尽管虚拟化的主要目的是为每个实例操作系统提供不共享内存空间的“容器化”环境,但是是否有技术可以在在线或离线(暂停)虚拟机上进行取证?
问题偏向于我希望不存在这种可能性的事实,但同样,我担心的是,用非常外行的话来说,当你暂停虚拟机时,内存应该被“转储”到主机上的某个地方,以便稍后恢复它。
在这种情况下,是否有可能从虚拟机访问(只读)敏感信息?如果是,是否有针对此类事件的缓解程序,以及如何正确应用这些程序?
尽我所能,
布鲁诺
答案1
虚拟机物理内存通常以主机操作系统上的文件形式呈现。
对于 Hyper-V – VM 文件夹中的 VMRS 文件。Microsoft 还提供了一款转换器 -https://github.com/CSS-Windows/WindowsDiag/tree/master/SHA/vm2dmp
对于 ESXi – VMEM 文件。以下是有关如何转换为 dmp 的说明 -https://support.arcserve.com/s/article/206136986?language=en_US
答案2
您应该认为是的。
这取决于产品。例如,Hyper-V 生产检查点不包括内存。对于 VMWare,创建快照并提取内存相当简单。
缓解措施也将根据产品而有所不同。Microsoft Hyper-V 2016 及更高版本具有 Shielded VM/Virtual TPM/BitLocker。VMWare VSphere 6.7 及更高版本具有 VM 级磁盘加密/加密 VMotion/Virtual TPM,虽然我不确定它是否具有与 Shielded VM 相同的功能,但肯定比不使用它要好。
我不知道市场上还有其他任何虚拟机管理程序具有此功能。