CN101645048B - 计算机虚拟化取证的实现方法 - Google Patents
计算机虚拟化取证的实现方法 Download PDFInfo
- Publication number
- CN101645048B CN101645048B CN 200910194667 CN200910194667A CN101645048B CN 101645048 B CN101645048 B CN 101645048B CN 200910194667 CN200910194667 CN 200910194667 CN 200910194667 A CN200910194667 A CN 200910194667A CN 101645048 B CN101645048 B CN 101645048B
- Authority
- CN
- China
- Prior art keywords
- evidence obtaining
- memory device
- computer system
- evidence
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明提供一种计算机虚拟化取证的实现方法,通过在取证专用计算机系统中以虚拟化的方式启动,获得了被取证计算机系统启动后一样的操作界面和环境,不会改写存储设备的原始数据,确保取证过程中不会对被取证存储设备上的文件进行修改,在虚拟化的环境中进行取证操作时,看到的不再仅仅是计算机存储介质上的文件和数据,还可以看到操作系统运行环境和用户环境,操作起来也更加方便,实现本发明的目的。
Description
技术领域
本发明涉及一种实现方法,特别涉及一种实现对计算机存储设备的数据进行虚拟化取证的方法。
背景技术
现有对计算机存储设备(例如硬盘)进行数据取证方式,基本有以下三种方式:
1、直接操作被取证存储设备的计算机系统:启动被取证计算机系统,登陆计算机系统后,直接查看和还原计算机系统中数据,此种取证方式虽然简单快捷,但存在致命的缺陷,会破坏计算机系统中的原有数据,因为每一次的启动,计算机系统都会对存储设备进行写操作,因而覆盖了原有的存储数据,这在取证过程中是十分忌讳的。
2、给计算机存储设备的接口加装读写分离装置:为了直接对被取证计算机系统进行操作后,不至于破坏存储设备中的原有数据,就在存储设备的接口上安装读写分离装置后再接入计算机系统,这种取证方式可以解决计算机系统启动后,不会再对存储设备进行写操作,所有的写操作都通过读写分离装置被分离到另外的计算机系统中,对存储设备只是进行读操作,保持了原有数据的完整性。
但是,此种取证方式必须在被取证计算机系统的硬件环境中进行,不能迁移到其他计算机系统中操作,否则可能无法启动存储设备上的计算机系统,从而不能进行多人同时取证,而一人取证的速度和技术都是有限的,大大降低了取证的效率和性能,发现有效的电子数据证据可能性也大大降低。
3、把复制后的存储设备挂接在其他取证专用计算机系统中:卸下被取证计算机系统的存储设备,复制成多个存储设备后,通过专门接口挂接在取证专用计算机系统中,作为取证专用计算机系统中的附加硬盘。然后利用取证软件对此附加硬盘进行数据分析和采集。此种取证方式解决了多人同时取证的问题,但是它只能对存储设备上的电子数据进行操作,而不能启动存储设备上的计算机系统,故此也就很难获得存储设备上的计算机系统启动后的内存中的数据以及程序进程运行中的状态数据和相关连的上下文(context)数据,并且操作不直观也不友好,技术专用性很强,需要计算机专业人员才能进行取证操作。
因此,特别需要一种新的计算机存储设备(例如硬盘)的数据取证方式,以克服现有的三种方式中存在的不足之处。
发明内容
本发明的目的在于提供一种计算机虚拟化取证的实现方法,克服了现有的数据取证方式中的缺陷,不会破坏存储设备中的原有数据,可多人同时进行取证工作,大大提高了取证的效率和性能,还可以看到操作系统运行环境和用户环境,操作起来也更加方便。
本发明所解决的技术问题可以采用以下技术方案来实现:
一种计算机虚拟化取证的实现方法,其特征在于,它包括如下步骤:
(1)将被取证计算机系统中的存储设备卸下,并将存储设备复制成多个存储设备,复制后的存储设备中的数据与被取证计算机系统中的存储设备中数据的位置一一对应且数据内容完全相同;
(2)将步骤(1)中的存储设备通过接口转换装置以取证专用计算机系统中附加存储设备的形式挂接在取证专用计算机系统中;
(3)启动取证专用计算机系统中的操作系统,提取被取证计算机系统中的存储设备中的软硬件信息并生成虚拟化环境的配置文件,虚拟机系统按照配置文件将被取证的存储设备中的操作系统在虚拟机系统中以虚拟化的方式启动;
(4)利用取证工具在虚拟机系统中进行取证工作,所有的取证工作中的写操作只会被记录在取证专用计算机系统中,被取证的存储设备上数据永远保持原始状态。
在本发明的一个实施例中,将被取证计算机系统中的存储设备中的数据制作成镜像文件,然后将镜像文件复制到取证专用计算机系统的硬盘中,再提取镜像文件中的软硬件信息并生成虚拟化环境的配置文件,虚拟机系统按照配置文件将被取证的存储设备中的操作系统在虚拟机系统中以虚拟化的方式启动,最后利用取证工具在虚拟机系统中进行取证工作。
进一步,取证专用计算机系统通过软件的方式提取镜像文件中的软硬件信息并生成虚拟化环境的配置文件。
在本发明的一个实施例中,取证专用计算机系统通过软件的方式提取被取证计算机系统中的存储设备中的软硬件信息并生成虚拟化环境的配置文件。
