当前位置:文档下载 > 所有分类 > 工程科技 > 信息与通信 > 虚拟机文件取证分析
侵权投诉

虚拟机文件取证分析

介绍VMware Workstation软件常见的虚拟机磁盘文件结构及其含义,提出一种符合司法要求的虚拟机文件取证方法。通过直接扫描虚拟机文件,依据虚拟硬盘分区文件类型的存储结构定位虚拟机磁盘文件的虚拟主机的相应扇区,获取证据。以虚拟硬盘分区文件系统NTFS为例进行说明,探讨在虚拟机下进行计算机取证的策略。

第 3卷第 8期 6 V . o1 36

工程

21 00年 4月 Aprl 20 0 i 1

No .8

Co p t rEn i e r n m u e gn e ig

软件技术与数据库

文编: o 4 ( 1o _7- 3文标识 A章号 1 2 2 o8 o每- o 8 o )— o o献码:

中分号 T31图类: P9

虚拟机文件取证分析 钟琳,许榕生 (. 1福州大学数学与计算机学院,福州 3 00;2中国科学院高能物理研究所计算中心,北京 1 0 9 50 0 . 0 4) 0

要:介绍 V a rstn Mw rWoka o软件常见的虚拟机磁盘文件结构及其含义, e ti提出一种符合司法要求的虚拟机文件取证方法。通过直接扫

描虚拟机文件,依据虚拟硬盘分区文件类型的存储结构定位虚拟机磁盘文件的虚拟主机的相应扇区,获取证据。以虚拟硬盘分区文件系统 NF T S为例进行说明,探讨在虚拟机下进行计算机取证的策略。 关键词:虚拟机;V Mwae rs t n软件;取证 rWokt i ao

An l ss0 a y i fⅥ r u l a h n i r n i t a c i eF l Fo e sc M e ZHONG n, Li XU n h n ̄ Ro g s e g ( . l g fM ah maisa dCo ue, z o 1 Col eo e te t n mp trFu h uUniest, z o 5 0 0 c v ri Fu h u3 0 0; y

2 C ne o C mp t g Istt f g nryP yisC iee a e . e t f o ui,ntu r n i eo HihE eg h s, hns Acdmyo S i c sBe ig104 ) c f ce e, in 0 0 9 n j[ src]T i pp rnrd cstesu tr n aig f iu l cie i l ud r Abta t hs ae t u e t cueadmenn so r a hn s fe n e i o h r v t ma d ki VMw r rs t nsf r. n ea poc aeWok t i o wae A dt p rah ao t h frtevr a mahn lsfr u iil edi aaye . c odn efesoa es cuei ep rt nfess m,t cn evr a o h iu l c iefe o dca ne s n lzd A crigt t l tr

g t tr nt ati l yt isast iul t i j Oh i u r h io i e h t m a h n l O l c t h e t ri e v r l os f t e v ru lm a hi ik fl o c e sn o e i e c . k n i u lh r ik p ri o 0 c i e f e t o ae t e s c o n t it i h ua h t h it a c ne d s e f r a c s i g t v d n e Ta i g v r a a d d s a t i n t o i t t NTF l y t m sa x mp e i d s u s ss me f e scsr t ge n e i u l c i e S f e s se a n e a l, t ic s e o i or n i ta e isu d ra vr a t ma h n .

[ yw r s iu l cie V Ke o d ivr a hn; MwaeWoktt nsf refrni t ma r rs i t a o o wa;oes c

虚拟机技术是近几年计算机领域最热门的技术之一。每 个虚拟机模拟一个完整的计算机系统,以文件的形式存储在物理机中。为了保证证据的原始性,取证过程中遇到虚机文件不允许直接使用虚拟机软件加载。因此,如何有效提取该

1稀疏头 . 2 V K文件的第 1个扇区叫作主机稀疏盘区头( ot MD H sd e S as E tns ed r p r x tH a e) e e 川,以 A C I“ S I的 VMDK”开始,记录有关层次结构的各种参数,其所需参数见表 l。 表 1所需稀疏头参数

文件信息成为值得思考的问题。本文着重介绍 VMwae r Woktt n中 W idws rs i ao n o系统的取证过程。

1虚拟机文件结构 虚拟机数据是以文件的形式存储的,研究的重点是虚拟机磁盘文件( . VMDK。V aeWokt in采用主机稀疏盘 ) Mw r rs t ao区( otd pre xet形式…,结构如图 1 H s as E t s eS n)所示。 13虚拟磁盘 .虚拟磁盘是粒的集合。虚拟磁盘的存储结构与同种文件

系统在真实硬盘上的结构相同。因此,只需定位虚拟磁盘, 根据其文件系统类型进行证据的获取。

2虚拟机文件中的 N F T S文件系统 2主引导记录区和虚拟主引导记录区 . 1 MB (

引导记录区) R主共 5 2B t,最后 6 ye 1 ye 4B t为硬盘

分区表( s atinT be D T。偏移 00 Di Prt al, P ) k io x4的字节是该分区的文件系统类型 FlS s i y,偏移 0 0起的 4B t为本分区 e x8 ye已使用扇区数 Usd es e Sc,其后 4 B t ye是本分区总扇区数 T tles oaSc。虚拟 MB 1与 MB R2 1 R结构相同。 圈 1主机稀琉盘区

11粒目录、粒表、粒 .粒目录( D、粒表( ) G ) GT、粒是 V ae虚拟磁盘文件 Mw r 特殊的层次结构。其中,粒目录指向粒表;粒表指向粒;粒

22弓导扇区, l DB DO o t eod是操作系统引导扇区,包括引 R( SB o c r) R 基金项目:北京市优秀人才培养基金资助项目(0 6D 5 0 0 15; 201 00706) 北京市教委科技发展计划基金资助项目 K 0 6 0 7 0 6 ( M2 0 7 2 0 ) 1

是若干扇区块,包含虚拟磁盘信息。默认值为 18扇区或 2 6 B。粒目录由一组 3 i 4K 2b t的粒目录项组成。粒表由一组

作者倚介:钟琳(95 )女, 18-,硕士研究生,主研方向:网络安全, 计算机取证;许榕生,研究员、博士生导师

3 i的粒表项构成,一般大小为 2K 2 t b B。

收稿日:20—9 2期 09— 02

Em i hnl@i p c n - a:zogn h . . l i eac

虚拟机文件取证分析

第1页

猜你喜欢

返回顶部