當前位置:
首頁 > 最新 > 公檢法取證-虛擬機文件數據取證技術研究

公檢法取證-虛擬機文件數據取證技術研究

最新 05-24

什麼是虛擬機?

虛擬機(Virtual Machine)指通過軟體模擬的具有完整硬體系統功能的、運行在一個完全隔離環境中的完整計算機系統。虛擬機是近幾年來比較熱門的技術之一,在公檢法取證的過程中,常常要對虛擬機內的數據進行取證,那麼虛擬機數據取證的熱點技術有哪些呢?

下面,效率源科技的技術大咖來分享公檢法取證之虛擬機數據取證思路!

在虛擬機里數據是以文件形式進行存儲的,對虛擬機內的數據取證其實就是對虛擬機文件進行取證。

下面以VMware Workstation為例對用戶創建虛擬機後產生的各類文件進行說明:

下面對上述截圖中的文件類型進行逐一說明:

*.vmx文件:虛擬機的配置文件

*.vmem文件:表示虛擬內存的文件

*.vmdk文件:表示虛擬機的虛擬磁碟文件

*.vmss文件:虛擬機在掛起狀態時的信息文件

*.log文件:記錄了VMware Workstation對虛擬機調試運行的情況

*.nvram文件:儲存虛擬機BIOS狀態信息

*.vmsn文件: 當虛擬機建立快照時,就會自動創建該文件

*.vmxf文件:虛擬機組中補充的配置文件

*.vmdk文件是非常重要的虛擬機文件,該類文件記錄虛擬機的操作系統中所產生的全部數據,也是虛擬機取證工作中的重要來源;

*.vmem文件包含了操作系統的內核數據結構、進程、線程、堆中的數據,以及用戶的其他敏感信息,如用戶輸入的密碼、聊天信息、網頁瀏覽信息等;

*.log日誌文件,記錄了用戶在虛擬機中的許多操作,比如文件創建、USB接入、虛擬機運行的情況、操作系統基本信息、用戶行為時間等;

*.vmdk文件、*.vmem文件、*.log日誌文件,幾乎包含了對虛擬機取證所需要的所有有價值的信息,因此,下文我們將主要講述針對這3類文件的軀具體取證方法。

虛擬機數據取證技術研究

VMDK文件取證

對VMDK文件取證我們可以當成對鏡像文件的取證。從上文我們知道,VMDK文件記錄了虛擬機的操作系統中所產生的全部數據,如文件數據、系統痕迹(操作日誌、開關機記錄、註冊表數據等)、應用程序痕迹(QQ、瀏覽器、郵件等),是虛擬機取證工作中的重要來源。

對虛擬機VMDK文件取證支持靜態取證方法和動態取證方法。

靜態取證

靜態取證的思路是採取直接解析文件,識別文件中的分區信息和數據文件。

在此思路方法下,我們對文件的格式展開了深入研究,分析底層存儲邏輯結構,最終獲取磁碟文件中包含的用戶數據。

而這個方法目前也集成到了DRS6800數據恢復系統(以下簡稱DRS)中,下圖為DRS解析*.VMDK文件的截圖:

在實際的虛擬機取證過程中,罪犯往往會採取修改文件擴展名的方式來逃避調查,因此有效識別文件的真實類型是相當重要的。在不同的虛擬機產品里使用的數據文件不盡相同,下面列舉出目前主流的虛擬機產品、數據文件擴展名、數據文件標識的對應表以供參考。

目前主流虛擬機產品、數據文件擴展名、數據文件標識對應表

DRS對上述類型的文件可以全部兼容,能有效的識別各類虛擬機文件,及其包含的分區和數據文件。

動態取證

動態取證是採用模擬系統直接啟動VMDK的系統,以第一人稱方式直接獲取系統數據。可以直接查看系統的聊天記錄、文件信息、訪問過的網站,同時還可以獲取易丟失的動態信息,如進程、網路包、網卡MAC地址等。該取證方式也已集成到DF6600電子數據分析系統(以下簡稱DF)中。

靜態取證和動態取證各有優缺點,在真實的取證環境中,建議採用動靜結合的取證方法,採取雙份鏡像備份的思路,一份進行靜態分析取證,一份進行動態載入取證,動靜結合方能提取出更多的信息。

VMEM文件取證

VMEM 文件是VMware Workstation 虛擬機默認在運行中和暫停狀態時產生的附屬文件。其大小與虛擬機配置文件(.vmx) 中設定的虛擬物理內存大小相同,其內容為與虛擬機客戶操作系統所管理的內存數據。

通過簡單的實驗可以發現,當VMware Workstation 虛擬機啟動時,就生成了一個VMEM 的臨時文件。而當用戶使用虛擬機的「暫停」功能時,在虛擬機保存的路徑下會生成一個與虛擬機名相同,後綴名為「.vmem」的正常文件。虛擬機暫停所需保存的所有虛擬機客戶操作系統的內存相關數據都保存到了該文件中,且以一種虛擬機可以理解的結構和方式組織數據的保存(即按照虛擬機的「物理內存」順序保存)。VMEM 的這項功能在虛擬機的默認情況下是啟用的。

對虛擬機內存文件進行取證可獲得有價值的信息包括:操作系統的內核數據結構、進程、線程、堆中的數據,以及用戶的其他敏感信息,如用戶輸入的密碼、聊天信息、網頁瀏覽信息等。

針對該文件的信息提取方法也已集成到DF產品中。

LOG文件取證

用戶在虛擬機中的許多操作都記錄在LOG文件中,比如文件創建、USB接入、虛擬機運行的情況、操作系統基本信息、用戶行為時間等。

日誌文件為Plain text格式,可通過日誌文件的語義解析進行對日誌文件中涉及到的操作進行分類篩選,按照時間線進行對用戶的行為進行分析取證。

虛擬機取證產品免費試用

在對虛擬機進行取證時一定要注意:為了保證證據的原始性,取證過程中遇到虛機文件不允許直接使用虛擬機軟體載入。數據取證產品的免費試用請聯繫效率源科技。


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 效率源科技 的精彩文章:

如何應對越來越高發多變的網路犯罪?
如何對有訪問密碼的MySQL資料庫進行取證?

TAG:效率源科技 |