丁丽萍-基于虚拟机的取证技术-无锡讲述

1、 基于虚拟机的取证技术基于虚拟机的取证技术 中国科学院软件研究所中国科学院软件研究所 丁丽萍丁丽萍 “石中剑石中剑”峰会峰会, 2009年年11月月5日日-7日，中国无锡日，中国无锡 提纲提纲 v虚拟机概述 v虚拟机的架构 v虚拟机面临的安全威胁 v虚拟机的安全保护措施 v虚拟机与计算机取证 虚拟机概述虚拟机概述 v虚拟机（VM，Virtual,Machine）即为由虚 拟机软件模拟出来的计算机,或称为逻辑上 的计算机。用专业术语讲，虚拟机是支持多 操作系统并行运行在单个物理服务器上的一 种系统,因此，虚拟机是一套计算机软件， 其基本功能是在一个操作系统里面模拟安装 了另一个操作系统的计算机。

2、 v习惯上称被模拟的操作系统为客户系统 (Guest OS)，运行虚拟机软件的操作系统 为宿主系统(Host OS)。 一个运行虚拟机的界面一个运行虚拟机的界面 Host OS Guest OS 虚拟机的优点和不足虚拟机的优点和不足 v从虚拟机的概念可以看出，虚拟机的优势在于为 企业节约了大量用于购买服务器硬件的资金； v由于采用了隔离的方式，提升了系统的安全性， 降低了能耗和对于物理空间的占用。 v其不足在于系统的性能略有下降。 在国外企业中，虚拟化技术已经非常成熟，国内企 业，如金融电力等也已经逐渐开始部署。而这些部门往 往是计算机犯罪的高发领域，所以，了解虚拟机的构造 及其取证技术对于及

3、时侦破针对虚拟机的计算机犯罪具 有十分重要的意义。 虚拟机的优点和不足虚拟机的优点和不足 从个人用户来说，主要有以下优点： v ）保护宿主机安全，虚拟系统遇灾难可快速恢复。利用虚 拟机可以较好的隔离宿主机系统和虚拟系统数据资源。即使 虚拟系统中招瘫痪后，也可以在数秒内恢复虚拟系统。 v ）模拟各种网络实验环境。利用虚拟机软件可以模拟复杂 的网络环境，可以让用户在单机上实现多机协同作业，以及 进行网络协议分析等。 v ）其他功能，例如屏幕捕捉、历史重现等。 虚拟的的应用虚拟的的应用 v用于一些特定软件的测试. v灾难恢复 v教育培训 v计算机取证 v 虚拟机的架构虚拟机的架构 特例特例XenXe

4、n的体系结构的体系结构 Dom0 Dom0 管理控制工具管理控制工具 提纲提纲 v虚拟机概述 v虚拟机的架构 v虚拟的安全威胁 v虚拟机的安全保护 v虚拟机与计算机取证 虚拟机的安全威胁虚拟机的安全威胁 v1、间接威胁（Indirect Threats） 我们这里所说的间接威胁是指那些能够引起其 他所述威胁的因素。 例如，一个早期的虚拟化迁移和一个特定的管理工具将可能导致例如，一个早期的虚拟化迁移和一个特定的管理工具将可能导致 不可预测的事件和对安全策略的破坏。不可预测的事件和对安全策略的破坏。 目前，很多单位追逐虚拟化的时髦而对于潜在的安全风险没有正目前，很多单位追逐虚拟化的时髦而对于潜在的

5、安全风险没有正 确的了解或虽有了解但不能精确计算。一个虚拟机数据中心不能假定确的了解或虽有了解但不能精确计算。一个虚拟机数据中心不能假定 虚拟机可以自然而然地增加安全性。安全策略必须应用于虚拟机可以自然而然地增加安全性。安全策略必须应用于GuestOS, HoGuestOS, Ho stOSstOS和和HypervisorHypervisor自身。这将会增加隐藏的成本而不会降低操作成本自身。这将会增加隐藏的成本而不会降低操作成本 。只有虚拟机数据中心进行了很好的设计和安全配置，其成本才会降。只有虚拟机数据中心进行了很好的设计和安全配置，其成本才会降 低，安全性同时增强。而且，有关的虚拟机管理工

