wta网球比分直播
  • WAP手機版 加入收藏  設為首頁
服務器恢復

VMware Workstation虛擬機數字取證調查方法研究-A research on the investigation method of digital forensics for a VMware Workstation’s virtual machine

時間:2019-5-1 11:16:28   作者:成都數據恢復中心   來源:本站原創   閱讀:459   評論:0
內容摘要:抽象虛擬化是一種使用邏輯環境來克服硬件中的物理限制的技術。最近,它的報道范圍更廣。由于虛擬機可以執行與實際系統相同的角色,因此虛擬機中記錄的用戶的活動跟蹤是數字取證方面的重要因素。如果調查員在主機上找到VMwareWorkstation的路徑,他應該調查虛擬機以及主機系統。但是,由于對虛擬機缺乏了解,調查過程尚不清楚。...

抽象

虛擬化是一種使用邏輯環境來克服硬件中的物理限制的技術。最近,它的報道范圍更廣。由于虛擬機可以執行與實際系統相同的角色,因此虛擬機中記錄的用戶的活動跟蹤是數字取證方面的重要因素。如果調查員在主機上找到VMware Workstation的路徑,他應該調查虛擬機以及主機系統。但是,由于對虛擬機缺乏了解,調查過程尚不清楚。此外,由于結構特征,難以研究損壞的虛擬機映像。因此,我們需要對虛擬機上的調查程序和恢復方法進行技術理解和研究。在這項研究中,

關鍵詞

數字取證
虛擬化
VMware的
虛擬機

介紹

虛擬化是提高IT投資效率的核心技術,并且在世界各地的服務器,存儲,網絡和軟件等各個領域都在不斷增加。虛擬化可以定義為一種技術,通過以邏輯方式集成系統或以邏輯方式分離系統,可以有效地使用資源  [1]

作為虛擬化技術之一的桌面虛擬化通過將主機資源分配為多個邏輯資源來應用主機資源,并且可以在主機操作系統之上運行客戶操作系統  [1]領導這種桌面虛擬化技術的代表廠商是VMware,它首先發布了基于市場上x86服務器平臺的虛擬化產品。它保持了很高的市場份額,如圖1所示 [2]

VMware_Workstation虛擬機數字取證調查方法研究-A_research_on_the_investigation_method_of_digital_forensics_for_a_VMware_Workstation’s_virtual_machine
圖1

虛擬機作為一組虛擬硬件資源,操作系統和應用程序執行與物理系統相同的角色。由于虛擬機可以執行與物理系統相同的角色,因此甚至可以記錄用戶在虛擬機中的活動。在數字取證方面,在虛擬機中記錄用戶的活動路徑是重要的數字證據。VMware工作站,尤其是默認生成每個虛擬機映像,內存轉儲,日志和配置文件。因此,應檢查這些文件。但是,在數字取證調查中幾乎沒有機會與虛擬化環境接觸,也很少有關于調查方法的具體研究。此外,用戶的故意行為或收集圖像的過程可能會對虛擬機的圖像造成損害。由于難以研究損壞的圖像,因此需要進行相關研究。在本研究中,我們建議對具有最多用戶數的VMware Workstation的虛擬機映像的數字取證和損壞映像的恢復方法進行調查。通過這些,研究人員將能夠對虛擬機進行適當的調查,并從受損圖像中獲取有意義的數據。

虛擬化技術

根據私人和企業用戶對虛擬化解決方案的使用的增加,增加了調查虛擬化環境的必要性。為了實現虛擬化環境的數字取證調查,有必要了解如何確定虛擬化環境,存儲數據的位置以及哪些文件代表重要含義。

2.1 VMware中的虛擬化技術

VMware代表了從桌面到數據中心的計算系統,存儲和網絡虛擬化中的各種產品,并應用了Bare-metal和Hosted [3]的虛擬化方法  

2.1.1 裸金屬結構

裸機虛擬機管理程序虛擬化方法直接在物理硬件系統上運行雙層虛擬機管理程序,如圖2所示,不需要主機操作系統。由于沒有必要將資源分配給主機操作系統,因此與托管虛擬化方法和物理計算機資源的靈活管理相比,此方法占用的開銷很小。VMware的代表性Bare-metal Hypervisor虛擬化工具是ESX和ESXi服務器以及vSphere平臺,它是基于這些服務器的企業產品  [4]

