VMware Workstation虛擬機(jī)鏡像取證技術(shù)研究

藍(lán)朝祥 包琦 沈長達(dá) 吳少華

摘要：云存儲(chǔ)數(shù)據(jù)取證是電子數(shù)據(jù)取證領(lǐng)域的一個(gè)研究熱點(diǎn)，虛擬機(jī)鏡像文件是云存儲(chǔ)虛擬化的一種載體。文章以VMware虛擬機(jī)鏡像為研究對象，通過對鏡像文件分析和比較，深入了解虛擬機(jī)鏡像文件的結(jié)構(gòu)組成和數(shù)據(jù)管理方式，提出一種建立數(shù)據(jù)鏈表、利用遞歸和回溯，實(shí)現(xiàn)讀取虛擬機(jī)鏡像數(shù)據(jù)的方法，解決了虛擬機(jī)鏡像的讀取問題，對云存儲(chǔ)數(shù)據(jù)的提取和分析具有一定意義。

關(guān)鍵詞：VMware Workstation;虛擬機(jī)鏡像;電子取證

中圖分類號：TP915.08????????? 文獻(xiàn)標(biāo)識碼：B

1 引言

云計(jì)算[1，2]是當(dāng)下熱門技術(shù)之一，云存儲(chǔ)是云計(jì)算延伸出來的一個(gè)新概念。云計(jì)算系統(tǒng)的核心是大量數(shù)據(jù)的處理以及存儲(chǔ)和管理，所以云存儲(chǔ)是云計(jì)算的重要組成之一。而虛擬化技術(shù)[3]是云存儲(chǔ)的核心技術(shù)之一。虛擬化使用軟件來模擬硬件并創(chuàng)建虛擬計(jì)算機(jī)系統(tǒng)，其中VMware Workstation（簡稱工作站）是常用的虛擬化軟件之一。它可以同時(shí)創(chuàng)建和運(yùn)行多個(gè)虛擬機(jī)，每個(gè)虛擬機(jī)實(shí)例又能運(yùn)行Windows、Linux、BSD衍生版本，且互不干擾，計(jì)算機(jī)虛擬能力、性能與物理機(jī)隔離效果顯著，同時(shí)還具有實(shí)時(shí)快照、拖曳共享文件夾等功能。現(xiàn)實(shí)生活中，越來越多的數(shù)據(jù)及業(yè)務(wù)被轉(zhuǎn)移到虛擬計(jì)算機(jī)上，隨之帶來了云存儲(chǔ)數(shù)據(jù)取證[4，5]的問題。本文通過在VMware工作站 12.5專業(yè)版上新建虛擬機(jī)，創(chuàng)建虛擬磁盤鏡像，然后填充數(shù)據(jù)進(jìn)行比較相關(guān)鏡像文件前后的變化，來研究VMware工作站常見的幾種虛擬機(jī)鏡像的文件格式及其數(shù)據(jù)結(jié)構(gòu)，并結(jié)合相關(guān)資料提出對鏡像文件的讀取方法。

2 VMware Workstation虛擬機(jī)文件概述

通過VMware工作站軟件創(chuàng)建一個(gè)Windows的虛擬機(jī)后，在虛擬機(jī)的文件夾下可以看到如圖1所示，系統(tǒng)生成了一序列文件名為 [vmname].vmdk、[vmname].vmsd、[vmname].vmx、[vmname].vmxf以及[vmname]-s001.vmdk等文件。

其中[vmname].vmdk文件，即VMware Virtual Machine Disk 簡稱VMDK虛擬機(jī)鏡像文件[6]。它是虛擬機(jī)的核心文件，存儲(chǔ)了虛擬機(jī)硬盤驅(qū)動(dòng)器里的信息。根據(jù)空間分配方式及文件的功能[7，8]可以分為幾種類型。

2.1 VMDK單個(gè)鏡像類型

在創(chuàng)建虛擬機(jī)添加硬盤設(shè)置時(shí)，如圖2所示，VMDK新建時(shí)可以選擇生成單個(gè)文件，或者拆分成多個(gè)文件。若選擇將虛擬磁盤促成為單個(gè)文件，則生成單個(gè)VMDK鏡像文件，此時(shí)一個(gè)鏡像代表一個(gè)磁盤數(shù)據(jù)，隨著數(shù)據(jù)變化不會(huì)增加新的文件。

