本发明专利技术涉及一种操作系统虚拟仿真取证的方法,所述的方法包括以下步骤:将虚拟操作环境下虚拟机中待虚拟仿真取证的磁盘文件格式挂载到服务主机上;在虚拟机关机的状态下获取虚拟机的静态信息;待虚拟仿真取证的磁盘文件格式包括物理磁盘或磁盘镜像;物理磁盘为其支持以USB接口的形式加载物理磁盘;磁盘镜像是为支持以文件的形式加载磁盘镜像。采用该种结构的操作系统虚拟仿真取证的方法,使用物理磁盘或者磁盘镜像,通过在VMware以只读方式仿真启动操作系统,在仿真操作系统中可以查看物理磁盘或者磁盘镜像原始操作系统中的内容,以达到不用损坏物理磁盘或者磁盘镜像来取证的目的,操作简单,应用范围广泛。
【技术实现步骤摘要】
本专利技术涉及信息安全领域,尤其涉及电子数据取证,具体是指一种操作系统虚拟仿真取证的方法。
技术介绍
待取证操作系统中的各类数据是重要的证据来源,能较全面的对原始证据进行取证。计算机虚拟技术是通过软件来模拟计算机硬件的技术。目前,物理计算机的计算量、存储量有了非常大的进步。计算机上安装了虚拟机之后可以在一台机器上模拟出多台机器的效果,能完成架设多计算机服务程序、隐蔽网络访问等需求,因此,越来越多的数据以及服务被存储和移植到了虚拟计算机上。随之带来的针对虚拟机的数据恢复与取证需要在虚拟机上对物理磁盘或者磁盘镜像磁盘进行系统仿真取证。
技术实现思路
本专利技术的目的是克服了上述现有技术的缺点,提供了一种解决虚拟操作环境下针对物理磁盘或者磁盘镜像的操作系统仿真问题、采用直接从某个磁盘分区或者整个磁盘来创建一个VMware的虚拟机的方法达到对物理磁盘或者磁盘镜像的仿真取证的操作系统虚拟仿真取证的方法。为了实现上述目的,本专利技术的操作系统虚拟仿真取证的方法具有如下构成:该操作系统虚拟仿真取证的方法,其主要特点是,所述的方法包括以下步骤:(1)将虚拟操作环境下虚拟机中待虚拟仿真取证的磁盘文件格式挂载到服务主机上;(2)在虚拟机关机的状态下获取虚拟机的静态信息。进一步地,所述的步骤(1)具体包括以下步骤:(1.1)挂载待虚拟仿真取证的物理磁盘或磁盘镜像;(1.2)获取虚拟机的工作始点;(1.3)创建虚拟机vmx配置文件。更进一步地,所述的步骤(1.1)具体为:挂载待虚拟仿真取证的支持以USB接口加载的物理磁盘或挂载待虚拟仿真取证的支持以文件形式加载的磁盘镜像。更进一步地,所述的步骤(1.2)具体包括以下步骤:(1.2.1)判断所述的物理磁盘或者所述的磁盘镜像是否为只读模式;(1.2.2)如果所述的物理磁盘或者所述的磁盘镜像为只读模式,则判断所述的虚拟机是否存在快照;(1.2.3)如果所述的虚拟机存在快照,则根据从上次离开的地方继续工作,然后继续步骤(1.3);(1.2.4)如果所述的虚拟机先前未被启动,则继续步骤(1.3);(1.2.5)如果所述的物理磁盘或者所述的磁盘镜像不为只读模式,则继续步骤(2)。更进一步地,所述的步骤(2)具体包括以下步骤:(2.1)判断所述的虚拟机中是否存在mbr文件;(2.2)如果所述的虚拟机中存在mbr文件,则读取所述的mbr文件后,启动虚拟机;(2.3)如果所述的虚拟机中不存在mbr文件,则采用预先定制的mbr文件修复启动主扇区,然后继续步骤(1.2)。再进一步地,所述的步骤(2.1)具体包括以下步骤:(2.1.1)判断所述的虚拟机中是否存在vmware工具集;(2.1.2)如果所述的虚拟机中存在vmware工具集,则判断所述的虚拟机是否存在操作密码;(2.1.3)如果所述的虚拟机存在操作密码,则所述的虚拟机中是否存在mbr文件;(2.1.4)如果所述的虚拟机中存在mbr文件,则返回所述的虚拟机中存在mbr文件的结果;(2.1.5)如果所述的虚拟机中不存在mbr文件,则返回所述的虚拟机中不存在mbr文件的结果;(2.1.6)如果所述的虚拟机不存在操作密码,则更改注册表破解所述的虚拟机的密码,然后继续步骤(2.1.8);(2.1.7)如果所述的虚拟机中不存在vmware工具集,则继续步骤(2.1.8);(2.1.8)读取所述的mbr文件后,启动虚拟机。采用了该专利技术中的操作系统虚拟仿真取证的方法,使用物理磁盘或者磁盘镜像,通过在VMware以只读方式仿真启动操作系统,在仿真操作系统中可以查看物理磁盘或者磁盘镜像原始操作系统中的内容,以达到不用损坏物理磁盘或者磁盘镜像来取证的目的,操作简单,应用范围广泛。附图说明图1为本专利技术的操作系统虚拟仿真取证的方法的步骤流程图。具体实施方式为了能够更清楚地描述本专利技术的
