邵炳陽(yáng)　田慶宜　沈長(zhǎng)達(dá)　吳少華

摘? ?要：服務(wù)器虛擬化技術(shù)的引入為企業(yè)帶來(lái)便利的同時(shí)，也為取證人員帶來(lái)了挑戰(zhàn)。文章深入研究了XenServer服務(wù)器系統(tǒng)的體系結(jié)構(gòu)，重點(diǎn)闡述了XenServer服務(wù)器磁盤數(shù)據(jù)存儲(chǔ)和管理方式，提升取證人員對(duì)XenServer虛擬化服務(wù)器的取證能力，為取證人員在XenServer服務(wù)器證據(jù)固定、取證分析等工作的開展，提供基礎(chǔ)指導(dǎo)以及取證思路。

關(guān)鍵詞：虛擬化;XenServer;服務(wù)器取證;虛擬磁盤

中圖分類號(hào)：TN915.08? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：B

Research on forensic method of XenServer virtualization platform

Shao Bingyang， Tian Qingyi， Shen Changda， Wu Shaohua

（Xiamen Meiya Pico Information Co.，Ltd.， FujianXiamen 361008）

Abstract： XenServer is a server virtualization system developed by Citrix， which aims to provide enterprises with a dynamic and automated server virtualization solution. The introduction of server virtualization technology has brought convenience to enterprises， but also brought challenges to forensics work. This paper studies the architecture of XenServer， focuses on the disk data storage management， which enhances the forensic officer's ability to obtain evidence from XenServer， and provides for the forensic officer to carry out the work of XenServer evidence fixation and forensic analysis and provide basic guidance and evidence-taking ideas.

Key words： virtualization; XenServer; server forensic; virtual disk

1 引言

虛擬化技術(shù)可以對(duì)物理資源抽象為邏輯資源，以此達(dá)到對(duì)物理資源的最大化利用。本文首先對(duì)服務(wù)器虛擬化技術(shù)進(jìn)行介紹，對(duì)企業(yè)傳統(tǒng)服務(wù)器的服務(wù)器架構(gòu)以及引入虛擬化技術(shù)之后的服務(wù)器架構(gòu)進(jìn)行對(duì)比。XenServer是目前市面上主流的虛擬化服務(wù)器之一，本文以XenServer虛擬化服務(wù)器為例，著重介紹了XenServer虛擬化服務(wù)器的體系結(jié)構(gòu)、存儲(chǔ)方式以及XenServer虛擬化服務(wù)器在線及離線狀態(tài)下的取證思路。

2? 虛擬化技術(shù)

服務(wù)器虛擬化技術(shù)可以對(duì)服務(wù)器硬件資源進(jìn)行虛擬化統(tǒng)籌管理，在服務(wù)器中創(chuàng)建多個(gè)虛擬機(jī)以支持新需求[1]。XenServer有效地整合服務(wù)器工作負(fù)載，更有效地適應(yīng)不同企業(yè)中不斷變化的IT環(huán)境，能夠?qū)ζ髽I(yè)現(xiàn)有的硬件進(jìn)行優(yōu)化并有效提高IT可靠性，總體可以將IT成本降低50%甚至更多。同時(shí)XenServer可以對(duì)企業(yè)服務(wù)器工作負(fù)載進(jìn)行優(yōu)化，提升服務(wù)器的性能和資源利用率，同時(shí)改進(jìn)資源池內(nèi)的服務(wù)器準(zhǔn)備情況以便始終保證性能，幫助企業(yè)加快向生產(chǎn)環(huán)境中交付新應(yīng)用的速度。

虛擬化就是使用某些程序?qū)τ?jì)算機(jī)資源進(jìn)行邏輯表示，使之不受物理運(yùn)行環(huán)境的限制，從而可以采用通用的方式查看、訪問(wèn)和維護(hù)計(jì)算機(jī)資源[2]。企業(yè)傳統(tǒng)的服務(wù)器均采用單機(jī)運(yùn)行方式，當(dāng)企業(yè)面臨新需求時(shí)，就需要增加一臺(tái)新的服務(wù)器給予支持。長(zhǎng)此以往直接導(dǎo)致了企業(yè)服務(wù)器的數(shù)量急劇擴(kuò)展，企業(yè)運(yùn)行的成本直線上升，數(shù)據(jù)中心的復(fù)雜程度也不斷提高等諸多問(wèn)題。企業(yè)服務(wù)器傳統(tǒng)單機(jī)運(yùn)行模式的架構(gòu)圖如圖1所示。

