睿海微百科:
睿海微百科与您分享取证方案、技术经验,搜索关键词就能找到您想要的取证相关信息。
讯享网
一、引言
计算机虚拟技术是通过软件来模拟计算机真实环境的技术 —— 在一台计算机上安装虚拟机后,可以模拟出多台机器的效果,完成某些场合的特殊需求。因此,越来越多的数据以及服务被存储和移植到虚拟计算机上,对虚拟机的数据采集与恢复等取证的需求也越来越多。
二、案情回顾
近年来因为直播打赏而被骗的案件越来越多,小编身边就有朋友被骗,而且经历比较奇特——一般案件中,打赏等行为都是使用手机直接支付,而这个朋友习惯使用模拟器,日常订外卖、网购、发红包也都是通过模拟器上的App支付,某天他在给主播送礼物时,点了直播页面的广告(1RMB=1000抖币),加了广告上的微信并转账过去,结果......
三、过程与分析
像这样使用虚拟机进行支付,然后被骗的人一年不知道有多少?如何对虚拟机内的App数据进行提取和解析呢?
小编和大家一起了解下虚拟机镜像是如何提取和解析的。利用睿海科技新研发的小工具,虚拟机在运行过程中会生成VMDK格式的镜像文件,所有用户数据和有关虚拟服务器的配置信息都存储在VMDK文件中。
(1)收到检材后,利用睿海科技的手机取证软件,操作如下:找到【文件取证】,点击【虚拟机】。
(2)选择虚拟机的镜像文件
(3)对镜像进行解析
(4)解析结果展示
此时,我们需要的数据已全部提取,虽然只是一个简单的虚拟机解析工具,但是有时候也可能是一个案子至关重要的线索。
以下是小编和大家分享的关于虚拟机镜像的一些常识,大家可以了解一下。
什么是虚拟机镜像文件?
虚拟机镜像文件是一个安装有操作系统的磁盘分区,目前国内外有多种虚拟机镜像格式可供选择,包括raw、qcow2、vmdk、vdi、vhd、qed以及fvd等,这些格式的镜像按照数据存储方式的不同,可分为全镜像模式(raw等)和稀疏模式(vmdk等),各镜像格式根据应用领域不同各有优势。
1、VMDK格式提取:通过解析.VMDK格式的磁盘镜像,还原逻辑稀疏镜像中的三层颗粒结构,对接ext等文件结构的寻址,解析出文件结构。
2、VDI格式提取:通过解析.VDI格式的磁盘镜像,还原逻辑稀疏镜像中的双层结构,对接ext等文件结构的寻址,解析出文件结构。
往期推荐
正式上线,睿海微百科
【案例分享】一个断裂U盘的数据恢复
介质数据恢复,“大”有可为!
手机日志分析在实战中的重要性
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/12619.html