6、具必须被仔细配置低，安全性同时增强。而且，有关的虚拟机管理工具必须被仔细配置 和使用。和使用。 2 2、信息泄露、信息泄露(Information Leaking)(Information Leaking) v 半虚拟化导致的隔离的弱化会引起信息泄露 在虚拟化领域中，“半虚拟化”用于运行在Hypervis or之上的GuestOS。由于这种客户弱化了虚拟化的安全目 标之一强隔离，从而导致了一个新的安全威胁。 v 隔离也可能会由于允许各个虚拟机之间的通信或者为了 提高性能而被弱化。这些都可以导致通过隐蔽通道的信 息泄露。 因此，需要对于宿主机和虚拟机之间以及虚拟机之间的通信进 行安全管理以避免信

7、息泄露。例如，IBM的 sHype就是一个提供强隔 离和通信的hyperviso安全策略模型,该模型也依赖于TPM以保证完整 性。然而，在hypervisor中增加复杂的安全控制机制会导致更多的 安全系统设计，这是当今微内核思想不允许的。 3 3、违反完整性、违反完整性(Integrity Violation)(Integrity Violation) v除了机密性之外，很多系统需要保证系统的数据 或应用不被故意或非故意地修改，即保证其完整 性。监测这种修改和确保虚拟镜像的完整性是困 难的。一个虚拟磁盘镜像可以迅速被拷贝、修改 和替换。因此，恶意软件可以在不被合法用户发 觉的情况下向磁盘镜像中

8、注入代码。即使磁盘镜 像作了加密处理，入侵者也可以通过随意修改一 个镜像成功地进行拒绝服务攻击。 4 4、非授权访问、非授权访问(Unauthorized Access)(Unauthorized Access) v 虚拟化技术的一个值得称道的特性就是可以生成快照并退回到前一个系统虚拟化技术的一个值得称道的特性就是可以生成快照并退回到前一个系统 状态。这就允许用户在配置错误、系统崩溃或者数据丢失的情况下，返回状态。这就允许用户在配置错误、系统崩溃或者数据丢失的情况下，返回 到前一个系统状态。到前一个系统状态。 v 快照包括快照包括CPUCPU状态和内存的内容状态和内存的内容是前一个系统状态的精

9、确拷贝。这个镜是前一个系统状态的精确拷贝。这个镜 像可能包括安全信息，例如，登陆状态（像可能包括安全信息，例如，登陆状态（login statelogin state）、服务凭据（）、服务凭据（serser ver ticketsver tickets）和认证（）和认证（ credentials. credentials.）。这就带来了一个对于限制资源）。这就带来了一个对于限制资源 的非授权访问的威胁。快照可以被泄露，从而给入侵者一个分析这个镜像的非授权访问的威胁。快照可以被泄露，从而给入侵者一个分析这个镜像 并准备进一步入侵的可能。并准备进一步入侵的可能。 v 一个包含安全信息的虚拟机镜像可

10、以被偷走、运行和带来来自异地的安全一个包含安全信息的虚拟机镜像可以被偷走、运行和带来来自异地的安全 威胁。这就潜在地破坏了安全策略。另外，由于快照把操作系统转化成了威胁。这就潜在地破坏了安全策略。另外，由于快照把操作系统转化成了 一种一种“预测机预测机”，随机性在安全应用中变得毫无价值。不安全的镜像会伪，随机性在安全应用中变得毫无价值。不安全的镜像会伪 造一个人或公司的标识，导致严重的问题，如欺诈。造一个人或公司的标识，导致严重的问题，如欺诈。 v 另一个非授权访问的威胁来自于“虚拟应用”。这是指 包含操作系统、中间件和应用系统的虚拟应用，例如Web 应用、Email应用、数据库应用等。虚拟应