进一步,通过软件程序对存储设备进行读操作,获取存储设备中主引导记录(MBR)的数据信息,包括文件分区表内信息,然后对存储设备中系统分区内的文件系统中的注册表文件或系统配置文件,获取操作系统的驱动信息和文件分布以及操作系统相关数据信息,然后把所有获得的数据记录生成一个虚拟机的配置文件。
在本发明的一个实施例中,所述虚拟机系统为任何以软件形式仿真计算机硬件设备的程序,它可以以纯软件的形式存在,也可以以硬件芯片内的微码程序的形式存在。
本发明的一种计算机虚拟化取证的实现方法,通过在取证专用计算机系统中以虚拟化的方式启动,获得了被取证计算机系统启动后一样的操作界面和环境,不会改写存储设备的原始数据,确保取证过程中不会对被取证存储设备上的文件进行修改,在虚拟化的环境中进行取证操作时,看到的不再仅仅是计算机存储介质上的文件和数据,还可以看到操作系统运行环境和用户环境,操作起来也更加方便,实现本发明的目的。
附图说明
图1是本发明的计算机虚拟化取证的实现方法的流程框图;
图2是本发明的取证专用计算机系统提取软硬件信息并生成配置文件的流程框图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
如图1所示,本发明的计算机虚拟化取证的实现方法,它包括如下步骤:
(1)将被取证计算机系统中的存储设备卸下,并将存储设备复制成多个存储设备,复制后的存储设备中的数据与被取证计算机系统中的存储设备中数据的位置一一对应且数据内容完全相同;
(2)将步骤(1)中的存储设备通过接口转换装置以取证专用计算机系统中附加存储设备的形式挂接在取证专用计算机系统中;
(3)启动取证专用计算机系统中的操作系统,提取被取证计算机系统中的存储设备中的软硬件信息并生成虚拟化环境的配置文件,虚拟机系统按照配置文件将被取证的存储设备中的操作系统在虚拟机系统中以虚拟化的方式启动;
(4)利用取证工具在虚拟机系统中进行取证工作,所有的取证工作中的写操作只会被记录在取证专用计算机系统中,被取证的存储设备上数据永远保持原始状态。
打开被取证计算机系统的机箱,初步掌握被取证计算机系统的内部硬件结构,特别是存储设备的连接方式,卸下存储设备,查看存储设备的通讯接口,利用专用硬件或软件复制成多个内容相同的存储设备,或者将被取证计算机系统中的存储设备中的数据复制成镜像文件;复制后的存储设备或镜像文件中的数据与被取证计算机系统中的存储设备中数据的位置一一对应且数据内容完全相同。
利用接口转换设备,把卸下的存储设备的接口统一转换成取证专用计算机系统上所用的接口,接入取证专用计算机系统中;如果是镜像文件,直接复制进取证专用计算机系统的硬盘中。
启动取证专用计算机系统,进入操作系统后,查看被取证存储设备在取证专用计算机的操作系统中的盘符文件路径,或查看镜像文件所在目录和文件名,取证专用计算机系统必须符合取证要求,保证不会对被取证存储设备或者镜像文件进行写操作。
取证专用计算机系统通过软件的方式提取镜像文件中的软硬件信息,按照提示选取盘符或镜像文件,根据被取证存储设备或镜像文件数据中的软硬件信息生成虚拟化环境的配置文件。
通过软件程序对存储设备或镜像文件进行读操作,获取存储设备或镜像文件中主引导记录(MBR)的数据信息,包括文件分区表内信息,然后对存储设备或镜像文件中系统分区内的文件系统中的注册表文件或系统配置文件,获取操作系统的驱动信息和文件分布以及操作系统相关数据信息,然后把所有获得的数据记录在一个文件中,此文件以虚拟机的配置文件格式存在,虚拟机系统通过读取此配置文件,可以以软件的形式配置好硬件的操作环境,准备启动存储设备或镜像文件中的操作系统。
取证专用计算机系统根据配置文件启动虚拟机系统,虚拟机系统启动后会在用户界面中显示被取证的存储设备或镜像文件中的操作系统运行界面,虚拟机系统启动后的界面和使用环境都与被取证计算机系统启动后的情况一致;在本发明中,所述虚拟机系统为任何以软硬件形式仿真计算机硬件设备的程序,它可以以纯软件的形式存在,也可以以硬件芯片内的微码程序的形式存在。
直接在虚拟机系统中开展取证工作,由于虚拟机系统来自于真实存储的数据,所以取证的内容与实际运行环境一致,并且可以利用虚拟化技术的缓存、快照和回放等功能,对取证过程进行记录和回放;由于虚拟化技术确保虚拟环境与真实环境之间的逻辑隔离,虚拟化取证不会修改原始存储设备上的原始文件;在取证过程中,如遇虚拟机中的系统崩溃或需要还原最初状态,可以重新再来,不会影响被取证的存储设备和镜像文件的。
本发明的计算机虚拟化取证的实现方法,使得被取证的存储设备中的操作系统在取证专用计算机系统中以虚拟化的方式启动,获得了被取证计算机系统启动后一样的操作界面和环境,但对存储设备只进行读操作,不会改写存储设备的原始数据;而对存储设备的写操作都被记录在虚拟化环境而非原始存储设备中,这就完全避免了现有的直接操作被取证存储设备的计算机系统的数据取证方式中破坏存储设备的缺陷,但又达到了在被取证计算机系统中进行取证操作的效果。
由于利用虚拟化技术进行取证操作,在取证专用计算机系统保证不对被取证存储设备进行写操作的前提下,虚拟化取证技术可以确保取证过程中不会对被取证存储设备上的文件进行修改,这就解决了现有的给计算机存储设备的接口加装读写分离装置的数据取证方式所带来的取证缺陷,利用复制后的存储设备就可以在任意安装本发明的软件的计算机系统中进行取证操作,多人同时进行取证工作的难题也得以解决,大大提高了取证的效率和性能。
