专利名称:一种虚拟环境智能修复的计算机动态仿真方法
技术领域:
本发明涉及一种计算机动态仿真取证的方法,更具体地说,涉及一种虚拟环境智能修复的计算机动态仿真方法。
背景技术:
根据计算机取证状态的不同,一般将计算机取证分为动态的在线取证和静态的事后取证。传统的静态取证方式立足于对计算机相关存储设备中的电子数据的离线解读和分析。需要电子数据的既定写存和较好的数据存储环境。如果数据未能写入相关存储设备或取证条件不理想的情况下,静态取证的效果将大打折扣。譬如,对运行中的计算机信息系统先实施关机操作再进行事后的静态取证就会造成取证目标主机中一些重要的即时数据的丢失。即时数据大多是明文数据,其中可能含有各种密文的解密口令、各类程序的操作运行记录、虚拟内存的写入记录、网络即时通讯数据记录等信息,这些信息最终并不会被写入计算机系统的存储设备中,其会随着系统的运行终结而自行消失。在很多时候,获得这些即时数据可以使取证事半功倍,因而其重要性也越来越受到司法机关的重视.但获得这些数据需要取证的在线进行和动态的研判分析与收集保全,采用静态事后取证无法满足即时数据获取的需要。此外,静态取证获取的数据是计算机系统运行的各类结果数据.对于各类电子数据如何形成、获取的各类电子数据间有何关联、用户事前进行了何种操作、数据变化的原因等问题若采用事后静态取证的方法,从结果数据中很难推定这些数据产生、改变、灭失的原因。再有,静态取证难以重现电子数据先在运行环境,面对海量的电子数据,静态取证的准确度、取证的效率受到很大影响。为满足取证动态分析的实际需要、弥补静态事后取证之不足。随着计算机仿真技术、磁盘重新定向技术、ShadoW等计算机技术的研究应用,计算机动态仿真取证应用的技术条件已经具备。计算机动态仿真目前广泛应用于各种司法取证当中,运用动态仿真可以重现仿真目标的原来状态,司法人员可以在模拟重现的环境中进行操作,展开高速有效的取证工作。然而,在一些情况(如虚拟环境组件或其系统信息数据库内容不正确等),虚拟环境往往会创建失败,无法模拟重现原来的状态,直接导致仿真失败。如中国发明专利申请200910194667. 9提供了一种计算机虚拟化取证的实现方法,通过在取证专用计算机系统中以虚拟化的方式启动,获得了被取证计算机系统启动后一样的操作界面和环境,不会改写存储设备的原始数据,确保取证过程中不会对被取证存储设备上的文件进行修改,在虚拟化的环境中进行取证操作时,看到的不再仅仅是计算机存储介质上的文件和数据,还可以看到操作系统运行环境和用户环境,操作起来也更加方便,实现本发明的目的。但上述发明申请公开的技术方案无法解决由于虚拟环境组件或其系统信息数据库内容不正确造成的虚拟环境创建失败,无法模拟重现原来的状态,直接导致仿真失败的问题。当计算机动态仿真通常在遇到虚拟环境创建失败后就无法进行下一步操作,或者仅有一些十分有限的措施,现有技术还未有有效的途径用于解决上述问题。
发明内容
本发明的目的在于克服现有技术的不足,提供一种能够克服由于虚拟环境组件或其系统信息数据库内容不正确造成的虚拟环境创建失败,无法模拟重现原来的状态,直接导致仿真失败的问题,实现虚拟环境智能修复的计算机动态仿真方法。本发明所述的方法不但能够从根本上使存在的问题得到有效解决,产生显而易见的实际效果,同时在支持的范围内要求横跨众多操作系统。