張萍 彭建新

摘要：電子取證作為一門(mén)新興的科研和教育學(xué)科已陸續(xù)在各大高校中開(kāi)設(shè)。對(duì)于最早開(kāi)設(shè)電子取證課程的公安院校來(lái)說(shuō)，建設(shè)一個(gè)集高校學(xué)歷教育和公安在職培訓(xùn)為一體的電子取證云平臺(tái)可以達(dá)到雙贏的效果。本平臺(tái)依托云容器技術(shù)，建立融合教學(xué)、科研為一體的“新工科教育”云實(shí)踐平臺(tái)。通過(guò)引進(jìn)模擬仿真教學(xué)的理念，云平臺(tái)為電子取證教學(xué)虛擬各種實(shí)驗(yàn)操作環(huán)境，讓學(xué)生體驗(yàn)真正的實(shí)際取證操作過(guò)程。同時(shí)，它的以課程管理為中心、以學(xué)習(xí)活動(dòng)為驅(qū)動(dòng)的一套輔助性培訓(xùn)信息化軟件系統(tǒng)，可根據(jù)教學(xué)和培訓(xùn)目的動(dòng)態(tài)調(diào)整實(shí)驗(yàn)內(nèi)容。并且，電子取證云平臺(tái)創(chuàng)新性地以案例庫(kù)的形式納入了近期新型網(wǎng)絡(luò)犯罪頻發(fā)的典型案件類型，借助云平臺(tái)的特有優(yōu)勢(shì)，可以多維度地開(kāi)發(fā)公安院校電子取證課程的獨(dú)有特點(diǎn)。

關(guān)鍵詞：云容器;電子取證;云平臺(tái);互聯(lián)網(wǎng)犯罪;實(shí)踐教學(xué)

中圖分類號(hào)：TP393.08-4;G642? 文獻(xiàn)標(biāo)識(shí)碼：A? 論文編號(hào)：1674-2117（2021）14-0101-07

● 引言

伴隨著刑事案件和民事糾紛涉及電子設(shè)備類型物證的不斷增多，電子數(shù)據(jù)自2012年修訂《刑事訴訟法》后，正式被列為了八類證據(jù)類型之一。作為取證科學(xué)分支之一的電子取證，得到了社會(huì)更加廣泛的重視，最高檢、最高法、公安部相繼在2016年和2019年針對(duì)涉及電子數(shù)據(jù)的刑事案件發(fā)布了電子取證的相關(guān)規(guī)定和規(guī)則。社會(huì)對(duì)電子取證類人才的需求也在日益增加，其中主要包括計(jì)算機(jī)類信息安全公司、國(guó)際會(huì)計(jì)師審計(jì)師事務(wù)所、專業(yè)咨詢類公司，特別是經(jīng)濟(jì)管理類的集成軟件供應(yīng)商和大型跨國(guó)公司對(duì)電子取證類人才更加重視。作為一門(mén)綜合類跨學(xué)科的課程，電子取證陸續(xù)在多所公安和普通高校中被設(shè)置為專業(yè)課程[1]，同時(shí)，社會(huì)對(duì)專業(yè)性的電子取證職業(yè)培訓(xùn)的需求也越來(lái)越多。

