计算机系统从管理程序托管的虚拟化环境中的运行的虚拟机获取取证数据。计算机系统将取证分区作为额外的根虚拟机分区或子虚拟机分区来提供。取证分区包括取证服务应用程序接口,其被配置为瞄准一个或多个虚拟机,并且从在特定的子虚拟机分区中运行的所瞄准的虚拟机获取取证数据。所述取证服务应用程序接口被配置为经由管理程序托管的虚拟化环境所实现的一个或多个分区间通信机制(例如,分区间通信总线、超调用接口、或取证交换机)进行通信。可以将取证服务应用程序接口作为基于云的取证服务的一部分而暴露给取证工具。
【技术实现步骤摘要】
【国外来华专利技术】
技术介绍
随着数据中心解决方案成为传统企业中主要的基于虚拟机的事件响应者,信息技术环境以及云服务提供商环境将在进行大规模取证获取和分析时面临巨大挑战。传统的取证工具在主机等级工作,通常在用户模式下经由用户模式技术和应用程序接口(API)而从文件系统和存储器获取伪迹、或者在一些情况下从内核模式驱动程序或库(shim)获取伪迹。这些传统解决方案无法在大型数据中心环境中扩展,并且可能受到使用反取证功能和技术的更复杂的恶意软件的威胁和阻碍。当在小型企业环境中执行安全调查和取证分析时,可以使用用于取证获取和分析的工具来逐个主机地进行分析。针对云服务的安全调查来执行取证分析可以涉及从数百个主机收集数据以供分析。在那些环境中单独地对每个主机进行取证获取或分析是不可能的。一些传统的工具将代理加载在环境中的每个主机上,并且使用集中式控制器来访问代理以获取取证数据和伪迹。然而,将代理加载在每个主机上没有很好的扩展性。此外,对所存储的数据的取证获取和分析不提供正在运行的虚拟机的实时存储器或当前状态。
技术实现思路
提供了以下的
技术实现思路
以用在以下的详细说明中进一步描述的简化的形式引入了概念的选择。该
技术实现思路
不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用来限制所要求保护的主题的范围。计算机系统从管理程序托管(hypervisor-hosted)的虚拟化环境中的运行的虚拟机获取取证数据。计算机系统将取证分区作为额外的根虚拟机分区或子虚拟机分区来提供。取证分区包括取证服务应用程序接口,其被配置为瞄准一个或多个虚拟机,并且从在特定的子虚拟机分区中运行的所瞄准的虚拟机获取取证数据。所述取证服务应用程序接口被配置为经由由管理程序托管的虚拟化环境所实现的一个或多个分区间通信机制(例如,分区间通信总线、超调用接口、或取证交换机)进行通信。可以将取证服务应用程序接口作为基于云的取证服务的一部分而暴露给取证工具。通过阅读以下详细描述并回顾附图,这些和其他特征和优点将是显而易见的。应当理解,前述简要说明、以下详细描述、和附图仅仅是说明性的,而不限制所要求保护的各种方面。附图说明图1示出了根据所描述主题的方面的示例性框架的实施例;图2示出了根据所描述主题的方面的示例性框架的实施例;图3示出了根据所描述主题的方面的示例性过程的实施例;图4示出了可以实现所描述主题的方面的示例性操作环境的实施例。具体实施方式以下结合附图所提供的详细描述旨在作为对示例的描述,而不旨在表示可以构建或利用本示例的唯一形式。所述描述阐述了示例的功能和用于构建和操作所述示例的步骤的顺序。然而,可以由不同的示例实现相同或等同的功能和顺序。对“一个实施例”、“一实施例”、“一示例实施例”、“一个实现”、“一实现”、“一个示例”、“一示例”等的引用指示所描述的实施例、实现、或示例可以包括特定的特征、结构、或特性,但每个实施例、实现、或示例不一定包括所述特定的特征、结构、或特性。此外,这样的短语不一定指的是相同的实施例、实现、或示例。此外,当结合实施例、实现、或示例来描述特定的特征、结构、或特性时,应当理解的是,可以结合其他实施例、实现、或示例(无论是否明确地描述)来实现这样的特征、结构、或特性。阐述了多个具体的细节以便提供对所描述主题的一个或多个方面的彻底的理解。然而,应当理解的是,可以在没有这些具体细节的情况下实践这样的方面。尽管以框图形式示出了某些组件来描述一个或多个方面,但应当理解的是,由单个组件所执行的功能可以由多个组件来执行。类似地,单个组件可以被配置为执行被描述为由多个组件所执行的功能。现在将参考附图更加详细地描述本主题公开的各种方面,其中,相同的附图标记通常指的是通篇中相同或对应的元件。附图和详细描述不旨在将所要求保护的主题限制为所描述的特定形式。相反,其意图是覆盖落入所要求保护的主题的精神和范围内的所有修改、等同物、和替代物。图1示出了作为可以实现所描述的主题的方面的示例性框架的实施例的虚拟化框架100。应当理解的是,在各种实施例中,虚拟化框架100或其部分可以由各种计算设备来实现,并且可以由软件、硬件、固件、或其组合来实现。在被配置为执行根据所描述主题的方面的各种步骤、方法、和/或功能的计算设备和/或计算机系统的上下文中描述虚拟化框架100的实现。应当理解的是,计算机系统可以由一个或多个计算设备来实现。还在被执行以执行根据所描述的主题的方面的步骤、方法、和/或功能的“计算机可执行指令”的上下文中描述了虚拟化框架100的实现。概括而言,计算设备和/或计算机系统可以包括一个或多个处理器和存储设备(例如,存储器和磁盘驱动器)以及各种输入设备、输出设备、通信接口、和/或其他类型的设备。计算设备和/或计算机系统还可以包括硬件和软件的组合。