其支持的对象包括但不限于Windows2000, Windows XP (x86, x64), Windows 2003 (x86, x64), Windows Vista (x86,x64), Windows 2008 (x86, x64), Windows 7 (x86, x64), Windows 8 (x86, x64),各版本Linux,基于X86架构的Macintosh, Unix操作系统。本发明的技术方案如下一种虚拟环境智能修复的计算机动态仿真方法,包括步骤I)定义虚拟环境组件、虚拟环境组件的系统信息数据库内容;2)从正常工作的虚拟机内扫描搜索虚拟环境组件、虚拟环境组件的系统信息数据库内容,如果符合定义条件,则记录,否则忽略;3)根据欲仿真对象的操作系统类型、版本、CPU指令集种类创建并填充仿真虚拟文件,仿真虚拟文件包含仿真所需的虚拟环境组件、虚拟环境组件的系统信息数据库内容;4)通过虚拟重构技术,把存在于欲仿真对象的虚拟存在的目标重构为虚拟容器;5)根据步骤I)中虚拟环境组件、虚拟环境组件的系统信息数据库内容进行虚拟,结合步骤3)传入的操作系统类型、版本、CPU指令集种类,使用在步骤2)记录的虚拟环境组件、虚拟环境组件的系统信息数据库内容,对欲仿真对象的各虚拟环境组件、虚拟环境组件的系统信息数据库内容进行逐一修改或替换;6)通过虚拟析构技术,把欲仿真对象的虚拟存在的虚拟容器从本地操作系统上删除;7)再次对欲仿真对象进行仿真,创建虚拟环境,即为完成修复的虚拟环境。作为优选,步骤I)所述的虚拟环境组件包括数据传输、系统运行通道、系统运行通道附加、数据容器运行方式;虚拟环境组件的系统信息数据库内容包括组件设备表、设备数据表、全局表、所属类型表。作为优选,步骤5)中,根据虚拟环境组件、虚拟环境组件的系统信息数据库内容的类型,选择针对具体类型的虚拟方式。作为优选,步骤2)所述的定义条件为虚拟环境组件、虚拟环境组件的系统信息数据库内容的类型标识。作为优选,步骤5)中,对于操作系统默认限制修改的内容,先提升操作权限或更改内容的保护属性,再进行修改或替换。作为优选,步骤2)记录的虚拟环境组件、虚拟环境组件的系统信息数据库内容允许与实际的计算机操作系统的组件、系统信息数据库不同或不完全相同。作为优选,步骤4)所述的虚拟容器为物理上在本地操作系统的有效数据区。作为优选,步骤3)所述的仿真虚拟文件还包含数据容器描述,虚拟内存,虚拟USB,虚拟网络,虚拟图形控制,虚拟声音控制,虚拟软驱,虚拟光驱,串行/并行。本发明的有益效果如下本发明可自动高效解决动态仿真Windows操作系统、Linux操作系统、基于X86架构的Macintosh、Unix操作系统等因虚拟环境创建失败导致无法进行重现系统原来的状态的情况,为司法人员的工作顺利进行及高效率提供了保证。本发明在领域内填补了相关空白,提供的方法不仅能够大幅提高司法取证人员的工作效率,提升取证工作能力,还可以降低他们的工作复杂度、节省取证成本,同时为计算机动态仿真电子取证及其它司法程序顺利进行扫清前进障碍,必然拥有广阔的应用及市场前景。
图1是本发明的流程示意图。