技术实现思路
,下面结合具体实施例来进行进一步的描述。本专利技术详细分析了使用物理磁盘或者磁盘镜像,通过在VMware以只读方式仿真启动操作系统,在仿真操作系统中可以查看物理磁盘或者磁盘镜像原始操作系统中的内容,以达到不用损坏物理磁盘或者磁盘镜像来取证的目的。请参阅图1所示,图1为本专利技术的操作系统虚拟仿真取证的方法的步骤流程图。首先将虚拟操作环境下虚拟机中待系统虚拟仿真取证的磁盘文件格式挂载到服务主机上;在一种优选的实施方式中,待系统虚拟仿真取证的磁盘文件可以是物理磁盘或者磁盘镜像;其中,物理磁盘可以是各种类型的物理磁盘,包括SATA、IDE、SSD等各种常见物理硬盘,其支持以USB接口的形式加载物理磁盘;磁盘镜像则是支持常见的img、dd等磁盘镜像格式,其支持以文件的形式加载磁盘镜像。物理磁盘或者磁盘镜像支持常见的Windows和Linux操作系统类型。然后,在虚拟机关机的状态下获取虚拟机的静态信息;在一种优选的实施方式中,所述的静态信息包含操作系统信息,虚拟机文件系统内容、文件格式、文件结构、分区信息、文件表、残存文件。能将文件系统以图形用户界面的方式展现给取证人员。支持特定目录下的特定文件的搜索,将搜索出来的文件进行加密,可采用MD5摘要算法或其它算法,加密后的文件不可再改动,具有不可抵赖性,最后以电子证据的形式保存到数据库中。在一种优选的实施方式中,选取VMware虚拟机为例,研究在虚拟操作环境中的勘查取证分析。VMware虚拟机的虚拟磁盘格式为VMDK文件,通过对VMDK文件格式的深入分析,将虚拟磁盘模拟为物理设备,实现了对虚拟磁盘的挂载,获取到虚拟磁盘的文件系统。首先,使用vmware-amount工具将物理磁盘或者磁盘镜像挂载到本机操作系统环境下,对于vmware-amount工具以及其他vmware系统的工具集,由于操作系统的不同会导致这些可运行程序所存储的位置不同,通过调用Windows操作系统WMI的方法获取到准确的vmware工具集可运行程序位置。将虚拟磁盘挂载的过程中会判断该虚拟机是否存在快照,如果存在则说明该虚拟机先前被启动过,否则未被启动过。如果这个磁盘镜像已经在之前被启动,可以采用从上次离开的地方继续工作,亦可从头开始工作。将整个物理磁盘或者磁盘镜像以文件的形式读入到内存中后,一般在磁盘文件的二进制字节的头部会发现物理磁盘或者磁盘镜像对应的mbr文件结构。mbr指的是主启动扇区,如果物理磁盘或者磁盘镜像受到破损或者其他外部原因无法正常读取mbr文件,我们可采用本文档来自技高网...
【技术保护点】
一种操作系统虚拟仿真取证的方法,其特征在于,所述的方法包括以下步骤:(1)将虚拟操作环境下虚拟机中待虚拟仿真取证的磁盘文件格式挂载到服务主机上;(2)在虚拟机关机的状态下获取虚拟机的静态信息。
【技术特征摘要】
1.一种操作系统虚拟仿真取证的方法,其特征在于,所述的方法包括以下步骤:
(1)将虚拟操作环境下虚拟机中待虚拟仿真取证的磁盘文件格式挂载到服务主机上;
(2)在虚拟机关机的状态下获取虚拟机的静态信息。
2.根据权利要求1所述的操作系统虚拟仿真取证的方法,其特征在于,所述的步骤(1)
具体包括以下步骤:
(1.1)挂载待虚拟仿真取证的物理磁盘或磁盘镜像;
(1.2)获取虚拟机的工作始点;
(1.3)创建虚拟机vmx配置文件。
3.根据权利要求2所述的操作系统虚拟仿真取证的方法,其特征在于,所述的步骤(1.1)
具体为:
挂载待虚拟仿真取证的支持以USB接口加载的物理磁盘或挂载待虚拟仿真取证的支持
以文件形式加载的磁盘镜像。
4.根据权利要求2所述的操作系统虚拟仿真取证的方法,其特征在于,所述的步骤(1.2)
具体包括以下步骤:
(1.2.1)判断所述的物理磁盘或者所述的磁盘镜像是否为只读模式;
(1.2.2)如果所述的物理磁盘或者所述的磁盘镜像为只读模式,则判断所述的虚拟机是
否存在快照;
(1.2.3)如果所述的虚拟机存在快照,则根据从上次离开的地方继续工作,然后继续步
骤(1.3);
(1.2.4)如果所述的虚拟机先前未被启动,则继续步骤(1.3);
(1.2.5)如果所述的物理磁盘或者所述的磁盘镜像不为只读模式,则继续步骤(2)。
【专利技术属性】
技术研发人员:吴松洋,张旭,刘欣,杨涛,刘善军,王旭鹏,杜琳,张勇,
申请(专利权)人:公安部第三研究所,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。