)機，磁盤屬性變成可寫狀態(tài)，在可寫的狀態(tài)下系統(tǒng)掛載卷時會向磁盤寫入4字節(jié)的標(biāo)簽代碼，從而破壞磁盤的原始性。對于取證來說，這是一個潛在的改變檢測數(shù)據(jù)的風(fēng)險，雖然還沒有證明這些數(shù)據(jù)是有影響的，但是通過對整個物理磁盤校驗哈希值，發(fā)現(xiàn)這個數(shù)值已經(jīng)發(fā)生改變，所以取證環(huán)境下不能直接掛載需要取證的磁盤。

(3)添加常用的取證工具軟件，通常是添加不需要安裝、可以移植運行的應(yīng)用程序，如命令行應(yīng)用程序Garner Forensic Acquisition Utilities、NTI Suite、Sysinternals、Maresware applications、FTK Imager Lite、X-Ways Forensics等。取證人員可根據(jù)使用習(xí)慣和特長將取證所需工具拷貝到事先創(chuàng)建的文件夾WinFETools下，隨時調(diào)用。

(4)添加驅(qū)動程序，通常根據(jù)需要可以將通用或特定的視頻驅(qū)動程序、RAID驅(qū)動程序和其他特定于硬件的驅(qū)動程序添加至鏡像中。使用的AIK命令示例如下：

peimg.exe /inf=C:drivers*.inf C:winFEmountWindows

(5)使用AIK命令創(chuàng)建ISO鏡像，將ISO文件刻錄至光盤。

1.2 WinFE系統(tǒng)使用分析

WinFE系統(tǒng)一般可以刻錄成啟動光盤，通過可啟動光盤可以直接引導(dǎo)啟動被檢計算機，其最大的優(yōu)點是通過修改注冊表鍵值，不自動掛載存儲設(shè)備和使磁盤處于脫機狀態(tài)，保證了被取證對象磁盤數(shù)據(jù)的客觀性。然而WinFE實際操作起來也有明顯的局限性。

(1)WinFE默認啟動操作界面是命令行提示符模式，對多任務(wù)的操作要來回切換，操作麻煩，沒有圖形界面直觀，取證效率不高。雖然可以通過添加第三方的GUI菜單管理應(yīng)用程序一定程度上解決這個問題，但實際操作過程中穩(wěn)定性并不高。

(2)對WinFE啟動盤的任何改動，例如要再次添加、更新、修改取證工具軟件等，即使該軟件是可移植運行的免安裝程序，都必須重新制作WinFE鏡像，操作過程較為繁鎖。

2 WinFE啟動盤改進方案

關(guān)于Windows PE系統(tǒng)的研究，技術(shù)層面上有許多成熟的應(yīng)用解決方案[9]，由于WinFE本身是基于Windows PE系統(tǒng)改進而來的，針對WinFE系統(tǒng)的局限性問題，理論上都可以通過對Windows PE系統(tǒng)進行進一步改進，進而應(yīng)用于WinFE系統(tǒng)解決相關(guān)問題。下面從WinFE系統(tǒng)的制作優(yōu)化以及刻錄到U盤使用，探討WinFE電子數(shù)據(jù)取證啟動盤的改進方案。

2.1 WinFE系統(tǒng)的優(yōu)化

2.1.1 增加圖形化界面

對于WinFE系統(tǒng)默認啟動沒有圖形用戶界面的問題，其原因在于制作時并沒有考慮到用戶交互的問題，啟動時默認使用命令提示符cmd.exe來操作系統(tǒng)進行交互。針對這個問題，解決思路是通過在系統(tǒng)啟動時直接添加Windows Explorer作為默認的命令解析器與操作系統(tǒng)進行交互，具體操作方法有以下兩種。

(1) 修改WinFE的原始鏡像文件boot.wim，手動添加操作系統(tǒng)的資源管理器Explorer。

其主要操作步驟為：

①修改WinFE的SOFTWARE注冊表權(quán)限等配置，獲取完整的SOFTWARE注冊表文件。

②更改啟動時調(diào)用的命令解析器，將SOFTWARE注冊表路徑為MicrosoftWindows NTCurrentVersionWinlogon下的“Shell”=“cmd.exe /k start cmd.exe”改成“Shell”=“explorer.exe”Shell。

③從install.wim中拷貝資源管理器運行所需要的系列文件到boot.wim中相對應(yīng)的位置，保存修改并重新打包boot.wim,按圖1WinFE制作工作流程操作，創(chuàng)建新的ISO鏡像文件。

(2)使用具有圖形用戶界面的Windows PE系統(tǒng)作為樣本，提取其中的boot.wim鏡像文件作為源文件，按照圖1 WinFE制作工作流程，從具體關(guān)鍵環(huán)節(jié)的步驟(2)修改注冊表的兩個鍵值開始操作，創(chuàng)建新的WinFE系統(tǒng)。其中，具有圖形用戶界面的Windows PE系統(tǒng)可以通過WinPE系統(tǒng)的制作工具Winbuilder定制創(chuàng)建[10]。

2.1.2 增加磁盤保護鎖

出于對獲取數(shù)據(jù)司法有效性的考慮[11]，WinFE系統(tǒng)不會自動掛載存儲設(shè)備，系統(tǒng)啟動時，默認配置取證對象磁盤不聯(lián)機，要對磁盤進行在線檢驗分析必須聯(lián)機掛載磁盤。有實驗研究表明，聯(lián)機掛載非Windows操作系統(tǒng)的磁盤時，WinFE會在磁盤偏移位置Ox1B8處寫入4個字節(jié)的數(shù)據(jù)，用于標(biāo)記Windows驅(qū)動器簽名，通過只讀方式掛載卷“volume”時將會向磁盤偏移位置Ox417處寫入控制代碼。雖然這些并非用戶創(chuàng)建的數(shù)據(jù)，其行為是可以預(yù)見和解釋的，但是為了更好地保護磁盤數(shù)據(jù)，預(yù)防潛在的可能改變檢測數(shù)據(jù)的風(fēng)險，增加磁盤保護鎖工具顯得十分必要。磁盤保護鎖是一個簡易的免安裝應(yīng)用程序，例如Clin Ramsden等人研發(fā)的開源程序WinFE Write Protect Tool，其主要功能為精確控制磁盤的只讀、讀寫、掛載、卸載等操作，保證在線檢驗分析時所獲取數(shù)據(jù)的可靠性。將WinFE Write Protect Tool封裝到WinFE系統(tǒng)，按照圖1 WinFE制作工作流程，從具體關(guān)鍵環(huán)節(jié)的步驟(3)添加常用的取證工具軟件開始操作，添加此應(yīng)用程序并配置程序隨WinFE系統(tǒng)開機啟動。

2.2 基于U盤分區(qū)的WinFE系統(tǒng)啟動盤

WinFE系統(tǒng)添加新的取證工具軟件必須重新制作鏡像，主要原因是整個系統(tǒng)鏡像是一個封閉的只讀空間，把WinFE系統(tǒng)刻錄到光盤，由于光盤不可分區(qū)，無法擴展出可利用的閑置空間，因此，每次新增數(shù)據(jù)必須重新封裝鏡像。如果將WinFE系統(tǒng)刻錄到U盤，充分利用U盤的可分區(qū)功能，將U盤劃出的部分專用空間去裝載WinFE系統(tǒng)鏡像，并模擬成啟動盤，剩余空間當(dāng)成普通存儲使用，很大程度上能夠避免新增軟件帶來的重復(fù)制作鏡像問題。如此一來，需要往系統(tǒng)中添加新的取證工具軟件、文檔等，只須簡單移動復(fù)制至U盤閑置存儲區(qū)即可，另外，在取證分析時所獲取的數(shù)據(jù)也可以臨時存放在閑置存儲空間，對于取證來說充分地利用了U盤的存儲空間。

此類啟動盤的制作如同制作主流的U盤Windows PE維護系統(tǒng)一樣，基本原理是基于計算機系統(tǒng)的引導(dǎo)機制。計算機系統(tǒng)的引導(dǎo)過程，根據(jù)配置模式分為Legacy BIOS和UEFI兩種，具體流程如圖2所示[12]。

圖2 系統(tǒng)啟動引導(dǎo)過程

傳統(tǒng)的BIOS啟動過程中，BIOS自檢硬件正常后，按照主板CMOS中設(shè)置的設(shè)備啟動順序檢測可用的啟動設(shè)備，當(dāng)檢測到有符合要求的啟動設(shè)備后，BIOS將控制權(quán)交給該啟動設(shè)備的MBR。MBR位于磁盤設(shè)備的0柱面0磁頭1扇區(qū)占用512字節(jié)空間，其中包含446字節(jié)的引導(dǎo)加載程序，64字節(jié)的硬盤分區(qū)表DPT,及結(jié)束標(biāo)志＂55AA＂。MBR獲得控制權(quán)后，其中的引導(dǎo)加載程序會根據(jù)硬盤分區(qū)表找到硬盤上的可引導(dǎo)分區(qū)，將控制權(quán)轉(zhuǎn)交給分區(qū)PBR,然后調(diào)用對應(yīng)的啟動管理器NTLDR或BOOTMGR或GRLDR，最終進入系統(tǒng)。相對傳統(tǒng)BIOS引導(dǎo)啟動方式，UEFI方式引導(dǎo)減少了BIOS自檢環(huán)節(jié)，其余過程類似。

通過對計算機系統(tǒng)的引導(dǎo)過程分析可知，要成功引導(dǎo)操作系統(tǒng)，關(guān)鍵點是要找到驅(qū)動器硬件設(shè)備，并且驅(qū)動器上要有正確的MBRPBR(或EFI SHELL)、啟動管理器等信息，可以引導(dǎo)啟動操作系統(tǒng)。根據(jù)此原理，通過對U盤進行分區(qū)的方法，將WinFE電子數(shù)據(jù)取證系統(tǒng)裝載進U盤，針對計算機的不同啟動引導(dǎo)模式，合理規(guī)劃設(shè)計系統(tǒng)啟動引導(dǎo)文件、鏡像文件的存放位置，以期提升啟動盤實際應(yīng)用的安全性、靈活性及兼容性。下面分別闡述對U盤進行二分區(qū)和三分區(qū)的方法。

2.2.1 二分區(qū)法

二分區(qū)法的啟動盤結(jié)構(gòu)如圖3所示，它將U盤劃分成兩個區(qū)，前端為隱藏分區(qū)，后端為可見分區(qū)。由于不管U盤有幾個分區(qū)，Windows系統(tǒng)最多只識別一個U盤分區(qū)，默認識別排列靠前的分區(qū)，因此后端分區(qū)自動會被隱藏。為了能夠充分利用U盤空間，將前端分區(qū)設(shè)置為隱藏活動分區(qū)，使得后端分區(qū)可以被Windows系統(tǒng)識別，同時讓U盤默認從隱藏活動分區(qū)引導(dǎo)啟動系統(tǒng)。將系統(tǒng)啟動引導(dǎo)文件和WinFE系統(tǒng)鏡像存放到隱藏分區(qū)，與可見分區(qū)隔離，更好地保護了啟動引導(dǎo)文件和WinFE系統(tǒng)鏡像文件安全。如果是傳統(tǒng)BIOS引導(dǎo)方式啟動，計算機就可以按啟動原理順序通過訪問MBR-DRB-BOOTMGR-WinFE系統(tǒng)文件來引導(dǎo)取證啟動盤。如果要兼容UEFI引導(dǎo)方式啟動，那么隱藏分區(qū)應(yīng)格式化為FAT格式的文件系統(tǒng)類型，然后寫入EFI啟動引導(dǎo)文件和支持UEFI引導(dǎo)的WinFE系統(tǒng)鏡像，計算機才能夠正常引導(dǎo)取證啟動盤。

圖3 WinFE啟動盤二分區(qū)結(jié)構(gòu)

實現(xiàn)步驟：

(1)準備好上節(jié)改進制作好的WinFE取證系統(tǒng)鏡像文件WinFE.ISO及U盤。

(2)將U盤初始格式化為單個分區(qū)。

(3)使用軟碟通UltraISO工具加載WinFE.ISO，點擊菜單啟動-寫入硬盤映像，選擇對應(yīng)的U盤，以USB-HDD方式寫入，創(chuàng)建隱藏啟動分區(qū)。

(4)根據(jù)實際情況可重新格式化可見分區(qū)為NTFS或者FAT32。

(5)測試啟動盤。

2.2.2 三分區(qū)法

除了二分區(qū)法外，還可以使用三分區(qū)法進一步提升啟動盤的兼容性。三分區(qū)法的啟動盤結(jié)構(gòu)如圖4所示，它與二分區(qū)法的區(qū)別在于它將兼容UEFI引導(dǎo)方式啟動所需的文件獨立存放于高端分區(qū)即UEFI隱藏分區(qū)。這種改進方式可以對獨立分區(qū)的文件系統(tǒng)格式采用最佳的類型，如UEFI隱藏分區(qū)采用FAT16格式，使得不論是傳統(tǒng)BIOS方式還是UEFI方式引導(dǎo)，系統(tǒng)都能根據(jù)獨立存放的引導(dǎo)文件引導(dǎo)計算機啟動，很大程度上提升了啟動盤的兼容性。

圖4 WinFE啟動盤三分區(qū)結(jié)構(gòu)