具体实施例方式以下结合附图及实施例对本发明进行进一步的详细说明。一种虚拟环境智能修复的计算机动态仿真方法,包括步骤I)定义虚拟环境组件、虚拟环境组件的系统信息数据库内容;2)从正常工作的虚拟机内扫描搜索虚拟环境组件、虚拟环境组件的系统信息数据库内容,如果符合定义条件,则记录,否则忽略;3)根据欲仿真对象的操作系统类型、版本、CPU指令集种类创建并填充仿真虚拟文件,仿真虚拟文件包含仿真所需的虚拟环境组件、虚拟环境组件的系统信息数据库内容;4)通过虚拟重构技术,把存在于欲仿真对象的虚拟存在的目标重构为虚拟容器;5)根据步骤I)中虚拟环境组件、虚拟环境组件的系统信息数据库内容进行虚拟,结合步骤3)传入的操作系统类型、版本、CPU指令集种类,使用在步骤2)记录的虚拟环境组件、虚拟环境组件的系统信息数据库内容,对欲仿真对象的各虚拟环境组件、虚拟环境组件的系统信息数据库内容进行逐一修改或替换;6)通过虚拟析构技术,把欲仿真对象的虚拟存在的虚拟容器从本地操作系统上删除;7)再次对欲仿真对象进行仿真,创建虚拟环境,即为完成修复的虚拟环境。步骤I)所述的虚拟环境组件包括数据传输、系统运行通道、系统运行通道附加、数据容器运行方式;虚拟环境组件的系统信息数据库内容包括组件设备表、设备数据表、全局表、所属类型表。步骤2)所述的定义条件为虚拟环境组件、虚拟环境组件的系统信息数据库内容的类型标识。记录的虚拟环境组件、虚拟环境组件的系统信息数据库内容允许与实际的计算机操作系统的组件、系统信息数据库不同或不完全相同。步骤3)所述的仿真虚拟文件还包含数据容器描述,虚拟内存,虚拟USB,虚拟网络,虚拟图形控制,虚拟声音控制,虚拟软驱,虚拟光驱,串行/并行。步骤4)所述的虚拟容器为物理上在本地操作系统的有效数据区。虚拟重构技术可以利用现有技术的软件(如VMMount)把数据虚拟成一个分区(如虚拟成盘符为Z的分区)。
步骤5)中,根据虚拟环境组件、虚拟环境组件的系统信息数据库内容的类型,选择针对具体类型的虚拟方式。对于操作系统默认限制修改的内容,先提升操作权限或更改内容的保护属性,再进行修改或替换。步骤6)中的虚拟析构技术可以利用现有技术的软件(如VMMount)把虚拟容器删除(如把虚拟成盘符为Z的分区删除)。实施例如图1所示,本发明所述的方法步骤如下:1、定义虚拟环境组件:Cl= {cl, c2, c3,...cn};C2= {cl, c2, c3,...cn};C3= {cl, c2, c3,...cn};Cn= {cl, c2, c3,...cn};从正常工作的虚拟机内扫描搜索各虚拟环境组件,不在条件区间内的略过,落在条件区间内的把其相关内容、内容属性、系统信息等搜集保存至C1,C2,C3,…,Cn。这些虚拟环境组件内容可以和实际的计算机操作系统的组件不同。所述的虚拟环境组件包括:数据传输,系统运行通道,系统运行通道附加,数据容器运行方式。集合里的元素分别为各大组件的构成子件。所述的条件区间为每个虚拟组件的类型标识,落在条件区间内,即每个虚拟组件都有类型标识,若扫描搜索到各虚拟环境组件的类型标识与定义的虚拟组件的 类型标识相同,则保存其相关内容,内容属性,系统信息
坐寸ο2、定义虚拟环境组件的系统信息数据库内容:Dl= {dl, d2,d3,…dn};D2= {dl, d2, d3,…dn};D3= {dl, d2, d3,…dn};Dn= {dl, d2, d3,...dn};从正常工作的虚拟机内扫描搜索各虚拟环境组件的系统信息数据库内容,不在条件范围内的跳过,在条件范围内的把其相关信息、属性、系统关联等搜集保存至Dl,D2,D3,…,Dn。保存的这些系统信息数据库内容可以和实际的计算机操作系统的系统信息数据库不同,一般情况下其都为不同。所述的系统信息数据库内容包括:组件设备表,设备数据表,全局表,所属类型表。集合里的元素分别为各大数据库内容的构成子件。