操作系统虚拟仿真取证技术研究.docVIP

操作系统虚拟仿真取证技术研究 　　摘要：该文介绍了一种操作系统虚拟仿真取证的方法，然后具体描述了该方法在计算机取证过程中所采取的具体步骤，提出了对待取证的操作系统磁盘进行虚拟仿真的解决方案并对方案进行了探讨。最后给出了操作系统虚拟仿真取证方法完整的系统设计模型，针对该模型详细地讨论了在一种写保护条件下操作系统虚拟仿真取证系统的设计流程。采用了该文中的操作系统虚拟仿真取证的方法，使用物理磁盘或者磁盘镜像，通过在VMware以只读方式仿真启动操作系统，在仿真操作系统中可以查看物理磁盘或者磁盘镜像原始操作系统中的内容，以达到不用损坏物理磁盘或者磁盘镜像来取证的目的，操作简单，应用范围广泛。 　　关键词：操作系统；虚拟仿真；取证；技术研究 　　中图分类号：TP391 文献标识码：A 文章编?：1009-3044（2016）33-0264-03 　　1 背景 　　待取证操作系统中的各类数据是重要的证据来源，能较全面的对原始证据进行取证。计算机虚拟技术是通过软件来模拟计算机硬件的技术。目前，物理计算机的计算量、存储量有了非常大的进步。计算机上安装了虚拟机之后可以在一台机器上模拟出多台机器的效果，能完成架设多计算机服务程序、隐蔽网络访问等需求，因此，越来越多的数据以及服务被存储和移植到了虚拟计算机上。随之带来的针对虚拟机的数据恢复与取证需要在虚拟机上对物理磁盘或者磁盘镜像磁盘进行系统仿真取证。本文描述的一种操作系统虚拟仿真取证方法克服了上述现有技术的缺点，提供了一种解决虚拟操作环境下针对物理磁盘或者磁盘镜像的操作系统仿真问题、采用直接从某个磁盘分区或者整个磁盘来创建一个VMware的虚拟机的方法达到对物理磁盘或者磁盘镜像的仿真取证的操作系统虚拟仿真取证的方法。 　　2 操作系统虚拟仿真取证方法总体设计 　　2.1 系统模型设计 　　2.2 系统实施流程 　　为了能够更清楚地描述本操作系统虚拟仿真取证方法的技术内容，下面结合具体实施例来作进一步的描述。本操作系统虚拟仿真取证方法详细分析了使用物理磁盘或者磁盘镜像，通过在VMware以只读方式仿真启动操作系统，在仿真操作系统中可以查看物理磁盘或者磁盘镜像原始操作系统中的内容，以达到不用损坏物理磁盘或者磁盘镜像来取证的目的。 　　首先将虚拟操作环境下虚拟机中待系统虚拟仿真取证的磁盘文件格式挂载到服务主机上；在一种优选的实施方式中，待系统虚拟仿真取证的磁盘文件可以是物理磁盘或者磁盘镜像；其中，物理磁盘可以是各种类型的物理磁盘，包括SATA、IDE、SSD等各种常见物理硬盘，其支持以USB接口的形式加载物理磁盘；磁盘镜像则是支持常见的img、dd等磁盘镜像格式，其支持以文件的形式加载磁盘镜像。物理磁盘或者磁盘镜像支持常见的Windows和Linux操作系统类型。 　　然后，在虚拟机关机的状态下获取虚拟机的静态信息；在一种优选的实施方式中，所述的静态信息包含操作系统信息，虚拟机文件系统内容、文件格式、文件结构、分区信息、文件表、残存文件。能将文件系统以图形用户界面的方式展现给取证人员。支持特定目录下的特定文件的有哪些信誉好的足球投注网站，将有哪些信誉好的足球投注网站出来的文件进行加密，可采用MD5摘要算法或其他算法，加密后的文件不可再改动，具有不可抵赖性，最后以电子证据的形式保存到数据库中。 　　在一种优选的实施方式中，选取VMware虚拟机为例，研究在虚拟操作环境中的勘查取证分析。VMware虚拟机的虚拟磁盘格式为VMDK文件，通过对VMDK文件格式的深入分析，将虚拟磁盘模拟为物理设备，实现了对虚拟磁盘的挂载，获取到虚拟磁盘的文件系统。 　　首先，使用vmware-amount工具将物理磁盘或者磁盘镜像挂载到本机操作系统环境下，对于vmware-amount工具以及其他vmware系统的工具集，由于操作系统的不同会导致这些可运行程序所存储的位置不同，通过调用Windows操作系统WMI的方法获取到准确的vmware工具集可运行程序位置。 　　将虚拟磁盘挂载的过程中会判断该虚拟机是否存在快照，如果存在则说明该虚拟机先前被启动过，否则未被启动过。如果这个磁盘镜像已经在之前被启动，可以采用从上次离开的地方继续工作，亦可从头开始工作。将整个物理磁盘或者磁盘镜像以文件的形式读入到内存中后，一般在磁盘文件的二进制字节的头部会发现物理磁盘或者磁盘镜像对应的mbr文件结构。 　　mbr指的是主启动扇区，如果物理磁盘或者磁盘镜像受到破损或者其他外部原因无法正常读取mbr文件，我们可采用预先定制的mbr文件结构来重构受损的物理磁盘或者磁盘镜像主启动扇区头，针对不同的操作系统预先定制有不同的主启动扇区头结构。 　　3 VMWare虚拟机仿真取证设计 　　3.1 VMX配置文件设计 　　由于vmware虚拟机的启动是从vmx启动生成