tatic Values、Drive Info和User Specified这三部分组成。
[0049]其中Static Values通常包含以下内容:
[0050]#Static Values[0051 ]config.vers1n
[0052]virtualHW.vers1n
[0053]f1ppy0.present[0054 ]displayName
[0055]Drive Info通常包含以下内容:
[0056]#Drive Info
[0057]ideO:0.present
[0058]ideO:0.fiIeName
[0059]ideO: 0.deviceType = disk
[0060]ideO: 0.mode = persistent[0061 ]idel:0.present = TRUE
[0062]idel:0.fiIeName = auto detect
[0063]idel: 0.deviceType = cdrom-raw
[0064]User Specified通常包含以下内容
[0065]#User Specified
[0066]memsize
[0067]rtc.starttime
[0068]tools.SyncTime=FALSE
[0069]time.syncronized.continue =FALSE
[0070]time.syncronized.restore =FALSE[0071 ]time.syncronized.resume.disk=FALSE
[0072]time.syncronized.resume.memory
[0073]time.syncronized.shrink=FALSE
[0074]guestOS
[0075]snapshot.disabled
[0076]在程序中可以针对这些不同的参数含义配置不同的参数值,以便在待仿真的物理磁盘或者磁盘镜像中设置相应的虚拟机参数。VMWare虚拟操作环境下的vmx文件生成后,下一步即可以生成可以由VMWare Workstat1n或者VMWare Player该类虚拟机工具启动运行的vmdk虚拟磁盘文件Dvmdk虚拟磁盘文件通常由Disk Descriptor File和Disk Data Base两部分组成。
[0077]其中Disk Descriptor File通常包含以下内容:
[0078]#Disk Descriptor File
[0079]vers1n = l
[0080]CID = fffffffe
[0081 ]parentCID = ffffffff
[0082]createType=mono IithicFlat
[0083]如果当挂载的是物理磁盘时,createType的类型为fullDevice。
[0084]其中Disk Data Base通常包含以下内容:
[0085]〃#DDB_Disk Data Base
[0086]ddb.adapterType = ide
[0087 ] ddb.geometry.sectors=mbr.BootablePartit1n.EndSector
[0088]ddb.geometry.heads=mbr.BootablePartit1n.EndHead
[0089]ddb.geometry.cylinders=mbr.1argestCylinderValOnDisk()
[0090]ddb.virtualHWVers1n = 3
[0091]根据挂载的虚拟磁盘的mbr文件生成了包含上述配置属性的虚拟机启动配置文件.vmx文件,在最后的生成阶段,可以选择只生成vmx文件,通过手动启动vmx文件来达到虚拟仿真物理磁盘或者磁盘镜像的功能。也可以直接调用操作系统注册表查询接口自动获取到VMware Workstat1n在系统中安装的位置、路径等其他配置,然后直接调用WMI接口启动已生成好的vmx虚拟机文件,以达到对物理磁盘或者磁盘镜像仿真取证的目的。
[0092]最后根据输入的系统仿真参数,通常包括仿真操作系统类型、仿真系统启动时间、仿真系统内存大小和选择是从物理磁盘或者磁盘镜像中启动仿真系统等参数生成对应该的vmdk文件,根据原始物理磁盘或者磁盘镜像中的mbr文件中指定的二进制字段会生成对应的仿真操作系统注册表文件,根据对应的注册表文件和vmdk文件从VMffare Workstat1n中启动虚拟操作环境下的仿真系统,以达到对待取证物理磁盘或者磁盘镜像的系统仿真取证。