虛擬化技術(shù)的引入打破了傳統(tǒng)企業(yè)服務(wù)器單機(jī)運(yùn)行的模式，通過(guò)虛擬化技術(shù)可以讓企業(yè)在一臺(tái)服務(wù)器上面同時(shí)運(yùn)行多個(gè)虛擬機(jī)，為企業(yè)提供不同的需求支持。服務(wù)器虛擬化作為一種主流的應(yīng)用技術(shù)，可以減少投資，增加資源的利用率，快速提高IT響應(yīng)速度和靈活性[3]。服務(wù)器虛擬化技術(shù)運(yùn)行模式架構(gòu)圖如圖2所示。

企業(yè)傳統(tǒng)服務(wù)器采用的單機(jī)運(yùn)行模式，缺乏靈活性，資源利用率低[4]，且不同服務(wù)器的工作負(fù)載不均，有的服務(wù)器工作負(fù)載極高，有的服務(wù)器工作負(fù)載卻極低，無(wú)法將硬件資源有效整合，使服務(wù)器的資源得到最有效地利用[5]。而服務(wù)器采用虛擬化技術(shù)運(yùn)行模式則可以統(tǒng)籌所有硬件資源，通過(guò)虛擬化管理層動(dòng)態(tài)調(diào)整服務(wù)器負(fù)載能力，調(diào)高服務(wù)器硬件資源的利用率并有效地降低成本。同時(shí)，通過(guò)服務(wù)器虛擬化技術(shù)提供的系統(tǒng)，系統(tǒng)的可用性、靈活性更高，可以提高服務(wù)器整體的服務(wù)水平[6]。

當(dāng)前，服務(wù)器虛擬化管理軟件中主流的管理軟件有VmWare，微軟和思杰提供的商業(yè)軟件以及Kvm、VirtualBox和Xen等為代表的開源軟件。虛擬化技術(shù)在為企業(yè)帶來(lái)方便的同時(shí)，也對(duì)計(jì)算機(jī)取證帶來(lái)了新的挑戰(zhàn)。

3? XenServer虛擬化平臺(tái)

3.1 XenServer虛擬化平臺(tái)架構(gòu)

XenServer虛擬化平臺(tái)，是一款全面的、方便管理的服務(wù)器虛擬化平臺(tái)。XenServer可以虛擬化物理服務(wù)器的系統(tǒng)資源，將多個(gè)不同的操作系統(tǒng)統(tǒng)一到同一個(gè)物理硬件平臺(tái)上進(jìn)行管理，可以對(duì)服務(wù)器的處理器、內(nèi)存、網(wǎng)絡(luò)、存儲(chǔ)等硬件資源進(jìn)行虛擬化并統(tǒng)籌進(jìn)行管理，提高系統(tǒng)資源的利用率[7]。

XenServer所采用虛擬化技術(shù)是虛擬化技術(shù)中最為快速，并且是最為安全的，XenServer直接在物理硬件上安裝一個(gè)虛擬化管理層，在服務(wù)器物理硬件和操作系統(tǒng)之間提供一個(gè)抽象層，讓每臺(tái)物理服務(wù)器可運(yùn)行多臺(tái)虛擬服務(wù)器，將操作系統(tǒng)及其應(yīng)用從底層物理服務(wù)器有效分離出來(lái)[8]。XenServer運(yùn)行架構(gòu)圖，如圖3所示。

XenServer虛擬化管理軟件將企業(yè)中所有的CPU、內(nèi)存以及存儲(chǔ)等相關(guān)硬件資源統(tǒng)籌管理，對(duì)于不同企業(yè)新需求直接虛擬化出新的虛擬機(jī)對(duì)其進(jìn)行支持?jǐn)U展，將操作系統(tǒng)與實(shí)際物理硬件資源獨(dú)立開，提高了企業(yè)資源利用率。

3.2 XenServer的虛擬機(jī)管理

XenServer屬于Linux操作系統(tǒng)，安裝于服務(wù)器之上，系統(tǒng)安裝完成后可以對(duì)物理硬件進(jìn)行虛擬化管理，允許用戶在該虛擬化平臺(tái)上創(chuàng)建虛擬機(jī)和管理虛擬機(jī)。XenServer安裝后系統(tǒng)界面如圖4所示。

