Vis:基于硬件虚拟化的本地系统活体取证工具

发布时间：2017-10-29 01:05

  本文关键词：Vis:基于硬件虚拟化的本地系统活体取证工具

  更多相关文章： 活体取证 精确取证 虚拟机 本地系统

【摘要】：活体取证技术正在成为现代数字取证技术中的一个重要部分。它在获取计算机犯罪证据,尤其是获取那些只存在于内存中的证据中起到了至关重要的作用,然而当前已有项目和研究工作或者不能准确获取指定时间点上的本地系统内存内容,抑或对本地系统的执行环境造成极大破坏。 我们使用了虚拟化技术来解决这个问题。近几年, CPU厂商对虚拟化技术提供了越来越多的硬件支持,为虚拟化技术的发展奠定了坚实的基础。这主要体现在硬件虚拟化技术上,硬件虚拟化技术将过去软件虚拟化技术过程中所必需的额外内存翻译过程和I/O转交过程在硬件上重新实现。通过硬件完成的额外地址翻译过程大大提升了虚拟机的运行速度。这就减少了管理员在设备上的开销与维护成本;同时硬件上支持的虚拟机之间的隔离性使得多个子系统可以并行独立而不互相干涉,也保证了各个子系统运行的稳定性、可靠性、安全性。此外,由于硬件虚拟化过程无需虚拟机操作系统的任何感知,因此一个普通的商用操作系统,如Windows XP或者Linux,可以同时运行在该芯片上,从而可以提供一个友好的人机界面。 我们提出了Vis,一个轻量级的虚拟化方法来提供精确获取本地系统内存内容,同时又能够保持本地系统的继续运行。Vis采用了两项关键技术:后启动虚拟化(Late-Virtualization)和虚拟快照技术(Virtual-Snapshot)。其中Late-Virtualization用于构建特殊的虚拟化环境。在这个环境中,正在执行的本地系统会在操作系统启动完成后被包装入单一的虚拟机中,同时对原先执行环境不产生显著影响。而Virtual-Snapshot则用于在不暂停该虚拟机的情况下准确获取虚拟机中的内存内容。 我们使用了一系列实验来验证Vis在获取准确本地系统内存内容上的有效性。此外,经测试,Vis能够在97.09～105.86秒内完成整个运行时获取内存内容的任务,这证明Vis可被用于实际的活体取证任务当中。相比之下,其它活体取证工具为了确保本地系统内存内容获取完整性而会采用远程获取的方式,这通常需要数小时甚至数天来完成一个取证过程。平均情况下,Vis对目标系统只带来了9.62%的性能开销,说明Vis系统能够提供有效提升活体取证工作的准确度同时又不带来重大的性能影响。
【关键词】：活体取证 精确取证 虚拟机 本地系统
【学位授予单位】：上海交通大学
【学位级别】：硕士
【学位授予年份】：2011
【分类号】：TP391.9;D918.2
【目录】：

