专利名称:计算机虚拟化取证的实现方法
技术领域:
本发明涉及一种实现方法,特别涉及一种实现对计算机存储设备的数据进 行虚拟化取证的方法。
背景技术:
现有对计算机存储设备(例如硬盘)进行数据取证方式,基本有以下三种 方式
1、 直接操作被取证存储设备的计算机系统启动被取证计算机系统,登 陆计算机系统后,直接查看和还原计算机系统中数据,此种取证方式虽然简单 快捷,但存在致命的缺陷,会破坏计算机系统中的原有数据,因为每一次的启 动,计算机系统都会对存储设备进行写操作,因而覆盖了原有的存储数据,这 在取证过程中是十分忌讳的。
2、 给计算机存储设备的接口加装读写分离装置为了直接对被取证计算 机系统进行操作后,不至于破坏存储设备中的原有数据,就在存储设备的接口 上安装读写分离装置后再接入计算机系统,这种取证方式可以解决计算机系统 启动后,不会再对存储设备进行写操作,所有的写操作都通过读写分离装置被 分离到另外的计算机系统中,对存储设备只是进行读操作,保持了原有数据的 完整性。
但是,此种取证方式必须在被取证计算机系统的硬件环境中进行,不能迁 移到其他计算机系统中操作,否则可能无法启动存储设备上的计算机系统,从 而不能进行多人同时取证,而一人取证的速度和技术都是有限的,大大降低了 取证的效率和性能,发现有效的电子数据证据可能性也大大降低。
3、 把复制后的存储设备挂接在其他取证专用计算机系统中卸下被取证 计算机系统的存储设备,复制成多个存储设备后,通过专门接口挂接在取证专 用计算机系统中,作为取证专用计算机系统中的附加硬盘。然后利用取证软件 对此附加硬盘进行数据分析和采集。此种取证方式解决了多人同时取证的问题,但是它只能对存储设备上的电子数据进行操作,而不能启动存储设备上的 计算机系统,故此也就很难获得存储设备上的计算机系统启动后的内存中的数
据以及程序进程运行中的状态数据和相关连的上下文(context)数据,并且操 作不直观也不友好,技术专用性很强,需要计算机专业人员才能进行取证操作。 因此,特别需要一种新的计算机存储设备(例如硬盘)的数据取证方式, 以克服现有的三种方式中存在的不足之处。
发明内容
本发明的目的在于提供一种计算机虚拟化取证的实现方法,克服了现有的 数据取证方式中的缺陷,不会破坏存储设备中的原有数据,可多人同时进行取 证工作,大大提高了取证的效率和性能,还可以看到操作系统运行环境和用户 环境,操作起来也更加方便。
本发明所解决的技术问题可以采用以下技术方案来实现 一种计算机虚拟化取证的实现方法,其特征在于,它包括如下步骤-
(1) 将被取证计算机系统中的存储设备卸下,并将存储设备复制成多个 存储设备,复制后的存储设备中的数据与被取证计算机系统中的存储设备中数 据的位置一一对应且数据内容完全相同;
(2) 将步骤(1)中的存储设备通过接口转换装置以取证专用计算机系统
中附加存储设备的形式挂接在取证专用计算机系统中;
(3) 启动取证专用计算机系统中的操作系统,提取被取证计算机系统中 的存储设备中的软硬件信息并生成虚拟化环境的配置文件,虚拟机系统按照配 置文件将被取证的存储设备中的操作系统在虚拟机系统中以虚拟化的方式启 动;
(4) 利用取证工具在虚拟机系统中进行取证工作,所有的取证工作中的 写操作只会被记录在取证专用计算机系统中,被取证的存储设备上数据永远保 持原始状态。
在本发明的一个实施例中,将被取证计算机系统中的存储设备中的数据制 作成镜像文件,然后将镜像文件复制到取证专用计算机系统的硬盘中,再提取 镜像文件中的软硬件信息并生成虚拟化环境的配置文件,虚拟机系统按照配置
5文件将被取证的存储设备中的操作系统在虚拟机系统中以虚拟化的方式启动, 最后利用取证工具在虚拟机系统中进行取证工作。
进一步,取证专用计算机系统通过软件的方式提取镜像文件中的软硬件信 息并生成虚拟化环境的配置文件。
在本发明的一个实施例中,取证专用计算机系统通过软件的方式提取被取 证计算机系统中的存储设备中的软硬件信息并生成虚拟化环境的配置文件。
进一步,通过软件程序对存储设备进行读操作,获取存储设备中主引导记
录(MBR)的数据信息,包括文件分区表内信息,然后对存储设备中系统分区 内的文件系统中的注册表文件或系统配置文件,获取操作系统的驱动信息和文 件分布以及操作系统相关数据信息,然后把所有获得的数据记录生成一个虚拟 机的配置文件。
在本发明的一个实施例中,所述虚拟机系统为任何以软件形式仿真计算机 硬件设备的程序,它可以以纯软件的形式存在,也可以以硬件芯片内的微码程 序的形式存在。
