摘要:静态取证和动态取证各有自己的特点在真实的取证环境中建议采用动静结合的取证方法,采取双份镜像备份的思路、一份进行静态分析取证、一份进行动态加载取证动静结合方能提取出更多的信息。
静态取证和动态取证各有自己的特点在真实的取证环境中建议采用动静结合的取证方法,采取双份镜像备份的思路、一份进行静态分析取证、一份进行动态加载取证动静结合方能提取出更多的信息。
VMEM文件取证
VMEM 文件是VMware Workstation 虚拟机默认在运行中和暂停状态时产生的附属文件。其大小与虚拟机配置文件(.vmx) 中设定的虚拟物理内存大小相同其内容为与虚拟机客户操作系统所管理的内存数据。
通过简单的实验可以发现当虚拟机启动时就生成了一个VMEM 的临时文件。而当用户使用虚拟机的“暂停”功能时在虚拟机保存的路径下会生成一个与虚拟机名相同后缀名为“.vmem”的正常文件。虚拟机暂停所需保存的所有虚拟机客户操作系统的内存相关数据都保存到了该文件中且以一种虚拟机可以理解的结构和方式组织数据的保存(即按照虚拟机的“物理内存”顺序保存)VMEM 的这项功能在虚拟机的默认情况下是启用的。
对虚拟机内存文件进行取证可获得有价值的信息包括:操作系统的内核数据结构、进程、线程、堆中的数据以及用户的其他敏感信息如用户输入的密码、聊天信息、网页浏览信息等。
LOG文件取证
用户在虚拟机中的许多操作都记录在LOG文件中比如文件创建、USB接入、虚拟机运行的情况、操作系统基本信息、用户行为时间等。
日志文件为Plain text格式可通过日志文件的语义解析进行对日志文件中涉及到的操作进行分类筛选按照时间线进行对用户的行为进行分析取证。
在虚拟机进行取证时一定要注意:为了保证证据的原始性取证过程中遇到虚机文件不允许直接使用虚拟机软件加载。
相关文章推荐
虚拟主机的专业参数,分别都是什么意思?2022-09-09
中非域名注册规则是怎样的?注册域名有什么用处? 2022-01-10
HostEase新年活动促销 美国/香港主机全场低至五折2021-12-28
HostGator下载完整备份教程分享2021-12-28
Flink中有界数据与无界数据的示例分析2021-12-28