XenServer虛擬化平臺取證方法研究

邵炳陽　田慶宜　沈長達　吳少華

摘? ?要：服務(wù)器虛擬化技術(shù)的引入為企業(yè)帶來便利的同時，也為取證人員帶來了挑戰(zhàn)。文章深入研究了XenServer服務(wù)器系統(tǒng)的體系結(jié)構(gòu)，重點闡述了XenServer服務(wù)器磁盤數(shù)據(jù)存儲和管理方式，提升取證人員對XenServer虛擬化服務(wù)器的取證能力，為取證人員在XenServer服務(wù)器證據(jù)固定、取證分析等工作的開展，提供基礎(chǔ)指導以及取證思路。

關(guān)鍵詞：虛擬化;XenServer;服務(wù)器取證;虛擬磁盤

中圖分類號：TN915.08? ? ? ? ? 文獻標識碼：B

Research on forensic method of XenServer virtualization platform

Shao Bingyang， Tian Qingyi， Shen Changda， Wu Shaohua

（Xiamen Meiya Pico Information Co.，Ltd.， FujianXiamen 361008）

Abstract： XenServer is a server virtualization system developed by Citrix， which aims to provide enterprises with a dynamic and automated server virtualization solution. The introduction of server virtualization technology has brought convenience to enterprises， but also brought challenges to forensics work. This paper studies the architecture of XenServer， focuses on the disk data storage management， which enhances the forensic officer's ability to obtain evidence from XenServer， and provides for the forensic officer to carry out the work of XenServer evidence fixation and forensic analysis and provide basic guidance and evidence-taking ideas.

Key words： virtualization; XenServer; server forensic; virtual disk

1 引言

虛擬化技術(shù)可以對物理資源抽象為邏輯資源，以此達到對物理資源的最大化利用。本文首先對服務(wù)器虛擬化技術(shù)進行介紹，對企業(yè)傳統(tǒng)服務(wù)器的服務(wù)器架構(gòu)以及引入虛擬化技術(shù)之后的服務(wù)器架構(gòu)進行對比。XenServer是目前市面上主流的虛擬化服務(wù)器之一，本文以XenServer虛擬化服務(wù)器為例，著重介紹了XenServer虛擬化服務(wù)器的體系結(jié)構(gòu)、存儲方式以及XenServer虛擬化服務(wù)器在線及離線狀態(tài)下的取證思路。

2? 虛擬化技術(shù)

服務(wù)器虛擬化技術(shù)可以對服務(wù)器硬件資源進行虛擬化統(tǒng)籌管理，在服務(wù)器中創(chuàng)建多個虛擬機以支持新需求[1]。XenServer有效地整合服務(wù)器工作負載，更有效地適應(yīng)不同企業(yè)中不斷變化的IT環(huán)境，能夠?qū)ζ髽I(yè)現(xiàn)有的硬件進行優(yōu)化并有效提高IT可靠性，總體可以將IT成本降低50%甚至更多。同時XenServer可以對企業(yè)服務(wù)器工作負載進行優(yōu)化，提升服務(wù)器的性能和資源利用率，同時改進資源池內(nèi)的服務(wù)器準備情況以便始終保證性能，幫助企業(yè)加快向生產(chǎn)環(huán)境中交付新應(yīng)用的速度。

虛擬化就是使用某些程序?qū)τ嬎銠C資源進行邏輯表示，使之不受物理運行環(huán)境的限制，從而可以采用通用的方式查看、訪問和維護計算機資源[2]。企業(yè)傳統(tǒng)的服務(wù)器均采用單機運行方式，當企業(yè)面臨新需求時，就需要增加一臺新的服務(wù)器給予支持。長此以往直接導致了企業(yè)服務(wù)器的數(shù)量急劇擴展，企業(yè)運行的成本直線上升，數(shù)據(jù)中心的復(fù)雜程度也不斷提高等諸多問題。企業(yè)服務(wù)器傳統(tǒng)單機運行模式的架構(gòu)圖如圖1所示。

虛擬化技術(shù)的引入打破了傳統(tǒng)企業(yè)服務(wù)器單機運行的模式，通過虛擬化技術(shù)可以讓企業(yè)在一臺服務(wù)器上面同時運行多個虛擬機，為企業(yè)提供不同的需求支持。服務(wù)器虛擬化作為一種主流的應(yīng)用技術(shù)，可以減少投資，增加資源的利用率，快速提高IT響應(yīng)速度和靈活性[3]。服務(wù)器虛擬化技術(shù)運行模式架構(gòu)圖如圖2所示。

