-
-
加入收藏
设为首页
加入收藏
设为首页
虚拟化是提高IT投资效率的核心技术,并且在世界各地的服务器,存储,网络和软件等各个领域都在不断增加。虚拟化可以定义为一种技术,通过以逻辑方式集成系统或以逻辑方式分离系统,可以有效地使用资源 [1]。
作为虚拟化技术之一的桌面虚拟化通过将主机资源分配为多个逻辑资源来应用主机资源,并且可以在主机操作系统之上运行客户操作系统 [1]。领导这种桌面虚拟化技术的代表厂商是VMware,它首先发布了基于市场上x86服务器平台的虚拟化产品。它保持了很高的市场份额,如图1所示 [2]。
虚拟机作为一组虚拟硬件资源,操作系统和应用程序执行与物理系统相同的角色。由于虚拟机可以执行与物理系统相同的角色,因此甚至可以记录用户在虚拟机中的活动。在数字取证方面,在虚拟机中记录用户的活动路径是重要的数字证据。VMware工作站,尤其是默认生成每个虚拟机映像,内存转储,日志和配置文件。因此,应检查这些文件。但是,在数字取证调查中几乎没有机会与虚拟化环境接触,也很少有关于调查方法的具体研究。此外,用户的故意行为或收集图像的过程可能会对虚拟机的图像造成损害。由于难以研究损坏的图像,因此需要进行相关研究。在本研究中,我们建议对具有最多用户数的VMware Workstation的虚拟机映像的数字取证和损坏映像的恢复方法进行调查。通过这些,研究人员将能够对虚拟机进行适当的调查,并从受损图像中获取有意义的数据。
根据私人和企业用户对虚拟化解决方案的使用的增加,增加了调查虚拟化环境的必要性。为了实现虚拟化环境的数字取证调查,有必要了解如何确定虚拟化环境,存储数据的位置以及哪些文件代表重要含义。
VMware代表了从桌面到数据中心的计算系统,存储和网络虚拟化中的各种产品,并应用了Bare-metal和Hosted [3]的虚拟化方法 。
由于虚拟化环境代表了与物理环境相比的结构差异,如果主机系统被没收,其他用户对主机资源的可用性可能会受到干扰 [5]。因此,在对这种虚拟化环境进行调查的情况下,获取特定虚拟机中的图像和相关文件的最小证据收集将通过管理员的权限来实现 [6]。但是,如果对虚拟化环境的理解和虚拟机的图像体系结构的知识还不够,则无法获得显示作为证据的意义的数据。为防止出现此类问题,取证调查员应了解与虚拟机关联的文件。
如表1所列,配置虚拟机的基本文件是.vmx,.vmdk,.nvram,.vmsd和.log,取证方面的调查主要文件是.vmx,.vmdk ,. vmem和.log。
| 文件扩展名 | 文件描述 |
|---|---|
| .VMX | 虚拟机的配置信息 |
| .VMTM | 配置信息包括虚拟机的特定组数据 |
| .VMXF | 删除特定组时,配置信息仍然存在 |
| .VMDK | 虚拟磁盘的配置文件 |
| .LOG | 记录虚拟机的信息 |
| .NVRAM | Bios虚拟机的状态信息 |
| 名为.vmss | 处于挂起状态的虚拟机的信息 |
| .VMSN | 虚拟机的快照信息 |
| .VMSD | 虚拟机的快照元数据 |
| .VMEM | 分页虚拟机的文件或存储整个内存 |
VMX文件是一种文本格式数据,并存储在生成虚拟机时选择的配置信息。配置信息包括虚拟磁盘连接方法,编码方法,配置的磁盘的大小信息,以及连接的虚拟设备的信息。由于此文件包含大多数配置信息,因此可用于验证虚拟机的整体信息。
VMDK文件是二进制文件,在虚拟机的虚拟磁盘中起作用,并配置VMware Workstation的虚拟机映像。它可以像配置虚拟机的配置大小一样分配VMDK文件,并动态增加它。此外,它可以通过将其分成多个VMDK文件(单位为2 GB)来实现管理工作。VMDK文件将信息存储在允许接近它的分区上,并表示MBR(主引导记录)和其他文件系统的配置元素。它存储了最大量的数据,这代表了取证方面的含义。
VMEM文件是存储虚拟机的存储器数据的二进制文件,并且在虚拟机正在被操作时存在或者呈现为挂起状态。VMEM文件执行正在操作的虚拟机的存储器的备份,并且随着虚拟机的操作终止,备份存储器将被自动删除。此外,当虚拟机作为挂起状态终止时,数据将保留。根据每个状态,VMEM文件的名称配置不同,其中虚拟机操作下的名称被确定为'<uuid> .vmem'的格式,并且处于挂起状态的名称由格式使用'<vmname> .vmem'。
