虛擬化技術(shù)應(yīng)用越來越廣泛，在國內(nèi)虛擬化市場，按銷售額已經(jīng)五年成兩位數(shù)增長了。對于我們?nèi)∽C業(yè)行來說也迫切需要了解一些虛擬化相關(guān)的知識，今天美亞技術(shù)專家為大家?guī)硎褂肔inux KVM虛擬化技術(shù)的取證研究。

什么是KVM？

KVM是Kernel-based Virtual Machine的簡稱，是一個開源的系統(tǒng)虛擬化模塊，自Linux 2.6.20之后集成在Linux的各個主要發(fā)行版本中。它使用Linux自身的調(diào)度器進(jìn)行管理，操作簡單使用方便。是Linux系統(tǒng)中主流的虛擬化解決方案之一。

[[239314]]

KVM虛擬機(jī)的創(chuàng)建

創(chuàng)建KVM虛擬機(jī)可以通過命令方式，也可以通過圖形化管理界面方式，創(chuàng)建虛擬取對取證沒有太大幫助，但創(chuàng)建虛擬機(jī)時(shí)硬盤文件存放位置是我們?nèi)∽C必須確認(rèn)的，因此為了直觀顯示并了解硬盤文件存儲位置，此處使用圖形化界面簡單演示：

1、使用命令virt-manager或是在桌面環(huán)境中找到”System Tools”并打開虛擬機(jī)管理程序” Virtual Machine Manager”，管理程序運(yùn)行后如下圖所示。

2、選擇New 會彈出如下圖顯示的新建虛擬機(jī)對話框。

3、根據(jù)自已需要設(shè)置好相關(guān)選項(xiàng)，硬盤文件存儲位置設(shè)置如下圖所示。

4、從上圖可以看見，我們可以創(chuàng)建新的硬盤文件，也可以選擇已經(jīng)有的硬盤文件。此處我們選擇第二項(xiàng)“select managed or other existing storage“并點(diǎn)擊”Browse“瀏覽，會彈出如下圖對話框，對話框中已經(jīng)顯示了默認(rèn)硬盤文件位置。

5、我們可以選擇新建卷“New Volume“或是本地瀏覽“Browse Local“，本地瀏覽可以把硬盤文件存放在其它位置。如下圖所示，是在tmp目錄下建的一個11111111的硬盤文件，并且文件沒有后綴，因?yàn)閘inu不以后綴來識別文件類型。

6、硬盤的文件格式有很多種，最常使用的是raw、qcow2、vmdk，不同linux版本會有不同，如下圖所示是ubuntu 16.04版本所支持的硬盤文件格式。

如果都按默認(rèn)方式創(chuàng)建硬盤文件存儲目錄在/var/lib/libvirt/images/

以上就是創(chuàng)建虛擬機(jī)的流程，硬盤存儲相關(guān)的設(shè)置，正常取證過程中虛擬機(jī)都已創(chuàng)建成功，我們怎么來確認(rèn)創(chuàng)建好的虛擬機(jī)硬盤文件存儲在那呢？

KVM如何取證？

對取證來說最主要的就是要提取存儲在虛擬里面的數(shù)據(jù)。怎樣確認(rèn)數(shù)據(jù)存儲位置，如何獲取相關(guān)的數(shù)據(jù)，然后用取證工具分析呢？

一、如何確認(rèn)KVM虛擬機(jī)文件存儲位置

方法一：使用命令查硬盤文件存儲位置

1、查看KVM虛擬機(jī)列表

[root@Bance ~]# virsh list –all

命令運(yùn)行成功后會得到如下畫面。如下圖所示，可以看到有三臺虛擬機(jī)。

2、查看xp虛擬機(jī)的配制文件

[root@Bance ~]# virsh edit xp

命令運(yùn)行成功能會顯示如下圖畫面。

如上圖所示配制文件的disk type選項(xiàng)就定義了xp虛擬機(jī)硬盤文相關(guān)信息，source file 中定義的/var/lib/libvirt/images/xp.img就是xp虛擬硬盤存儲路徑。

3、我們可通過“ll /var/lib/libvirt/images/“確認(rèn)硬盤文件是否存在，如下圖所示。

方法二：使用圖形化界面查看硬盤文件位置

1、使用命令virt-manager或是在桌面環(huán)境中找到”System Tools”并打開虛擬機(jī)管理程序” Virtual Machine Manager”，如下圖所示。

2、打開管理程序后如下圖顯示，從圖中也可以看到三個虛擬機(jī)。

3、雙擊xp虛擬機(jī)打開如下界面。

4、選擇“Details“可以查查xp虛擬機(jī)的祥細(xì)信息。

5、我們要查看硬盤文件相關(guān)信息，只需選擇disk相關(guān)的選項(xiàng)，如下圖所示。

6、確認(rèn)位置后，把相應(yīng)文件下載到本地使用取證大師分析。

方法三：若對配制文件較熟悉，證據(jù)固定后可直接通過取證大師查看。

默認(rèn)情況配制文件在/etc/libvirt/qemu/，使用取證大師加載并查看配制文件如下圖所示：

二、如何導(dǎo)出文件虛擬機(jī)硬盤文件

方法一：如果證據(jù)已固定，并且已通過配制文件確認(rèn)硬盤文件存儲位置，可直接使用取證大師導(dǎo)出。

取證大師的使用我想大家都很熟悉了，就不在此贅述了。

方法二：如果設(shè)備是大型商用平臺，無法針對服務(wù)器證據(jù)固定，只能遠(yuǎn)程操作時(shí)，可使用FTP之類的工具把我們需要的文件下載到本地。

如下圖所示，是使用Xftp工具下載我們需要的硬盤文件。

三．如何分析KVM硬盤文件

文件導(dǎo)出后可以使用取證大師等取證軟件直接分析，目前取證大師可以支持*.img 和*.qcow2格式取證分析。

總結(jié)：虛擬化應(yīng)用越來趙廣泛的今天，對虛擬化解決方案取證也是我們工作中可能會遇到的情況，今天分享給大家的也是個人研究的結(jié)果，無法涵蓋所有取證中遇到的問題，就像KVM虛擬化解決方案，不同linux系統(tǒng)都會有一些差異，如有遇到需要取證的情況，切勿按部就班，需要根據(jù)實(shí)際情況融會貫通。