企業(yè)傳統(tǒng)服務(wù)器采用的單機運行模式，缺乏靈活性，資源利用率低[4]，且不同服務(wù)器的工作負載不均，有的服務(wù)器工作負載極高，有的服務(wù)器工作負載卻極低，無法將硬件資源有效整合，使服務(wù)器的資源得到最有效地利用[5]。而服務(wù)器采用虛擬化技術(shù)運行模式則可以統(tǒng)籌所有硬件資源，通過虛擬化管理層動態(tài)調(diào)整服務(wù)器負載能力，調(diào)高服務(wù)器硬件資源的利用率并有效地降低成本。同時，通過服務(wù)器虛擬化技術(shù)提供的系統(tǒng)，系統(tǒng)的可用性、靈活性更高，可以提高服務(wù)器整體的服務(wù)水平[6]。

當前，服務(wù)器虛擬化管理軟件中主流的管理軟件有VmWare，微軟和思杰提供的商業(yè)軟件以及Kvm、VirtualBox和Xen等為代表的開源軟件。虛擬化技術(shù)在為企業(yè)帶來方便的同時，也對計算機取證帶來了新的挑戰(zhàn)。

3? XenServer虛擬化平臺

3.1 XenServer虛擬化平臺架構(gòu)

XenServer虛擬化平臺，是一款全面的、方便管理的服務(wù)器虛擬化平臺。XenServer可以虛擬化物理服務(wù)器的系統(tǒng)資源，將多個不同的操作系統(tǒng)統(tǒng)一到同一個物理硬件平臺上進行管理，可以對服務(wù)器的處理器、內(nèi)存、網(wǎng)絡(luò)、存儲等硬件資源進行虛擬化并統(tǒng)籌進行管理，提高系統(tǒng)資源的利用率[7]。

XenServer所采用虛擬化技術(shù)是虛擬化技術(shù)中最為快速，并且是最為安全的，XenServer直接在物理硬件上安裝一個虛擬化管理層，在服務(wù)器物理硬件和操作系統(tǒng)之間提供一個抽象層，讓每臺物理服務(wù)器可運行多臺虛擬服務(wù)器，將操作系統(tǒng)及其應(yīng)用從底層物理服務(wù)器有效分離出來[8]。XenServer運行架構(gòu)圖，如圖3所示。

XenServer虛擬化管理軟件將企業(yè)中所有的CPU、內(nèi)存以及存儲等相關(guān)硬件資源統(tǒng)籌管理，對于不同企業(yè)新需求直接虛擬化出新的虛擬機對其進行支持擴展，將操作系統(tǒng)與實際物理硬件資源獨立開，提高了企業(yè)資源利用率。

3.2 XenServer的虛擬機管理

XenServer屬于Linux操作系統(tǒng)，安裝于服務(wù)器之上，系統(tǒng)安裝完成后可以對物理硬件進行虛擬化管理，允許用戶在該虛擬化平臺上創(chuàng)建虛擬機和管理虛擬機。XenServer安裝后系統(tǒng)界面如圖4所示。

XenServer服務(wù)器對整個系統(tǒng)硬件進行虛擬化管理，將整個物理硬件進行統(tǒng)籌管理。用戶可以通過XenServer服務(wù)器直接在該虛擬化平臺上創(chuàng)建虛擬機操作，也可以通過在Windows上安裝XenServer管理軟件XenCenter，然后在該虛擬化平臺上創(chuàng)建虛擬機操作。XenCenter連接到XenServer服務(wù)器后管理軟件界面如圖5所示。

在XenCenter上可以查看當前虛擬化平臺的各種信息，可以查看當前虛擬化平臺上所有物理硬件資源的使用情況，如當前系統(tǒng)安裝的總內(nèi)存、當前虛擬機已使用的內(nèi)存大小、當前系統(tǒng)安裝的存儲磁盤大小、當前已經(jīng)分配的存儲空間大小、CPU、網(wǎng)絡(luò)等各種信息。同時，可以查看當前所有已經(jīng)安裝的虛擬機的相關(guān)信息，包括已經(jīng)分配的磁盤空間大小。XenServer虛擬化平臺打破了傳統(tǒng)服務(wù)器安裝維護復(fù)雜、擴展性差的問題，對于當前虛擬化平臺中創(chuàng)建的任意虛擬機，系統(tǒng)都可以對其進行擴展，如擴展內(nèi)存大小、擴展存儲空間等操作。

4 XenServer取證

XenServer虛擬化平臺對整個服務(wù)器進行虛擬化，對取證工作也帶來了一些挑戰(zhàn)。對于取證工作來說，最重要的一步就是對證據(jù)的固定，提取相關(guān)數(shù)據(jù)。對于XenServer虛擬化平臺管理的服務(wù)器，需要解決如何獲取服務(wù)器中所有數(shù)據(jù)的難題，并對獲取到的數(shù)據(jù)加以取證。

4.1 XenServer服務(wù)器在線取證

XenServer服務(wù)器在線情況下，可以借助XenCenter管理工具進行取證操作。XenCenter管理工具可以對運行中的服務(wù)器進行管理操作，在XenServer仍然處于運行狀態(tài)下，采用XenCenter管理工具對當前服務(wù)器中的虛擬機進行備份導出操作，使用XenCenter對運行的服務(wù)器中的虛擬機備份和導出結(jié)果示例如圖6所示。