國(guó)內(nèi)外學(xué)者對(duì)電子取證課程的高校教育和職業(yè)培訓(xùn)模式與體系進(jìn)行了大量的探討[2-4]，在公安院校的本科教育中，電子取證課程初期作為選修課開(kāi)設(shè)，而今已成為專業(yè)核心課程。課程的理論教學(xué)內(nèi)容已逐漸形成成熟的知識(shí)體系，但是電子取證課程實(shí)訓(xùn)內(nèi)容卻一直是教學(xué)上的一個(gè)難點(diǎn)。[5]由于電子取證實(shí)驗(yàn)涵蓋大量的實(shí)驗(yàn)內(nèi)容，且實(shí)驗(yàn)的素材和所需的分析軟件一般都占有較大的存儲(chǔ)空間，因此，搭建一個(gè)電子取證云實(shí)驗(yàn)平臺(tái)具有重要的實(shí)際意義。同時(shí)，借助此平臺(tái)可建立豐富的案例庫(kù)，并根據(jù)不同的教學(xué)或培訓(xùn)對(duì)象選擇不同類型的電子取證實(shí)驗(yàn)類型，進(jìn)行便捷的調(diào)試和修改，實(shí)現(xiàn)動(dòng)態(tài)實(shí)驗(yàn)環(huán)境部署和優(yōu)化。云平臺(tái)下無(wú)需重復(fù)搭建復(fù)雜的實(shí)驗(yàn)環(huán)境，也節(jié)省了購(gòu)買(mǎi)實(shí)驗(yàn)檢材的費(fèi)用，方便學(xué)生在課堂或自習(xí)室隨時(shí)隨地進(jìn)行學(xué)習(xí)。

● 電子取證云平臺(tái)的建設(shè)意義與優(yōu)勢(shì)

1.電子取證課程的特點(diǎn)

電子取證作為公安院校網(wǎng)絡(luò)安全與執(zhí)法專業(yè)的核心主干類專業(yè)課程，具有十分明顯的專業(yè)特色，實(shí)驗(yàn)課程教學(xué)的占比較重，而且與實(shí)際案件關(guān)系密切。該課程具有以下幾個(gè)顯著的特點(diǎn)：

①電子取證與其他學(xué)科“頂層到底層”的架構(gòu)體系不同，電子取證是從實(shí)際的破案需求中開(kāi)始萌芽，進(jìn)而吸納各個(gè)與之相關(guān)聯(lián)的跨學(xué)科技術(shù)而形成的一個(gè)新學(xué)科。電子取證是從實(shí)踐中破土而出的，也時(shí)時(shí)刻刻離不開(kāi)實(shí)踐，因此在教育和培訓(xùn)中，實(shí)驗(yàn)與理論課程同等重要。

②實(shí)驗(yàn)涵蓋的內(nèi)容廣泛，實(shí)驗(yàn)涉及的操作系統(tǒng)類型、數(shù)據(jù)類型和電子設(shè)備類型紛繁復(fù)雜，所關(guān)注的設(shè)備對(duì)象不僅僅是傳統(tǒng)的計(jì)算機(jī)[6-7]，也包括智能移動(dòng)終端[8-9]，還涉及各種網(wǎng)絡(luò)互連設(shè)備和網(wǎng)絡(luò)安全設(shè)備。[10]

③電子取證實(shí)驗(yàn)的素材數(shù)據(jù)類型繁多且占據(jù)存儲(chǔ)空間較大。不論是硬盤(pán)、手機(jī)還是遠(yuǎn)程取證獲取的網(wǎng)絡(luò)數(shù)據(jù)，都是數(shù)據(jù)量龐大的取證對(duì)象，而傳統(tǒng)的基于本地的實(shí)驗(yàn)環(huán)境每次僅僅拷貝一個(gè)實(shí)驗(yàn)鏡像文件都要耗費(fèi)幾個(gè)甚至十幾個(gè)小時(shí)。

④利用高科技進(jìn)行的犯罪逐年呈上升趨勢(shì)，針對(duì)涌現(xiàn)出來(lái)的新型犯罪案件，傳統(tǒng)的技術(shù)和思路必須不斷改進(jìn)才能夠打擊犯罪，保障國(guó)家和人民的安全。廣州市法學(xué)會(huì)、廣東省公安廳、中國(guó)人民公安大學(xué)等部門(mén)和院校也相繼成立了新型犯罪研究中心。這對(duì)電子取證同樣帶來(lái)了很大的挑戰(zhàn)，在云計(jì)算、大數(shù)據(jù)、IoT[11-13]、智能汽車[14]、網(wǎng)絡(luò)貨幣[15-16]、暗網(wǎng)[17]等新技術(shù)領(lǐng)域中，傳統(tǒng)數(shù)字取證的技術(shù)和工具大多不再適用，并且取證過(guò)程涉及的調(diào)查對(duì)象比傳統(tǒng)數(shù)字取證更多，交互也更加復(fù)雜。

