技術共有: KVM 仮想化を使用して証拠を収集するにはどうすればよいでしょうか?

仮想化技術はますます広く使用されるようになっています。国内の仮想化市場においては、5年間で売上が2桁成長を続けています。フォレンジック業界に携わる私たちにとって、仮想化関連の知識を理解することも急務です。本日は、Meiya の技術専門家が Linux KVM 仮想化テクノロジーを使用したフォレンジック調査をご紹介します。

KVM とは何ですか?

KVM はカーネルベースの仮想マシンの略で、オープンソースのシステム仮想化モジュールです。 Linux 2.6.20 以降、すべての主要な Linux ディストリビューションに統合されています。管理には Linux 独自のスケジューラを使用しており、シンプルで使いやすいです。これは、Linux システムにおける主流の仮想化ソリューションの 1 つです。

[[239314]]

KVM仮想マシンの作成

KVM 仮想マシンは、コマンドまたはグラフィカル管理インターフェイスを通じて作成できます。仮想マシンを作成することはフォレンジックにはあまり役立ちませんが、仮想マシンを作成するときのハードディスク ファイルの保存場所は、フォレンジックのために確認する必要があるものです。そのため、ハードディスク ファイルの保存場所を直感的に表示して理解できるように、ここではグラフィカル インターフェイスを使用した簡単なデモンストレーションを使用します。

1. virt-manager コマンドを使用するか、デスクトップ環境で「システム ツール」を見つけて、仮想マシン管理プログラム「Virtual Machine Manager」を開きます。管理プログラムが実行されると、下図のように表示されます。

2. [新規] を選択すると、下の図に示すように [新しい仮想マシン] ダイアログ ボックスがポップアップ表示されます。

3. 必要に応じて関連オプションを設定すると、ハードディスクのファイルの保存場所は次の図のようになります。

4. 上の図からわかるように、新しいハードディスク ファイルを作成することも、既存のハードディスク ファイルを選択することもできます。ここでは、2 番目のオプション「管理対象またはその他の既存のストレージを選択する」を選択し、「参照」をクリックします。下図のようなダイアログ ボックスがポップアップ表示され、デフォルトのハード ディスク ファイルの場所が既に表示されます。

5. 新しいボリュームを作成する「新しいボリューム」、またはローカルで参照する「ローカルを参照」を選択できます。ローカル ブラウジングでは、ハード ディスク ファイルを他の場所に保存できます。下の図に示すように、tmp ディレクトリに 11111111 という名前のハードディスク ファイルが作成されますが、linu はファイルの種類を識別するためにサフィックスを使用しないため、ファイルにはサフィックスがありません。

6. ハードディスクには多くのファイル形式があります。最もよく使用されるのは、raw、qcow2、vmdk です。 Linux のバージョンによって形式が異なる場合があります。次の図は、Ubuntu 16.04 でサポートされているハードディスク ファイル形式を示しています。

ハードディスクのファイル保存ディレクトリがデフォルトの方法で作成される場合、それは/var/lib/libvirt/images/にあります。

以上が仮想マシンの作成とハードディスクストレージに関する設定の手順です。通常のフォレンジック プロセス中に、仮想マシンが正常に作成されました。作成された仮想マシンのハードディスクファイルが保存されている場所を確認するにはどうすればよいですか?

KVM から証拠を収集するにはどうすればいいですか?

フォレンジックにとって最も重要なことは、仮想マシンに保存されているデータを抽出することです。データが保存されている場所を特定し、関連データを取得し、フォレンジック ツールを使用して分析するにはどうすればよいでしょうか。

1. KVM仮想マシンのファイル保存場所を確認する方法

方法1: コマンドを使用してハードディスクファイルの保存場所を確認する

1. KVM仮想マシンリストを表示する

[root@Bance ~]# virsh list –all

コマンドが正常に実行されると、次の画面が表示されます。下の図に示すように、3 つの仮想マシンがあることがわかります。

2. XP仮想マシンの構成ファイルを表示する

[root@Bance ~]# virsh edit xp

コマンドが正常に実行されると、次の画面が表示されます。

上図に示すように、構成ファイルのディスク タイプ オプションは、XP 仮想マシンのハード ディスク ファイルに関連する情報を定義します。ソース ファイルで定義されている /var/lib/libvirt/images/xp.img は、XP 仮想ハード ディスクのストレージ パスです。

3. 下の図に示すように、「ll /var/lib/libvirt/images/」を通じてハードディスク ファイルが存在するかどうかを確認できます。

方法2: グラフィカルインターフェイスを使用してハードディスクのファイルの場所を表示する

1. virt-manager コマンドを使用するか、デスクトップ環境で「システム ツール」を見つけて、下の図に示すように、仮想マシン管理プログラム「Virtual Machine Manager」を開きます。

2. ハイパーバイザーを開くと、次の図が表示され、図には 3 つの仮想マシンも表示されます。

3. XP 仮想マシンをダブルクリックして、次のインターフェイスを開きます。

4. 「詳細」を選択して、XP 仮想マシンの詳細情報を確認します。

5. ハードディスク ファイルに関連する情報を表示する場合は、下の図に示すように、ディスク関連のオプションを選択します。

6. 場所を確認したら、対応するファイルをローカル コンピューターにダウンロードし、Forensic Master を使用して分析します。

方法 3: 設定ファイルに精通している場合は、修正後に Forensic Master を通じて証拠を直接表示できます。

デフォルトでは、設定ファイルは /etc/libvirt/qemu/ にあります。以下に示すように、Forensic Master を使用して構成ファイルを読み込み、表示します。

2. 仮想マシンのハードディスクファイルをエクスポートする方法

方法 1: 証拠が修正され、構成ファイルを通じてハードディスクのファイルの保存場所が確認された場合は、Forensic Master を使用して直接エクスポートできます。

Forensic Master の使い方は皆さんもよくご存知だと思いますので、ここでは詳しく説明しません。

方法 2: デバイスが大規模な商用プラットフォームであり、サーバー証拠に固定できず、リモートでのみ操作できる場合は、FTP などのツールを使用して、必要なファイルをローカル コンピューターにダウンロードできます。

下の図に示すように、Xftp ツールを使用して必要なハードディスク ファイルをダウンロードします。

三つ。 KVMハードディスクファイルの分析方法

ファイルをエクスポートした後、Forensic Master などのフォレンジック ソフトウェアを使用して直接分析できます。現在、Forensic Master は *.img および *.qcow2 形式のフォレンジック分析をサポートできます。

概要: 今日、仮想化アプリケーションはますます普及しています。仮想化ソリューションのフォレンジックも、私たちの仕事で遭遇する可能性がある状況です。今日私が皆さんにシェアするものも、個人的な研究の結果です。法医学で遭遇するすべての問題を網羅することはできません。 KVM 仮想化ソリューションと同様に、Linux システムによっても多少の違いがあります。フォレンジックが必要な状況に遭遇した場合は、ルーチンに従うのではなく、実際の状況に応じて統合する必要があります。