本发明由于利用了虚拟化技术,能够启动被取证存储设备中的操作系统,解决了现有的把复制后的存储设备挂接在其他取证专用计算机系统中的数据取证方式中只能处理静态文件的缺陷,通过重建一个虚拟化的调查环境,在虚拟化环境中启动被取证存储设备中的操作系统,使得计算机取证的范围从静态文件向动态环境所扩展(包括内存中的用户信息和进程运行的上下文数据)。在虚拟化的环境中进行取证操作时,看到的不再仅仅是计算机存储介质上的文件和数据,还可以看到操作系统运行环境和用户环境,操作起来也更加方便。
因此本发明使得计算机取证技术涉及的范围更广,操作起来更加简单。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内,本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (6)
1.一种计算机虚拟化取证的实现方法,其特征在于,它包括如下步骤:
(1)将被取证计算机系统中的存储设备卸下,并将存储设备复制成多个存储设备,复制后的存储设备中的数据与被取证计算机系统中的存储设备中数据的位置一一对应且数据内容完全相同;
(2)将步骤(1)中的存储设备通过接口转换装置以取证专用计算机系统中附加存储设备的形式挂接在取证专用计算机系统中;
(3)启动取证专用计算机系统中的操作系统,提取被取证计算机系统中的存储设备中的软硬件信息并生成虚拟化环境的配置文件,虚拟机系统按照配置文件将被取证的存储设备中的操作系统在虚拟机系统中以虚拟化的方式启动;
(4)利用取证工具在虚拟机系统中进行取证工作,所有的取证工作中的写操作只会被记录在取证专用计算机系统中,被取证的存储设备上数据永远保持原始状态。
2.如权利要求1所述的实现方法,其特征在于,将被取证计算机系统中的存储设备中的数据制作成镜像文件,然后将镜像文件复制到取证专用计算机系统的硬盘中,再提取镜像文件中的软硬件信息并生成虚拟化环境的配置文件,虚拟机系统按照配置文件将被取证的存储设备中的操作系统在虚拟机系统中以虚拟化的方式启动,最后利用取证工具在虚拟机系统中进行取证工作。
3.如权利要求2所述的实现方法,其特征在于,取证专用计算机系统通过软件的方式提取镜像文件中的软硬件信息并生成虚拟化环境的配置文件。
4.如权利要求1所述的实现方法,其特征在于,取证专用计算机系统通过软件的方式提取被取证计算机系统中的存储设备中的软硬件信息并生成虚拟化环境的配置文件。
5.如权利要求4所述的实现方法,其特征在于,通过软件程序对存储设备进行读操作,获取存储设备中主引导记录的数据信息,包括文件分区表内信息,然后对存储设备中系统分区内的文件系统中的注册表文件或系统配置文件,获取操作系统的驱动信息和文件分布以及操作系统相关数据信息,然后把所有获得的数据记录生成一个虚拟机的配置文件。
6.如权利要求1所述的实现方法,其特征在于,所述虚拟机系统为任何以软件形式仿真计算机硬件设备的程序,它可以以纯软件的形式存在,也可以以硬件芯片内的微码程序的形式存在。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910194667 CN101645048B (zh) | 2009-08-27 | 2009-08-27 | 计算机虚拟化取证的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910194667 CN101645048B (zh) | 2009-08-27 | 2009-08-27 | 计算机虚拟化取证的实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101645048A CN101645048A (zh) | 2010-02-10 |
| CN101645048B true CN101645048B (zh) | 2013-09-11 |
Family
ID=41656937
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200910194667 Active CN101645048B (zh) | 2009-08-27 | 2009-08-27 | 计算机虚拟化取证的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101645048B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103092672B (zh) * | 2012-11-23 | 2016-01-20 | 厦门美亚中敏电子科技有限公司 | 一种虚拟启动智能修复的计算机动态仿真方法 |
| CN103544354B (zh) * | 2013-10-31 | 2016-09-28 | 厦门市美亚柏科信息股份有限公司 | 基于网络的并行计算机动态仿真方法和装置 |
| CN104461695A (zh) * | 2014-12-24 | 2015-03-25 | 四川效率源信息安全技术有限责任公司 | 通过仿真手段展示数据的方法和装置 |
| CN104615484B (zh) * | 2015-02-13 | 2017-11-07 | 厦门市美亚柏科信息股份有限公司 | 自适应沙盒构建方法及其系统 |
