基于虚拟化技术的在线取证系统
本文关键词:基于虚拟化技术的在线取证系统 出处:《上海交通大学》2014年硕士论文 论文类型:学位论文
【摘要】:随着计算机科学与技术的飞速发展,无形之中也滋生了惊人规模的计算机犯罪活动,这些计算机犯罪活动每年都会给全世界带来巨大的经济损失。电子证据的获取是侦破计算机犯罪活动的关键,所以近年来计算机取证领域已经成为科研工作者们重点关注的热门领域。如何安全而有效地进行计算机取证工作,是目前该领域亟需解决的问题之一。 计算机取证的方式主要分为静态取证和在线取证两种方式。其中静态取证侧重于存储在持久化硬件设备中的电子证据,获取电子证据之前需要停止被取证计算机系统的运行。而在线取证则突破了静态取证的这一限制,并且把电子证据的采集范围扩大到了系统动态信息。但是在线取证依然面临着取证工具自身的安全性受到威胁和某些情况下需要中断被取证计算机系统运行的问题。 本论文提出了基于硬件辅助虚拟化技术的VAIL在线取证系统,主要创新点有:1)提出了一种静默安装虚拟机监视器的方法,取证系统载入过程中并不会影响到被取证计算机系统的正常运行。2)使用半穿透驱动技术让整个虚拟机监视器的体积尽可能地小,降低了虚拟机监视器本身出现安全漏洞的概率。3)取证内容覆盖了整个计算机系统的各项活动,包括CPU取证、内存取证和I/O取证。 其中CPU取证是利用Intel VT-x技术在发生虚拟机退出事件时把处理器相关寄存器的值都保存在VMCS结构体中,内存取证则是通过EPT页异常处理函数实现,I/O取证又细分为编程式端口访问、内存映射和直接内存访问三种方式分别取证。 最后本文通过一系列的实验证明,VAIL系统确实能够安全有效地针对被取证计算机系统的各项活动进行在线取证工作。性能测试方面的代价和原裸机环境相比非常小,在CPU密集型程序的测试当中平均性能损耗为4.21%,网络带宽速率测试中的带宽损失为0.29%~1.52%,,真实网络应用的吞吐量降低为0.22%。
[Abstract]:With the rapid development of computer science and technology, there is also an astonishing scale of computer crime. These computer criminal activities will bring huge economic losses to the world every year. The acquisition of electronic evidence is the key to detect computer criminal activities. So in recent years, the field of computer forensics has become a hot area that researchers focus on. How to carry out computer forensics safely and effectively is one of the problems that need to be solved in this field. The methods of computer forensics are mainly divided into static forensics and online forensics, in which static forensics focuses on electronic evidence stored in persistent hardware devices. It is necessary to stop the computer system before obtaining electronic evidence, and online forensics breaks through this limitation of static forensics. But online forensics still faces the problem that the security of the forensics tool itself is threatened and in some cases the computer system needs to be interrupted. Title. This paper presents a VAIL online forensics system based on hardware aided virtualization technology. The main innovation is: 1) A method of silently installing virtual machine monitor is proposed. Forensics system loading process will not affect the normal operation of the forensics computer system. 2) the use of semi-penetrating drive technology to make the entire virtual machine monitor as small as possible. It reduces the probability of security holes in the virtual machine monitor itself. 3) Forensics covers all activities of the whole computer system, including CPU forensics, memory forensics and I / O forensics. CPU forensics is the use of Intel VT-x technology in the virtual machine exit event when the processor related registers are stored in the VMCS structure. Memory forensics is realized by EPT page exception handling function. It is subdivided into programming port access, memory mapping and direct memory access respectively. Finally, this paper through a series of experiments to prove. The VAIL system can safely and effectively conduct online forensics against the various activities of the forensic computer system. The cost of performance testing is very small compared with the original bare metal environment. The average performance loss in the CPU intensive program test was 4.21, and the bandwidth loss in the network bandwidth rate test was 0.29%. The throughput of real network applications is reduced to 0.22.
