虚拟机文件数据取证技术研究(二)

  • 来源:
  • 更新日期:2018-05-24

摘要:在VMDK文件取证我们可以当成对镜像文件的取证从上文我们知道VMDK文件记录了虚拟机的操作系统中所产生的全部数据如文件数据、系统痕迹(操作日志、开关机记录、注册表数据等)、应用程序痕迹(QQ、浏览器、邮件等)是虚拟机取证工作中的重要来源。

 在VMDK文件取证我们可以当成对镜像文件的取证从上文我们知道VMDK文件记录了虚拟机的操作系统中所产生的全部数据如文件数据、系统痕迹(操作日志、开关机记录、注册表数据等)、应用程序痕迹(QQ、浏览器、邮件等)是虚拟机取证工作中的重要来源。

静态取证
1058-151014223321147.jpg
静态取证的思路是采取直接解析文件、识别文件中的分区信息和数据文件。
在此思路方法下我们对文件的格式展开了深入研究分析底层存储逻辑结构最终获取磁盘文件中包含的用户数据。
在虚拟机取证过程中罪犯往往会采取修改文件扩展名的方式来逃避调查因此有效识别文件的真实类型是相当重要的。不同的虚拟机产品使用的数据文件不尽相同下面列举出目前主流的虚拟机产品、数据文件扩展名、数据文件标识的对应表以供参考。
DRS对上述类型的文件可以全部兼容能有效的识别各类虚拟机文件及其包含的分区和数据文件。
动态取证
动态取证是采用仿真系统直接启动VMDK的系统以第一人称方式直接获取系统数据。可以直接查看系统的聊天记录、文件信息、访问过的网站同时还可以获取易丢失的动态信息如进程、网络包、网卡MAC地址等该取证方式也已集成到一个系统中。