Vmware 虛擬機器 稽核 安全 資安 鑑識

復原損毀VM映像檔 挑戰虛擬機器鑑識採證

邁入數位化時代,使用者若想在硬體資源有限情況下,滿足使用多種作業系統的需求,虛擬化技術是大部分使用者的選擇。但在電腦犯罪中,犯罪者也可能利用虛擬機器軟體建置多個虛擬主機進行非法活動,獲取不法利益。有鑑於此,在進行虛擬機器的鑑識工作前,除了基本的數位鑑識知識外,必須了解虛擬機器的架構,並知悉如何復原損壞的映像檔。
在科技進步的時代,硬體性能每隔一小段時間就提升許多,許多個人電腦及公司行號的主機都具有極佳的硬體配備。

對於企業而言,為了充分利用運作中主機或電腦的閒置資源,或者是減少硬體方面的花費,虛擬化技術是一個解決問題的好選擇,因為它可以用虛擬化技術模擬出另一台電腦,並在模擬出的電腦上建置作業系統,而運作方式又與實體系統沒有太大的差異。

因為前述的好處,虛擬機器已經被廣泛地使用。近期已出現利用虛擬機器進行犯罪的案例。虛擬機器的使用,讓犯罪者可以節省硬體方面的開銷,利用少數幾台主機就可達到模擬數十台主機的效果。

當犯罪行為完成後,數位跡證又可以快速地被銷毀,因此虛擬機器成為了犯罪者的犯罪工具。透過虛擬化技術的電腦犯罪行為,對於鑑識人員而言,與傳統電腦鑑識採證方法已有所差異。

就犯罪者向業者租用主機的情況下,鑑識人員除了不易追蹤犯罪者外,在採證方面亦須業者配合,造成取證的困難性。

另外,採用虛擬機器的犯罪,若是虛擬機器的相關資訊被刪除後,有可能造成鑑識人員忽略對虛擬機器進行查證的工作。而進行虛擬機器的鑑識工作需要了解虛擬機器的特性,例如面對損壞的映像檔,該如何獲取相關的犯罪跡證。

接下來,先介紹虛擬機器的相關背景,以及對於使用虛擬機器主機取證和復原損壞映像檔的方法。

虛擬機器如何運作

虛擬機器是虛擬化技術其中的一種工具,它可以在主機上或是終端伺服器與終端使用者之間透過虛擬化技術創造出一台虛擬的硬體機器,因為這個硬體並不是實際存在的,所以稱為虛擬機器。雖然稱為虛擬機器,但事實上虛擬機器中的資料是實際存在的。

簡而言之,可以將虛擬機器看成一種模擬器,利用主機既有硬體資源模擬出另一台主機的硬體規格,如同一台電腦。因此對於硬體效能較好的主機而言,可以模擬一個或多個的作業系統來進行作業,減少硬體成本。

目前使用虛擬機器大概有兩種目的,第一種是讓一部具備高效能硬體規格的主機負責多種任務。例如在一部主機上同時裝載多個作業系統,充分運用實體主機的所有資源。

第二種是同時使用多種不同的作業系統,目前市面上有Linux、Mac、Windows等作業系統。而作業系統又有各家的不同版本,對於使用者而言,若想切換多個作業系統,利用虛擬機器就不必重新啟動主機,直接做切換系統的動作。目前市面上有許多不同的虛擬機器軟體可以選用,例如VMware、Microsoft、Citrix等等。

如圖1所示,根據iThome 2011年調查的數據虛擬機器軟體的平台採用,以VMware市占率最高。而且VMware也是最早發展虛擬機器平台的公司,因此本文就以VMware為例進行虛擬機器的介紹。


▲圖1 虛擬化平台採用比例。

虛擬機器採行的架構

在了解虛擬化技術之前,有兩個名詞必須先了解,就是Host OS以及Guest OS,所謂的Host OS,就是安裝虛擬機器時運行虛擬機器軟體的作業系統,而Guest OS則是在虛擬機器軟體上安裝的作業系統。

例如,在原本的Windows XP系統下安裝了虛擬機器軟體,並且在虛擬機器軟體內安裝Linux作業系統,此時Windows XP即為Host OS,Linux則是Guest OS。但目前的虛擬化技術並不是所有的虛擬機器都必須具備Host OS。

因此,虛擬機器的虛擬化技術主要分為下述兩種:

1.寄宿架構

所謂的寄宿架構(Hosted Architecture)也稱為初期架構,使用虛擬化技術模擬虛擬的硬體和軟體,並將模擬出的軟、硬體架構於Host OS之上,形成一個在作業系統中存在另一個作業系統的架構。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!