【学位授予单位】:上海交通大学
【学位级别】:硕士
【学位授予年份】:2014
【分类号】:D918;TP391.9
【共引文献】
相关期刊论文 前10条
1 葛敬国;贺鹏;杨建华;张建华;;通用平台虚拟路由器转发性能测试与改进[J];电子科技大学学报;2014年01期
2 李文婵;彭志平;;基于强化学习的虚拟机资源自动配置[J];电子设计工程;2014年05期
3 杨启帆;吴亚洲;蒋建民;张仕;;云计算中服务虚拟的形式依赖分析[J];福建师范大学学报(自然科学版);2015年02期
4 张龙;;一种高效的虚拟机磁盘快照系统[J];电脑编程技巧与维护;2015年10期
5 吴一冰;;基于VMI的虚拟机攻击防护机制研究[J];互联网天地;2013年10期
6 孟凡超;张海洲;初佃辉;;基于蚁群优化算法的云计算资源负载均衡研究[J];华中科技大学学报(自然科学版);2013年S2期
7 李南;封卫兵;张武;彭俊杰;;一种基于SR-IOV扩展的VF分配模型[J];计算机应用与软件;2013年11期
8 张寓琛;张小芳;;x86服务器虚拟化平台性能测试[J];计算机与现代化;2014年02期
9 季雨辰;伏晓;石进;骆斌;赵志宏;;计算机入侵取证中的入侵事件重构技术研究[J];计算机工程;2014年01期
10 钱勤;董步云;唐哲;伏晓;茅兵;;面向Windows操作系统的内存取证技术研究[J];计算机工程;2014年08期
相关会议论文 前1条
1 周宇光;陈振义;盛中华;;探索云计算技术在企业信息化建设中的应用[A];第十六届中国科协年会——分7绿色设计与制造信息技术创新论坛论文集[C];2014年
相关博士学位论文 前10条
1 李健;云计算环境下最小化运营开销的调度技术研究[D];北京邮电大学;2013年
2 张帆;认知可重构的高效能Web服务体系结构研究[D];解放军信息工程大学;2013年
3 冯振乾;云计算数据中心的网络带宽隔离技术研究[D];国防科学技术大学;2012年
4 樊沛;虚拟计算环境中面向通信特征的应用部署优化技术研究[D];国防科学技术大学;2012年
5 王晓丽;云环境下节能优化模型及算法研究[D];西安电子科技大学;2014年
6 汤战勇;大型游戏软件虚拟执行保护与攻击评测研究[D];西北大学;2014年
7 曹志波;基于日志的任务建模及调度优化的研究[D];华南理工大学;2014年
8 刘晓东;虚拟计算环境下性能可预测编程模型及其支撑技术研究[D];上海大学;2014年
9 罗雅琴;视频监控分析云的高可用性研究[D];华中科技大学;2013年
10 罗立群;绿色桌面云的关键技术研究[D];南京大学;2012年
相关硕士学位论文 前10条
1 贾宝安;内存取证技术的研究及应用[D];电子科技大学;2013年
2 吴向阳;虚拟化中计算性能优化研究[D];兰州交通大学;2013年
3 禹聪;一种基于特权分离和时间锁的虚拟机隔离机制研究[D];解放军信息工程大学;2013年
4 俞俊杰;基于虚拟化技术的区域卫生信息共享平台的研究[D];中国海洋大学;2013年
5 李宪英;面向BIRIS-Cloud的资源管理框架的研究与实现[D];哈尔滨工业大学;2013年
6 张海洲;基于利用率和负载均衡的云资源调度算法研究[D];哈尔滨工业大学;2013年
7 冯刚;面向云计算平台的虚拟机故障注入工具研究与设计[D];哈尔滨工业大学;2013年
8 李洋;云计算中可扩展的远程服务调用机制的设计与实现[D];哈尔滨工业大学;2012年
9 孔智鹏;虚拟云桌面云接入关键系统的设计与实现[D];中山大学;2013年
10 程容斌;数据中心虚拟机带宽控制技术研究[D];国防科学技术大学;2012年
本文编号:1376657
本文链接:https://www.wllwen.com/falvlunwen/fanzuizhian/1376657.html