所述的条件范围为每个虚拟环境组件的系统信息数据库内容的类型标识,落在条件范围内,即每个虚拟环境组件的系统信息数据库内容都有类型标识,若扫描搜索到各虚拟环境组件的系统信息数据库内容的类型标识与定义的虚拟环境组件的系统信息数据库内容的类型标识相同,则保存其相关信息、属性、系统关联等。3、根据被仿真对象的操作系统类型、版本、CPU指令集种类创建并填充仿真虚拟文件,这些文件包含仿真所需的虚拟描述、虚拟系统信息、各种虚拟附加相关等。最重要的是,这些填充的文件内容里的仿真虚拟环境组件的虚拟方式,后续步骤顺利执行需要选择与这些填充的文件内容里的仿真虚拟环境组件的虚拟方式相同的虚拟方式类型。虚拟环境组件的虚拟方式有不同类别,若干虚拟环境组件类型还分为互相差异的几种不同虚拟方式类型,不同的设备可以有不同的虚拟方式,有的可以有一种以上,有的只能以某种特定的虚拟方式运行。经过实际实验表明,有些设备可以由不同的虚拟方式进行仿真,而有些特殊的设备只能以某种特定的虚拟方式才可以顺利仿真成功。具体采用何种虚拟方式类别与具体采用的设备有关,而且由具体的设备决定,本申请中不对其进行赘述,不影响本发明所述的方法的实现。所述的虚拟附加相关包括数据容器描述,虚拟内存,虚拟USB,虚拟网络,虚拟图形控制,虚拟声音控制,虚拟软驱,虚拟光驱,串行/并行等。填充的文件内容里的仿真虚拟环境组件的虚拟方式由选择的虚拟环境组件类型决定。4、通过虚拟重构技术,把存在于被仿真目标的虚拟存在的目标重构为一个虚拟容器。虚拟容器在物理上相当于本地操作系统的一个有效数据区,对其的任何操作就像操作本地的数据一样,系统的任何API对其都有效,包括文件创建、读写、删除等操作。但虚拟容器的重构、析构及读写却不会对本地或连接至本地的远程内容造成任何影响。5、根据步骤3的虚拟文件内虚拟环境组件的虚拟方式,结合传入的操作系统类型、版本、CPU指令集种类,使用在步骤I的Cl,C2,C3,-,Cn,自动定位被仿真对象的各虚拟环境组件,对其逐一修改或替换。需要注意的是,并不是所有虚拟环境组件可以修改或替换,有的若被改动会导致错误甚至仿真失败。因此,在对各虚拟环境组件进行操作时要先对其判断,如在内存中对其进行特定方式操作,然后才可以进一步操作,如在对各虚拟环境组件进行操作时要先对其判断,如果是只读的文件,则在内存中对该文件把只读属性去除,然后再进行写入、修改或替换。6、根据步骤3的虚拟文件描述的虚拟环境组件的虚拟方式,同时按照传入的操作系统类型、版本、C PU指令集种类,运用在步骤2的Dl,D2,D3,…,Dn,自动定位被仿真对象的各虚拟环境组件的系统信息数据库内容,逐一对其修改。修改的过程中,不仅对正常的内容进行操作,对于其它状态的内容也要辐射到。对于隐藏的文件内容或普通方式无法进行访问的内容采取特殊方式强制进行操作。所述的特殊方式如提升操作权限,然后再对该文件内容进行强制操作。所述的特殊方式强制进行的操作也同样适用于步骤5进行修改或替换不允许时的动作。7、通过虚拟析构技术,把被仿真目标的虚拟存在的虚拟容器从本地操作系统上安全删除,前面已经提到过,对虚拟容器的任何操作都不会对本地或连接至本地的其它内容造成任何影响。8、所有步骤都正确操作完毕后,再次对被仿真对象进行仿真,就可以成功创建虚拟环境,顺利进入虚拟系统进行相关取证操作。上述实施例仅是用来说明本发明,而并非用作对本发明的限定。只要是依据本发明的技术实质,对上述实施例进行变化、变型等都将落在本发明的权利要求的范围内。
权利要求
