[发明专利]一种虚拟环境智能修复的计算机动态仿真方法

说明书

技术领域

本发明涉及一种计算机动态仿真取证的方法，更具体地说，涉及一种虚拟环境智能修复的计算机动态仿真方法。

背景技术

根据计算机取证状态的不同，一般将计算机取证分为动态的在线取证和静态的事后取证。传统的静态取证方式立足于对计算机相关存储设备中的电子数据的离线解读和分析。需要电子数据的既定写存和较好的数据存储环境。如果数据未能写入相关存储设备或取证条件不理想的情况下，静态取证的效果将大打折扣。譬如，对运行中的计算机信息系统先实施关机操作再进行事后的静态取证就会造成取证目标主机中一些重要的即时数据的丢失。即时数据大多是明文数据，其中可能含有各种密文的解密口令、各类程序的操作运行记录、虚拟内存的写入记录、网络即时通讯数据记录等信息，这些信息最终并不会被写入计算机系统的存储设备中，其会随着系统的运行终结而自行消失。在很多时候，获得这些即时数据可以使取证事半功倍，因而其重要性也越来越受到司法机关的重视．但获得这些数据需要取证的在线进行和动态的研判分析与收集保全，采用静态事后取证无法满足即时数据获取的需要。

此外，静态取证获取的数据是计算机系统运行的各类结果数据．对于各类电子数据如何形成、获取的各类电子数据间有何关联、用户事前进行了何种操作、数据变化的原因等问题若采用事后静态取证的方法，从结果数据中很难推定这些数据产生、改变、灭失的原因。再有，静态取证难以重现电子数据先在运行环境，面对海量的电子数据，静态取证的准确度、取证的效率受到很大影响。

为满足取证动态分析的实际需要、弥补静态事后取证之不足。随着计算机仿真技术、磁盘重新定向技术、ShadoW等计算机技术的研究应用，计算机动态仿真取证应用的技术条件已经具备。计算机动态仿真目前广泛应用于各种司法取证当中，运用动态仿真可以重现仿真目标的原来状态，司法人员可以在模拟重现的环境中进行操作，展开高速有效的取证工作。然而，在一些情况（如虚拟环境组件或其系统信息数据库内容不正确等），虚拟环境往往会创建失败，无法模拟重现原来的状态，直接导致仿真失败。

如中国发明专利申请200910194667.9提供了一种计算机虚拟化取证的实现方法，通过在取证专用计算机系统中以虚拟化的方式启动，获得了被取证计算机系统启动后一样的操作界面和环境，不会改写存储设备的原始数据，确保取证过程中不会对被取证存储设备上的文件进行修改，在虚拟化的环境中进行取证操作时，看到的不再仅仅是计算机存储介质上的文件和数据，还可以看到操作系统运行环境和用户环境，操作起来也更加方便，实现本发明的目的。

但上述发明申请公开的技术方案无法解决由于虚拟环境组件或其系统信息数据库内容不正确造成的虚拟环境创建失败，无法模拟重现原来的状态，直接导致仿真失败的问题。当计算机动态仿真通常在遇到虚拟环境创建失败后就无法进行下一步操作，或者仅有一些十分有限的措施，现有技术还未有有效的途径用于解决上述问题。

发明内容

本发明的目的在于克服现有技术的不足，提供一种能够克服由于虚拟环境组件或其系统信息数据库内容不正确造成的虚拟环境创建失败，无法模拟重现原来的状态，直接导致仿真失败的问题，实现虚拟环境智能修复的计算机动态仿真方法。

本发明所述的方法不但能够从根本上使存在的问题得到有效解决，产生显而易见的实际效果，同时在支持的范围内要求横跨众多操作系统。其支持的对象包括但不限于：Windows2000，Windows XP（x86，x64），Windows 2003（x86，x64），Windows Vista（x86，x64），Windows 2008（x86，x64），Windows 7（x86，x64），Windows 8（x86，x64），各版本Linux，基于X86架构的Macintosh，Unix操作系统。

本发明的技术方案如下：

一种虚拟环境智能修复的计算机动态仿真方法，包括步骤：

1）定义虚拟环境组件、虚拟环境组件的系统信息数据库内容；

2）从正常工作的虚拟机内扫描搜索虚拟环境组件、虚拟环境组件的系统信息数据库内容，如果符合定义条件，则记录，否则忽略；

3）根据欲仿真对象的操作系统类型、版本、CPU指令集种类创建并填充仿真虚拟文件，仿真虚拟文件包含仿真所需的虚拟环境组件、虚拟环境组件的系统信息数据库内容；

4）通过虚拟重构技术，把存在于欲仿真对象的虚拟存在的目标重构为虚拟容器；