CN108009000A - 一种虚拟化环境下获取Windows虚拟机中历史记录的方法 - Google Patents
一种虚拟化环境下获取Windows虚拟机中历史记录的方法 Download PDFInfo
- Publication number
- CN108009000A CN108009000A CN201611026157.7A CN201611026157A CN108009000A CN 108009000 A CN108009000 A CN 108009000A CN 201611026157 A CN201611026157 A CN 201611026157A CN 108009000 A CN108009000 A CN 108009000A
- Authority
- CN
- China
- Prior art keywords
- windows
- virtual machines
- file
- target
- record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45545—Guest-host, i.e. hypervisor is an application program itself, e.g. VirtualBox
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种虚拟化环境下获取Windows虚拟机中历史记录的方法,系统包括:S1、找到目标Windows来宾虚拟机;S2、获取目标Windows来宾虚拟机操作系统类型,如果不是Windows系统则结束,如果是则进入下一步;S3、采用虚拟化技术读取目标Windows来宾虚拟机上存有文件打开记录的快捷方式文件,并将快捷方式文件加载到宿主机的内存;S4、在宿主机中分析加载到内存中的快捷方式文件的语义信息,从中读取出目标Windows来宾虚拟机上对应打开的文件记录;S5、重复步骤S3和S4,直到遍历完所有保存有文件打开历史记录的快捷方式文件。本发明能够做到对目标Windows来宾虚拟机透明,操作过程目标虚拟机无感知,同时更不会消耗目标虚拟机的资源,且操作过程不受Windows用户权限限制。
Description
技术领域
本发明涉及虚拟化终端安全领域,具体涉及一种虚拟化环境下获取Windows虚拟机中历史记录的方法。
背景技术
在虚拟化环境下,处于关机状态的虚拟机我们称之为离线虚拟机。
在Windows系统,用户打开一个文件时,Windows系统会自动在磁盘上的某个特殊位置创建一个指向所打开的文件的快捷方式文件(.lnk后缀),该快捷方式文件记录了原始文件被打开的时间以及原始文件的属性等信息,我们通过解析该快捷方式文件就能够获取到用户打开文件的历史记录。
包含历史记录的快捷方式文件在Windows系统的存放位置和登录Windows系统的用户相关,不同用户位置不同。并且和用户的权限有关,一个用户只能查看它的权限范围内的历史记录。
在传统Windows计算机使用场景下,可以通过以下方法来查看文件打开历史记录,该方法在虚拟化场景下同样适用。
通过Windows应用程序查看,即通过Windows系统提供的应用程序可以查看文件打开历史记录。该方法存在如下缺点:
缺点一,操作依赖于Windows系统的运行状态,只有运行态的Windows系统才能查看;
缺点二,操作依赖于Windows系统提供的应用程序,必须通过该应用程序才能查看,并且非Windows系统不能查看;
缺点三,操作需要登录到目标Windows来宾虚拟机系统才能完成;
缺点四,操作需要消耗Windows系统资源,因为需要在目标Windows来宾虚拟机上执行应用程序,所以需要消耗Windows系统的资源;
缺点五,操作受到Windows用户权限的限制,某个用户只能查看它的权限范围内的历史记录,权限范围之外的历史记录不能查看。
发明内容
本发明的目的在于,为解决上述技术问题,提供一种不依赖于目标虚拟机的运行状态,在线或离线状态的虚拟机都可以查看的虚拟化环境下获取Windows虚拟机中历史记录的方法。
为解决上述技术问题,本发明采用如下的技术方案:一种虚拟化环境下获取Windows
虚拟机中历史记录的方法,具体包括如下步骤:
S1、找到目标Windows来宾虚拟机;
S2、获取所述目标Windows来宾虚拟机操作系统类型,如果不是Windows系统则结束,如果是则进入下一步;
S3、采用虚拟化技术读取目标Windows来宾虚拟机上存有文件打开记录的快捷方式文件,并将所述快捷方式文件加载到宿主机的内存;
S4、在所述宿主机中分析加载到内存中的所述快捷方式文件的语义信息,从中读取出所述目标Windows来宾虚拟机上对应打开的文件记录;
S5、重复所述步骤S3和S4,直到遍历完所有保存有所述文件打开历史记录的快捷方式文件。
如前述的虚拟化环境下获取Windows虚拟机中历史记录的方法,所述步骤S1中具体根据虚拟机的标识符找到目标Windows来宾虚拟机。
如前述的虚拟化环境下获取Windows虚拟机中历史记录的方法,所述虚拟机标识符包括:虚拟机名和虚拟机ID。