2.電子取證云平臺(tái)的優(yōu)勢(shì)

針對(duì)課程特點(diǎn)，本項(xiàng)目依托云容器技術(shù)建立了一個(gè)電子取證實(shí)驗(yàn)云平臺(tái)，本平臺(tái)的優(yōu)勢(shì)有以下幾點(diǎn)：

①利用云計(jì)算技術(shù)更便捷地對(duì)各類不同類型的電子取證案例進(jìn)行模擬，無(wú)需重復(fù)搭建復(fù)雜的實(shí)驗(yàn)環(huán)境，也節(jié)省了購(gòu)買(mǎi)實(shí)驗(yàn)檢材的費(fèi)用，方便學(xué)生在課堂或自習(xí)室隨時(shí)隨地進(jìn)行學(xué)習(xí)。同時(shí)，云實(shí)驗(yàn)平臺(tái)的使用可以更加便捷地達(dá)到加強(qiáng)學(xué)生管理、校園管理，提高校園資源利用率的目的。

②建立了一個(gè)豐富的電子取證實(shí)驗(yàn)案例庫(kù)，可以實(shí)現(xiàn)根據(jù)不同的教學(xué)或培訓(xùn)對(duì)象選擇不同類型的電子取證實(shí)驗(yàn)類型，同時(shí)實(shí)現(xiàn)動(dòng)態(tài)實(shí)驗(yàn)環(huán)境部署和優(yōu)化。例如，針對(duì)學(xué)歷教育主要側(cè)重于普適性教育，針對(duì)在職民警培訓(xùn)會(huì)涉及一些重點(diǎn)網(wǎng)絡(luò)犯罪案件類型的實(shí)驗(yàn)，針對(duì)企業(yè)取證培訓(xùn)則側(cè)重于公司審計(jì)方向的電子取證。

③實(shí)現(xiàn)將科研、實(shí)驗(yàn)所需要的材料、虛擬機(jī)資源、網(wǎng)絡(luò)、存儲(chǔ)資源等整合成全新的實(shí)驗(yàn)供學(xué)生使用。實(shí)驗(yàn)平臺(tái)所需的計(jì)算資源均通過(guò)虛擬化的方式提供，可靈活適應(yīng)教學(xué)實(shí)驗(yàn)與科研工作需要，實(shí)驗(yàn)平臺(tái)通過(guò)虛擬機(jī)的方式為學(xué)生提供了實(shí)驗(yàn)開(kāi)發(fā)與操作平臺(tái)，同時(shí)也為教師科研提供了便利。

④如今，隨著越來(lái)越多的高科技犯罪利用云服務(wù)搭建服務(wù)器，針對(duì)傳統(tǒng)數(shù)字取證的框架和取證工具大多不太適用，借助本取證平臺(tái)可以更好地銜接新型犯罪取證實(shí)驗(yàn)環(huán)境。

● 電子取證云平臺(tái)的設(shè)計(jì)框架

1.基礎(chǔ)建設(shè)

本項(xiàng)目的總體建設(shè)框架，共分為三層（如下頁(yè)圖1）：依托華云的CloudUltra4.0技術(shù)搭建容器資源層，主要包括計(jì)算機(jī)集群、數(shù)據(jù)存儲(chǔ)集群、鏡像倉(cāng)庫(kù)的搭建;中間層為容器管理層，是調(diào)度與管理所有容器虛擬主機(jī)的部分，能夠靈活調(diào)度大規(guī)模Docker容器虛擬主機(jī);門(mén)戶層的建設(shè)支持本地私有云（KVM）虛擬化環(huán)境資源納管，以確保其擴(kuò)展性，亦支持對(duì)接公有云資源，最終實(shí)現(xiàn)對(duì)學(xué)校云計(jì)算環(huán)境資源的統(tǒng)一管理。