11、用提供了容易 部署和易于尝试新应用的能力。然而，这样的应用可能 包含安全脆弱性，例如，缺省的配置和口令，这就给入 侵者以访问系统资源的权限。更为糟糕的情形是新安装 的应用程序可能就包含恶意代码。 4 4、非授权访问、非授权访问(Unauthorized Access)(Unauthorized Access) 5 5、拒绝服务攻击、拒绝服务攻击(Denial of Service)(Denial of Service) v虚拟机镜像会带来拒绝服务（Denial of Service ，DoS）攻击威胁。同样，Dos入侵自身可以导致一 些其他的威胁。这些威胁来自于对于分配资源的虚 拟化能力和在h

12、osts之间进行热迁移的能力。这些 能力对于系统管理和获取一个IT基础设施是有益的 ，但也增加了新的系统复杂性。一个恶意主体通过 对于一个目标虚拟机执行拒绝服务攻击可以强迫一 个运行中的虚拟机迁移到一台脆弱的宿主机上。 其它其它 v很难防止针对虚拟机的的缓冲区溢出攻击 提纲提纲 v虚拟机概述 v虚拟机的架构 v虚拟的安全威胁 v虚拟机的安全保护 v虚拟机与计算机取证 XSM ( Xen Security Modules )XSM ( Xen Security Modules ) 是Xen的一个概括性的安全框架（A generalized se curity framework for Xen）

13、 允许用户定制安全模块（Allows custom security functionality in modules） 生成Xen的安全接口（Creates general security i nterfaces for Xen） 从Xen中移除安全模型的特定代码（Removes securi ty model specific code from Xen） 基于基于 SELinuxSELinux 美国国家安全局（美国国家安全局（ NSANSA ）开发）开发 XSMXSM框架接口的目标框架接口的目标 v能够支持已知的安全模型（Capable of supporting known secu

14、rity models） v对于Xen的影响最小（Minimize impact on Xen） v对于Xen来说是可配置的（Configure enable/disab le for Xen） 现有的现有的XenXen安全模型安全模型 vDummy (XSM default)： vHyper-V（Microsoft） vACM/sHype (IBM) Mandatory Access ControlMandatory Access Control Virtual Trusted Platform Module (vTPM)Virtual Trusted Platform Module (vT

15、PM) v Flask (NSA) vvShield Zones (VMware) vXenon ( Naval Research Laboratory) 微软的微软的Hyper-VHyper-V 在在 Hyper-V中，不再有宿主机和虚拟机之分，微软带来的新概念是：父分区和子分区，中，不再有宿主机和虚拟机之分，微软带来的新概念是：父分区和子分区， 通过在硬件底层安装通过在硬件底层安装Hypervisor，然后就在虚拟机上划分多个分区，父分区和子分区虽然，然后就在虚拟机上划分多个分区，父分区和子分区虽然 看起来可以对应之前的宿主机和虚拟机，但是其地位已经基本平等，他们的内核都是运行看起来可以对

16、应之前的宿主机和虚拟机，但是其地位已经基本平等，他们的内核都是运行 在在Ring0上，应用程序则运行在上，应用程序则运行在Ring3 用户模式上，与用户模式上，与VS最大的不同是，虚拟机的内核不最大的不同是，虚拟机的内核不 再运行在再运行在Ring1之中，之中，Hypervisor大致是运行在大致是运行在CPU上的一个层上，微软的命名叫上的一个层上，微软的命名叫Ring-1 Hyper-V底层的底层的Hypervisor代码量很小，不带有第三方驱动，仅仅是负责两件事情而代码量很小，不带有第三方驱动，仅仅是负责两件事情而 且还是纯粹的微软的代码（微软自己声称不包含任何的且还是纯粹的微软的代码（微

17、软自己声称不包含任何的bug），安全性能够得到大大提），安全性能够得到大大提 升升只做最核心的，不做那些可能会出问题的只做最核心的，不做那些可能会出问题的 微软的微软的Hyper-VHyper-V vHyper-V只做内存管理和CPU调度，其他的设备则通过关键的VMbus管理, 这是一种穿越机制，通过VMbus 进入Ring0进行转接，从而构建了一个微软Hyper-V的三层架构:调度CPU管理内存的Hypervisor层、存储/ 网络堆栈和驱动运行的Ring0层以及Ring3层之中的虚拟设备/管理用API/虚拟机. vVMbus是其中的一个安全性的核心，他负责了那些可能会出现问题的命令和代码的