1.一种虚拟环境智能修复的计算机动态仿真方法,其特征在于,包括步骤: 1)定义虚拟环境组件、虚拟环境组件的系统信息数据库内容; 2)从正常工作的虚拟机内扫描搜索虚拟环境组件、虚拟环境组件的系统信息数据库内容,如果符合定义条件,则记录,否则忽略; 3)根据欲仿真对象的操作系统类型、版本、CPU指令集种类创建并填充仿真虚拟文件,仿真虚拟文件包含仿真所需的虚拟环境组件、虚拟环境组件的系统信息数据库内容; 4)通过虚拟重构技术,把存在于欲仿真对象的虚拟存在的目标重构为虚拟容器; 5)根据步骤I)中虚拟环境组件、虚拟环境组件的系统信息数据库内容进行虚拟,结合步骤3)传入的操作系统类型、版本、CPU指令集种类,使用在步骤2)记录的虚拟环境组件、虚拟环境组件的系统信息数据库内容,对欲仿真对象的各虚拟环境组件、虚拟环境组件的系统信息数据库内容进行逐一修改或替换; 6)通过虚拟析构技术,把欲仿真对象的虚拟存在的虚拟容器从本地操作系统上删除; 7)再次对欲仿真对象进行仿真,创建虚拟环境,即为完成修复的虚拟环境。
2.根据权利要求1所述的虚拟环境智能修复的计算机动态仿真方法,其特征在于,步骤I)所述的虚拟环境组件包括数据传输、系统运行通道、系统运行通道附加、数据容器运行方式;虚拟环境组件的系统信息数据库内容包括组件设备表、设备数据表、全局表、所属类型表。
3.根据权利要求2所述的虚拟环境智能修复的计算机动态仿真方法,其特征在于,步骤5)中,根据虚拟环境组件、虚拟环境组件的系统信息数据库内容的类型,选择针对具体类型的虚拟方式。
4.根据权利要求1所述的虚拟环境智能修复的计算机动态仿真方法,其特征在于,步骤2)所述的定义条件为虚拟环境组件、虚拟环境组件的系统信息数据库内容的类型标识。
5.根据权利要求1所述的虚拟环境智能修复的计算机动态仿真方法,其特征在于,步骤5)中,对于操作系统默认限制修改的内容,先提升操作权限或更改内容的保护属性,再进行修改或替换。
6.根据权利要求1所述的虚拟环境智能修复的计算机动态仿真方法,其特征在于,步骤2)记录的虚拟环境组件、虚拟环境组件的系统信息数据库内容允许与实际的计算机操作系统的组件、系统信息数据库不同或不完全相同。
7.根据权利要求1所述的虚拟环境智能修复的计算机动态仿真方法,其特征在于,步骤4)所述的虚拟容器为物理上在本地操作系统的有效数据区。
8.根据权利要求1所述的虚拟环境智能修复的计算机动态仿真方法,其特征在于,步骤3)所述的仿真虚拟文件还包含数据容器描述,虚拟内存,虚拟USB,虚拟网络,虚拟图形控制,虚拟声首控制,虚拟软驱,虚拟光驱,串彳了 /并7TT。
全文摘要
本发明涉及一种虚拟环境智能修复的计算机动态仿真方法,能够克服由于虚拟环境组件或其系统信息数据库内容不正确造成的虚拟环境创建失败,无法模拟重现原来的状态,直接导致仿真失败的问题,实现虚拟环境智能修复。本发明可自动高效解决动态仿真操作系统因虚拟环境创建失败导致无法进行重现系统原来的状态的情况,为司法人员的工作顺利进行及高效率提供了保证。本发明在领域内填补了相关空白,提供的方法不仅能够大幅提高司法取证人员的工作效率,提升取证工作能力,还可以降低他们的工作复杂度、节省取证成本,同时为计算机动态仿真电子取证及其它司法程序顺利进行扫清前进障碍,必然拥有广阔的应用及市场前景。
文档编号G06F17/50GK103077261SQ201210483138
公开日2013年5月1日 申请日期2012年11月23日 优先权日2012年11月23日
发明者叶伟, 黄志炜, 魏鹏 申请人:厦门美亚中敏电子科技有限公司