| CN108182129B (zh) * | 2018-01-24 | 2020-08-07 | 杭州字节信息技术有限公司 | 一种基于移动终端镜像还原数据信息的数字取证系统及方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1310389A (zh) * | 2000-02-21 | 2001-08-29 | 英业达股份有限公司 | 计算机硬盘数据复制方法及系统 |
| US6981177B2 (en) * | 2002-04-19 | 2005-12-27 | Computer Associates Think, Inc. | Method and system for disaster recovery |
-
2009
- 2009-08-27 CN CN 200910194667 patent/CN101645048B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1310389A (zh) * | 2000-02-21 | 2001-08-29 | 英业达股份有限公司 | 计算机硬盘数据复制方法及系统 |
| US6981177B2 (en) * | 2002-04-19 | 2005-12-27 | Computer Associates Think, Inc. | Method and system for disaster recovery |
Non-Patent Citations (1)
| Title |
|---|
| 赵来程.计算机犯罪的数据恢复和取证技术.《第二十次全国计算机安全学术交流会论文》.2005,第242页第三部分-第243页第五部分. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101645048A (zh) | 2010-02-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8726273B2 (en) | Space efficient virtual machines | |
| US9311375B1 (en) | Systems and methods for compacting a virtual machine file | |
| CN103092678B (zh) | 一种多增量虚拟机内存管理系统和方法 | |
| CN101650660B (zh) | 从中央存储装置引导计算机系统 | |
| US7831821B2 (en) | System backup and recovery solution based on BIOS | |
| US20050038934A1 (en) | USB-based peripheral device and method for starting up the USB-based peripheral device | |
| CN101645048B (zh) | 计算机虚拟化取证的实现方法 | |
| CN111198663B (zh) | 控制数据存取操作的方法、系统、装置以及存储介质 | |
| US20070226436A1 (en) | File system based offline disk management | |
| JP2007172586A (ja) | コンピュータ間でコンピュータ・データを共有するための方法、装置、およびコンピュータ・プログラム | |
| CN103777985A (zh) | 存储介质上同一分区安装多个操作系统的方法及装置 | |
| JP2011514992A (ja) | 仮想化技術を利用したデータ入出力方法及び装置 | |
| CN107391120A (zh) | 一种启动控制方法、电子设备及计算机可读存储介质 | |
| WO2017020460A1 (zh) | 一种集成插件的方法和装置 | |
| JP2007034467A (ja) | デバイスコントローラ | |
| CN103902300A (zh) | 一种Android模拟器快速安装APK程序的方法及系统 | |
| CN113885948B (zh) | windows镜像分层的管理方法及装置 | |
| JP4714291B2 (ja) | 情報記録装置、情報記録方法及び情報記録用プログラム | |
| JP2002528790A (ja) | イメージ・ファイル変更の取り込み方法及び装置 | |
| JP2006011950A (ja) | インストーラ作成装置及びその方法、そのプログラム | |
| US20100274828A1 (en) | Electronic Device, Storage Area Allocation Method for File System, and Computer Product | |
| US20070130379A1 (en) | Method for data processing based on an operation route in peripheral equipment | |
| TWI441082B (zh) | 虛擬硬碟的容量擴展方法 | |
| CN117112072B (zh) | 一种跨平台虚拟机驱动替换方法、系统及存储介质 | |
| JP5161989B2 (ja) | 情報記録装置、情報記録方法及び情報記録用プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |