丁丽萍-基于虚拟机的取证技术-无锡分解.ppt

虚拟环境下的取证分析 Derek Bem,Ema Huebner. University of West Sydney,Australia. “Computer Forensics in a Virtual Enviroment”. International Journal of Digital Evidence Fall 2007, Volume 6, Issue 2 基于虚拟机回放技术的计算机取证 　 简单地说，虚拟机回放几乎允许记录在点击录制与点击结束之间的发生在虚拟机中的任何事件。这是一个执行记录。可以在任何需要的时候回放记录的内容.更重要的是记录是在指令层面上的，所以，保存了完整的内存和系统状态。这个过程保存了guestOS发出的所有指令。这些指令包括所有的I/O指令、用户点击和任何其他类型的异步调用。 因此，回放虚拟机的这些记录的指令就可以进行gestOS中的事件重构。 影子系统 影子系统并非虚拟系统，因为它执行在使用中的系统上，只是原系统的影子！意思是说，原系统中安装了任何软件，作了任何配置，一切都在影子系统中保存。而且用户可以随时调用影子系统，影子系统便马上进入状态，用户不须重新安装系统，亦不须等待执行时间。 影子系统的最大特点是，用户由原系统进入影子系统，再退出影子系统返回原系统的整个过程，所做的数据储存，上网的记录，软件的安装等等所有的