本平臺(tái)向后臺(tái)管理運(yùn)營(yíng)人員提供統(tǒng)一的Iaas、PaaS、物理主機(jī)、虛擬主機(jī)的管理和調(diào)度入口，同時(shí)也可面向終端用戶提供簡(jiǎn)單的虛擬主機(jī)自助管理服務(wù)。云計(jì)算虛擬平臺(tái)通過(guò)云計(jì)算管理平臺(tái)為計(jì)算機(jī)教學(xué)虛擬各種實(shí)驗(yàn)操作環(huán)境，讓學(xué)生進(jìn)行各種電子數(shù)據(jù)取證實(shí)驗(yàn)的演示和操作，體驗(yàn)真正電子取證的實(shí)際操作過(guò)程。同時(shí)，平臺(tái)將課程學(xué)習(xí)及考試與培訓(xùn)班有機(jī)結(jié)合，對(duì)在線培訓(xùn)進(jìn)行有效管理，以滿足學(xué)歷教育和在職培訓(xùn)的需求。本項(xiàng)目的基本建設(shè)環(huán)節(jié)和已實(shí)現(xiàn)的功能如圖2所示。

本項(xiàng)目共部署了三臺(tái)應(yīng)用主機(jī)，可用CPU總量88核，內(nèi)存總量為314.12G，磁盤(pán)總量為1363.05GB，依靠華云的CloudUltra4.0底層支持。圖3為平臺(tái)的全局總覽界面。

2.平臺(tái)功能

（1）用戶管理功能

本平臺(tái)共設(shè)置了三個(gè)用戶類型，分別是管理員、教師、學(xué)生，且不同類型用戶的權(quán)限依據(jù)信息安全基本特性設(shè)置訪問(wèn)權(quán)限。用戶和權(quán)限的具體配置如下頁(yè)表1所示。

（2）資源權(quán)限管理功能

本平臺(tái)根據(jù)使用人員的身份進(jìn)行不同類型賬戶的開(kāi)通并授予不同的權(quán)限，其中管理員可以設(shè)置教師用戶和學(xué)生用戶的權(quán)限。本平臺(tái)現(xiàn)在運(yùn)行狀態(tài)下的具體權(quán)限如下頁(yè)表2所示?？梢栽O(shè)置的權(quán)限包括主機(jī)權(quán)限、集群權(quán)限、應(yīng)用權(quán)限、備份權(quán)限和產(chǎn)品權(quán)限，其中應(yīng)用權(quán)限又可針對(duì)每個(gè)單獨(dú)的服務(wù)進(jìn)行權(quán)限的授予和回收。教師用戶和學(xué)生用戶都可以被授予對(duì)主機(jī)、集群、應(yīng)用（包括應(yīng)用下面具體的某個(gè)服務(wù)）的操作權(quán)限，具體權(quán)限動(dòng)作包括增加、修改和刪除。上頁(yè)圖4是本平臺(tái)具體的對(duì)某一用戶的權(quán)限管理界面。

（3）應(yīng)用管理功能

應(yīng)用可以理解為一組服務(wù)的集合，而服務(wù)可以理解為一組特定微服務(wù)的集合，三層分開(kāi)管理。本平臺(tái)內(nèi)對(duì)應(yīng)用的管理包括添加或刪除應(yīng)用，在應(yīng)用中則可添加或刪除服務(wù)，可用的服務(wù)模板如圖5所示。

此外，本平臺(tái)根據(jù)電子取證實(shí)操需求，定制化地將電子取證處理和分析檢材最常用、最實(shí)用的數(shù)款軟件和服務(wù)集成在了虛擬機(jī)和虛擬桌面內(nèi)，其中包括Encase軟件、XWays軟件、FTK、PassWareKit等。