可以理解的是,各种类型的计算机可读存储介质可以是计算设备和/或计算机系统的一部分。如在本文中所使用的,术语“计算机可读存储媒体”和“计算机可读存储介质”不意味着并明确地排除传播信号、调制数据信号、载波、或任何其他类型的瞬时性计算机可读介质。在各种实现中,计算设备和/或计算机系统可以包括被配置为执行计算机可执行指令的处理器以及存储被配置为执行根据所描述的主题的方面的各种步骤、方法、和/或功能的计算机可执行指令的计算机可读存储介质(例如,存储器和/或额外的硬件存储)。可以以各种方式来实施和/或实现计算机可执行指令,例如通过计算机程序(例如,客户端程序和/或服务器程序)、软件应用(例如,客户端应用和/或服务器应用)、软件代码、应用代码、源代码、可执行文件、可执行组件、程序模块、例程、应用程序接口(API)、函数、方法、对象、属性、数据结构、数据类型等。计算机可执行指令可以存储在一个或多个计算机可读存储介质上,并且可以由一个或多个处理器、计算设备、和/或计算机系统来执行根据所描述的主题的方面的特定的任务或者实现根据所描述的主题的方面的特定的数据类型。可以由计算设备(例如,服务器计算机)和/或计算机系统来实现虚拟化框架100。实现虚拟化框架100的服务器计算机可以包括支持硬件辅助虚拟化的一个或多个处理器。在一个实施例中,可以由来实现虚拟化框架100,其提供服务器虚拟化、实现本机管理程序、并且可以创建虚拟机。在其他实施例中,可以由诸如VMware、OracleVirtualBox等之类的各种合适的虚拟化产品来实现虚拟化框架100。可以在用于在孤立的执行环境中在一个物理主机服务器计算机上同时地运行多个虚拟服务器实例的服务器虚拟化上下文中实现虚拟化框架100。每个虚拟服务器可以像其是在共享的物理主机服务器上运行的唯一的服务器一样进行操作。可以在用于在同一物理网络上同时地运行多个虚拟网络基础设施的网络虚拟化上下文中实现虚拟化框架100。每个虚拟网络可以像其是在共享的物理网络结构上运行的唯一的网络一样进行操作。可以在云计算环境中实现虚拟化框架100。支持x64架构并实现虚拟化框架100的服务器计算机可以托管数百个虚拟机。可以将托管数百个虚拟机的服务器计算机部署为一千个或更多个虚拟机的聚类中的一个节点。可以将实现虚拟化框架100的服务器计算机部署在由云计算数据中心所托管的聚类中,所述云计算数据中心管理服务器计算机的计算本文档来自技高网...
【技术保护点】
一种被配置为从正在运行的虚拟机获取取证数据的计算机系统,所述计算机系统包括:被配置为执行计算机可执行指令的处理器;以及存储计算机可执行指令的存储器,所述计算机可执行指令被配置为:运行托管虚拟化环境的管理程序,所述虚拟化环境包括根虚拟机分区和一个或多个子虚拟机分区;提供包括取证服务应用程序接口的取证分区,所述取证服务应用程序接口被配置为将一个或多个虚拟机定为目标,并且经由由所述管理程序托管的所述虚拟化环境所支持的一个或多个分区间通信机制而从在特定的子虚拟机分区中运行的目标虚拟机获取取证数据;以及将所述取证服务应用程序接口作为基于云的取证服务的一部分而暴露给取证工具。
【技术特征摘要】
【国外来华专利技术】2014.07.30 US 62/030,636;2015.07.22 US 14/806,6051.一种被配置为从正在运行的虚拟机获取取证数据的计算机系统,所述计算机系统包括:被配置为执行计算机可执行指令的处理器;以及存储计算机可执行指令的存储器,所述计算机可执行指令被配置为:运行托管虚拟化环境的管理程序,所述虚拟化环境包括根虚拟机分区和一个或多个子虚拟机分区;提供包括取证服务应用程序接口的取证分区,所述取证服务应用程序接口被配置为将一个或多个虚拟机定为目标,并且经由由所述管理程序托管的所述虚拟化环境所支持的一个或多个分区间通信机制而从在特定的子虚拟机分区中运行的目标虚拟机获取取证数据;以及将所述取证服务应用程序接口作为基于云的取证服务的一部分而暴露给取证工具。2.根据权利要求1所述的计算机系统,其中,所述取证分区被实现为以下中的一种:比所述一个或多个子虚拟机分区中的每个子虚拟机分区更具特权的额外的根分区,或者额外的子虚拟机分区。3.根据权利要求1或2所述的计算机系统,其中,所述一个或多个分区间通信机制包括由所述取证分区和所述特定的子虚拟机分区所实现的分区间总线。4.根据权利要求1至3中的任何一项所述的计算机系统,其中,所述一个或多个分区间通信机制包括由所述取证分区实现并且被配置为调用所述管理程序的超调用应用程序接口的超调用接口。5.根据权利要求1至4中的任何一项所述的计算机系统,其中,所述一个或多个分区间通信机制包括由所述根虚拟机分区实现并且将所述取证服务应用程序接口与所述特定的子虚拟机分区互连的取证交换机。6.根据权利要求5所述的计算机系统,其中,所述存储器还存储计算机可执行指令,所述计算机可执指令被配置为:动态地将取证接口添加至子虚拟机分区;并且将所述取证交换机连接至所述取证接口。7.根据权利要求1至6中的任何一项所述的计算机系统,其中,所述取证服务应用程序接口被配置为将来自所述取证工具的调用转换成由所述一个或多个分区间...
【专利技术属性】
技术研发人员:J·科克伦,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。