XenServer服務(wù)器對(duì)整個(gè)系統(tǒng)硬件進(jìn)行虛擬化管理，將整個(gè)物理硬件進(jìn)行統(tǒng)籌管理。用戶可以通過(guò)XenServer服務(wù)器直接在該虛擬化平臺(tái)上創(chuàng)建虛擬機(jī)操作，也可以通過(guò)在Windows上安裝XenServer管理軟件XenCenter，然后在該虛擬化平臺(tái)上創(chuàng)建虛擬機(jī)操作。XenCenter連接到XenServer服務(wù)器后管理軟件界面如圖5所示。

在XenCenter上可以查看當(dāng)前虛擬化平臺(tái)的各種信息，可以查看當(dāng)前虛擬化平臺(tái)上所有物理硬件資源的使用情況，如當(dāng)前系統(tǒng)安裝的總內(nèi)存、當(dāng)前虛擬機(jī)已使用的內(nèi)存大小、當(dāng)前系統(tǒng)安裝的存儲(chǔ)磁盤大小、當(dāng)前已經(jīng)分配的存儲(chǔ)空間大小、CPU、網(wǎng)絡(luò)等各種信息。同時(shí)，可以查看當(dāng)前所有已經(jīng)安裝的虛擬機(jī)的相關(guān)信息，包括已經(jīng)分配的磁盤空間大小。XenServer虛擬化平臺(tái)打破了傳統(tǒng)服務(wù)器安裝維護(hù)復(fù)雜、擴(kuò)展性差的問(wèn)題，對(duì)于當(dāng)前虛擬化平臺(tái)中創(chuàng)建的任意虛擬機(jī)，系統(tǒng)都可以對(duì)其進(jìn)行擴(kuò)展，如擴(kuò)展內(nèi)存大小、擴(kuò)展存儲(chǔ)空間等操作。

4 XenServer取證

XenServer虛擬化平臺(tái)對(duì)整個(gè)服務(wù)器進(jìn)行虛擬化，對(duì)取證工作也帶來(lái)了一些挑戰(zhàn)。對(duì)于取證工作來(lái)說(shuō)，最重要的一步就是對(duì)證據(jù)的固定，提取相關(guān)數(shù)據(jù)。對(duì)于XenServer虛擬化平臺(tái)管理的服務(wù)器，需要解決如何獲取服務(wù)器中所有數(shù)據(jù)的難題，并對(duì)獲取到的數(shù)據(jù)加以取證。

4.1 XenServer服務(wù)器在線取證

XenServer服務(wù)器在線情況下，可以借助XenCenter管理工具進(jìn)行取證操作。XenCenter管理工具可以對(duì)運(yùn)行中的服務(wù)器進(jìn)行管理操作，在XenServer仍然處于運(yùn)行狀態(tài)下，采用XenCenter管理工具對(duì)當(dāng)前服務(wù)器中的虛擬機(jī)進(jìn)行備份導(dǎo)出操作，使用XenCenter對(duì)運(yùn)行的服務(wù)器中的虛擬機(jī)備份和導(dǎo)出結(jié)果示例如圖6所示。

虛擬機(jī)的數(shù)據(jù)采用VHD鏡像格式的虛擬磁盤進(jìn)行存儲(chǔ)，導(dǎo)出虛擬機(jī)的虛擬磁盤之后，即可采用主流的電子數(shù)據(jù)取證工具對(duì)該服務(wù)器虛擬機(jī)進(jìn)行取證。圖7是采用取證工具對(duì)導(dǎo)出來(lái)的虛擬機(jī)進(jìn)行取證的結(jié)果示例。

4.2 XenServer服務(wù)器離線取證

當(dāng)XenServer服務(wù)器關(guān)機(jī)情況下，無(wú)法通過(guò)虛擬機(jī)備份取證的方式進(jìn)行取證，此時(shí)只能直接分析XenServer的磁盤結(jié)構(gòu)。本文對(duì)一個(gè)安裝有兩個(gè)虛擬機(jī)的XenServer服務(wù)器進(jìn)行實(shí)驗(yàn)與分析，總結(jié)并介紹XenServer服務(wù)器的磁盤存儲(chǔ)格式。

通過(guò)上述分析，XenServer虛擬化服務(wù)器采用VHD鏡像格式來(lái)存儲(chǔ)虛擬化服務(wù)器中的磁盤數(shù)據(jù)，以下將對(duì)XenServer服務(wù)器進(jìn)行分析，實(shí)驗(yàn)并驗(yàn)證XenServer管理并存儲(chǔ)這些VHD鏡像格式的磁盤的方式。實(shí)驗(yàn)中直接固定XenServer虛擬化服務(wù)器硬盤，采用主流取證工具對(duì)XenServer服務(wù)器磁盤進(jìn)行加載分析，具體結(jié)果如圖8所示。