LOG文件存储将虚拟机作为文本格式运行的VMware Workstation的活动信息。由于发生虚拟机操作中的问题,可以使用LOG文件确定问题的原因。LOG文件存储未存储在VMX文件中的配置信息。因此,应该在验证过程中检查虚拟机的信息以及VMX文件。
此外,由于在虚拟机的恢复点中起作用的VMSN和VMSD文件以及存储已挂起的虚拟机的状态的VMSS文件包含虚拟机的快照信息,因此必须实现其他调查 [7]。
如图4所示,虚拟机使用由一个或多个扩展区组成的虚拟磁盘。Extent是一个逻辑元素,表示VMDK文件,它是虚拟机中使用的存储空间。
图4。组织VMware Workstation的虚拟机映像。
虚拟机使用FLAT方法存储数据,该方法通过应用于生成过程的配置一次分配范围和整个大小,以及通过增加分配数据后的大小来存储数据的SPARSE方法。需要。此外,它可以通过将虚拟磁盘划分为多个范围(twoGbMaxExtent)来确定虚拟磁盘是由单个还是多个区域确定的配置。虚拟机的这种信息将被存储在描述符文件中,该描述符文件是文本格式,并且描述符文件可以插入到范围内部或作为独立文件存在。
分配虚拟磁盘的整个大小的FLAT类型Extent显示与实际硬盘映像相同的体系结构。对于FLAT类型Extent,描述符文件不包含在Extent中,并作为独立文件存在,其中Extent和描述符文件的名称是'<vmname-flat.vmdk>'和'的格式分别为<vmname.vmdk>'。“twoGbMaxExtentFlat”类型虚拟磁盘的Extent文件使用多个Extents,其名称格式为“<vmname -f {order} .vmdk>”。
在分配特定要求的大小后,使用SPARSE类型Extent配置的映像会增加虚拟磁盘的大小。VMware Workstation中“monolithicSparse”类型范围的映像被确定为包含描述符文件的体系结构,如图5所示,文件名的格式为“<vmname.vmdk>”。
图5。SPARSE范围的结构。
此外,在'twoGbMaxExtentSparse'类型范围的情况下,描述符被创建为格式为'<vmname.vmdk>'的独立文件,并且存在图像文件格式为'<vmname -s {order} .vmdk>'其中Extent表示排除描述符部分的表单,如图5所示。
SPARSE Extent标头具有文件签名并存储信息,包括SPARSE格式的版本,粒度大小,范围的整个大小,描述符文件的起始偏移量。颗粒意味着扇区的块,其存储虚拟磁盘的数据。晶粒的基本尺寸为128个扇区,单个晶粒存储64 kB数据。在Extent标头的下一个位置插入描述符文件,存储虚拟机的分配信息的grain目录和grain表以及存储虚拟机的实际数据的grain将位于该位置之后 [ 8]。
描述符文件将虚拟机的配置信息存储为文本格式,并且由描述符头,范围描述和磁盘数据库组成,如图5所示。描述符头存储编码方法和虚拟磁盘类型的信息,并且范围描述区域存储虚拟磁盘中使用的所有区段的信息。主要项目是范围类型,整个扇区的数量,名称和起始偏移量。磁盘数据库区域存储虚拟机映像的附加信息。
对虚拟机的调查应检查每个范围的名称,整个大小,类型及其体系结构。可以使用Extent文件的名称验证要调查的虚拟机,并且可以基于每个Extent中的整个大小来确定虚拟机的最大大小。此外,扩展区的类型可以推断出虚拟机的分配方法和文件格式。在参考文献中,关于区段的类型,将主要使用上述FLAT和SPARSE。除了FLAT和SPARSE之外,还使用ZERO,VMFS,VMFSSPARSE,VMFSRDM和VMRSRAW。本研究未考虑这些范围的细节,因为这些通常不被使用 [8]。
