一种虚拟化环境下获取Windows虚拟机中历史记录的方法与流程

本发明涉及虚拟化终端安全领域，具体涉及一种虚拟化环境下获取windows虚拟机中历史记录的方法。

背景技术：

在虚拟化环境下，处于关机状态的虚拟机我们称之为离线虚拟机。

在windows系统，用户打开一个文件时，windows系统会自动在磁盘上的某个特殊位置创建一个指向所打开的文件的快捷方式文件(.lnk后缀)，该快捷方式文件记录了原始文件被打开的时间以及原始文件的属性等信息，我们通过解析该快捷方式文件就能够获取到用户打开文件的历史记录。

包含历史记录的快捷方式文件在windows系统的存放位置和登录windows系统的用户相关，不同用户位置不同。并且和用户的权限有关，一个用户只能查看它的权限范围内的历史记录。

在传统windows计算机使用场景下，可以通过以下方法来查看文件打开历史记录，该方法在虚拟化场景下同样适用。

通过windows应用程序查看，即通过windows系统提供的应用程序可以查看文件打开历史记录。该方法存在如下缺点：

缺点一，操作依赖于windows系统的运行状态，只有运行态的windows系统才能查看；

缺点二，操作依赖于windows系统提供的应用程序，必须通过该应用程序才能查看，并且非windows系统不能查看；

缺点三，操作需要登录到目标windows来宾虚拟机系统才能完成；

缺点四，操作需要消耗windows系统资源，因为需要在目标windows来宾虚拟机上执行应用程序，所以需要消耗windows系统的资源；

缺点五，操作受到windows用户权限的限制，某个用户只能查看它的权限范围内的历史记录，权限范围之外的历史记录不能查看。

技术实现要素：

本发明的目的在于，为解决上述技术问题，提供一种不依赖于目标虚拟机的运行状态，在线或离线状态的虚拟机都可以查看的虚拟化环境下获取windows虚拟机中历史记录的方法。

为解决上述技术问题，本发明采用如下的技术方案：一种虚拟化环境下获取windows

虚拟机中历史记录的方法，具体包括如下步骤：

s1、找到目标windows来宾虚拟机；

s2、获取所述目标windows来宾虚拟机操作系统类型，如果不是windows系统则结束，如果是则进入下一步；

s3、采用虚拟化技术读取目标windows来宾虚拟机上存有文件打开记录的快捷方式文件，并将所述快捷方式文件加载到宿主机的内存；

s4、在所述宿主机中分析加载到内存中的所述快捷方式文件的语义信息，从中读取出所述目标windows来宾虚拟机上对应打开的文件记录；

s5、重复所述步骤s3和s4，直到遍历完所有保存有所述文件打开历史记录的快捷方式文件。

如前述的虚拟化环境下获取windows虚拟机中历史记录的方法，所述步骤s1中具体根据虚拟机的标识符找到目标windows来宾虚拟机。

如前述的虚拟化环境下获取windows虚拟机中历史记录的方法，所述虚拟机标识符包括：虚拟机名和虚拟机id。

如前述的虚拟化环境下获取windows虚拟机中历史记录的方法，所述步骤s3中的记录包括：文件路径，文件名和文件打开时间。

如前述的虚拟化环境下获取windows虚拟机中历史记录的方法，所述获取所述目标windows来宾虚拟机操作系统类型具体为：通过离线扫描所述目标windows来宾虚拟机的windows注册表，并读取系统版本信息来确定操作系统类型。

如前述的虚拟化环境下获取windows虚拟机中历史记录的方法，所述宿主机还包括快捷方式读取单元，用于分析加载到内存中的所述快捷方式文件的语义信息，并从中读取单元读取出所述目标windows来宾虚拟机上对应打开的文件记录。

与现有技术相比，本发明通过使用虚拟化技术分析快捷方式文件，在宿主机上完成目标windows来宾虚拟机文件打开历史记录的查看操作，从而能够做到对目标windows来宾虚拟机透明，操作过程目标虚拟机无感知，同时更不会消耗目标虚拟机的资源。因为是通过分析文件语义信息的方法来获取历史记录信息，而且不需要登录目标windows来宾虚拟机，所以操作过程不受windows用户权限限制。