2.2 VMDK 分割鏡像類型

若在圖2設(shè)置時(shí)選擇將磁盤拆分成多個(gè)文件，則會(huì)生成如圖3虛擬機(jī)鏡像文件所示的多個(gè)VMDK文件。它由一個(gè)[vmname].vmdk 和多個(gè)[vmname]-s###.vmdk文件（S###為磁盤文件編號）組成一個(gè)存儲(chǔ)磁盤，其中[vmname].vmdk文件只包含磁盤分區(qū)信息，多個(gè)[vmname]-s###.vmdk文件存儲(chǔ)磁盤數(shù)據(jù)信息。隨著數(shù)據(jù)寫入某個(gè)虛擬磁盤文件該虛擬磁盤文件將變大，直到文件大小為2GB，然后新的數(shù)據(jù)將寫入到其他S###編號的磁盤文件中。此類型的優(yōu)點(diǎn)是可以更輕松地在計(jì)算機(jī)之間移動(dòng)虛擬機(jī)，但可能會(huì)降低大容量磁盤的性能。

如果創(chuàng)建虛擬機(jī)時(shí)選擇的是固定分配類型，則虛擬機(jī)鏡像文件會(huì)預(yù)先分配空間大小，在創(chuàng)建虛擬磁盤時(shí)已經(jīng)把所有的空間都分配了，那么這些文件將在初始時(shí)就具有最大尺寸并且不再變大了。

2.3 VMDK動(dòng)態(tài)分配類型

如果創(chuàng)建虛擬機(jī)時(shí)選擇的是動(dòng)態(tài)分配大小，則文件采用動(dòng)態(tài)變化方式，這些文件開始較小，隨著虛擬機(jī)里的數(shù)據(jù)變化而逐漸變大，直到虛擬機(jī)文件達(dá)到創(chuàng)建時(shí)設(shè)置的大小。此時(shí)有兩種情況：將虛擬磁盤存儲(chǔ)為單個(gè)文件和將虛擬磁盤拆分成多個(gè)文件。新建虛擬機(jī)時(shí)指定為每2GB單獨(dú)創(chuàng)建一個(gè)磁盤文件的話，虛擬磁盤總大小就決定了虛擬磁盤文件的數(shù)量。系統(tǒng)將創(chuàng)建一個(gè)[vmname].vmdk 和多個(gè)[vmname]-s###.vmdk文件（S###為磁盤文件編號），其中[vmname].vmdk文件只包含磁盤分區(qū)信息，多個(gè)[vmname]-s###.vmdk文件存儲(chǔ)磁盤數(shù)據(jù)信息。隨著數(shù)據(jù)寫入某個(gè)虛擬磁盤文件，該虛擬磁盤文件將變大，直到文件大小變?yōu)?GB，然后新的數(shù)據(jù)將寫入到其他S###編號的磁盤文件中。

2.4 VMDK快照卷類型

當(dāng)虛擬機(jī)創(chuàng)建一個(gè)或多個(gè)快照時(shí)，就會(huì)自動(dòng)創(chuàng)建[vmname]-[######].vmdk文件。通過對虛擬機(jī)填充數(shù)據(jù)、虛擬機(jī)鏡像文件變化及文件修改時(shí)間對比分析可知。該鏡像文件記錄了創(chuàng)建某個(gè)快照時(shí)，虛擬機(jī)所有的磁盤數(shù)據(jù)內(nèi)容，其中[######]為數(shù)字編號，根據(jù)快照數(shù)量自動(dòng)增加。分割鏡像創(chuàng)建快照時(shí)生成[vmname]-[######]-S[###].vmdk文件，其中[######]為數(shù)字編號，S[###]為分割鏡像數(shù)字編號，與原文件一一對應(yīng)。分割VMDK鏡像如圖4所示。

在虛擬機(jī)開啟過程中虛擬機(jī)軟件會(huì)對虛擬磁盤數(shù)據(jù)產(chǎn)生改動(dòng)。鑒于電子取證無損原則[9，10]，為了防止啟動(dòng)對設(shè)備、系統(tǒng)的操作而損毀某些電子數(shù)據(jù)，造成證件收集不充分，建議在對虛擬機(jī)的取證過程中，對虛擬機(jī)鏡像文件不宜直接使用虛擬機(jī)軟件啟動(dòng)取證。因此，如何正確地對虛擬機(jī)鏡像進(jìn)行取證成為了值得研究的問題。

3 當(dāng)前取證中遇到的問題

目前，已經(jīng)有不少的軟件可以支持對虛擬機(jī)VMDK鏡像文件的加載解析。但對于擁有多磁盤鏡像的虛擬機(jī)環(huán)境下，大多數(shù)的軟件加載時(shí)，只能成功加載虛擬機(jī)識別指定的那個(gè)文件，即若加載時(shí)選擇錯(cuò)了鏡像文件有可能會(huì)加載不起來。當(dāng)不知需要加載哪個(gè)鏡像文件進(jìn)行解析時(shí)，可以通過虛擬機(jī)磁盤設(shè)置查看對應(yīng)的虛擬機(jī)鏡像文件名字，如圖5所示。為了進(jìn)一步解決這個(gè)問題，根據(jù)分析虛擬機(jī)鏡像的相關(guān)結(jié)構(gòu)，使得軟件加載任意的一個(gè)文件都可成功加載該組磁盤鏡像。