VMware_Workstation虛擬機數字取證調查方法研究-A_research_on_the_investigation_method_of_digital_forensics_for_a_VMware_Workstation’s_virtual_machine
圖2

2.1.2 托管架構

托管虛擬化方法表示物理硬件系統上的主機操作系統,如圖3所示,并且使用主機操作系統中的三層級管理程序以及應用程序來操作客戶操作系統。雖然這種方法由于模擬了這樣的硬件而顯示出很大的開銷,但由于它在客戶操作系統中沒有任何限制,因此它主要用于x86桌面。VMware的代表性托管虛擬化工具是VMware Workstation  [4]

VMware_Workstation虛擬機數字取證調查方法研究-A_research_on_the_investigation_method_of_digital_forensics_for_a_VMware_Workstation’s_virtual_machine
圖3

2.2 VMware Workstation中的虛擬機文件配置和虛擬機的映像體系結構

由于虛擬化環境代表了與物理環境相比的結構差異,如果主機系統被沒收,其他用戶對主機資源的可用性可能會受到干擾  [5]因此,在對這種虛擬化環境進行調查的情況下,獲取特定虛擬機中的圖像和相關文件的最小證據收集將通過管理員的權限來實現  [6]但是,如果對虛擬化環境的理解和虛擬機的圖像體系結構的知識還不夠,則無法獲得顯示作為證據的意義的數據。為防止出現此類問題,取證調查員應了解與虛擬機關聯的文件。

2.2.1 VMware Workstation中虛擬機的文件配置

表1所列,配置虛擬機的基本文件是.vmx,.vmdk,.nvram,.vmsd和.log,取證方面的調查主要文件是.vmx,.vmdk ,. vmem和.log。

文件擴展名 文件描述
.VMX 虛擬機的配置信息
.VMTM 配置信息包括虛擬機的特定組數據
.VMXF 刪除特定組時,配置信息仍然存在
.VMDK 虛擬磁盤的配置文件
.LOG 記錄虛擬機的信息
.NVRAM Bios虛擬機的狀態信息
名為.vmss 處于掛起狀態的虛擬機的信息
.VMSN 虛擬機的快照信息
.VMSD 虛擬機的快照元數據
.VMEM 分頁虛擬機的文件或存儲整個內存

VMX文件是一種文本格式數據,并存儲在生成虛擬機時選擇的配置信息。配置信息包括虛擬磁盤連接方法,編碼方法,配置的磁盤的大小信息,以及連接的虛擬設備的信息。由于此文件包含大多數配置信息,因此可用于驗證虛擬機的整體信息。

VMDK文件是二進制文件,在虛擬機的虛擬磁盤中起作用,并配置VMware Workstation的虛擬機映像。它可以像配置虛擬機的配置大小一樣分配VMDK文件,并動態增加它。此外,它可以通過將其分成多個VMDK文件(單位為2 GB)來實現管理工作。VMDK文件將信息存儲在允許接近它的分區上,并表示MBR(主引導記錄)和其他文件系統的配置元素。它存儲了最大量的數據,這代表了取證方面的含義。

VMEM文件是存儲虛擬機的存儲器數據的二進制文件,并且在虛擬機正在被操作時存在或者呈現為掛起狀態。VMEM文件執行正在操作的虛擬機的存儲器的備份,并且隨著虛擬機的操作終止,備份存儲器將被自動刪除。此外,當虛擬機作為掛起狀態終止時,數據將保留。根據每個狀態,VMEM文件的名稱配置不同,其中虛擬機操作下的名稱被確定為'<uuid> .vmem'的格式,并且處于掛起狀態的名稱由格式使用'<vmname> .vmem'。

LOG文件存儲將虛擬機作為文本格式運行的VMware Workstation的活動信息。由于發生虛擬機操作中的問題,可以使用LOG文件確定問題的原因。LOG文件存儲未存儲在VMX文件中的配置信息。因此,應該在驗證過程中檢查虛擬機的信息以及VMX文件。

此外,由于在虛擬機的恢復點中起作用的VMSN和VMSD文件以及存儲已掛起的虛擬機的狀態的VMSS文件包含虛擬機的快照信息,因此必須實現其他調查  [7]

