技术分享：KVM虚拟化如何取证？

虚拟化技术应用越来越广泛，在国内虚拟化市场，按销售额已经五年成两位数增长了。对于我们取证业行来说也迫切需要了解一些虚拟化相关的知识，今天美亚技术专家为大家带来使用Linux KVM虚拟化技术的取证研究。

什么是KVM？

KVM是Kernel-based Virtual Machine的简称，是一个开源的系统虚拟化模块，自Linux 2.6.20之后集成在Linux的各个主要发行版本中。它使用Linux自身的调度器进行管理，操作简单使用方便。是Linux系统中主流的虚拟化解决方案之一。

KVM虚拟机的创建

创建KVM虚拟机可以通过命令方式，也可以通过图形化管理界面方式，创建虚拟取对取证没有太大帮助，但创建虚拟机时硬盘文件存放位置是我们取证必须确认的，因此为了直观显示并了解硬盘文件存储位置，此处使用图形化界面简单演示：

1、使用命令virt-manager或是在桌面环境中找到”System Tools”并打开虚拟机管理程序” Virtual Machine Manager”，管理程序运行后如下图所示。

2、选择New 会弹出如下图显示的新建虚拟机对话框。

3、根据自已需要设置好相关选项，硬盘文件存储位置设置如下图所示。

4、从上图可以看见，我们可以创建新的硬盘文件，也可以选择已经有的硬盘文件。此处我们选择第二项“select managed or other existing storage“并点击”Browse“浏览，会弹出如下图对话框，对话框中已经显示了默认硬盘文件位置。

5、我们可以选择新建卷“New Volume“或是本地浏览“Browse Local“，本地浏览可以把硬盘文件存放在其它位置。如下图所示，是在tmp目录下建的一个11111111的硬盘文件，并且文件没有后缀，因为linu不以后缀来识别文件类型。

6、硬盘的文件格式有很多种，最常使用的是raw、qcow2、vmdk，不同linux版本会有不同，如下图所示是ubuntu 16.04版本所支持的硬盘文件格式。

如果都按默认方式创建硬盘文件存储目录在/var/lib/libvirt/images/

以上就是创建虚拟机的流程，硬盘存储相关的设置，正常取证过程中虚拟机都已创建成功，我们怎么来确认创建好的虚拟机硬盘文件存储在那呢？

KVM如何取证？

对取证来说最主要的就是要提取存储在虚拟里面的数据。怎样确认数据存储位置，如何获取相关的数据，然后用取证工具分析呢？

一、如何确认KVM虚拟机文件存储位置

方法一：使用命令查硬盘文件存储位置

1、查看KVM虚拟机列表

[root@Bance ~]# virsh list –all

命令运行成功后会得到如下画面。如下图所示，可以看到有三台虚拟机。

2、查看xp虚拟机的配制文件

[root@Bance ~]# virsh edit xp

命令运行成功能会显示如下图画面。

如上图所示配制文件的disk type选项就定义了xp虚拟机硬盘文相关信息，source file 中定义的/var/lib/libvirt/images/xp.img就是xp虚拟硬盘存储路径。

3、我们可通过“ll /var/lib/libvirt/images/“确认硬盘文件是否存在，如下图所示。

方法二：使用图形化界面查看硬盘文件位置

1、使用命令virt-manager或是在桌面环境中找到”System Tools”并打开虚拟机管理程序” Virtual Machine Manager”，如下图所示。

2、打开管理程序后如下图显示，从图中也可以看到三个虚拟机。

3、双击xp虚拟机打开如下界面。

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!