本发明的一种计算机虚拟化取证的实现方法,通过在取证专用计算机系统 中以虚拟化的方式启动,获得了被取证计算机系统启动后一样的操作界面和环 境,不会改写存储设备的原始数据,确保取证过程中不会对被取证存储设备上 的文件进行修改,在虚拟化的环境中进行取证操作时,看到的不再仅仅是计算 机存储介质上的文件和数据,还可以看到操作系统运行环境和用户环境,操作 起来也更加方便,实现本发明的目的。
图1是本发明的计算机虚拟化取证的实现方法的流程框图; 图2是本发明的取证专用计算机系统提取软硬件信息并生成配置文件的 流程框图。
具体实施例方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解, 下面结合具体图示,进一步阐述本发明。如图1所示,本发明的计算机虚拟化取证的实现方法,它包括如下步骤
(1) 将被取证计算机系统中的存储设备卸下,并将存储设备复制成多个 存储设备,复制后的存储设备中的数据与被取证计算机系统中的存储设备中数 据的位置一一对应且数据内容完全相同;
(2) 将步骤(1)中的存储设备通过接口转换装置以取证专用计算机系统 中附加存储设备的形式挂接在取证专用计算机系统中;
(3) 启动取证专用计算机系统中的操作系统,提取被取证计算机系统中 的存储设备中的软硬件信息并生成虚拟化环境的配置文件,虚拟机系统按照配 置文件将被取证的存储设备中的操作系统在虚拟机系统中以虚拟化的方式启 动;
(4) 利用取证工具在虚拟机系统中进行取证工作,所有的取证工作中的 写操作只会被记录在取证专用计算机系统中,被取证的存储设备上数据永远保 持原始状态。
打开被取证计算机系统的机箱,初步掌握被取证计算机系统的内部硬件结 构,特别是存储设备的连接方式,卸下存储设备,査看存储设备的通讯接口, 利用专用硬件或软件复制成多个内容相同的存储设备,或者将被取证计算机系 统中的存储设备中的数据复制成镜像文件;复制后的存储设备或镜像文件中的 数据与被取证计算机系统中的存储设备中数据的位置一一对应且数据内容完 全相同。
利用接口转换设备,把卸下的存储设备的接口统一转换成取证专用计算机 系统上所用的接口,接入取证专用计算机系统中;如果是镜像文件,直接复制 进取证专用计算机系统的硬盘中。
启动取证专用计算机系统,进入操作系统后,查看被取证存储设备在取证 专用计算机的操作系统中的盘符文件路径,或査看镜像文件所在目录和文件 名,取证专用计算机系统必须符合取证要求,保证不会对被取证存储设备或者 镜像文件进行写操作。
取证专用计算机系统通过软件的方式提取镜像文件中的软硬件信息,按照 提示选取盘符或镜像文件,根据被取证存储设备或镜像文件数据中的软硬件信 息生成虚拟化环境的配置文件。通过软件程序对存储设备或镜像文件进行读操作,获取存储设备或镜像文
件中主引导记录(MBR)的数据信息,包括文件分区表内信息,然后对存储设 备或镜像文件中系统分区内的文件系统中的注册表文件或系统配置文件,获取 操作系统的驱动信息和文件分布以及操作系统相关数据信息,然后把所有获得 的数据记录在一个文件中,此文件以虚拟机的配置文件格式存在,虚拟机系统 通过读取此配置文件,可以以软件的形式配置好硬件的操作环境,准备启动存 储设备或镜像文件中的操作系统。
取证专用计算机系统根据配置文件启动虚拟机系统,虚拟机系统启动后会 在用户界面中显示被取证的存储设备或镜像文件中的操作系统运行界面,虚拟 机系统启动后的界面和使用环境都与被取证计算机系统启动后的情况一致;在 本发明中,所述虚拟机系统为任何以软硬件形式仿真计算机硬件设备的程序, 它可以以纯软件的形式存在,也可以以硬件芯片内的微码程序的形式存在。
直接在虚拟机系统中开展取证工作,由于虚拟机系统来自于真实存储的数 据,所以取证的内容与实际运行环境一致,并且可以利用虚拟化技术的缓存、 快照和回放等功能,对取证过程进行记录和回放;由于虚拟化技术确保虚拟环 境与真实环境之间的逻辑隔离,虚拟化取证不会修改原始存储设备上的原始文 件;在取证过程中,如遇虚拟机中的系统崩溃或需要还原最初状态,可以重新 再来,不会影响被取证的存储设备和镜像文件的。
本发明的 计算机虚拟化取证的实现方法,使得被取证的存储设备中的操作 系统在取证专用计算机系统中以虚拟化的方式启动,获得了被取证计算机系统 启动后一样的操作界面和环境,但对存储设备只进行读操作,不会改写存储设 备的原始数据;而对存储设备的写操作都被记录在虚拟化环境而非原始存储设 备中,这就完全避免了现有的直接操作被取证存储设备的计算机系统的数据取 证方式中破坏存储设备的缺陷,但又达到了在被取证计算机系统中进行取证操 作的效果。