2.2.2 VMware Workstation中虛擬機的映像體系結構

如圖4所示,虛擬機使用由一個或多個擴展區組成的虛擬磁盤。Extent是一個邏輯元素,表示VMDK文件,它是虛擬機中使用的存儲空間。

VMware_Workstation虛擬機數字取證調查方法研究-A_research_on_the_investigation_method_of_digital_forensics_for_a_VMware_Workstation’s_virtual_machine

圖4組織VMware Workstation的虛擬機映像。

虛擬機使用FLAT方法存儲數據,該方法通過應用于生成過程的配置一次分配范圍和整個大小,以及通過增加分配數據后的大小來存儲數據的SPARSE方法。需要。此外,它可以通過將虛擬磁盤劃分為多個范圍(twoGbMaxExtent)來確定虛擬磁盤是由單個還是多個區域確定的配置。虛擬機的這種信息將被存儲在描述符文件中,該描述符文件是文本格式,并且描述符文件可以插入到范圍內部或作為獨立文件存在。

分配虛擬磁盤的整個大小的FLAT類型Extent顯示與實際硬盤映像相同的體系結構。對于FLAT類型Extent,描述符文件不包含在Extent中,并作為獨立文件存在,其中Extent和描述符文件的名稱是'<vmname-flat.vmdk>'和'的格式分別為<vmname.vmdk>'。“twoGbMaxExtentFlat”類型虛擬磁盤的Extent文件使用多個Extents,其名稱格式為“<vmname -f {order} .vmdk>”。

在分配特定要求的大小后,使用SPARSE類型Extent配置的映像會增加虛擬磁盤的大小。VMware Workstation中“monolithicSparse”類型范圍的映像被確定為包含描述符文件的體系結構,如圖5所示,文件名的格式為“<vmname.vmdk>”。

VMware_Workstation虛擬機數字取證調查方法研究-A_research_on_the_investigation_method_of_digital_forensics_for_a_VMware_Workstation’s_virtual_machine

圖5SPARSE范圍的結構。

此外,在'twoGbMaxExtentSparse'類型范圍的情況下,描述符被創建為格式為'<vmname.vmdk>'的獨立文件,并且存在圖像文件格式為'<vmname -s {order} .vmdk>'其中Extent表示排除描述符部分的表單,如圖5所示

SPARSE Extent標頭具有文件簽名并存儲信息,包括SPARSE格式的版本,粒度大小,范圍的整個大小,描述符文件的起始偏移量。顆粒意味著扇區的塊,其存儲虛擬磁盤的數據。晶粒的基本尺寸為128個扇區,單個晶粒存儲64 kB數據。在Extent標頭的下一個位置插入描述符文件,存儲虛擬機的分配信息的grain目錄和grain表以及存儲虛擬機的實際數據的grain將位于該位置之后  [ 8]

描述符文件將虛擬機的配置信息存儲為文本格式,并且由描述符頭,范圍描述和磁盤數據庫組成,如圖5所示描述符頭存儲編碼方法和虛擬磁盤類型的信息,并且范圍描述區域存儲虛擬磁盤中使用的所有區段的信息。主要項目是范圍類型,整個扇區的數量,名稱和起始偏移量。磁盤數據庫區域存儲虛擬機映像的附加信息。

對虛擬機的調查應檢查每個范圍的名稱,整個大小,類型及其體系結構。可以使用Extent文件的名稱驗證要調查的虛擬機,并且可以基于每個Extent中的整個大小來確定虛擬機的最大大小。此外,擴展區的類型可以推斷出虛擬機的分配方法和文件格式。在參考文獻中,關于區段的類型,將主要使用上述FLAT和SPARSE。除了FLAT和SPARSE之外,還使用ZERO,VMFS,VMFSSPARSE,VMFSRDM和VMRSRAW。本研究未考慮這些范圍的細節,因為這些通常不被使用  [8]

虛擬機的取證調查方法

由于虛擬機的操作方式與實際系統相同,因此可以像傳統調查一樣用于調查磁盤和內存。將從主機系統收集虛擬機的映像文件和內存以及配置文件。但是,在某些情況下,在虛擬機映像的恢復過程中會獲得虛擬機中損壞的映像。此外,可以獲得故意行為造成的損害。損壞的圖像不能用于分析虛擬機的操作狀態,并且表示直接分析這種虛擬機圖像的困難。因此,有必要根據收集的虛擬機映像的條件改變調查過程和方法。圖6 顯示了用于分析這種收集的虛擬機映像的建議過程。