在本實(shí)驗(yàn)中，對(duì)取證工具中解析的XenServer磁盤布局進(jìn)行分析，除了分區(qū)1[hda0]以及分區(qū)5[hda4]兩個(gè)分區(qū)能夠正常解析分區(qū)數(shù)據(jù)以外，其余分區(qū)都無(wú)法正常解析具體信息。同時(shí)經(jīng)過(guò)取證分析后發(fā)現(xiàn)分區(qū)1[hda0]與分區(qū)5[hda4]分別是系統(tǒng)分區(qū)以及系統(tǒng)備份分區(qū)，對(duì)這兩個(gè)分區(qū)取證只能分析當(dāng)前服務(wù)器的相關(guān)數(shù)據(jù)，無(wú)法確認(rèn)具體虛擬機(jī)相關(guān)數(shù)據(jù)。

分析過(guò)程中可以發(fā)現(xiàn)XenServer虛擬化服務(wù)器采用了LVM2邏輯卷管理的方式對(duì)服務(wù)器中剩余的磁盤空間進(jìn)行管理，使用取證工具對(duì)已經(jīng)加載的XenServer磁盤進(jìn)行動(dòng)態(tài)磁盤解析，具體結(jié)果如圖9所示。

使用取證工具對(duì)XenServer服務(wù)器磁盤進(jìn)行動(dòng)態(tài)磁盤掃描之后，發(fā)現(xiàn)可以分析出4個(gè)動(dòng)態(tài)磁盤，結(jié)合XenCenter工具進(jìn)行分析，此XenServer服務(wù)器中安裝有3個(gè)虛擬機(jī)，并創(chuàng)建有3個(gè)虛擬磁盤。通過(guò)對(duì)此解析出來(lái)的跨區(qū)卷進(jìn)行分析，發(fā)現(xiàn)解析出來(lái)的這兩個(gè)動(dòng)態(tài)磁盤就是XenServer當(dāng)前已經(jīng)動(dòng)態(tài)分配出去的虛擬磁盤。XenServer服務(wù)器以VHD磁盤格式作為虛擬機(jī)的磁盤存儲(chǔ)，解析出來(lái)的跨區(qū)卷即為XenServer服務(wù)器中已經(jīng)分配給虛擬機(jī)的虛擬磁盤，具體結(jié)果如圖10所示。

至此，采用取證工具分析XenServer服務(wù)器中虛擬機(jī)數(shù)據(jù)結(jié)束。

5? 結(jié)束語(yǔ)

隨著服務(wù)器虛擬化技術(shù)的普及，取證人員將會(huì)越來(lái)越多地遇到此類虛擬化服務(wù)器取證相關(guān)的任務(wù)。本文從服務(wù)器虛擬化技術(shù)著手，在重點(diǎn)對(duì)XenServer服務(wù)器虛擬化系統(tǒng)進(jìn)行深入研究的基礎(chǔ)上，介紹了XenServer服務(wù)器的整體架構(gòu)以及虛擬機(jī)的管理方式，并提出XenServer虛擬化服務(wù)器取證的思路。

參考文獻(xiàn)

[1] 韓寓.服務(wù)器虛擬化技術(shù)研究與分析[J].微型電腦應(yīng)用，2011.

[2] 郭春梅，孟慶森，畢學(xué)堯.服務(wù)器虛擬化技術(shù)及安全研究[J].信息網(wǎng)絡(luò)安全，2011.

[3] 劉剛.服務(wù)器虛擬化技術(shù)[J].硅谷，2012（15）.

[4] 李永，胡偉.虛擬機(jī)Xen體系結(jié)構(gòu)分析[J].科技風(fēng)，2009（12）.

[5] 馬喆，禹熹，袁傲，易曉磊，沈晴霓.Xen安全機(jī)制探析[J].信息網(wǎng)絡(luò)安全，2011（11）.

[6] 孟江濤，盧顯良，董貴山.Xen的虛擬機(jī)網(wǎng)絡(luò)優(yōu)化研究[J].電子科技大學(xué)學(xué)報(bào)，2010（1）.

[7] 陳剛.XenServer資源池構(gòu)建及遠(yuǎn)程接入訪問(wèn)控制部署[J].電信快報(bào)，2013（10）.

[8] 湯泉，李小勇.文件支持的Xen存儲(chǔ)虛擬化研究[J].計(jì)算機(jī)工程與應(yīng)用，2009（16）.