虛擬機的數(shù)據(jù)采用VHD鏡像格式的虛擬磁盤進行存儲，導出虛擬機的虛擬磁盤之后，即可采用主流的電子數(shù)據(jù)取證工具對該服務(wù)器虛擬機進行取證。圖7是采用取證工具對導出來的虛擬機進行取證的結(jié)果示例。

4.2 XenServer服務(wù)器離線取證

當XenServer服務(wù)器關(guān)機情況下，無法通過虛擬機備份取證的方式進行取證，此時只能直接分析XenServer的磁盤結(jié)構(gòu)。本文對一個安裝有兩個虛擬機的XenServer服務(wù)器進行實驗與分析，總結(jié)并介紹XenServer服務(wù)器的磁盤存儲格式。

通過上述分析，XenServer虛擬化服務(wù)器采用VHD鏡像格式來存儲虛擬化服務(wù)器中的磁盤數(shù)據(jù)，以下將對XenServer服務(wù)器進行分析，實驗并驗證XenServer管理并存儲這些VHD鏡像格式的磁盤的方式。實驗中直接固定XenServer虛擬化服務(wù)器硬盤，采用主流取證工具對XenServer服務(wù)器磁盤進行加載分析，具體結(jié)果如圖8所示。

在本實驗中，對取證工具中解析的XenServer磁盤布局進行分析，除了分區(qū)1[hda0]以及分區(qū)5[hda4]兩個分區(qū)能夠正常解析分區(qū)數(shù)據(jù)以外，其余分區(qū)都無法正常解析具體信息。同時經(jīng)過取證分析后發(fā)現(xiàn)分區(qū)1[hda0]與分區(qū)5[hda4]分別是系統(tǒng)分區(qū)以及系統(tǒng)備份分區(qū)，對這兩個分區(qū)取證只能分析當前服務(wù)器的相關(guān)數(shù)據(jù)，無法確認具體虛擬機相關(guān)數(shù)據(jù)。

分析過程中可以發(fā)現(xiàn)XenServer虛擬化服務(wù)器采用了LVM2邏輯卷管理的方式對服務(wù)器中剩余的磁盤空間進行管理，使用取證工具對已經(jīng)加載的XenServer磁盤進行動態(tài)磁盤解析，具體結(jié)果如圖9所示。

使用取證工具對XenServer服務(wù)器磁盤進行動態(tài)磁盤掃描之后，發(fā)現(xiàn)可以分析出4個動態(tài)磁盤，結(jié)合XenCenter工具進行分析，此XenServer服務(wù)器中安裝有3個虛擬機，并創(chuàng)建有3個虛擬磁盤。通過對此解析出來的跨區(qū)卷進行分析，發(fā)現(xiàn)解析出來的這兩個動態(tài)磁盤就是XenServer當前已經(jīng)動態(tài)分配出去的虛擬磁盤。XenServer服務(wù)器以VHD磁盤格式作為虛擬機的磁盤存儲，解析出來的跨區(qū)卷即為XenServer服務(wù)器中已經(jīng)分配給虛擬機的虛擬磁盤，具體結(jié)果如圖10所示。

至此，采用取證工具分析XenServer服務(wù)器中虛擬機數(shù)據(jù)結(jié)束。

5? 結(jié)束語

隨著服務(wù)器虛擬化技術(shù)的普及，取證人員將會越來越多地遇到此類虛擬化服務(wù)器取證相關(guān)的任務(wù)。本文從服務(wù)器虛擬化技術(shù)著手，在重點對XenServer服務(wù)器虛擬化系統(tǒng)進行深入研究的基礎(chǔ)上，介紹了XenServer服務(wù)器的整體架構(gòu)以及虛擬機的管理方式，并提出XenServer虛擬化服務(wù)器取證的思路。

參考文獻

[1] 韓寓.服務(wù)器虛擬化技術(shù)研究與分析[J].微型電腦應(yīng)用，2011.

[2] 郭春梅，孟慶森，畢學堯.服務(wù)器虛擬化技術(shù)及安全研究[J].信息網(wǎng)絡(luò)安全，2011.

[3] 劉剛.服務(wù)器虛擬化技術(shù)[J].硅谷，2012（15）.

[4] 李永，胡偉.虛擬機Xen體系結(jié)構(gòu)分析[J].科技風，2009（12）.

[5] 馬喆，禹熹，袁傲，易曉磊，沈晴霓.Xen安全機制探析[J].信息網(wǎng)絡(luò)安全，2011（11）.

[6] 孟江濤，盧顯良，董貴山.Xen的虛擬機網(wǎng)絡(luò)優(yōu)化研究[J].電子科技大學學報，2010（1）.

[7] 陳剛.XenServer資源池構(gòu)建及遠程接入訪問控制部署[J].電信快報，2013（10）.

[8] 湯泉，李小勇.文件支持的Xen存儲虛擬化研究[J].計算機工程與應(yīng)用，2009（16）.