web-dev-qa-db-ja.com

仮想マシンのメモリ空間フォレンジック

仮想化の主なポイントは、メモリ空間を共有せずにインスタンス化されたすべてのOSに対して「コンテナー化」された環境を持っているという事実にもかかわらず、オンラインまたはオフライン(一時停止)の仮想マシンでフォレンジックを行う手法はありますか?

質問はそのような可能性がないことを望んでいるという事実に偏っていますが、私の懸念は、非常に簡単に言えば、仮想マシンを一時停止すると、メモリがホストのどこかに「ダンプ」されて、後で復元します。

VMから機密情報にアクセスする(読み取り専用)ことは可能ですか?その場合、そのようなイベントの緩和手順はありますか?それらを適切に適用する方法はありますか?

最善を尽くして

ブルーノ

4
bbanelli

仮想マシンの物理メモリは通常、ホストオペレーティングシステム上のファイルとして提供されます。

Hyper-Vの場合-VMフォルダー内のVMRSファイル。Microsoftからのコンバーターもあります- https://github.com/CSS-Windows/WindowsDiag/tree/master/ SHA/vm2dmp

ESXiの場合– VMEMファイル。ここでは、dmpに変換する方法について説明します- https://support.arcserve.com/s/article/206136986?language=en_US

4
batistuta09

そうだと思います。

製品により異なります。たとえば、Hyper-Vプロダクションチェックポイントにはメモリが含まれていません。 VMWareの場合、スナップショットの作成とメモリの抽出はかなり簡単です。

軽減策も製品によって異なります。 Microsoft Hyper-V 2016以降には、シールドされたVM /仮想TPM/BitLockerがあります。 VMWare VSphere 6.7以降にはVMレベルのディスク暗号化/暗号化されたVMotion /仮想TPMがありますが、Shielded VMと機能的に同等かどうかはわかりませんが、使用しないよりはましです。

この機能を備えた他のハイパーバイザーについては知りません。

2
Greg Askew