[0093]采用了该发明中的操作系统虚拟仿真取证的方法,使用物理磁盘或者磁盘镜像,通过在VMware以只读方式仿真启动操作系统,在仿真操作系统中可以查看物理磁盘或者磁盘镜像原始操作系统中的内容,以达到不用损坏物理磁盘或者磁盘镜像来取证的目的,操作简单,应用范围广泛。
[0094]在此说明书中,本发明已参照其特定的实施例作了描述。但是,很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此,说明书和附图应被认为是说明性的而非限制性的。
【主权项】
1.一种操作系统虚拟仿真取证的方法,其特征在于,所述的方法包括以下步骤: (1)将虚拟操作环境下虚拟机中待虚拟仿真取证的磁盘文件格式挂载到服务主机上; (2)在虚拟机关机的状态下获取虚拟机的静态信息。2.根据权利要求1所述的操作系统虚拟仿真取证的方法,其特征在于,所述的步骤(I)具体包括以下步骤: (1.1)挂载待虚拟仿真取证的物理磁盘或磁盘镜像; (1.2)获取虚拟机的工作始点; (1.3)创建虚拟机vmx配置文件。3.根据权利要求2所述的操作系统虚拟仿真取证的方法,其特征在于,所述的步骤(1.1)具体为: 挂载待虚拟仿真取证的支持以USB接口加载的物理磁盘或挂载待虚拟仿真取证的支持以文件形式加载的磁盘镜像。4.根据权利要求2所述的操作系统虚拟仿真取证的方法,其特征在于,所述的步骤(1.2)具体包括以下步骤: (1.2.1)判断所述的物理磁盘或者所述的磁盘镜像是否为只读模式; (1.2.2)如果所述的物理磁盘或者所述的磁盘镜像为只读模式,则判断所述的虚拟机是否存在快照; (1.2.3)如果所述的虚拟机存在快照,则根据从上次离开的地方继续工作,然后继续步骤(1.3); (1.2.4)如果所述的虚拟机先前未被启动,则继续步骤(1.3); (1.2.5)如果所述的物理磁盘或者所述的磁盘镜像不为只读模式,则继续步骤(2)。5.根据权利要求2所述的操作系统虚拟仿真取证的方法,其特征在于,所述的步骤(2)具体包括以下步骤: (2.1)判断所述的虚拟机中是否存在mbr文件; (2.2)如果所述的虚拟机中存在mbr文件,则读取所述的mbr文件后,启动虚拟机; (2.3)如果所述的虚拟机中不存在mbr文件,则采用预先定制的mbr文件修复启动主扇区,然后继续步骤(1.2)。6.根据权利要求5所述的操作系统虚拟仿真取证的方法,其特征在于,所述的步骤(2.1)具体包括以下步骤: (2.1.1)判断所述的虚拟机中是否存在vmware工具集; (2.1.2)如果所述的虚拟机中存在vmware工具集,则判断所述的虚拟机是否存在操作密码; (2.1.3)如果所述的虚拟机存在操作密码,则所述的虚拟机中是否存在mbr文件; (2.1.4)如果所述的虚拟机中存在mbr文件,则返回所述的虚拟机中存在mbr文件的结果; (2.1.5)如果所述的虚拟机中不存在mbr文件,则返回所述的虚拟机中不存在mbr文件的结果; (2.1.6)如果所述的虚拟机不存在操作密码,则更改注册表破解所述的虚拟机的密码,然后继续步骤(2.1.8);(2.1.7)如果所述的虚拟机中不存在vmware工具集,则继续步骤(2.1.8);(2.1.8)读取所述的mbr文件后,启动虚拟机。
【专利摘要】本发明涉及一种操作系统虚拟仿真取证的方法,所述的方法包括以下步骤:将虚拟操作环境下虚拟机中待虚拟仿真取证的磁盘文件格式挂载到服务主机上;在虚拟机关机的状态下获取虚拟机的静态信息;待虚拟仿真取证的磁盘文件格式包括物理磁盘或磁盘镜像;物理磁盘为其支持以USB接口的形式加载物理磁盘;磁盘镜像是为支持以文件的形式加载磁盘镜像。采用该种结构的操作系统虚拟仿真取证的方法,使用物理磁盘或者磁盘镜像,通过在VMware以只读方式仿真启动操作系统,在仿真操作系统中可以查看物理磁盘或者磁盘镜像原始操作系统中的内容,以达到不用损坏物理磁盘或者磁盘镜像来取证的目的,操作简单,应用范围广泛。
【IPC分类】G06F9/455
【公开号】CN105653352
【申请号】
【发明人】吴松洋, 张旭, 刘欣, 杨涛, 刘善军, 王旭鹏, 杜琳, 张勇
【申请人】公安部第三研究所
【公开日】2016年6月8日
【申请日】2015年12月31日