VMware_Workstation虛擬機數字取證調查方法研究-A_research_on_the_investigation_method_of_digital_forensics_for_a_VMware_Workstation’s_virtual_machine

圖6調查虛擬機的過程。

3.1 聲音虛擬機圖像的調查方法

可以使用傳統的硬盤調查方法來進行聲音虛擬機圖像的調查。此外,可以使用使用虛擬取證調查平臺的動態分析方法  [9]

聲像的調查可以通過生成收集的虛擬機圖像文件的副本來進行,以防止損壞和修改證據,然后安裝副本以將其識別為分析系統的子目錄。

關于安裝,使用由VMware Workstation產品生成的虛擬機映像到邏輯磁盤的映射,并且還使用通過GetData 的Mount Image Pro  [10]ASR Data 的SmartMount  [11]的方法。Mount Image Pro和SmartMount的工具不僅可以安裝使用FLAT類型Extent配置的虛擬機映像與實際硬盤相同,還可以安裝由SPARSE類型Extent確定的映像。

在安裝的映像中,可以使用取證工具(例如指導軟件的EnCase)執行關鍵字搜索和刪除的文件恢復過程。此外,可以通過調查注冊表配置單元文件,Web瀏覽器生成的文件,預取文件等來分析用戶的行為。

關于其他調查方法,動態分析方法顯示出可以在不使用虛擬機的圖像的副本來操作虛擬機的情況下在原始數據中沒有任何損壞的情況下調查激活狀態的優點。這種動態分析方法使用虛擬機的管理程序來收集虛擬機映像的激活狀態信息。對這種數字取證調查平臺的虛擬化的研究已經積極進行  [12]

3.2 破壞虛擬機映像的調查方法

虛擬機圖像可能在收集過程中被損壞并且被用戶故意破壞。如果圖像由SPARSE類型Extent確定,則無法配置普通文件系統,因為特定部分已損壞。但是,有必要調查損壞的虛擬機映像,因為存在一些有意義的數據作為證據。

3.2.1 可恢復的虛擬機映像

由于SPARSE范圍由VMware Workstation中使用的獨特文件體系結構組成,與FLAT Extent類型的虛擬機映像不同,它們具有與實際硬盤相同的體系結構,因此很難在圖像損壞時對其進行分析。但是,可以在應用恢復過程后嘗試進行分析,因為可以根據損壞范圍恢復SPARSE范圍。根據圖7所示的過程處理SPARSE范圍的恢復由于Extent標頭或描述符的數據已損壞,因此可以通過考慮前面提到的VMX和LOG文件將其恢復為操作虛擬機映像。

VMware_Workstation虛擬機數字取證調查方法研究-A_research_on_the_investigation_method_of_digital_forensics_for_a_VMware_Workstation’s_virtual_machine

圖7恢復SPARSE范圍的過程。

3.2.1.1 恢復SPARSE Extent標頭

用于恢復由總共512字節(包括433字節填充)確定的SPARSE Extent標頭,如圖8所示,將為每個范圍配置三個項目,例如范圍(a)的整個大小,顆粒目錄的位置(b),用于分配元數據的扇區數量(c)。項目(a)將范圍的整個大小存儲為扇區的單位,并且可以使用虛擬機的LOG文件來驗證配置的值。項目(b)存儲具有范圍的數據分配信息的grain目錄的位置作為扇區的單位。項(c)存儲包括標題,描述符,grain目錄和grain表的Extent元數據作為扇區的單元的整個大小。除了這三個之外的其他項目將使用常用的基本值進行配置。

VMware_Workstation虛擬機數字取證調查方法研究-A_research_on_the_investigation_method_of_digital_forensics_for_a_VMware_Workstation’s_virtual_machine