（4）實(shí)驗(yàn)內(nèi)容管理功能

本平臺(tái)將不同的取證實(shí)驗(yàn)以不同的應(yīng)用進(jìn)行設(shè)立，再根據(jù)取證實(shí)驗(yàn)的具體需要進(jìn)行服務(wù)的設(shè)立及環(huán)境的配置。同時(shí)，由于通常電子取證需要分析的檢材占據(jù)存儲(chǔ)空間較大，為了不使服務(wù)器過(guò)于臃腫，本項(xiàng)目將取證鏡像文件存儲(chǔ)在FTP服務(wù)器中。用戶根據(jù)案件或課程需求自行選擇需要的資源進(jìn)行下載。

3.案例庫(kù)功能

電子取證課程最大的特點(diǎn)之一就是實(shí)驗(yàn)類型豐富，針對(duì)這一特點(diǎn)，本項(xiàng)目對(duì)入庫(kù)的實(shí)驗(yàn)進(jìn)行了如圖2所示的流程規(guī)劃。

（1）典型案例入庫(kù)

根據(jù)不同專業(yè)電子取證的本科教學(xué)大綱和針對(duì)不同培訓(xùn)對(duì)象的職業(yè)培訓(xùn)規(guī)劃，將典型的電子取證實(shí)驗(yàn)案例納入到平臺(tái)內(nèi)。以符合最新的電子取證實(shí)戰(zhàn)需求為基準(zhǔn)，以最大限度的不重復(fù)建設(shè)實(shí)驗(yàn)資源為原則，使案例庫(kù)涵蓋基礎(chǔ)電子取證實(shí)操和進(jìn)階電子取證實(shí)訓(xùn)。

（2）案例分類

根據(jù)實(shí)驗(yàn)案例的類型進(jìn)行分類，由于本科教學(xué)和職業(yè)培訓(xùn)的范疇有一定的交叉，且不同專業(yè)的學(xué)生或不同主題的培訓(xùn)也會(huì)有不同的實(shí)驗(yàn)需求，內(nèi)容上可能會(huì)有重疊。因此，為了能夠從多維度對(duì)實(shí)驗(yàn)進(jìn)行分類且最大限度地方便教師組織實(shí)驗(yàn)，本項(xiàng)目采用標(biāo)簽標(biāo)識(shí)的方式。

（3）案例部署

根據(jù)不同實(shí)驗(yàn)的特點(diǎn)搭建具體的應(yīng)用、服務(wù)和所需的配置，將典型案例經(jīng)過(guò)統(tǒng)計(jì)總結(jié)典型特點(diǎn)，建立貼合實(shí)戰(zhàn)的具體取證實(shí)驗(yàn)。

● 特色實(shí)驗(yàn)搭建

本項(xiàng)目針對(duì)典型新型犯罪案件分別建立了特色實(shí)驗(yàn)應(yīng)用，契合了教育部近年來(lái)大力發(fā)展新工科教育的發(fā)展理念，同時(shí)可以方便在職民警快速掌握當(dāng)前的信息犯罪新技術(shù)、新手段。

1.云端服務(wù)器取證實(shí)驗(yàn)

近年來(lái)，隨著云服務(wù)的商用和民用的快速普及，傳統(tǒng)類型犯罪也逐漸向云服務(wù)平臺(tái)轉(zhuǎn)移。其中，多數(shù)為涉及云服務(wù)器的案件，通常是犯罪嫌疑人租賃云服務(wù)搭建服務(wù)器，這樣既可節(jié)省維護(hù)硬件的成本，也給公安部門(mén)調(diào)查取證增加了難度。本平臺(tái)原生態(tài)支持云服務(wù)器，這大大方便了本實(shí)驗(yàn)的部署。本團(tuán)隊(duì)統(tǒng)計(jì)了新型犯罪案件中的云服務(wù)器配置，選取了常用的CentOS和Windows 7操作系統(tǒng)兩類云服務(wù)器，兩類云服務(wù)器中的配置服務(wù)具體參數(shù)如表3所示。