18、执行基于VMbus的 高速内存总线架构是其安全性实现超越的主要贡献者，每台虚拟机之间隔离的VMbus调用保证了每个分区， 每个虚拟机之间完全的隔离开（或许我们可以说是“类物理机”？） v子分区目前仍然要通过父分区来访问硬件资源，当子分区内的操作系统需要访问硬件的时候，由子分区 内的 VSC(Virtualization Service Client)通过VMbus将request发给父分区里面的VSP(Virtualization Service Provider)，然后由VSP去提供实际的硬件服务。通过这种方式来使用硬件，相对于使用硬件模 拟的方法，其访问性能有了大幅度的提高。 IBMIBM

19、的的sHype sHype 这部分已经放在这部分已经放在 一个单独的域中一个单独的域中 sHypesHype的架构的架构 IBMIBM的的PEV(PEV(protection, enforcement, and verification) )架构架构 v 5）为了实现系统架构的可扩展性和弹性，日志数据用一个树形结构存储， 而不是一个巨大的文件。每一个树结点是一个元组，包含一个系统组件的ID、 组件类型、注册日志向量. 为了保证这颗树的规模不至于过大，只有那些对 系统完整性有影响的或者那些对于完整性验证有帮助的点才包含在日志树中。 v 可扩展性表现在日志树结点的增加和减少。例如，虚拟机中一个新的

20、 虚拟设备的增加可以通过增加日志树中与该虚拟设备有关的子树中结点的方 法实现。 (id, type, log) (id1, type1, log1)(id2, type2, log2) (id11, type11, log11) (id111, type111, log111) (id21, type21, log21)(id2n, type2n, log2n) IBMIBM的的PEV(PEV(protection, enforcement, and verification) )架构架构 v ）建立模型：一个用户或者验证机的完整性需求可以用(p(T )来 建模,这里 是一个谓词，p()是一个

21、函数. 函数p()是用来为系统的 某一方面的完整性建立模型的。例如，一个证明机或许仅仅对于一个 磁盘的访问控制列表感兴趣，而对于具体访问内容不感兴趣。当应用 在日志树上时，函数会返回一个树结点的子集和每一个结点的日志向 量元素的子集。 p(T ) = lk, 这里lk logk, and (idk, typek, logk) T . (p(T )可以用来验证系统的这一部分的安全性。 v 参考文献：Bernhard Bernhard JansenJansen等：等：Policy Enforcement and Complianc e Proofs for XenVirtual Machines

22、PEVPEV在在XenXen中的实现中的实现 VMware 的的vShield ZonesvShield Zones安全服务安全服务 2009年2月份， VMwareVMware推出了面向云计算的所谓云操 作系统的安全层用于集成内部和外部云环境、增强管理 功能的API。向其VDC-OS平台中增加了vShield Zones安全 服务，让企业用户可以在他们自己的数据中心内创建所谓 的“内部”云环境。利用VMware vShield Zones，客户可 以在虚拟数据中心创建跨越所有共享物理资源的逻辑区， 每个逻辑区均代表不同的安全级别。这将确保在共享的计 算资源池中高效运行应用时，业务依然能够遵从

23、企业在数 据隐私方面的安全政策与法规。 Xenon Xenon 的安全策略的安全策略 vXenon Xenon 是基于开源是基于开源hypervisor hypervisor 的一个高保证虚的一个高保证虚 拟机监控器（拟机监控器（high-assurance virtual machine high-assurance virtual machine monitor monitor ） v其安全策略模型是一个有条件的无干扰策略模型其安全策略模型是一个有条件的无干扰策略模型 v用一个基于事件的范式描述了信息流的隔离和共用一个基于事件的范式描述了信息流的隔离和共 享享 v实现了模型和实现了模型和