圖8SPARSE Extent標頭的結構。

3.2.1.2 恢復SPARSE范圍描述符

如果在插入到范圍的14個扇區的描述符部分中損壞,則描述符文件頭的CID和父CID,范圍描述部分的整個范圍,類型和文件名數據將被恢復。圖9顯示了恢復的描述符數據。項目(d)代表內容ID和父ID。CID是32位的任意值,每當虛擬機首次運行時生成,然后每當重新啟動虛擬機時它都會更改。ParentCID是一個項目,用于在生成虛擬機的快照時存儲原始擴展區的CID。如果未顯示快照,則將其確定為'ffffffff'的基本值。項目(e)與圖8所示的項目(a)的值相同并將(a)的值存儲為十進制數。項目(f)記錄了范圍的類型,例如SPARSE,FLAT等。范圍的類型也可以通過虛擬機和VMX和LOG文件中使用的文件名來驗證。此外,項目(g)存儲可由VMX和LOG文件驗證的Extent文件的名稱。

VMware_Workstation虛擬機數字取證調查方法研究-A_research_on_the_investigation_method_of_digital_forensics_for_a_VMware_Workstation’s_virtual_machine

圖9恢復的描述符數據。

可以使用分析聲音虛擬機映像的方法來調查完成Extent標頭和描述符的恢復的虛擬機映像。如果分配信息和實際數據區域出現損壞,則應使用其他方法進行調查,因為無法進行恢復。

3.2.1.3 恢復SPARSE范圍的案例

在由美國國防部DC3(國防部網絡犯罪中心)主辦的“DC3數字取證挑戰2010”會議上,介紹了對受損VMware Workstation虛擬機的調查問題。會議中發布了每個損壞的VMDK文件,NVRAM文件,VMSD文件,VMX文件和四個LOG文件。

人們認識到,故障虛擬機使用虛擬磁盤作為'monolithicSparse'的格式,最大大小為4 GB(8388608扇區)。損壞的VMDK文件是SPARSE Extent體系結構。由于Extent標頭和描述符要定位在文件的起始點,因此無法執行此文件,因為它的初始化為“0”,大小為0×2A00字節。特別地,0×2A00字節顯示與范圍標題(1個扇區)和描述符部分(20個扇區)的大小之和相同的值。因此,通過遵循圖7所示的過程,由Extent頭和描述符恢復初始化部分為“0” 

通過遵循本研究中提出的恢復過程,Extent報頭和描述符在0×2A00字節區域恢復,如圖10所示此外,檢查虛擬機的正常操作。

VMware_Workstation虛擬機數字取證調查方法研究-A_research_on_the_investigation_method_of_digital_forensics_for_a_VMware_Workstation’s_virtual_machine

圖10恢復SPARSE范圍。

3.2.2 不可恢復的虛擬機映像

對于由SPARSE Extent確定的虛擬機映像,如果grain目錄和grain表損壞,則無法使用此類虛擬機映像的掛載進行靜態分析。此外,動態分析是不可能的,因為它無法操作。因此,如果收集的虛擬機映像是不可恢復的,則需要對這樣的圖像文件進行直接調查。可以使用用于剩余數據的恢復方法和用于調查文件系統中的元數據的方法來執行對圖像文件的調查。

盡管虛擬機圖像通過將RAW數據分段為谷粒來存儲RAW數據,但是如果數據被分配給連續的谷物,則可以使用文件雕刻方法來恢復有意義的數據。要恢復的主要主題是文件,它們成為文檔和圖像文件等用戶行為的證據,并且通過恢復使用網頁和Web瀏覽器的證據也可以獲得所訪問站點的信息。特別是,由于虛擬機由Windows系統確定,如果使用雕刻方法獲得  如圖11所示的具有'regf'簽名的注冊表文件,則可以獲得用戶帳戶和跟蹤的信息[12 ]

VMware_Workstation虛擬機數字取證調查方法研究-A_research_on_the_investigation_method_of_digital_forensics_for_a_VMware_Workstation’s_virtual_machine

圖11已恢復的注冊表配置單元文件中的用戶帳戶。

在文件雕刻的公司中,通過提取文件系統的元數據進行調查可以有用地用于驗證文件的時間線。如果虛擬機的文件系統由NTFS確定,則存在大小為1024字節的MFT條目,其在虛擬機映像中具有“FILE”的簽名。可以通過提取MFT條目來驗證文件系統的分配信息。此外,可以通過每個文件中的MFT條目來識別虛擬機中存在的文件名,屬性,分配的簇號和MAC(已修改,已訪問和已創建)時間的信息。對于使用FAT文件系統的虛擬機,可以通過驗證其體系結構來提取目錄條目。通過使用提取的目錄條目,可以驗證虛擬機中存在的文件名的信息和MAC時間。如上所述,可以對虛擬機執行特定的調查,這是不可恢復的,因為可能獲得其他各種信息。

