公检法取证-虚拟机文件数据取证技术研究

xlysoft · 发表于 2018-5-22 14:37:42

什么是虚拟机？

虚拟机（Virtual Machine）指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。虚拟机是近几年来比较热门的技术之一，在公检法取证的过程中，常常要对虚拟机内的数据进行取证，那么虚拟机数据取证的热点技术有哪些呢？

下面，效率源科技的技术大咖来分享公检法取证之虚拟机数据取证思路！

在虚拟机里数据是以文件形式进行存储的，对虚拟机内的数据取证其实就是对虚拟机文件进行取证。

下面以VMware Workstation为例对用户创建虚拟机后产生的各类文件进行说明：

下面对上述截图中的文件类型进行逐一说明：

*.vmx文件：虚拟机的配置文件

*.vmem文件：表示虚拟内存的文件

*.vmdk文件：表示虚拟机的虚拟磁盘文件

*.vmss文件：虚拟机在挂起状态时的信息文件

*.log文件：记录了VMware Workstation对虚拟机调试运行的情况

*.nvram文件：储存虚拟机BIOS状态信息

*.vmsn文件：当虚拟机建立快照时，就会自动创建该文件

*.vmxf文件：虚拟机组中补充的配置文件

*.vmdk文件是非常重要的虚拟机文件，该类文件记录虚拟机的操作系统中所产生的全部数据，也是虚拟机取证工作中的重要来源；

*.vmem文件包含了操作系统的内核数据结构、进程、线程、堆中的数据，以及用户的其他敏感信息，如用户输入的密码、聊天信息、网页浏览信息等；

*.log日志文件，记录了用户在虚拟机中的许多操作，比如文件创建、USB接入、虚拟机运行的情况、操作系统基本信息、用户行为时间等；

*.vmdk文件、*.vmem文件、*.log日志文件，几乎包含了对虚拟机取证所需要的所有有价值的信息，因此，下文我们将主要讲述针对这3类文件的躯具体取证方法。

虚拟机数据取证技术研究

VMDK文件取证

对VMDK文件取证我们可以当成对镜像文件的取证。从上文我们知道，VMDK文件记录了虚拟机的操作系统中所产生的全部数据，如文件数据、系统痕迹（操作日志、开关机记录、注册表数据等）、应用程序痕迹（QQ、浏览器、邮件等），是虚拟机取证工作中的重要来源。

对虚拟机VMDK文件取证支持静态取证方法和动态取证方法。

静态取证

静态取证的思路是采取直接解析文件，识别文件中的分区信息和数据文件。

在此思路方法下，我们对文件的格式展开了深入研究，分析底层存储逻辑结构，最终获取磁盘文件中包含的用户数据。

而这个方法目前也集成到了DRS6800数据恢复系统（以下简称DRS）中，下图为DRS解析*.VMDK文件的截图：

在实际的虚拟机取证过程中，罪犯往往会采取修改文件扩展名的方式来逃避调查，因此有效识别文件的真实类型是相当重要的。在不同的虚拟机产品里使用的数据文件不尽相同，下面列举出目前主流的虚拟机产品、数据文件扩展名、数据文件标识的对应表以供参考。

目前主流虚拟机产品、数据文件扩展名、数据文件标识对应表

DRS对上述类型的文件可以全部兼容，能有效的识别各类虚拟机文件，及其包含的分区和数据文件。

动态取证

动态取证是采用仿真系统直接启动VMDK的系统，以第一人称方式直接获取系统数据。可以直接查看系统的聊天记录、文件信息、访问过的网站，同时还可以获取易丢失的动态信息，如进程、网络包、网卡MAC地址等。该取证方式也已集成到DF6600电子数据分析系统（以下简称DF）中。

静态取证和动态取证各有优缺点，在真实的取证环境中，建议采用动静结合的取证方法，采取双份镜像备份的思路，一份进行静态分析取证，一份进行动态加载取证，动静结合方能提取出更多的信息。

VMEM文件取证

VMEM 文件是VMware Workstation 虚拟机默认在运行中和暂停状态时产生的附属文件。其大小与虚拟机配置文件(.vmx) 中设定的虚拟物理内存大小相同，其内容为与虚拟机客户操作系统所管理的内存数据。

通过简单的实验可以发现，当VMware Workstation 虚拟机启动时，就生成了一个VMEM 的临时文件。而当用户使用虚拟机的“暂停”功能时，在虚拟机保存的路径下会生成一个与虚拟机名相同，后缀名为“.vmem”的正常文件。虚拟机暂停所需保存的所有虚拟机客户操作系统的内存相关数据都保存到了该文件中，且以一种虚拟机可以理解的结构和方式组织数据的保存(即按照虚拟机的“物理内存”顺序保存)。VMEM 的这项功能在虚拟机的默认情况下是启用的。

对虚拟机内存文件进行取证可获得有价值的信息包括：操作系统的内核数据结构、进程、线程、堆中的数据，以及用户的其他敏感信息，如用户输入的密码、聊天信息、网页浏览信息等。

针对该文件的信息提取方法也已集成到DF产品中。

LOG文件取证

用户在虚拟机中的许多操作都记录在LOG文件中，比如文件创建、USB接入、虚拟机运行的情况、操作系统基本信息、用户行为时间等。

日志文件为Plain text格式，可通过日志文件的语义解析进行对日志文件中涉及到的操作进行分类筛选，按照时间线进行对用户的行为进行分析取证。

虚拟机取证产品免费试用

在对虚拟机进行取证时一定要注意：为了保证证据的原始性，取证过程中遇到虚机文件不允许直接使用虚拟机软件加载。

◆产品免费试用通道：

点击效率源官方微信“会员专享”—“产品试用”

◆相关案件协助需求通道：

拨打电话028-85211099或在微信后台留言