24、Xenon Xenon 接口的一致性接口的一致性. . XenonXenon的基本信息流控制策略的基本信息流控制策略MSL （ m ultiple single levels ）信息流策略 v信息隔离策略信息隔离策略 禁止域间的任何信息流禁止域间的任何信息流 v信息共享策略信息共享策略 对上述策略做了修改，当两个域中的一个是作为所有对上述策略做了修改，当两个域中的一个是作为所有 安全域的最小上确界的边界控制域时，允许信息流动安全域的最小上确界的边界控制域时，允许信息流动 所有其他的信息流是禁止的。所有其他的信息流是禁止的。 事件和接口定义事件和接口定义 隔离策略事件： 共享请求事件： 共享策略

25、事件： XenonXenon的安全策略形式化模型的安全策略形式化模型 如果 S 表示虚拟机和它guest os组成的CSP进程，H 是 High CSP events的集合, 而 L 是Low CSP events的集合, 则隔离策略表示为： XenonXenon的安全策略形式化模型的安全策略形式化模型 v 工具：CSP（07） Circus = Z + CSPCircus = Z + CSP（0808） v 优点：优点： 牺牲了牺牲了HypervisorHypervisor的一些功能，例如动态增减域的一些功能，例如动态增减域 模型对于从事安全形式化工作的人和程序员均具有可读性模型对于从事安全

26、形式化工作的人和程序员均具有可读性 形式化方法有明确的文档和工具支持形式化方法有明确的文档和工具支持 基于事件的模型用于捕获信息流安全策略的重要方面基于事件的模型用于捕获信息流安全策略的重要方面 对于隔离的对于隔离的HypervisorHypervisor的丰富的执行状态建模的丰富的执行状态建模 提炼基于事件和基于状态的性质提炼基于事件和基于状态的性质 对于隔离执行环境的处理特性的表达对于隔离执行环境的处理特性的表达 软件工具支持软件工具支持 EAL6EAL6 XenonXenon的安全策略形式化模型的安全策略形式化模型 v Hypervisor初始化：hypervisor的状态初始化为一个当

27、前域。这的状态初始化为一个当前域。这 个当前域有一个标识，空的个当前域有一个标识，空的channels和自己的内存空间。和自己的内存空间。 XenonXenon的安全策略形式化模型的安全策略形式化模型 vHypervisor的状态表示 XenonXenon的安全策略形式化模型的安全策略形式化模型 状态的改变是由事件引起状态的改变是由事件引起 的的domainID的改变引起的的改变引起的 关于减小关于减小TCBTCB v 为了评价系统的安全性，必须标识为了评价系统的安全性，必须标识TCB:TCB:一个基于一个基于XenXen的系统的系统 的的TCBTCB包括包括VMM,DOM0.VMM,DOM0

28、. v 可以把虚拟机的构建功能从可以把虚拟机的构建功能从dom0dom0中分离出来，放在一个可信中分离出来，放在一个可信 虚拟机中运行。虚拟机中运行。 v 分解实现的目标：分解实现的目标： 减小一个基于减小一个基于XenXen的系统的的系统的TCBTCB的范围以增强其安全性。从的范围以增强其安全性。从 TCBTCB中移除了中移除了Dom0Dom0的用户空间，从而取消了物理平台管理的用户空间，从而取消了物理平台管理 员的可信要求。员的可信要求。 另一个更重要的目标是为了表明如果另一个更重要的目标是为了表明如果TCBTCB是安全的，则一是安全的，则一 个在分解了的系统中运行的虚拟机保留了同样的机密

29、性和个在分解了的系统中运行的虚拟机保留了同样的机密性和 完整性完整性. . v 参考文献：剑桥大学参考文献：剑桥大学Derek G. MurrayDerek G. Murray等，等，Improving Xen Security through Di saggregation，VEE08, March 57, 2008, Seattle, Washington, USA 目前的目前的TCBTCB内容内容 vTCB包括 Xen dom0 kernel domain builder process xend and Python interpreter and priviledge command

