虚拟化在犯罪分析上的应用
虚拟化另一项关于安全方面的应用就是犯罪分析。FBI曾经登门VMware,向专家请教如何拷贝犯罪分子硬盘里的内容到虚拟机上并进行分析。现在整个过程已经自动化了,叫做“物理向虚拟的迁移”(P2V)。它能创建一个物理机精确的工作状态的拷贝,而不改变任何数据,同时还能包括隐藏和加密的分区。
迁移过程是很简单的,只用通过线路传导,几分钟之内,数据就传到了虚拟机上。但问题是即使在现在,我们在操作过程中也需要关闭源主机。这在安全专家看来,这就意味着大量爆炸性信息的丢失。
当前P2V方案的供应商主要是Leostream、PlateSpin,还有VMware本身。其他刚刚崭露头角的公司则采取提供免费的迁移工具来分占一部分市场。赛门铁克的LiveState也采用了P2V方案,因为这种把数据和格式向空的虚拟机中填充的做法与它以往的技术有相似之处。
不过P2V也不是虚拟化进行犯罪分析的唯一手段。在虚拟机简化测试中表现非常好的的是一款叫Snapshots的工具,当然也是虚拟化犯罪分析的非常好的工具。
借助Snapshots,虚拟化软件能完整保存下操作系统的镜像。这样对于运行测试版或不稳定的应用软件就能起到安全保障的作用,即使因为不稳定造成的故障问题,也能通过还原恢复系统。不得不提的是,Snapshots可以工作在虚拟机没有启动的状态下。当虚拟机是关的状态时,一切数据都是存在标有还原点的虚拟硬盘上;如果虚拟机是开的话,一切信息则保存在镜像文件中。
关于当前的安全防范问题,有一款叫zero-day的工具引起了我们的注意。它能查找一些系统的新漏洞而不会被最新的防卫软件察觉,还能给黑客提供清理日志、删除使用过工具的功能,这样黑客就隐藏了自己的踪迹。
传统上我们针对黑客入侵,主要是依赖“主机入侵检测系统”(HIDS),它能跟踪分析文件及内存里信息的变化,并通过网络传到专门的日志记录设备上。但这样,价格昂贵且不说,而且还占用了受保护服务器的大量资源。再加上它也不是能保护每台你想要保护的服务器,所以安全问题依旧存在。
现在,虚拟化的出现为这个问题的解决提供了廉价且高效的代替方案。前面提到的Snapshots又派上了用场,它可以照下RAM或硬盘中的zero-day的踪迹,记录黑客入侵的日志也能在被删除之前被保存下来。它的神奇之处还不仅于此,Snapshots保存下的还原点还能在不同的主操作系统环境下被虚拟机运行。总的说来,随着虚拟化的发展,为犯罪分析注入了前所未有的动力。