如前述的虚拟化环境下获取Windows虚拟机中历史记录的方法,所述步骤S3中的记录包括:文件路径,文件名和文件打开时间。
如前述的虚拟化环境下获取Windows虚拟机中历史记录的方法,所述获取所述目标Windows来宾虚拟机操作系统类型具体为:通过离线扫描所述目标Windows来宾虚拟机的Windows注册表,并读取系统版本信息来确定操作系统类型。
如前述的虚拟化环境下获取Windows虚拟机中历史记录的方法,所述宿主机还包括快捷方式读取单元,用于分析加载到内存中的所述快捷方式文件的语义信息,并从中读取单元读取出所述目标Windows来宾虚拟机上对应打开的文件记录。
与现有技术相比,本发明通过使用虚拟化技术分析快捷方式文件,在宿主机上完成目标Windows来宾虚拟机文件打开历史记录的查看操作,从而能够做到对目标Windows来宾虚拟机透明,操作过程目标虚拟机无感知,同时更不会消耗目标虚拟机的资源。因为是通过分析文件语义信息的方法来获取历史记录信息,而且不需要登录目标Windows来宾虚拟机,所以操作过程不受Windows用户权限限制。
附图说明
图1为本发明一种虚拟化环境下获取Windows虚拟机中历史记录的方法流程图;
图2为本发明方法运行示意图。
下面结合附图和具体实施方式对本发明作进一步的说明。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
本发明实施例1,如图1及图2所示,一种虚拟化环境下获取Windows虚拟机中历史记录的方法,具体包括如下步骤:
S1、根据虚拟机的标识符找到目标Windows来宾虚拟机,所述虚拟机标识符包括:虚拟机名和虚拟机ID;
S2、通过离线扫描所述目标Windows来宾虚拟机的Windows注册表,并读取系统版本信息来确定操作系统类型,如果不是Windows系统则结束,如果是则进入下一步;
S3、采用虚拟化技术读取目标Windows来宾虚拟机上存有文件打开记录的快捷方式文件,并将所述快捷方式文件加载到宿主机的内存,所述记录包括:文件路径,文件名和文件打开时间;
S4、所述宿主机还包括快捷方式读取单元,用于分析加载到内存中的所述快捷方式文件的语义信息,从中读取出所述目标Windows来宾虚拟机上对应打开的文件记录;
S5、重复所述步骤S3和S4,直到遍历完所有保存有所述文件打开历史记录的快捷方式文件。
本发明实施例2,如图1及图2所示,一种虚拟化环境下获取Windows虚拟机中历史记录的方法,具体包括如下步骤:
S1、根据虚拟机的标识符找到目标Windows来宾虚拟机;
S2、获取所述目标Windows来宾虚拟机操作系统类型,如果不是Windows系统则结束,如果是则进入下一步;
S3、采用虚拟化技术读取目标Windows来宾虚拟机上存有文件打开记录的快捷方式文件,并将所述快捷方式文件加载到宿主机的内存;
S4、在所述宿主机中分析加载到内存中的所述快捷方式文件的语义信息,从中读取出所述目标Windows来宾虚拟机上对应打开的文件记录;
S5、重复所述步骤S3和S4,直到遍历完所有保存有所述文件打开历史记录的快捷方式文件。
本发明实施例3,如图1及图2所示,一种虚拟化环境下获取Windows虚拟机中历史记录的方法,具体包括如下步骤:
S1、找到目标Windows来宾虚拟机;
S2、获取所述目标Windows来宾虚拟机操作系统类型,如果不是Windows系统则结束,如果是则进入下一步;
S3、采用虚拟化技术读取目标Windows来宾虚拟机上存有文件打开记录的快捷方式文件,并将所述快捷方式文件加载到宿主机的内存;
S4、在所述宿主机中分析加载到内存中的所述快捷方式文件的语义信息,从中读取出所述目标Windows来宾虚拟机上对应打开的文件记录,所述记录包括:文件路径,文件名和文件打开时间;
S5、重复所述步骤S3和S4,直到遍历完所有保存有所述文件打开历史记录的快捷方式文件。
本发明实施例4,如图1及图2所示,一种虚拟化环境下获取Windows虚拟机中历史记录的方法,具体包括如下步骤:
S1、找到目标Windows来宾虚拟机;
S2、通过离线扫描所述目标Windows来宾虚拟机的Windows注册表,并读取系统版本信息来确定操作系统类型,如果不是Windows系统则结束,如果是则进入下一步;
S3、采用虚拟化技术读取目标Windows来宾虚拟机上存有文件打开记录的快捷方式文件,并将所述快捷方式文件加载到宿主机的内存;
S4、在所述宿主机中分析加载到内存中的所述快捷方式文件的语义信息,从中读取出所述目标Windows来宾虚拟机上对应打开的文件记录;
S5、重复所述步骤S3和S4,直到遍历完所有保存有所述文件打开历史记录的快捷方式文件。
本发明实施例5,如图1及图2所示,一种虚拟化环境下获取Windows虚拟机中历史记录的方法,具体包括如下步骤:
S1、找到目标Windows来宾虚拟机;
S2、获取所述目标Windows来宾虚拟机操作系统类型,如果不是Windows系统则结束,如果是则进入下一步;
S3、采用虚拟化技术读取目标Windows来宾虚拟机上存有文件打开记录的快捷方式文件,并将所述快捷方式文件加载到宿主机的内存;
S4、在所述宿主机中分析加载到内存中的所述快捷方式文件的语义信息,从中读取出所述目标Windows来宾虚拟机上对应打开的文件记录;
S5、重复所述步骤S3和S4,直到遍历完所有保存有所述文件打开历史记录的快捷方式文件。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (6)
1.一种虚拟化环境下获取Windows虚拟机中历史记录的方法,其特征在于,具体包括如下步骤:
S1、找到目标Windows来宾虚拟机;
S2、获取所述目标Windows来宾虚拟机操作系统类型,如果不是Windows系统则结束,如果是则进入下一步;
S3、采用虚拟化技术读取目标Windows来宾虚拟机上存有文件打开记录的快捷方式文件,并将所述快捷方式文件加载到宿主机的内存;
S4、在所述宿主机中分析加载到内存中的所述快捷方式文件的语义信息,从中读取出所述目标Windows来宾虚拟机上对应打开的文件记录;
S5、重复所述步骤S3和S4,直到遍历完所有保存有所述文件打开历史记录的快捷方式文件。
2.如权利要求1所述的虚拟化环境下获取Windows虚拟机中历史记录的方法,其特征在于,所述步骤S1中具体根据虚拟机的标识符找到目标Windows来宾虚拟机。
3.如权利要求1所述的虚拟化环境下获取Windows虚拟机中历史记录的方法,其特征在于,所述虚拟机标识符包括:虚拟机名和虚拟机ID。
4.如权利要求1所述的虚拟化环境下获取Windows虚拟机中历史记录的方法,其特征在于,所述步骤S3中的记录包括:文件路径,文件名和文件打开时间。
5.如权利要求1所述的虚拟化环境下获取Windows虚拟机中历史记录的方法,其特征在于,所述获取所述目标Windows来宾虚拟机操作系统类型具体为:通过离线扫描所述目标Windows来宾虚拟机的Windows注册表,并读取系统版本信息来确定操作系统类型。
6.如权利要求1所述的虚拟化环境下获取Windows虚拟机中历史记录的方法,其特征在于,所述宿主机还包括快捷方式读取单元,用于分析加载到内存中的所述快捷方式文件的语义信息,并从中读取单元读取出所述目标Windows来宾虚拟机上对应打开的文件记录。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2016109299520 | 2016-10-31 | ||
| CN201610929952 | 2016-10-31 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108009000A true CN108009000A (zh) | 2018-05-08 |
Family
ID=62048537
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611026157.7A Pending CN108009000A (zh) | 2016-10-31 | 2016-11-14 | 一种虚拟化环境下获取Windows虚拟机中历史记录的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108009000A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113961086A (zh) * | 2021-12-21 | 2022-01-21 | 统信软件技术有限公司 | 一种快捷键实现方法、计算设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120110576A1 (en) * | 2010-11-02 | 2012-05-03 | Institute For Information Industry | Resource sharing system and method thereof |
| CN105868056A (zh) * | 2016-04-07 | 2016-08-17 | 北京北信源软件股份有限公司 | 获取Windows虚拟机中已删除文件的方法、装置及安全虚拟机 |
-
2016
- 2016-11-14 CN CN201611026157.7A patent/CN108009000A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120110576A1 (en) * | 2010-11-02 | 2012-05-03 | Institute For Information Industry | Resource sharing system and method thereof |
| CN105868056A (zh) * | 2016-04-07 | 2016-08-17 | 北京北信源软件股份有限公司 | 获取Windows虚拟机中已删除文件的方法、装置及安全虚拟机 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113961086A (zh) * | 2021-12-21 | 2022-01-21 | 统信软件技术有限公司 | 一种快捷键实现方法、计算设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3241140B1 (en) | Malware detection in migrated virtual machines | |