30、 driver v可以看出，可以看出， 运行在运行在XenXen上的客户虚拟机的上的客户虚拟机的TCBTCB很很 大并且是动态的，这就增加了这样一个系统的安大并且是动态的，这就增加了这样一个系统的安 全性问题并阻碍了其在一个系统管理员不可信的全性问题并阻碍了其在一个系统管理员不可信的 系统中系统中xenxen的可信虚拟化应用。的可信虚拟化应用。 三种三种TCBTCB的范围的范围 分解后分解后TCBTCB中代码的变化中代码的变化 提纲提纲 v虚拟机概述 v虚拟机的架构 v虚拟的安全威胁 v虚拟机的安全保护 v虚拟机与计算机取证 虚拟机与计算机取证虚拟机与计算机取证 v虚拟机作为证据虚拟机作为证据

31、The Virtual Machine as Your The Virtual Machine as Your EvidenceEvidence v虚拟机作为取证工具虚拟机作为取证工具The Virtual Machine as The Virtual Machine as Your Forensic ToolYour Forensic Tool v虚拟机作为取证操作系统虚拟机作为取证操作系统The Virtual Machine The Virtual Machine as Your Forensic OSas Your Forensic OS v虚拟机作为反取证工具虚拟机作为反取证工具Th

32、e Virtual Machine The Virtual Machine Used as “Anti-Forensics” Used as “Anti-Forensics” v操作实例操作实例 Case StudyCase Study 虚拟机作为证据虚拟机作为证据 The Virtual Machine as Your EvidenceThe Virtual Machine as Your Evidence v虚拟机追踪虚拟机追踪 Traces of a Virtual MachineTraces of a Virtual Machine v采集和恢复被删除的或加密的虚拟机采集和恢复被删除的

33、或加密的虚拟机 Collection Collection and Recovery of Deleted or Encrypted Virtual and Recovery of Deleted or Encrypted Virtual MachinesMachines v虚拟机的镜像和克隆虚拟机的镜像和克隆 Imaging and Cloning of VImaging and Cloning of V irtual Machinesirtual Machines v检查虚拟机检查虚拟机 Examination of Virtual MachinesExamination of Virtu

34、al Machines 虚拟机追踪虚拟机追踪 Traces of a Virtual MachineTraces of a Virtual Machine 如果虚拟机本身是证据，则虚拟机必须被找到。 大多数情况下，虚拟机的发现很简单，在“我的虚拟机” 这样一个类似的文件夹中就可以找到。 如果在嫌疑机中没有发现，则虚拟机有可能存在于移动 硬盘、U盘等外存中，或者被删除了需要恢复。 v追踪方法 通过搜索典型的虚拟机磁盘文件，发现虚拟机。 可以通过卸载的虚拟机应用程序遗留的痕迹，比如.dll文件、注册 表信息等来发现虚拟机。 通过virtual adapters来发现曾经安装过的虚拟机 发现安装在外

35、部设备上的虚拟机 采集采集& &恢复被删除和加密的虚拟机恢复被删除和加密的虚拟机 Collection and Recovery of Deleted or Encrypted Virtual MachinesCollection and Recovery of Deleted or Encrypted Virtual Machines v虚拟机由于含有的文件多，在删除时不通过回收 站而直接删除。删除的虚拟机可以像恢复其它文 件一样通过各种方法恢复。 v虚拟机可以进行几个层次的加密。比如，可以通 过磁盘加密、操作系统加密，也可以通过第三方 应用进行加密。加密的虚拟机的解密也同样可以 使用各种文

36、件、系统和磁盘的解密方法。 虚拟机的镜像和克隆虚拟机的镜像和克隆 Imaging and Cloning of Virtual MachinesImaging and Cloning of Virtual Machines v磁盘克隆可能会获取众多的虚拟机 v拷贝虚拟机文件必须同时拷贝相关的启动文件， 否则会使获取的证据因无法启动而变成无用的信 息，可能的话就获取整个宿主机（host） v不同的虚拟机文件不同 vFTK ImagerFTK Imager 虚拟机的检查虚拟机的检查 Examination of Virtual MachinesExamination of Virtual Mach