實現(xiàn)步驟：

(1)準備好上節(jié)改進制作好的WinFE取證系統(tǒng)鏡像文件WinFE.ISO及U盤。

(2)將U盤初始格式化為單個分區(qū)。

(3)使用啟動U盤制作工具FbinstTool格式化U盤，分配部分空間建立UD隱藏分區(qū)，將系統(tǒng)鏡像文件WinFE.ISO導(dǎo)入到此分區(qū)，編輯Grldr菜單，添加引導(dǎo)WinFE取證系統(tǒng)的語句：

title 01 WinFE

map (ud)/WinFE.iso (0xff)

map --hook

chainloader (0xff)

(4)使用分區(qū)工具DiskGenius將剩余的U盤空間劃分成兩個分區(qū)，其中前端的分區(qū)空間可見，可以根據(jù)需要格式化為NTFS或者FAT32，后端的UEFI分區(qū)格式化為FAT16,由于Windows系統(tǒng)只識別第一個U盤分區(qū)，因此默認UEFI分區(qū)邏輯上不可見，支持UEFI啟動的WinFE系統(tǒng)文件暫時無法存放進去。

(5)通過FbinstTool工具菜單的“啟動設(shè)置-分區(qū)表”窗口調(diào)整分區(qū)表順序，將UEFI分區(qū)序號調(diào)整為0，保存設(shè)置，此時Windows系統(tǒng)將識別到UEFI分區(qū)。

(6)解壓支持UEFI啟動的WinFE系統(tǒng)文件到UEFI分區(qū)，再通過FbinstTool工具菜單的“啟動設(shè)置-分區(qū)表”窗口恢復(fù)調(diào)整前的分區(qū)表順序，隱藏UEFI分區(qū)。

(7)測試啟動盤。

3 實驗測試及分析

使用VMware虛擬機分別加載制作好的原始WinFE系統(tǒng)和優(yōu)化后的WinFE系統(tǒng)鏡像文件，均可正常啟動系統(tǒng)運行取證工具，優(yōu)化前后系統(tǒng)差異如表1所示，顯然圖形界面操作更為直觀，操作可靠性更強，運行取證程序及進行多任務(wù)操作取證效率更高。

表1 優(yōu)化前后對比

分別將優(yōu)化后的WinFE系統(tǒng)鏡像刻錄到750 M光盤和64 G U盤，其中U盤前后分別采用二分區(qū)法和三分區(qū)法制作。實驗測試計算機為聯(lián)想臺機式啟天M4650，分別配置計算機啟動模式為Legacy BIOS和UEFI，設(shè)置正確的啟動順序，測試制作好的光盤和U盤。從安全性、兼容性、可擴展性三個方面設(shè)置主要觀察點對啟動盤進行評估，其中安全性方面考察取證系統(tǒng)本身是否可能被篡改，兼容性方面考察啟動盤是否對BIOS和UEFI兩種啟動模式都兼容，可擴展性方面考察額外存儲空間的利用和新增取證工具的易操作性，具體觀察點比較如表2所示。

表2 觀察點比較

從表2中可以看出，由于U盤有不計次數(shù)的可擦寫性能，其重復(fù)利用率更高，而光盤多數(shù)為一次或者有限次的擦寫且易磨損，從實用性和可靠性角度來說，U盤優(yōu)于光盤。U盤分區(qū)法在保證安全性的同時明顯對UEFI有更好的兼容性，在剩余空間的利用上也更加靈活，新增取證工具時只需要將文件拷貝到可見存儲區(qū)，啟動進入取證系統(tǒng)時即可隨時調(diào)用，無需重新壓縮制作鏡像。實驗表明，相較于光盤啟動盤，基于U盤分區(qū)的WinFE系統(tǒng)啟動盤在實用性、可靠性、兼容性、可擴展性方面具有明顯的優(yōu)勢。

4 結(jié)論

WinFE系統(tǒng)啟動盤在特定場景下具有一定的應(yīng)用價值，特別是在取證時間要求比較緊，所獲取的數(shù)據(jù)對時間敏感性比較強的時候，其可靠性、兼容性、可擴展性功能至關(guān)重要。本文所做的對WinFE系統(tǒng)優(yōu)化和制作改良，在底層邏輯上保障司法有效性的同時提升了取證效率，具有一定的應(yīng)用價值。隨著取證技術(shù)的發(fā)展，針對WinFE系統(tǒng)取證啟動盤的改進還需更深入地研究，例如完善WinFE系統(tǒng)底層驅(qū)動提升對不同品牌計算機的兼容度、開發(fā)驅(qū)動層級別的寫保護控制程序進一步提高可靠性等。