3.3 VMware Workstation虛擬機內存的調查方法

由于虛擬機的操作與實際系統相同,因此有必要調查虛擬機中使用的內存  [13]過程信息,網絡連接狀態,正在提供的服務的內容以及在激活的系統中處理的ID和密碼存儲在存儲器中。

VMware Workstation的虛擬機通過備份到VMEM文件來管理內存。因為VMEM文件可以作為正在操作或處于掛起狀態的虛擬機存在,所以VMEM文件的調查可以獲得一些有意義的數據作為在虛擬機中操作的情況和易失性數據。

在VMEM文件的分析中,使用了由逆向工程專家Zairom和Chris Betz設計的Memparser  [15]設計的Compare VMware快照[14]的工具  此外,基于Python的工具Volatility Framwork可用于輕松分析。Volatility Framework已經打開了1.3版的測試版,并提供了datetime,ident,dlllist,modscan,procdump,pslist,psscan等命令  [16]圖12使用波動率框架的pslist顯示正在運行的虛擬機中的VMEM文件的進程列表。與實際系統相同,可以在虛擬機的存儲器中獲得有用的實時數據。此外,可以在不使用其他工作(例如內存轉儲)的情況下輕松快速地執行調查,因為基本上生成的文件可以在該過程中使用。

VMware_Workstation虛擬機數字取證調查方法研究-A_research_on_the_investigation_method_of_digital_forensics_for_a_VMware_Workstation’s_virtual_machine

圖12虛擬機的進程列表。

結論

根據政府采用的信息系統的巨大規模變化和復雜性的增加,虛擬化技術的應用也在加速。此外,由于此類更改會影響私有用戶的環境,因此虛擬化環境的范圍也在不斷擴展。

甚至記錄用戶在虛擬機內的活動,因為虛擬機作為一組虛擬硬件資源,操作系統和應用程序執行與實際系統相同的角色。這些線索是數字取證方面的重要數字證據。但是,在數字取證調查中與虛擬化環境聯系的可能性很小。另外,由于對虛擬機缺乏了解,調查過程尚不清楚。特別是,由于結構特征,損壞的虛擬機圖像難以研究。在本文中,我們建議通過案例研究驗證虛擬機上數字取證的調查程序和虛擬機損壞圖像的恢復方法。

在未來的研究中,將研究在其主要操作系統市場中迅速增長的微軟桌面虛擬化技術和用于VHD虛擬機映像的調查技術。

承認

這項工作得到了MKE / KEIT的IT研發計劃10035157,用于實時分析的數字取證技術的發展)的支持。

參考

進一步閱讀

[1]
Richard Arthur Bares,使用非常規安裝的操作系統隱藏在虛擬世界中:ISI 2009,2009年6月,第276-284頁。
[2]
Brett Shavers,關于取證分析的虛擬機的討論http://www.forensicfocus.com/downloads/virtual-machines-forensics-analysis.pdf
[3]
Jeff Daniels服務器虛擬化架構和實現
ACM Crossroads 16 2009 
[4]
Derek Bem Ewa Huebner分析虛擬環境中的USB閃存驅動器
小規模數字設備取證期刊2007 
[5]
Karl Ray,服務器虛擬化和虛擬機操作系統,2010年.http://anengineersperspective.com/wp-content/uploads/2010/03/VM.pdf

標簽:虛擬 虛擬機 數字 取證 調查 
相關評論
不良信息舉報中心成都網警網警110報警服務AAA級互聯網行業信用360網站安全檢測

數據恢復QQ交流群:378664983    站長QQ:958754010

客戶服務 商務服務
蜀ICP備14015947號-2
wta网球比分直播 排列三百位振幅走势图 老友内蒙古麻将官方下载 贵州茅台股票分析宏观经济分析 企业管理小知识 森林之王 东京热n0504 郑州沐足按摩经验交流 好股票推荐 浙江快乐彩开奖结果 山东省十一选五 篮网vs太阳 麻将1元南昌群 广东省36选7开奖 最新东京热插插 上海股票融资 江苏十一选五今天的