37、ines v虚拟机镜像或克隆文件的检查与传统的电子证据检查 类似，所不同的是要检查虚拟机和宿主机之间的关联 文件。因为这些文件中可能包含了重要的证据信息。 虚拟机作为取证的工具虚拟机作为取证的工具 The Virtual Machine as Your Forensic ToolThe Virtual Machine as Your Forensic Tool v存储：可以利用虚拟机来存储获取的虚拟机镜像 v检查：利用虚拟机来运行获取的虚拟机镜像以获取证据 v在线取证：利用虚拟机监控整个虚拟系统获取实时证据 v利用回放重构事件 虚拟机作为取证操作系统虚拟机作为取证操作系统 The Virtua

38、l Machine as Your Forensic OSThe Virtual Machine as Your Forensic OS v取证分析时，我们需要一个干净的操作系统，虚 拟机可以充当这个用于取证分析的操作系统。 虚拟机作为反取证工具虚拟机作为反取证工具 The Virtual Machine Used as “Anti-ForensicsThe Virtual Machine Used as “Anti-Forensics” v虚拟机可以存放在移动存储设备中，从而可以直 接从这些设备中运行或者在其他机器上启动，从 而，可以作为反取证手段，使得调查人员无从获 取有关的虚拟机。 操作

39、实例操作实例-VFC(Virtual Forens-VFC(Virtual Forens ics Computing)ics Computing) vVFC是英国MD5公司推出的一个虚拟取证工具，可以利 用VMware Player加载物理硬盘，也可以配合Smart M ount或Mount Image Pro，首先将镜像文件加载为虚 拟的硬盘，然后再利用VFC和VMplayer进行虚拟启动 。这个工具使用非常简单，效果也不错。 操作实例操作实例-VFC(Virtual Forens-VFC(Virtual Forens ics Computing)ics Computing) v1、使用VF

40、C，首先需要安装VMware DiskMount和 VMware Player。 操作实例操作实例-VFC(Virtual Forensics Computing)-VFC(Virtual Forensics Computing) v 启动VFC后，插入软件锁，即可看到软件正式版 的界面。调用物理磁盘，可以选择Physical/Mounted Disk。Mounted Disk就是被Mount Image Pro或Smart Mount加载的证据文件镜像。 操作实例操作实例-VFC(Virtual Forensics Computing)-VFC(Virtual Forensics Compu

41、ting) v3、可以看到当前系统中可以发现的物理磁盘， 选择所需要的磁盘即可。 v4、选择的物理磁盘内包含有多个分区，选择需 要利用VMware加载的可引导分区 操作实例操作实例-VFC(Virtual Forensics Computing)-VFC(Virtual Forensics Computing) v5、选择Generate Virtual Machine，利用VFC创 建一个虚拟机文件。 操作实例操作实例-VFC(Virtual Forensics Computing)-VFC(Virtual Forensics Computing) v6、虚拟机创建成功后，Launch Vi

42、rtual Machin e按钮变为可用，选择Launch Virtual Machine 。 操作实例操作实例-VFC(Virtual Forensics Computing)-VFC(Virtual Forensics Computing) 操作实例操作实例-VFC(Virtual Forensics Computing)-VFC(Virtual Forensics Computing) v7、VmWare Player启动，加载vfc所创建的证据 文件/物理磁盘虚拟机，可看到系统状态。 操作实例操作实例-VFC(Virtual Forensics Computing)-VFC(Virtu

43、al Forensics Computing) 基于虚拟机的取证技术基于虚拟机的取证技术 Xuxian Jiang, Xinyuan Wang等人在文章“Stealthy Malware Detection Through VMM-Based“Out-of-the-Box” Semantic View Reconstruction”提 出一个在Domain0中增加一个模块用于监控取证 虚拟环境下的取证分析虚拟环境下的取证分析 vDerek Bem,Ema Huebner. University of West Sydney,Australia. “Computer Fore nsics in a Virtual Enviroment”.