由于利用虚拟化技术进行取证操作,在取证专用计算机系统保证不对被取 证存储设备进行写操作的前提下,虚拟化取证技术可以确保取证过程中不会对 被取证存储设备上的文件进行修改,这就解决了现有的给计算机存储设备的接 口加装读写分离装置的数据取证方式所带来的取证缺陷,利用复制后的存储设备就可以在任意安装本发明的软件的计算机系统中进行取证操作,多人同时进 行取证工作的难题也得以解决,大大提高了取证的效率和性能。
本发明由于利用了虚拟化技术,能够启动被取证存储设备中的操作系统, 解决了现有的把复制后的存储设备挂接在其他取证专用计算机系统中的数据 取证方式中只能处理静态文件的缺陷,通过重建一个虚拟化的调查环境,在虚 拟化环境中启动被取证存储设备中的操作系统,使得计算机取证的范围从静态 文件向动态环境所扩展(包括内存中的用户信息和进程运行的上下文数据)。 在虚拟化的环境中进行取证操作时,看到的不再仅仅是计算机存储介质上的文 件和数据,还可以看到操作系统运行环境和用户环境,操作起来也更加方便。 因此本发明使得计算机取证技术涉及的范围更广,操作起来更加简单。 以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业 的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中 描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明 还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内,本 发明要求保护范围由所附的权利要求书及其等效物界定。
权利要求
1、一种计算机虚拟化取证的实现方法,其特征在于,它包括如下步骤(1)将被取证计算机系统中的存储设备卸下,并将存储设备复制成多个存储设备,复制后的存储设备中的数据与被取证计算机系统中的存储设备中数据的位置一一对应且数据内容完全相同;(2)将步骤(1)中的存储设备通过接口转换装置以取证专用计算机系统中附加存储设备的形式挂接在取证专用计算机系统中;(3)启动取证专用计算机系统中的操作系统,提取被取证计算机系统中的存储设备中的软硬件信息并生成虚拟化环境的配置文件,虚拟机系统按照配置文件将被取证的存储设备中的操作系统在虚拟机系统中以虚拟化的方式启动;(4)利用取证工具在虚拟机系统中进行取证工作,所有的取证工作中的写操作只会被记录在取证专用计算机系统中,被取证的存储设备上数据永远保持原始状态。
2、 如权利要求1所述的实现方法,其特征在于,将被取证计算机系统中 的存储设备中的数据制作成镜像文件,然后将镜像文件复制到取证专用计算机 系统的硬盘中,再提取镜像文件中的软硬件信息并生成虚拟化环境的配置文 件,虚拟机系统按照配置文件将被取证的存储设备中的操作系统在虚拟机系统 中以虚拟化的方式启动,最后利用取证工具在虚拟机系统中进行取证工作。
3、 如权利要求2所述的实现方法,其特征在于,取证专用计算机系统通 过软件的方式提取镜像文件中的软硬件信息并生成虚拟化环境的配置文件。
4、 如权利要求1所述的实现方法,其特征在于,取证专用计算机系统通 过软件的方式提取被取证计算机系统中的存储设备中的软硬件信息并生成虚 拟化环境的配置文件。
5、 如权利要求4所述的实现方法,其特征在于,'通过软件程序对存储设 备进行读操作,获取存储设备中主引导记录的数据信息,包括文件分区表内信 息,然后对存储设备中系统分区内的文件系统中的注册表文件或系统配置文 件,获取操作系统的驱动信息和文件分布以及操作系统相关数据信息,然后把 所有获得的数据记录生成一个虚拟机的配置文件。
6、如权利要求1所述的实现方法,其特征在于,所述虚拟机系统为任何 以软件形式仿真计算机硬件设备的程序,它可以以纯软件的形式存在,也可以 以硬件芯片内的微码程序的形式存在。
全文摘要
本发明提供一种计算机虚拟化取证的实现方法,通过在取证专用计算机系统中以虚拟化的方式启动,获得了被取证计算机系统启动后一样的操作界面和环境,不会改写存储设备的原始数据,确保取证过程中不会对被取证存储设备上的文件进行修改,在虚拟化的环境中进行取证操作时,看到的不再仅仅是计算机存储介质上的文件和数据,还可以看到操作系统运行环境和用户环境,操作起来也更加方便,实现本发明的目的。
文档编号G06F12/16GK101645048SQ20091019466
公开日2010年2月10日 申请日期2009年8月27日 优先权日2009年8月27日
发明者强 侯, 姚静晶, 勇 张, 王国丰, 胡永涛, 峰 高, 刚 黄 申请人:公安部第三研究所