復原損毀VM映像檔 挑戰虛擬機器鑑識採證

在進行虛擬機器的數位鑑識時，首先必須知道主機上運行的虛擬機器軟體以及所使用的虛擬化技術。原因在於，目前市面上有許多不同的虛擬機器軟體，而每一種軟體都有其特性，鑑識人員依據軟體特性，決定鑑識方法。

了解A君是使用VMware的虛擬軟體後，立即對虛擬機器進行資料萃取和蒐集，例如遭刪除的資料、加密的檔案及其他活動紀錄檔。

由於虛擬機器檔案容量都很大，因此虛擬機器的檔案被刪除，並不會被丟進資源回收筒中，而是直接被系統直接刪除。所以，為了確保資料能夠完整萃取分析，鑑識人員需要進行映像檔的還原，並在映像檔中萃取數位跡證。

2. 虛擬機器上進行數位鑑識的方法

由於虛擬機器映像檔必須完整才可啟動虛擬機器，鑑識人員在進行虛擬機器的數位鑑識時，為了避免虛擬機器的資料遭受損害，應盡量採用現場蒐證鑑識法。

也就是，在主機仍在運行的情況下，進行資料的取證以及分析。如此一來，除了可取得揮發性記憶體中的資料外，也避免因為關機或系統重新啟動而失去一些重要的資料。

虛擬機器的數位鑑識方法有兩種，第一種是先依照鑑識作業流程，將電腦中的資料利用Encase或FTK等鑑識軟體完整拷貝成映像檔至鑑識硬碟內，並在之後對映像檔內容進行分析。

如圖4所示，對於虛擬機器的鑑識，要特別注意虛擬機器內相關的檔案。這些檔案含有重要的跡證資料，之後鑑識人員進行分析時也需要利用這些檔案重建虛擬機器。

▲圖4 VMware檔案及其檔案類型。

第二種方式是，虛擬機器藉由該軟體相關程式輸出成一個映像檔。之後再利用虛擬機器軟體載入此映像檔，直接透過鑑識工具進行資料的採集和分析。

3. 虛擬機器映像檔復原

由於A君在鑑識人員進入房間時，已經有做一些破壞的動作，因此鑑識人員進行映像檔的輸出或拷貝時發生映像檔損壞的情形，必須先檢視該映像檔是否可以進行復原。

在復原的方面，若是映像檔為SPARCE文件，在一定的損壞程度中，檔案是可以被復原的，SPARCE文件結構如圖5所示。復原的工作將分成下列的步驟：

▲圖5 SPARCE文件結構。

首先在表頭（Sparse header）部分，可以根據Vmx檔和Log檔的內容進行表頭的復原，因為表頭內主要都存放一些虛擬機器的設定值。

前面有提到Vmx檔主要記錄的是虛擬軟體的設定值，而Log檔則記錄一些主要的活動。因此若是設定值有所變更，也可以從Log檔內發現。

在進行表頭的復原中，主要有以下三個欄位：

• (1)Extent的大小
• (2)存放Metadata的Sector數量
• (3)Grain資料夾的位置。其他欄位採用預設值即可。

• (1)CID及Parent CID：此欄位值可以從虛擬機器的快照中找到，也就是本文前段所提到的Vmsd檔、Vmsn檔及Vmss檔，若是沒有虛擬機器的快照，或是無法找尋到此欄位的內容，可以將其設為此欄位本身的預設值”ffffffff”。
• (2)Extent的大小：此欄位值與表頭中第一個要復原的欄位是相同的值。
• (3)Extent的格式：格式可以分為sparse和flat，此欄位可以由Vmx與Log檔的檔名進行辨識。
• (4)Extense的儲存檔名：此欄位亦可由Vmx檔及Log檔中發現。

4. 若無法復原以及其他鑑識手法

若採用上述的方法，映像檔仍然無法恢復，鑑識人員還是必須對於映像檔進行metadata的採取及分析。此外，若虛擬機器是建置於Windows作業系統環境下，可以從註冊檔中找到A君在拍賣所使用的帳號和線索。

除了分析映像檔外，鑑識人員也必須針對Vmem檔進行分析，因為Vmem檔為虛擬機器中的記憶體，在分析Vmem檔時可以利用Compare VMware snapshots或是Memparser工具從記憶體中取得有用的資料，Memparser工具如圖6所示。

▲圖6 Memparser工具。

從虛擬機器中所鑑識出的資料，可提供鑑識人員推斷犯罪者的犯罪手法。同一台機器中，單一作業系統已經不是唯一的選擇。面對能夠多方執行作業系統的虛擬機器，鑑識人員必須了解運作狀態，進而選擇適當的鑑識方法。

結語

虛擬化技術在雲端技術廣泛的應用下更趨重要，對於犯罪者而言也是方便管理並且可以快速損毀證據的工具。虛擬機器雖然聽起來是透過模擬而產生的系統，但虛擬機器中模擬出的硬體確實是虛擬，但是存在於虛擬機器中的資料卻是實質上的證據。有時鑑識人員可能因為疏忽了虛擬機器而忽略掉重要的證據。鑑識人員在進行虛擬機器的數位鑑識時，必須對虛擬機器有一定的了解，才能夠在虛擬機器中取出更多有用的證據。

<中央警察大學資訊密碼暨建構實驗室（ICCL），民國87年12月成立，目前由王旭正教授領軍，實驗室成員共有20名，並致力於資訊安全、資料隱藏與資料快速搜尋之研究，以確保人們於網際網路世界的安全。（http://hera.im.cpu.edu.tw）>