由于虚拟机的操作方式与实际系统相同,因此可以像传统调查一样用于调查磁盘和内存。将从主机系统收集虚拟机的映像文件和内存以及配置文件。但是,在某些情况下,在虚拟机映像的恢复过程中会获得虚拟机中损坏的映像。此外,可以获得故意行为造成的损害。损坏的图像不能用于分析虚拟机的操作状态,并且表示直接分析这种虚拟机图像的困难。因此,有必要根据收集的虚拟机映像的条件改变调查过程和方法。图6 显示了用于分析这种收集的虚拟机映像的建议过程。
图6。调查虚拟机的过程。
可以使用传统的硬盘调查方法来进行声音虚拟机图像的调查。此外,可以使用使用虚拟取证调查平台的动态分析方法 [9]。
声像的调查可以通过生成收集的虚拟机图像文件的副本来进行,以防止损坏和修改证据,然后安装副本以将其识别为分析系统的子目录。
关于安装,使用由VMware Workstation产品生成的虚拟机映像到逻辑磁盘的映射,并且还使用通过GetData 的Mount Image Pro [10]和ASR Data 的SmartMount [11]的方法。Mount Image Pro和SmartMount的工具不仅可以安装使用FLAT类型Extent配置的虚拟机映像与实际硬盘相同,还可以安装由SPARSE类型Extent确定的映像。
在安装的映像中,可以使用取证工具(例如指导软件的EnCase)执行关键字搜索和删除的文件恢复过程。此外,可以通过调查注册表配置单元文件,Web浏览器生成的文件,预取文件等来分析用户的行为。
关于其他调查方法,动态分析方法显示出可以在不使用虚拟机的图像的副本来操作虚拟机的情况下在原始数据中没有任何损坏的情况下调查激活状态的优点。这种动态分析方法使用虚拟机的管理程序来收集虚拟机映像的激活状态信息。对这种数字取证调查平台的虚拟化的研究已经积极进行 [12]。
虚拟机图像可能在收集过程中被损坏并且被用户故意破坏。如果图像由SPARSE类型Extent确定,则无法配置普通文件系统,因为特定部分已损坏。但是,有必要调查损坏的虚拟机映像,因为存在一些有意义的数据作为证据。
由于SPARSE范围由VMware Workstation中使用的独特文件体系结构组成,与FLAT Extent类型的虚拟机映像不同,它们具有与实际硬盘相同的体系结构,因此很难在图像损坏时对其进行分析。但是,可以在应用恢复过程后尝试进行分析,因为可以根据损坏范围恢复SPARSE范围。根据图7中所示的过程处理SPARSE范围的恢复。由于Extent标头或描述符的数据已损坏,因此可以通过考虑前面提到的VMX和LOG文件将其恢复为操作虚拟机映像。
图7。恢复SPARSE范围的过程。
如果在插入到范围的14个扇区的描述符部分中损坏,则描述符文件头的CID和父CID,范围描述部分的整个范围,类型和文件名数据将被恢复。图9显示了恢复的描述符数据。项目(d)代表内容ID和父ID。CID是32位的任意值,每当虚拟机首次运行时生成,然后每当重新启动虚拟机时它都会更改。ParentCID是一个项目,用于在生成虚拟机的快照时存储原始扩展区的CID。如果未显示快照,则将其确定为'ffffffff'的基本值。项目(e)与图8中所示的项目(a)的值相同并将(a)的值存储为十进制数。项目(f)记录了范围的类型,例如SPARSE,FLAT等。范围的类型也可以通过虚拟机和VMX和LOG文件中使用的文件名来验证。此外,项目(g)存储可由VMX和LOG文件验证的Extent文件的名称。
图9。恢复的描述符数据。
可以使用分析声音虚拟机映像的方法来调查完成Extent标头和描述符的恢复的虚拟机映像。如果分配信息和实际数据区域出现损坏,则应使用其他方法进行调查,因为无法进行恢复。
在由美国国防部DC3(国防部网络犯罪中心)主办的“DC3数字取证挑战2010”会议上,介绍了对受损VMware Workstation虚拟机的调查问题。会议中发布了每个损坏的VMDK文件,NVRAM文件,VMSD文件,VMX文件和四个LOG文件。
人们认识到,故障虚拟机使用虚拟磁盘作为'monolithicSparse'的格式,最大大小为4 GB(8388608扇区)。损坏的VMDK文件是SPARSE Extent体系结构。由于Extent标头和描述符要定位在文件的起始点,因此无法执行此文件,因为它的初始化为“0”,大小为0×2A00字节。特别地,0×2A00字节显示与范围标题(1个扇区)和描述符部分(20个扇区)的大小之和相同的值。因此,通过遵循图7中所示的过程,由Extent头和描述符恢复初始化部分为“0” 。