本實(shí)驗(yàn)中部署的基于Docker的云服務(wù)器是后續(xù)取證實(shí)驗(yàn)的搭建基礎(chǔ)，因此本實(shí)驗(yàn)僅具備基本的云服務(wù)器環(huán)境。本平臺(tái)是基于Docker容器技術(shù)搭建起來(lái)的平臺(tái)，因此在取證中也可利用docker的獨(dú)有功能。具體的取證過(guò)程可有以下幾種選擇，在實(shí)驗(yàn)過(guò)程中可根據(jù)實(shí)驗(yàn)的具體需要選擇一種或多種方法。

①利用dd命令制作物理鏡像，并通過(guò)取證軟件對(duì)鏡像文件進(jìn)行分析，掌握云服務(wù)器的架構(gòu);

②利用云平臺(tái)的特點(diǎn)，學(xué)生可以在取證平臺(tái)內(nèi)運(yùn)行云服務(wù)器的副本，在云服務(wù)器中進(jìn)行動(dòng)態(tài)取證，類似于傳統(tǒng)取證技術(shù)中的仿真實(shí)驗(yàn);

③利用tar命令制作邏輯鏡像，并通過(guò)取證軟件對(duì)鏡像文件進(jìn)分析，掌握云服務(wù)器的架構(gòu)。

2.賭博網(wǎng)站取證實(shí)驗(yàn)

賭博網(wǎng)站也是近年來(lái)出現(xiàn)頻率較高的一類刑事犯罪案件，賭博的開(kāi)展方式由傳統(tǒng)的線下面對(duì)面進(jìn)行發(fā)展至網(wǎng)絡(luò)賭博、微信賭博、APP賭博等新類型賭博。本實(shí)驗(yàn)在云服務(wù)器基礎(chǔ)上，模擬構(gòu)架了一個(gè)依托云服務(wù)器的賭博網(wǎng)站。

本實(shí)驗(yàn)總結(jié)了此類案件網(wǎng)站的一些共性和特點(diǎn)，選取了經(jīng)典的PHP7.2+Apache2+Mysql組合部署網(wǎng)站。同時(shí)通過(guò)對(duì)近期此類案件的梳理發(fā)現(xiàn)，犯罪嫌疑人對(duì)網(wǎng)站數(shù)據(jù)的安全防護(hù)十分注重，因此實(shí)驗(yàn)搭建中增加了一些典型的安全防御機(jī)制，增大了取證的難度。賭博網(wǎng)站實(shí)驗(yàn)的架構(gòu)如圖6所示。

由于賭博網(wǎng)站的賭博方式大同小異，實(shí)驗(yàn)選取了“比大小”“轉(zhuǎn)盤(pán)抽獎(jiǎng)”和“老虎機(jī)”三個(gè)最具有代表性的賭博游戲。很多賭博網(wǎng)站除了詐騙錢(qián)財(cái)外，還可能附帶經(jīng)營(yíng)洗錢(qián)業(yè)務(wù)，其中利用“比大小”進(jìn)行洗錢(qián)是較為常見(jiàn)的方式。為模擬真實(shí)案件的效果，本實(shí)驗(yàn)部署時(shí)綜合了幾種典型的反取證的保密技術(shù)。

本實(shí)驗(yàn)的取證要求學(xué)生主要針對(duì)賭博網(wǎng)站的云服務(wù)器進(jìn)行取證實(shí)驗(yàn)，通過(guò)分析云服務(wù)器中的數(shù)據(jù)，梳理網(wǎng)站的經(jīng)營(yíng)模式，厘清賭博網(wǎng)站的資金流向和經(jīng)營(yíng)賭博網(wǎng)站的人員架構(gòu)。

3.團(tuán)伙犯罪取證實(shí)驗(yàn)

