[发明专利]一种虚拟化环境下获取Windows虚拟机中历史记录的方法

说明书

本发明公开了一种虚拟化环境下获取Windows虚拟机中历史记录的方法，系统包括：S1、找到目标Windows来宾虚拟机；S2、获取目标Windows来宾虚拟机操作系统类型，如果不是Windows系统则结束，如果是则进入下一步；S3、采用虚拟化技术读取目标Windows来宾虚拟机上存有文件打开记录的快捷方式文件，并将快捷方式文件加载到宿主机的内存；S4、在宿主机中分析加载到内存中的快捷方式文件的语义信息，从中读取出目标Windows来宾虚拟机上对应打开的文件记录；S5、重复步骤S3和S4，直到遍历完所有保存有文件打开历史记录的快捷方式文件。本发明能够做到对目标Windows来宾虚拟机透明，操作过程目标虚拟机无感知，同时更不会消耗目标虚拟机的资源，且操作过程不受Windows用户权限限制。

技术领域

本发明涉及虚拟化终端安全领域，具体涉及一种虚拟化环境下获取Windows虚拟机中历史记录的方法。

背景技术

在虚拟化环境下，处于关机状态的虚拟机我们称之为离线虚拟机。

在Windows系统，用户打开一个文件时，Windows系统会自动在磁盘上的某个特殊位置创建一个指向所打开的文件的快捷方式文件(.lnk后缀)，该快捷方式文件记录了原始文件被打开的时间以及原始文件的属性等信息，我们通过解析该快捷方式文件就能够获取到用户打开文件的历史记录。

包含历史记录的快捷方式文件在Windows系统的存放位置和登录Windows系统的用户相关，不同用户位置不同。并且和用户的权限有关，一个用户只能查看它的权限范围内的历史记录。

在传统Windows计算机使用场景下，可以通过以下方法来查看文件打开历史记录，该方法在虚拟化场景下同样适用。

通过Windows应用程序查看，即通过Windows系统提供的应用程序可以查看文件打开历史记录。该方法存在如下缺点：

缺点一，操作依赖于Windows系统的运行状态，只有运行态的Windows系统才能查看；

缺点二，操作依赖于Windows系统提供的应用程序，必须通过该应用程序才能查看，并且非Windows系统不能查看；

缺点三，操作需要登录到目标Windows来宾虚拟机系统才能完成；

缺点四，操作需要消耗Windows系统资源，因为需要在目标Windows来宾虚拟机上执行应用程序，所以需要消耗Windows系统的资源；

缺点五，操作受到Windows用户权限的限制，某个用户只能查看它的权限范围内的历史记录，权限范围之外的历史记录不能查看。

发明内容

本发明的目的在于，为解决上述技术问题，提供一种不依赖于目标虚拟机的运行状态，在线或离线状态的虚拟机都可以查看的虚拟化环境下获取Windows虚拟机中历史记录的方法。

为解决上述技术问题，本发明采用如下的技术方案：一种虚拟化环境下获取Windows

虚拟机中历史记录的方法，具体包括如下步骤：

S1、找到目标Windows来宾虚拟机；

S2、获取所述目标Windows来宾虚拟机操作系统类型，如果不是Windows系统则结束，如果是则进入下一步；

S3、采用虚拟化技术读取目标Windows来宾虚拟机上存有文件打开记录的快捷方式文件，并将所述快捷方式文件加载到宿主机的内存；

S4、在所述宿主机中分析加载到内存中的所述快捷方式文件的语义信息，从中读取出所述目标Windows来宾虚拟机上对应打开的文件记录；

S5、重复所述步骤S3和S4，直到遍历完所有保存有所述文件打开历史记录的快捷方式文件。