[发明专利]一种虚拟启动智能修复的计算机动态仿真方法

说明书

技术领域

本发明涉及一种计算机动态仿真取证的方法，更具体地说，涉及一种虚拟启动智能修复的计算机动态仿真方法。

背景技术

根据计算机取证状态的不同，一般将计算机取证分为动态的在线取证和静态的事后取证。传统的静态取证方式立足于对计算机相关存储设备中的电子数据的离线解读和分析。需要电子数据的既定写存和较好的数据存储环境。如果数据未能写入相关存储设备或取证条件不理想的情况下，静态取证的效果将大打折扣。譬如，对运行中的计算机信息系统先实施关机操作再进行事后的静态取证就会造成取证目标主机中一些重要的即时数据的丢失。即时数据大多是明文数据，其中可能含有各种密文的解密口令、各类程序的操作运行记录、虚拟内存的写入记录、网络即时通讯数据记录等信息，这些信息最终并不会被写入计算机系统的存储设备中，其会随着系统的运行终结而自行消失。在很多时候，获得这些即时数据可以使取证事半功倍，因而其重要性也越来越受到司法机关的重视．但获得这些数据需要取证的在线进行和动态的研判分析与收集保全，采用静态事后取证无法满足即时数据获取的需要。

此外，静态取证获取的数据是计算机系统运行的各类结果数据．对于各类电子数据如何形成、获取的各类电子数据间有何关联、用户事前进行了何种操作、数据变化的原因等问题若采用事后静态取证的方法，从结果数据中很难推定这些数据产生、改变、灭失的原因。再有，静态取证难以重现电子数据先在运行环境，面对海量的电子数据，静态取证的准确度、取证的效率受到很大影响。

为满足取证动态分析的实际需要、弥补静态事后取证之不足。随着计算机仿真技术、磁盘重新定向技术、ShadoW等计算机技术的研究应用，计算机动态仿真取证应用的技术条件已经具备。计算机动态仿真目前广泛应用于各种司法取证当中，运用动态仿真可以重现仿真目标的原来状态，司法人员可以在模拟重现的环境中进行操作，展开高速有效的取证工作。然而，在一些情况（如虚拟环境组件或其系统信息数据库内容不正确等），虚拟环境往往会创建失败，无法模拟重现原来的状态，直接导致仿真失败。

如中国发明专利申请200910194667.9提供了一种计算机虚拟化取证的实现方法，通过在取证专用计算机系统中以虚拟化的方式启动，获得了被取证计算机系统启动后一样的操作界面和环境，不会改写存储设备的原始数据，确保取证过程中不会对被取证存储设备上的文件进行修改，在虚拟化的环境中进行取证操作时，看到的不再仅仅是计算机存储介质上的文件和数据，还可以看到操作系统运行环境和用户环境，操作起来也更加方便，实现本发明的目的。

但上述发明申请公开的技术方案无法解决由于虚拟环境的启动内容不正确，而造成的仿真失败。如目标操作系统的物理盘/镜像内的启动内容不正确等，仿真就会失败，无法进行模拟重现。现有技术还未有有效的途径用于解决上述问题。

发明内容

本发明的目的在于克服现有技术的不足，提供一种克服由于虚拟环境的启动内容不正确，而造成的仿真失败，无法进行模拟重现的问题，实现虚拟启动智能修复的计算机动态仿真方法。

本发明所述的方法对于现在有技术存在的问题，不但可以产生实质的效果，能够全面解决问题，而且在支持的广度上有着显著得扩大。其支持的对象包括但不限于：Windows2000，WindowsXP（x86，x64），Windows2003（x86，x64），Windows Vista（x86，x64），Windows2008（x86，x64），Windows7（x86，x64），Windows8（x86，x64），各版本Linux，基于X86架构的Macintosh，Unix操作系统。

本发明的技术方案如下：

一种虚拟启动智能修复的计算机动态仿真方法，包括步骤：

1）定义正常目标的启动内容，对正常工作的虚拟机的各类启动加载内容创建数据库表；定义从正常目标获取到的启动内容，对正常目标的启动内容进行扫描，如果扫描到的内容为欲仿真对象启动所需的内容，则记录，否则忽略；

2）根据步骤1）的正常目标的启动内容，通过虚拟重构技术，把存在于欲仿真对象的虚拟存在的目标重构为虚拟容器；

3）定义虚拟容器内的启动内容，对步骤2）得到的虚拟容器内的各类启动加载内容创建数据库表；定义虚拟容器内保留的启动内容；对虚拟容器内的启动内容进行扫描，如果扫描到的内容为欲仿真对象启动所需的内容，则记录，否则忽略；

4）定义启动内容的配置痕迹，根据步骤3）的虚拟容器内保留的启动内容确定欲仿真对象的需要修改或替换的启动内容，并记录；