本發(fā)明涉及電子數(shù)據(jù)取證，特別是涉及一種私有云環(huán)境下的基于鏡像仿真的取證方法。

背景技術：

1、鏡像仿真是電子數(shù)據(jù)取證的關鍵技術，可以創(chuàng)建被調查設備的一致副本，確保證據(jù)完整性和可靠性，利于分析取證、備份保存、隔離保護原始證據(jù)?，F(xiàn)有鏡像仿真技術都是基于目標硬件的完整鏡像文件來進行鏡像仿真，存在以下問題：

2、本地環(huán)境資源配置較低、可擴展性差、性能開銷大、不能多人協(xié)作；

3、仿真流程需要經過格式的轉換，鏡像格式轉換通常需要重新編碼和重新組織鏡像數(shù)據(jù)，轉換過程中的數(shù)據(jù)復制和壓縮操作也會增加系統(tǒng)開銷和延遲；

4、鏡像格式轉換過程中出現(xiàn)任何錯誤，都可能導致鏡像文件的部分數(shù)據(jù)丟失或損壞。

5、因此，針對大容量鏡像文件的鏡像仿真尤其在需要虛擬機多開的場景下，是一個非常耗時的過程，需要一種方法能夠解決上述問題。

技術實現(xiàn)思路

1、本發(fā)明所要解決的技術問題是提供一種私有云環(huán)境下的基于鏡像仿真的取證方法，能夠提高取證工作的效率和證據(jù)安全性。

2、本發(fā)明解決其技術問題所采用的技術方案是：提供一種私有云環(huán)境下的基于鏡像仿真的取證方法，包括以下步驟：

3、獲取目標系統(tǒng)鏡像作為源鏡像，并創(chuàng)建所述源鏡像的差分鏡像；

4、云端計算服務獲取所述差分鏡像，并啟動虛擬機進行基于鏡像仿真的取證操作，所述虛擬機在啟動時將所述差分鏡像應用于所述源鏡像，使所述取證操作完整記錄在所述差分鏡像上。

5、進一步的，所述云端計算服務獲取所述差分鏡像的步驟之前，還包括：

6、將創(chuàng)建的所述差分鏡像通過鏡像存儲服務上傳，并在其元數(shù)據(jù)中添加所述源鏡像的存儲路徑和所述源鏡像的掛載路徑。

7、進一步的，所述云端計算服務獲取所述差分鏡像是采用鏡像存儲服務將所述差分鏡像下載至云端計算服務來實現(xiàn)的。

8、進一步的，所述獲取所述差分鏡像的步驟與所述啟動虛擬機進行基于鏡像仿真的取證操作的步驟之間，還包括：

9、從所述差分鏡像的元數(shù)據(jù)中讀取所述源鏡像的存儲路徑和所述源鏡像的掛載路徑；

10、根據(jù)讀取到的信息檢查所述源鏡像是否存在，如果存在則啟動所述虛擬機，否則結束本次鏡像仿真。

11、進一步的，所述啟動虛擬機進行基于鏡像仿真的取證操作，包括以下步驟：

12、將所述源鏡像的存儲路徑掛載到所述源鏡像的掛載路徑，啟動虛擬機加載所述源鏡像并將所述差分鏡像應用于所述源鏡像后，進行基于鏡像仿真的取證操作。

13、進一步的，對所述虛擬機進行重啟操作時，包括以下步驟：

14、檢查所述源鏡像的掛載情況，如果已掛載則重啟所述虛擬機，否則將所述源鏡像的存儲路徑掛載到所述源鏡像的掛載路徑后，再重啟所述虛擬機。

15、進一步的，采用linuxmounter對所述源鏡像進行掛載。

16、進一步的，所述創(chuàng)建所述源鏡像的差分鏡像，包括：

17、將所述源鏡像掛載至第一路徑；

18、創(chuàng)建所述源鏡像的差分鏡像，并取消源鏡像掛載。

19、有益效果

20、由于采用了上述的技術方案，本發(fā)明與現(xiàn)有技術相比，具有以下的優(yōu)點和積極效果：本發(fā)明通過創(chuàng)建目標系統(tǒng)鏡像的差分鏡像，利用虛擬機構造鏡像仿真環(huán)境，在啟動時將差分鏡像應用于所述源鏡像，使整個鏡像仿真過程記錄在差分鏡像上，保證了源鏡像與仿真出的磁盤隔離，在對仿真的虛擬機進行操作時不會影響源鏡像；本發(fā)明通過linuxmounter對源鏡像進行掛載，能直接對掛載鏡像進行常規(guī)讀取使用，無需轉換格式；本發(fā)明通過私有云作為鏡像仿真環(huán)境，避免了各類型鏡像在仿真時出現(xiàn)的硬件設備限制，且不同服務間只需傳輸較小的差分鏡像，充分發(fā)揮了私有云的靈活性和自動化優(yōu)勢，加速了整個仿真的過程；本發(fā)明尤其適合針對同一源鏡像同時開啟多個虛擬機執(zhí)行不同仿真任務的場景，能夠最大限度的減少資源浪費，提高仿真效率。

技術特征：

1.一種私有云環(huán)境下的基于鏡像仿真的取證方法，其特征在于，包括以下步驟：

2.根據(jù)權利要求1所述的方法，其特征在于，所述云端計算服務獲取所述差分鏡像的步驟之前，還包括：

3.根據(jù)權利要求2所述的方法，其特征在于，所述云端計算服務獲取所述差分鏡像是采用鏡像存儲服務將所述差分鏡像下載至云端計算服務來實現(xiàn)的。

4.根據(jù)權利要求2所述的方法，其特征在于，所述獲取所述差分鏡像的步驟與所述啟動虛擬機進行基于鏡像仿真的取證操作的步驟之間，還包括：

5.根據(jù)權利要求2所述的方法，其特征在于，所述啟動虛擬機進行基于鏡像仿真的取證操作，包括以下步驟：

6.根據(jù)權利要求5所述的方法，其特征在于，對所述虛擬機進行重啟操作時，包括以下步驟：

7.根據(jù)權利要求6所述的方法，其特征在于，采用linuxmounter對所述源鏡像進行掛載。

8.根據(jù)權利要求1所述的方法，其特征在于，所述創(chuàng)建所述源鏡像的差分鏡像，包括：

技術總結
本發(fā)明涉及一種私有云環(huán)境下的基于鏡像仿真的取證方法，包括以下步驟：獲取目標系統(tǒng)鏡像作為源鏡像，并創(chuàng)建所述源鏡像的差分鏡像；云端計算服務獲取所述差分鏡像，并啟動虛擬機進行基于鏡像仿真的取證操作，所述虛擬機在啟動時將所述差分鏡像應用于所述源鏡像，使所述取證操作完整記錄在所述差分鏡像上。本發(fā)明能夠避免各類型鏡像在仿真時出現(xiàn)的環(huán)境限制和資源浪費，提高鏡像仿真的效率，保證了源鏡像與仿真出的磁盤隔離，進而提高了取證工作的效率和證據(jù)安全性。

技術研發(fā)人員：李桂林,陸道宏,錢志高,沈永安,鄧其超,朱正陽,于宣宣,薛奔,繆郭洋,劉永昌,鄭曉峰,吳雪琴,曾桐舉,李鵬輝
受保護的技術使用者：上海弘連網絡科技有限公司
技術研發(fā)日：
技術公布日：2025/1/9