bba*_*lli 4 security virtualization forensic-analysis forensics
尽管虚拟化的要点是在不共享内存空间的情况下为每个实例化操作系统提供“容器化”环境,但是否有技术可以在在线或离线(暂停)虚拟机上进行取证?
问题偏向于我希望没有这种可能性的事实,但同样,我担心的是,用非常外行的话说,当您暂停虚拟机时,内存应该“转储”在主机上的某处,以便稍后恢复。
在这种情况下,是否可以从 VM 访问(只读)敏感信息?如果是,是否有针对此类事件的缓解程序?应如何正确应用这些程序?
尽我所能,
布鲁诺
虚拟机物理内存通常在主机操作系统上显示为文件。
对于 Hyper-V – VM 文件夹中的 VMRS 文件。还有一个来自微软的转换器 - https://github.com/CSS-Windows/WindowsDiag/tree/master/SHA/vm2dmp
对于 ESXi – VMEM 文件。这是一个说明,如何转换为 dmp - https://support.arcserve.com/s/article/206136986?language=en_US