对于由SPARSE Extent确定的虚拟机映像,如果grain目录和grain表损坏,则无法使用此类虚拟机映像的挂载进行静态分析。此外,动态分析是不可能的,因为它无法操作。因此,如果收集的虚拟机映像是不可恢复的,则需要对这样的图像文件进行直接调查。可以使用用于剩余数据的恢复方法和用于调查文件系统中的元数据的方法来执行对图像文件的调查。
尽管虚拟机图像通过将RAW数据分段为谷粒来存储RAW数据,但是如果数据被分配给连续的谷物,则可以使用文件雕刻方法来恢复有意义的数据。要恢复的主要主题是文件,它们成为文档和图像文件等用户行为的证据,并且通过恢复使用网页和Web浏览器的证据也可以获得所访问站点的信息。特别是,由于虚拟机由Windows系统确定,如果使用雕刻方法获得 如图11所示的具有'regf'签名的注册表文件,则可以获得用户帐户和跟踪的信息[12 ]。
图11。已恢复的注册表配置单元文件中的用户帐户。
在文件雕刻的公司中,通过提取文件系统的元数据进行调查可以有用地用于验证文件的时间线。如果虚拟机的文件系统由NTFS确定,则存在大小为1024字节的MFT条目,其在虚拟机映像中具有“FILE”的签名。可以通过提取MFT条目来验证文件系统的分配信息。此外,可以通过每个文件中的MFT条目来识别虚拟机中存在的文件名,属性,分配的簇号和MAC(已修改,已访问和已创建)时间的信息。对于使用FAT文件系统的虚拟机,可以通过验证其体系结构来提取目录条目。通过使用提取的目录条目,可以验证虚拟机中存在的文件名的信息和MAC时间。如上所述,可以对虚拟机执行特定的调查,这是不可恢复的,因为可能获得其他各种信息。
由于虚拟机的操作与实际系统相同,因此有必要调查虚拟机中使用的内存 [13]。过程信息,网络连接状态,正在提供的服务的内容以及在激活的系统中处理的ID和密码存储在存储器中。
VMware Workstation的虚拟机通过备份到VMEM文件来管理内存。因为VMEM文件可以作为正在操作或处于挂起状态的虚拟机存在,所以VMEM文件的调查可以获得一些有意义的数据作为在虚拟机中操作的情况和易失性数据。
在VMEM文件的分析中,使用了由逆向工程专家Zairom和Chris Betz设计的Memparser [15]设计的Compare VMware快照[14]的工具 。此外,基于Python的工具Volatility Framwork可用于轻松分析。Volatility Framework已经打开了1.3版的测试版,并提供了datetime,ident,dlllist,modscan,procdump,pslist,psscan等命令 [16]。图12使用波动率框架的pslist显示正在运行的虚拟机中的VMEM文件的进程列表。与实际系统相同,可以在虚拟机的存储器中获得有用的实时数据。此外,可以在不使用其他工作(例如内存转储)的情况下轻松快速地执行调查,因为基本上生成的文件可以在该过程中使用。
图12。虚拟机的进程列表。
根据政府采用的信息系统的巨大规模变化和复杂性的增加,虚拟化技术的应用也在加速。此外,由于此类更改会影响私有用户的环境,因此虚拟化环境的范围也在不断扩展。
甚至记录用户在虚拟机内的活动,因为虚拟机作为一组虚拟硬件资源,操作系统和应用程序执行与实际系统相同的角色。这些线索是数字取证方面的重要数字证据。但是,在数字取证调查中与虚拟化环境联系的可能性很小。另外,由于对虚拟机缺乏了解,调查过程尚不清楚。特别是,由于结构特征,损坏的虚拟机图像难以研究。在本文中,我们建议通过案例研究验证虚拟机上数字取证的调查程序和虚拟机损坏图像的恢复方法。
在未来的研究中,将研究在其主要操作系统市场中迅速增长的微软桌面虚拟化技术和用于VHD虚拟机映像的调查技术。
这项工作得到了MKE / KEIT的IT研发计划(10035157,用于实时分析的数字取证技术的发展)的支持。