• 摘要3-5
• ABSTRACT5-9
• 第一章 绪论9-18
• 1.1 研究背景与意义9-12
• 1.2 研究目标12-14
• 1.3 国内外研究现状14-16
• 1.4 本课题的研究内容16
• 1.5 本文的组织结构16-18
• 第二章 虚拟化技术架构与技术介绍18-30
• 2.1 硬件虚拟化技术18-19
• 2.2 硬件虚拟化技术应用模型19-20
• 2.3 已有硬件虚拟化技术平台介绍20-23
• 2.3.1 SVM 技术概述20-21
• 2.3.2 SVM 地址翻译机制21-22
• 2.3.3 Intel-VTx 技术概述22-23
• 2.3.4 Intel-VTx 地址翻译机制23
• 2.4 虚拟机启动过程模型23-26
• 2.5 虚拟机卸载过程模型26-27
• 2.5.1 SVM 下关闭Hypervisor 和VM 过程26
• 2.5.2 Intel-VTx 下关闭Hypervisor 和VM 过程26-27
• 2.6 虚拟机#VMEXIT 事件处理模型27-28
• 2.6.1 SVM 下#VMEXIT 事件的处理27
• 2.6.2 Intel-VTx 下#VMEXIT 事件的处理27-28
• 2.7 Vis 设计目标和关键假设28-29
• 2.8 本章小结29-30
• 第三章 Vis 后启动虚拟机设计与实现30-39
• 3.1 后启动虚拟机技术（Late-Virtualization）的设计30-33
• 3.2 后启动虚拟机技术（Late-Virtualization）的实现33-37
• 3.2.1 Late-Virtualization 的启动33-35
• 3.2.2 Late-Virtualization 对系统事件的处理35-37
• 3.3 Late-Virtualization 的优化37-38
• 3.4 本章小结38-39
• 第四章 Vis 虚拟快照设计与实现39-49
• 4.1 Vis 虚拟快照技术（Virtual-Snapshot）的设计39-42
• 4.2 Vis 虚拟快照技术（Virtual-Snapshot）的实现42-45
• 4.2.1 EPT 页表的构建42-45
• 4.3 Vis 虚拟快照技术（Virtual-Snapshot）的优化45-48
• 4.3.1 同步写（Synchronized Write）和异步写（Asynchronized Write) 比较46-47
• 4.3.2 Vis 虚拟快照技术其它性能优化47-48
• 4.4 本章小结48-49
• 第五章 实验与分析49-56
• 5.1 实验测试环境设计与搭建49
• 5.1.1 硬件/软件环境49
• 5.2 实验方案与结果分析49-55
• 5.2.1 有效性分析49-50
• 5.2.2 Vis 总体性能分析50-53
• 5.2.3 Vis 对已有系统/程序的性能影响53-55
• 5.3 本章小结55-56
• 第六章 总结56-57
• 参考文献57-60
• 致谢60-61
• 攻读硕士期间已发表或录用的论文61-63

【相似文献】

中国期刊全文数据库 前10条

1 ;至强7400带来x86服务器虚拟化最佳实践[J];IT经理世界;2008年18期

2 庞有为;;数据中心虚拟化[J];通信世界;2008年40期

3 COLE;;随“虚”应变[J];信息方略;2009年09期

4 Cindy;;以“虚”助实[J];信息方略;2009年12期

5 ;IOMEGA推出虚拟化新技术 电脑可“装”进硬盘[J];电力信息化;2010年01期

6 黄琛,金海,吴松,韩宗芬;基于PKI的广域存储虚拟化系统的安全设计和实现[J];计算机工程与科学;2005年02期

7 彭玉龙;;HP动成长企业和适应性IT基础设施[J];金卡工程;2005年12期

8 宋传杰;;金融IT的虚拟化趋势[J];中国金融电脑;2006年07期

9 韩志国;;2006存储大会：IBM的存储整和及虚拟化[J];中国传媒科技;2006年05期

10 汤韬;;Open Source[J];程序员;2006年05期

中国重要会议论文全文数据库 前10条

1 肖钧;黄亮;;虚拟化搭配去重,双剑合璧更给力[A];2011年CAD/CAM学术交流会议论文集[C];2011年

2 杨元利;;基于职业能力培养的物流课程虚拟化教学结构化分析[A];Proceedings of 2010 National Vocational Education of Communications and Information Technology Conference (2010 NVCIC)[C];2010年

3 赵民飞;;绿色数据中心的虚拟化架构方案[A];煤矿自动化与信息化——第20届全国煤矿自动化与信息化学术会议暨第2届中国煤矿信息化与自动化高层论坛论文集[C];2010年

4 王剑锋;;“虚拟”丰“云”——虚拟化和云计算技术浅析[A];中国新闻技术工作者联合会五届一次理事会暨学术年会论文集（上篇）[C];2009年

5 刘孟全;;服务器虚拟化相关问题分析[A];广西计算机学会2009年年会论文集[C];2009年

6 王瑛;陈美玲;黄海燕;王铁流;;基于LabVIEW的实验室程控电源虚拟化及VISA接口控制的实现[A];全国第二届信号处理与应用学术会议专刊[C];2008年

