技術分享：KVM虛擬化如何取證？

虛擬化技術應用越來越廣泛，在國內虛擬化市場，按銷售額已經五年成兩位數增長了。對于我們取證業行來說也迫切需要了解一些虛擬化相關的知識，今天美亞技術專家為大家帶來使用Linux KVM虛擬化技術的取證研究。

什么是KVM？

KVM是Kernel-based Virtual Machine的簡稱，是一個開源的系統虛擬化模塊，自Linux 2.6.20之后集成在Linux的各個主要發行版本中。它使用Linux自身的調度器進行管理，操作簡單使用方便。是Linux系統中主流的虛擬化解決方案之一。

KVM虛擬機的創建

創建KVM虛擬機可以通過命令方式，也可以通過圖形化管理界面方式，創建虛擬取對取證沒有太大幫助，但創建虛擬機時硬盤文件存放位置是我們取證必須確認的，因此為了直觀顯示并了解硬盤文件存儲位置，此處使用圖形化界面簡單演示：

1、使用命令virt-manager或是在桌面環境中找到”System Tools”并打開虛擬機管理程序” Virtual Machine Manager”，管理程序運行后如下圖所示。

2、選擇New 會彈出如下圖顯示的新建虛擬機對話框。

3、根據自已需要設置好相關選項，硬盤文件存儲位置設置如下圖所示。

4、從上圖可以看見，我們可以創建新的硬盤文件，也可以選擇已經有的硬盤文件。此處我們選擇第二項“select managed or other existing storage“并點擊”Browse“瀏覽，會彈出如下圖對話框，對話框中已經顯示了默認硬盤文件位置。

5、我們可以選擇新建卷“New Volume“或是本地瀏覽“Browse Local“，本地瀏覽可以把硬盤文件存放在其它位置。如下圖所示，是在tmp目錄下建的一個11111111的硬盤文件，并且文件沒有后綴，因為linu不以后綴來識別文件類型。

6、硬盤的文件格式有很多種，最常使用的是raw、qcow2、vmdk，不同linux版本會有不同，如下圖所示是ubuntu 16.04版本所支持的硬盤文件格式。

如果都按默認方式創建硬盤文件存儲目錄在/var/lib/libvirt/images/

以上就是創建虛擬機的流程，硬盤存儲相關的設置，正常取證過程中虛擬機都已創建成功，我們怎么來確認創建好的虛擬機硬盤文件存儲在那呢？

KVM如何取證？

對取證來說最主要的就是要提取存儲在虛擬里面的數據。怎樣確認數據存儲位置，如何獲取相關的數據，然后用取證工具分析呢？

一、如何確認KVM虛擬機文件存儲位置

方法一：使用命令查硬盤文件存儲位置

1、查看KVM虛擬機列表

[root@Bance ~]# virsh list –all

命令運行成功后會得到如下畫面。如下圖所示，可以看到有三臺虛擬機。

2、查看xp虛擬機的配制文件

[root@Bance ~]# virsh edit xp

命令運行成功能會顯示如下圖畫面。

如上圖所示配制文件的disk type選項就定義了xp虛擬機硬盤文相關信息，source file 中定義的/var/lib/libvirt/images/xp.img就是xp虛擬硬盤存儲路徑。

3、我們可通過“ll /var/lib/libvirt/images/“確認硬盤文件是否存在，如下圖所示。

方法二：使用圖形化界面查看硬盤文件位置

1、使用命令virt-manager或是在桌面環境中找到”System Tools”并打開虛擬機管理程序” Virtual Machine Manager” ，如下圖所示。

2、打開管理程序后如下圖顯示，從圖中也可以看到三個虛擬機。

3、雙擊xp虛擬機打開如下界面。

4、選擇“Details“可以查查xp虛擬機的祥細信息。

5、我們要查看硬盤文件相關信息，只需選擇disk相關的選項 ，如下圖所示。

6、確認位置后，把相應文件下載到本地使用取證大師分析。

方法三：若對配制文件較熟悉，證據固定后可直接通過取證大師查看。

默認情況配制文件在/etc/libvirt/qemu/，使用取證大師加載并查看配制文件如下圖所示：

二、如何導出文件虛擬機硬盤文件

方法一：如果證據已固定，并且已通過配制文件確認硬盤文件存儲位置，可直接使用取證大師導出。

取證大師的使用我想大家都很熟悉了，就不在此贅述了。

方法二：如果設備是大型商用平臺，無法針對服務器證據固定，只能遠程操作時，可使用FTP之類的工具把我們需要的文件下載到本地。

如下圖所示，是使用Xftp工具下載我們需要的硬盤文件。

三．如何分析KVM硬盤文件

文件導出后可以使用取證大師等取證軟件直接分析，目前取證大師可以支持*.img 和*.qcow2格式取證分析。

總結：虛擬化應用越來趙廣泛的今天，對虛擬化解決方案取證也是我們工作中可能會遇到的情況，今天分享給大家的也是個人研究的結果，無法涵蓋所有取證中遇到的問題，就像KVM虛擬化解決方案，不同linux系統都會有一些差異，如有遇到需要取證的情況，切勿按部就班，需要根據實際情況融會貫通。