附图说明

图1为本发明一种虚拟化环境下获取windows虚拟机中历史记录的方法流程图；

图2为本发明方法运行示意图。

下面结合附图和具体实施方式对本发明作进一步的说明。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。

本发明实施例1，如图1及图2所示，一种虚拟化环境下获取windows虚拟机中历史记录的方法，具体包括如下步骤：

s1、根据虚拟机的标识符找到目标windows来宾虚拟机，所述虚拟机标识符包括：虚拟机名和虚拟机id；

s2、通过离线扫描所述目标windows来宾虚拟机的windows注册表，并读取系统版本信息来确定操作系统类型，如果不是windows系统则结束，如果是则进入下一步；

s3、采用虚拟化技术读取目标windows来宾虚拟机上存有文件打开记录的快捷方式文件，并将所述快捷方式文件加载到宿主机的内存，所述记录包括：文件路径，文件名和文件打开时间；

s4、所述宿主机还包括快捷方式读取单元，用于分析加载到内存中的所述快捷方式文件的语义信息，从中读取出所述目标windows来宾虚拟机上对应打开的文件记录；

s5、重复所述步骤s3和s4，直到遍历完所有保存有所述文件打开历史记录的快捷方式文件。

本发明实施例2，如图1及图2所示，一种虚拟化环境下获取windows虚拟机中历史记录的方法，具体包括如下步骤：

s1、根据虚拟机的标识符找到目标windows来宾虚拟机；

s2、获取所述目标windows来宾虚拟机操作系统类型，如果不是windows系统则结束，如果是则进入下一步；

s3、采用虚拟化技术读取目标windows来宾虚拟机上存有文件打开记录的快捷方式文件，并将所述快捷方式文件加载到宿主机的内存；

s4、在所述宿主机中分析加载到内存中的所述快捷方式文件的语义信息，从中读取出所述目标windows来宾虚拟机上对应打开的文件记录；

s5、重复所述步骤s3和s4，直到遍历完所有保存有所述文件打开历史记录的快捷方式文件。

本发明实施例3，如图1及图2所示，一种虚拟化环境下获取windows虚拟机中历史记录的方法，具体包括如下步骤：

s1、找到目标windows来宾虚拟机；

s2、获取所述目标windows来宾虚拟机操作系统类型，如果不是windows系统则结束，如果是则进入下一步；

s3、采用虚拟化技术读取目标windows来宾虚拟机上存有文件打开记录的快捷方式文件，并将所述快捷方式文件加载到宿主机的内存；

s4、在所述宿主机中分析加载到内存中的所述快捷方式文件的语义信息，从中读取出所述目标windows来宾虚拟机上对应打开的文件记录，所述记录包括：文件路径，文件名和文件打开时间；

s5、重复所述步骤s3和s4，直到遍历完所有保存有所述文件打开历史记录的快捷方式文件。

本发明实施例4，如图1及图2所示，一种虚拟化环境下获取windows虚拟机中历史记录的方法，具体包括如下步骤：

s1、找到目标windows来宾虚拟机；

s2、通过离线扫描所述目标windows来宾虚拟机的windows注册表，并读取系统版本信息来确定操作系统类型，如果不是windows系统则结束，如果是则进入下一步；

s3、采用虚拟化技术读取目标windows来宾虚拟机上存有文件打开记录的快捷方式文件，并将所述快捷方式文件加载到宿主机的内存；

s4、在所述宿主机中分析加载到内存中的所述快捷方式文件的语义信息，从中读取出所述目标windows来宾虚拟机上对应打开的文件记录；

s5、重复所述步骤s3和s4，直到遍历完所有保存有所述文件打开历史记录的快捷方式文件。

本发明实施例5，如图1及图2所示，一种虚拟化环境下获取windows虚拟机中历史记录的方法，具体包括如下步骤：

s1、找到目标windows来宾虚拟机；

s2、获取所述目标windows来宾虚拟机操作系统类型，如果不是windows系统则结束，如果是则进入下一步；

s3、采用虚拟化技术读取目标windows来宾虚拟机上存有文件打开记录的快捷方式文件，并将所述快捷方式文件加载到宿主机的内存；

s4、在所述宿主机中分析加载到内存中的所述快捷方式文件的语义信息，从中读取出所述目标windows来宾虚拟机上对应打开的文件记录；

s5、重复所述步骤s3和s4，直到遍历完所有保存有所述文件打开历史记录的快捷方式文件。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。