虚拟环境调查与取证全解析

### 虚拟环境调查与取证全解析 #### 1. 虚拟环境内存分配与数据恢复研究 在虚拟环境中，客户操作系统不允许直接访问实际物理内存。VMM（虚拟机监视器）使用影子页表来映射客户操作系统的内存分配，并将该映射与物理机内存进行协调。有研究使用NTFS分区作为测试环境，研究分配给VMware Server虚拟机的内存量对文件可恢复性的影响。测试虚拟机分别分配了256MB、512MB和1024MB的RAM，尝试恢复的活动包括电子邮件通信、即时通讯流量、Word文档创建和Web流量。研究发现，分配给单个虚拟机的RAM数量对可恢复文件和命中数的影响极小。大多数在分配最大RAM的虚拟机上进行的测试，其可恢复文件和命中数比在分配较少RAM的虚拟机上进行的测试要少，这可能是由于VMware Server为虚拟机预留RAM的方式所致。 #### 2. ESXi服务器分析 Fiterman和Durick的研究指出，目前用于检查虚拟数据的工具和选项有限，他们特别关注了VMware的ESXi 4服务器产品的检查。在检查此类环境时，应遵循以下最佳实践和响应方法框架： 1. 生成镜像时不调用客户虚拟机内的任何代码。 2. 确保获取的证据文件的完整性和保真度。 3. 支持适当的证据链。 具体操作步骤如下： 1. 首先收集虚拟机的快照和.vmsn文件。实时系统采集不会捕获.vswp文件，可能需要获取该文件所在的分区。 2. 通过安全外壳（SSH）连接到ESXi服务控制台，使用命令行界面（CLI）确定虚拟机文件的保存位置，可使用esxcfg - info命令。以下是一些有用的CLI命令： | 命令 | 功能 | | --- | --- | | vim - cmd vmsvc/getallvms | 列出运行在管理程序上的所有虚拟机 | | vim - cmd vmsvc/destroy vmid | 从磁盘删除.vmdk和.vmx文件 | | chkconfig - l | 显示运行在管理程序上的守护进程，也可用于配置 | | esxcfg - info | 列出有关ESX主机的大量信息 | | esxcfg - nics - l | 列出网络接口卡（NIC）的信息 | 3. 捕获并哈希相关文件，如.vmx、.vmsn和.vmdk文件，ESXi 4 Update 1附带了OpenSSL实现，可通过控制台完成此操作。 4. 验证采集结果。 #### 3. 微软分析工具 对于微软虚拟化环境的实时调查，Harley Stagner建议在将受损的Microsoft Virtual Server 2005服务器离线之前，考虑以下步骤： 1. 导出或备份事件日志以及事件。 2. 如有可能，获取Virtual Server 2005管理页面的截图。 3. 在关闭服务器上运行的任何虚拟机之前，运行Sysinternal工具，如accessenum.exe、autoruns.exe、pendmoves.exe和logonsessions.exe。这些工具的功能如下： - AccessEnum：通过使用标准Windows安全应用程序编程接口（API），提供文件系统和注册表安全设置的用户访问权限信息。 - Autoruns：提供系统启动或登录时配置运行的程序信息，并按处理顺序显示工具栏和浏览器辅助对象等项目的条目。 - Pendmoves：提供下一次系统启动时计划的文件重命名和删除信息，本质上是报告使用MoveFileEx API在重启后排队执行的任何操作。 - Logonsessions：提供活动登录会话的信息，-p开关将列出每个会话下的活动进程。 与微软虚拟机相关的文件包括：虚拟机配置（.vmc）文件、虚拟硬盘（.vhd）文件、任何虚拟机保存状态（.vsv）文件以及虚拟机撤销磁盘（.vud）文件。 #### 4. 专利应用对虚拟环境取证的影响 2009年末，VMware公布了一系列与虚拟机相关的专利申请，这些申请反