尽管虚拟化的要点是在不共享内存空间的情况下为每个实例化操作系统提供“容器化”环境,但是否有技术可以在在线或离线(暂停)虚拟机上进行取证?
问题偏向于我希望没有这种可能性的事实,但同样,我担心的是,用非常外行的话说,当您暂停虚拟机时,内存应该“转储”在主机上的某处,以便稍后恢复。
在这种情况下,是否可以从 VM 访问(只读)敏感信息?如果是,是否有针对此类事件的缓解程序?应如何正确应用这些程序?
尽我所能,
布鲁诺
security virtualization forensic-analysis forensics
forensic-analysis ×1
forensics ×1
security ×1
virtualization ×1