7 顾炳仪;;阐述电子档案在虚拟化环境下运行的理念、特征及其表现形式[A];中国档案学会第六次全国档案学术讨论会论文集[C];2002年

8 闻剑峰;龚德志;;上海电信服务器虚拟化应用策略研究[A];中国通信学会信息通信网络技术委员会2009年年会论文集（下册）[C];2009年

9 龚爱斐;张文静;;基于虚拟化架构的软件开发与测试环境自动化[A];第二十三届中国（天津）2009IT、网络、信息技术、电子、仪器仪表创新学术会议论文集[C];2009年

10 林晔;徐颖;;利用虚拟化存储技术实现数据中心机房的安全搬迁[A];中国新闻技术工作者联合会2011年学术年会论文集（上篇）[C];2011年

中国重要报纸全文数据库 前10条

1 华为赛门铁克公司产品经理 刘峭峻;虚拟化让容灾更灵活[N];中国计算机报;2009年

2 祁金华;虚拟化将成x86平台标配[N];网络世界;2007年

3 祁金华;VMware CEO：点燃中国虚拟化市场燎原之火[N];网络世界;2007年

4 记者 孙永杰;存储:虚拟化和降低成本是关键[N];中国电子报;2008年

5 本报记者 祁金华;八问服务器虚拟化未来[N];网络世界;2008年

6 本报记者 朱杰;融合网络：降低系统的复杂性[N];中国计算机报;2008年

7 刘庆华;虚拟化：刀片服务器竞争之道[N];大众科技报;2009年

8 记者 王巧然;信息化虚拟化推进能源行业新发展[N];中国石油报;2009年

9 本报记者 靳辉;富士通:虚拟化、自动化和集成化相结合[N];通信产业报;2009年

10 本报记者 宋家雨;我的虚拟化 我的存储[N];网络世界;2009年

中国博士学位论文全文数据库 前10条

1 孙晓川;未来网络虚拟化资源管理机制研究[D];北京邮电大学;2013年

2 陈华才;虚拟化环境中计算效能优化研究[D];华中科技大学;2011年

3 张顺利;网络虚拟化环境下的网络资源分配与故障诊断技术[D];北京邮电大学;2012年

4 吴涛;虚拟化存储技术研究[D];华中科技大学;2004年

5 武蕾;制造网格中资源虚拟化方法研究与应用[D];山东大学;2008年

6 王晶;强隔离操作系统的设备虚拟化[D];中国科学技术大学;2010年

7 周睿;面向安全关键的虚拟化与分区操作系统研究与实现[D];兰州大学;2010年

8 杨宇;网络虚拟化资源管理及虚拟网络应用研究[D];北京邮电大学;2013年

9 周刚;云计算环境中面向取证的现场迁移技术研究[D];华中科技大学;2011年

10 毛军波;现代集成制造环境下基于PDM的CAPPTool系统研究与开发[D];上海大学;2001年

中国硕士学位论文全文数据库 前10条

1 于淼;Vis:基于硬件虚拟化的本地系统活体取证工具[D];上海交通大学;2011年

2 崔倩楠;基于云计算环境的虚拟化资源平台研究与评价[D];北京邮电大学;2011年

3 李守波;云环境下数学软件虚拟化关键技术的研究[D];兰州大学;2011年

4 袁国钢;农业领域测量、测试仪器虚拟化对策研究[D];重庆大学;2004年

5 王睿;虚拟化数据中心动态性能控制系统设计与实现[D];上海交通大学;2011年

6 张扬;XEN下基于Intel VT-d技术的I/O虚拟化的实现[D];电子科技大学;2010年

7 李翠薇;环境监测仪器的发展现状及其虚拟化对策[D];重庆大学;2004年

8 伊腾飞;基于硬件虚拟化反调试的软件保护设计[D];上海交通大学;2010年

9 黄建丹;中国银行业信息化研究[D];广西大学;2003年

10 赵英俊;一种信息服务结点的主动防御系统模型[D];西安电子科技大学;2009年

，

本文编号：1110712