| US8683596B2 (en) | Detection of DOM-based cross-site scripting vulnerabilities | |
| US20170052772A1 (en) | Dependency-based container deployment | |
| CN107463427A (zh) | 一种虚拟机操作系统类型与版本的获取方法与装置 | |
| US9740551B2 (en) | Enhanced restart of a core dumping application | |
| US8499006B2 (en) | Data migration system and data migration method | |
| US9448910B2 (en) | Computer-implemented method, program, and tracer node for obtaining trace data relating to particular virtual machine | |
| US20120198443A1 (en) | Storage reclamation systems and methods | |
| US20170357533A1 (en) | Method and system for workload recommendations on information handling systems | |
| US11734430B2 (en) | Configuration of a memory controller for copy-on-write with a resource controller | |
| CN105678160A (zh) | 用于提供对引导驱动程序的原始例程的访问的系统和方法 | |
| US20150160955A1 (en) | Dynamically modifiable component model | |
| Saransig et al. | Performance analysis of monolithic and micro service architectures–containers technology | |
| US10713078B2 (en) | Accessing host services for virtual guest operating systems | |
| US10782994B2 (en) | Systems and methods for adaptive access of memory namespaces | |
| Seo et al. | A study on memory dump analysis based on digital forensic tools | |
| US10241816B2 (en) | Tag inheritance | |
| US20190114427A1 (en) | Systems and methods for concealed object store in a virtualized information handling system | |
| CN108009000A (zh) | 一种虚拟化环境下获取Windows虚拟机中历史记录的方法 | |
| CN105573671B (zh) | 一种获取虚拟机磁盘对应磁盘文件的方法 | |
| US9652260B2 (en) | Scriptable hierarchical emulation engine | |
| US9836241B1 (en) | Label based guest memory deduplication | |
| US11675584B1 (en) | Visualizing dependent relationships in computer program analysis trace elements | |
| US11922181B2 (en) | Configuration discovery of computer applications | |
| US11822676B2 (en) | Determination of a minimal set of privileges to execute a workflow in a virtualized computing environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180508 |
|
| WD01 | Invention patent application deemed withdrawn after publication |