團(tuán)伙性犯罪是近年來(lái)公安機(jī)關(guān)嚴(yán)厲打擊的對(duì)象，團(tuán)伙往往內(nèi)部分工明確，犯罪行為多樣，社會(huì)危害性較大，對(duì)此類案件的取證工作也較為煩瑣，而且信息網(wǎng)絡(luò)空間是現(xiàn)代犯罪團(tuán)伙的重要活動(dòng)地點(diǎn)，給犯罪團(tuán)伙提供了天然的隱匿之地。對(duì)于團(tuán)伙性犯罪案件的取證實(shí)驗(yàn)，本項(xiàng)目選取了某犯罪團(tuán)伙通過(guò)網(wǎng)絡(luò)進(jìn)行敲詐勒索為案情背景，創(chuàng)建了實(shí)驗(yàn)環(huán)境。本實(shí)驗(yàn)?zāi)M了犯罪團(tuán)伙在論壇上進(jìn)行撒網(wǎng)式發(fā)布廣告，對(duì)潛在意向客戶進(jìn)行有目的性的推銷。在模擬的案情中，犯罪嫌疑人在論壇對(duì)被害人實(shí)施誹謗和敲詐勒索的犯罪行為，通過(guò)社交軟件與委托實(shí)施網(wǎng)絡(luò)暴力的客戶進(jìn)行具體的交易細(xì)節(jié)溝通，并將交易的記錄詳細(xì)信息保存在加密文件中。

本實(shí)驗(yàn)依然依托于之前搭建的云服務(wù)器，在此基礎(chǔ)上創(chuàng)建了現(xiàn)實(shí)生活中普遍流行的Discuz架構(gòu)的論壇，具體版本是Discuz_X3.4_SC_UTF8。本實(shí)驗(yàn)的犯罪團(tuán)伙人員組織架構(gòu)如圖7所示。

由于本項(xiàng)目以模擬真實(shí)案件為出發(fā)點(diǎn)，所以本實(shí)驗(yàn)的背景設(shè)定為犯罪嫌疑人電腦中發(fā)現(xiàn)虛擬機(jī)（Windows 7），且需要登錄密碼，但嫌疑人拒絕告知密碼。此實(shí)驗(yàn)的取證過(guò)程大致包括：要求學(xué)生利用SAM文件和system文件獲取系統(tǒng)的登錄密碼;通過(guò)對(duì)QQ數(shù)據(jù)的分析，獲得雙方交易協(xié)商記錄，以及嫌疑人完成客戶委托后發(fā)送的壓縮文件，作為證據(jù)之一;查看瀏覽器歷史記錄和存儲(chǔ)的設(shè)置獲取嫌疑人在涉案論壇上的賬號(hào)和密碼;通過(guò)分析關(guān)鍵文件、破解文件密碼獲取關(guān)鍵證據(jù)。

● 總結(jié)

本項(xiàng)目引進(jìn)了模擬仿真教學(xué)的理念，借助云容器技術(shù)、虛擬化技術(shù)建設(shè)了一個(gè)契合公安院校建設(shè)“新工科教育”理念的實(shí)驗(yàn)平臺(tái)。該平臺(tái)針對(duì)公安院校的特色電子取證課程進(jìn)行平臺(tái)的建設(shè)，形成了一個(gè)結(jié)合理論與實(shí)戰(zhàn)、教學(xué)與科研的可持續(xù)化發(fā)展實(shí)驗(yàn)平臺(tái)，實(shí)現(xiàn)動(dòng)態(tài)實(shí)驗(yàn)環(huán)境部署和優(yōu)化。通過(guò)不斷調(diào)整案例庫(kù)的實(shí)驗(yàn)素材，時(shí)刻緊跟電子取證的發(fā)展步伐，做到與時(shí)俱進(jìn)，為建設(shè)具有公安本科院校特色的“新工科教育”進(jìn)行了具有強(qiáng)執(zhí)行性、高拓展性的嘗試。

參考文獻(xiàn)：

[1]周建華，鐘鋼.在公安高校開(kāi)設(shè)計(jì)算機(jī)犯罪取證課程的探索[J].湖南警察學(xué)院學(xué)報(bào)，2006，18（03）：101-104.

[2]丁麗萍.電子數(shù)據(jù)取證人才培養(yǎng)的思考[J].中國(guó)信息安全，2019（05）：74-75.

[3]高云飛，徐志強(qiáng).論電子數(shù)據(jù)取證培訓(xùn)及考核體系建設(shè)[J].電信科學(xué)，2010（S2）：187-192.

[4] Zhang X ， Yuen T T ， Choo K K R . Experiential Learning in Digital Forensics[M]// Digital Forensic Education. 2020.

[5]王亮，劉磊，張華，等.網(wǎng)絡(luò)工程類人才“取證型”仿真教學(xué)模式的探索[J].通訊世界，2018（11）.

[6]Quick D，Choo KKR. Impacts of increasing volume of digital forensic data： A survey and future research challenges[J].Digital Investigation，2014，11（04）：273-294.

[7]Van Der Horst L，Choo KKR，Le-Khac N A. Process memory investigation of the bitcoin clients electrum and bitcoin core[J].IEEE Access，2017（04）：22385-22398.

[8]Barmpatsalou K，Cruz T，Monteiro E，et al. Current and future trends in mobile device forensics： A survey[J].ACM Computing Surveys （CSUR），2018，51（03）：1-31.

[9]Scrivens N，Lin X. Android digital forensics： data，extraction and analysis[C]//Proceedings of the ACM Turing 50th Celebration Conference-China. 2017：1-10.

[10]韓馬劍. 路由器取證研究[J].信息網(wǎng)絡(luò)安全，2016（09）：51-55.

[11]Quick D， Choo K K R. IoT device forensics and data reduction[J].IEEE Access， 2018（06）： 47566-47574.

[12]Rondeau C M，Temple M A，Lopez J.Industrial IoT cross‐layer forensic investigation[J].Wiley Interdisciplinary Reviews： Forensic Science，2019，1（01）：e1322.

[13]Stoyanova M， Nikoloudakis Y， Panagiotakis S， et al. A Survey on the Internet of Things （IoT） Forensics： Challenges， Approaches and Open Issues[J]. IEEE Communications Surveys & Tutorials，2020.

[14]Le-Khac N A，Jacobs D，Nijhoff J， et al. Smart vehicle forensics： Challenges and case study[J].Future Generation Computer Systems，2020（109）：500-510.

[15]Weber M，Domeniconi G，Chen J，et al. Anti-money laundering in bitcoin： Experimenting with graph convolutional networks for financial forensics[J].arXiv preprint arXiv：1908.02591，2019.

[16]Cebe M，Erdin E，Akkaya K，et al.Block4forensic： An integrated lightweight blockchain framework for forensics applications of connected vehicles[J].IEEE Communications Magazine，2018，56（10）：50-57.

[17]Jadoon A K，Iqbal W，Amjad M F，et al. Forensic Analysis of Tor Browser： A Case Study for Privacy and Anonymity on the Web[J].Forensic Science International，2019：59-73.

作者簡(jiǎn)介：張萍（1986—），女，山東青島人，講師，博士，主要研究方向?yàn)樾畔踩㈦娮尤∽C、網(wǎng)絡(luò)犯罪偵查研究;彭建新（1977—），通訊作者，男，湖南雙峰人，主任，教授，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全、電子取證。

基金項(xiàng)目：教育部科技發(fā)展中心高校產(chǎn)學(xué)研創(chuàng)新基金項(xiàng)目“云計(jì)算在公安院校電子取證課程建設(shè)中的應(yīng)用研究”（2018A01002）;廣東省教育廳普通高校特色創(chuàng)新項(xiàng)目（自然科學(xué)）“電子取證在云容器技術(shù)下的應(yīng)用研究”（項(xiàng)目編號(hào)：CIA120150）。