| 发明名称 | 计算机虚拟化取证的实现方法 | ||
| 摘要 | 本发明提供一种计算机虚拟化取证的实现方法,通过在取证专用计算机系统中以虚拟化的方式启动,获得了被取证计算机系统启动后一样的操作界面和环境,不会改写存储设备的原始数据,确保取证过程中不会对被取证存储设备上的文件进行修改,在虚拟化的环境中进行取证操作时,看到的不再仅仅是计算机存储介质上的文件和数据,还可以看到操作系统运行环境和用户环境,操作起来也更加方便,实现本发明的目的。 | ||
| 申请公布号 | CN101645048A | 申请公布日期 | 2010.02.10 |
| 申请号 | CN200910194667.9 | 申请日期 | 2009.08.27 |
| 申请人 | 公安部第三研究所 | 发明人 | 胡永涛;侯强;高峰;姚静晶;张勇;黄刚;王国丰 |
| 分类号 | G06F12/16(2006.01)I;G06F9/455(2006.01)I;G06F9/445(2006.01)I | 主分类号 | G06F12/16(2006.01)I |
| 代理机构 | 上海天翔知识产权代理有限公司 | 代理人 | 刘粉宝 |
| 主权项 | 1、一种计算机虚拟化取证的实现方法,其特征在于,它包括如下步骤:(1)将被取证计算机系统中的存储设备卸下,并将存储设备复制成多个存储设备,复制后的存储设备中的数据与被取证计算机系统中的存储设备中数据的位置一一对应且数据内容完全相同;(2)将步骤(1)中的存储设备通过接口转换装置以取证专用计算机系统中附加存储设备的形式挂接在取证专用计算机系统中;(3)启动取证专用计算机系统中的操作系统,提取被取证计算机系统中的存储设备中的软硬件信息并生成虚拟化环境的配置文件,虚拟机系统按照配置文件将被取证的存储设备中的操作系统在虚拟机系统中以虚拟化的方式启动;(4)利用取证工具在虚拟机系统中进行取证工作,所有的取证工作中的写操作只会被记录在取证专用计算机系统中,被取证的存储设备上数据永远保持原始状态。 | ||
| 地址 | 200031上海市徐汇区岳阳路76号 | ||