虚拟机文件数据取证技术研究(一)
什么是虚拟机:虚拟机(Virtual Machine)指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。虚拟机是近几年来比较热门的技术之一在’公检法取证’的过程中常常要对虚拟机内的数据进行取证那么虚拟机数据取证的热点技术有哪些呢?
创新互联公司长期为上千客户提供的网站建设服务,团队从业经验10年,关注不同地域、不同群体,并针对不同对象提供差异化的产品和服务;打造开放共赢平台,与合作伙伴共同营造健康的互联网生态环境。为高邑企业提供专业的做网站、成都网站建设,高邑网站改版等技术服务。拥有十载丰富建站经验和众多成功案例,为您定制开发。下面效率源科技的技术大咖来分享‘公检法取证’之虚拟机‘数据取证’思路!
在虚拟机里数据是以文件形式进行存储的对虚拟机内的数据取证其实就是对虚拟机文件进行取证。
*.vmx文件:虚拟机的配置文件
*.vmem文件:表示虚拟内存的文件
*.vmdk文件:表示虚拟机的虚拟磁盘文件
*.vmss文件:虚拟机在挂起状态时的信息文件
*.log文件:记录了VMware Workstation对虚拟机调试运行的情况
*.nvram文件:储存虚拟机BIOS状态信息
*.vmsn文件: 当虚拟机建立快照时,就会自动创建该文件
*.vmxf文件:虚拟机组中补充的配置文件
*.vmdk文件是非常重要的虚拟机文件该类文件记录虚拟机的操作系统中所产生的全部数据也是虚拟机取证工作中的重要来源;
*.vmem文件包含了操作系统的内核数据结构、进程、线程、堆中的数据以及用户的其他敏感信息,如用户输入的密码、聊天信息、网页浏览信息等;
*.log日志文件记录了用户在虚拟机中的许多操作比如文件创建、USB接入、虚拟机运行的情况、操作系统基本信息、用户行为时间等;
*.vmdk文件、*.vmem文件、*.log日志文件几乎包含了对虚拟机取证所需要的所有有价值的信息,因此下文我们将主要讲述针对这3类文件的躯具体取证方法。
当前名称:虚拟机文件数据取证技术研究(一)
文章起源:http://pwwzsj.com/article/cjdojp.html