XenServer虚拟化平台取证方法研究

邵炳阳　田庆宜　沈长达　吴少华

摘   要：服务器虚拟化技术的引入为企业带来便利的同时，也为取证人员带来了挑战。文章深入研究了XenServer服务器系统的体系结构，重点阐述了XenServer服务器磁盘数据存储和管理方式，提升取证人员对XenServer虚拟化服务器的取证能力，为取证人员在XenServer服务器证据固定、取证分析等工作的开展，提供基础指导以及取证思路。

关键词：虚拟化;XenServer;服务器取证;虚拟磁盘

中图分类号：TN915.08          文献标识码：B

Research on forensic method of XenServer virtualization platform

Shao Bingyang， Tian Qingyi， Shen Changda， Wu Shaohua

（Xiamen Meiya Pico Information Co.，Ltd.， FujianXiamen 361008）

Abstract： XenServer is a server virtualization system developed by Citrix， which aims to provide enterprises with a dynamic and automated server virtualization solution. The introduction of server virtualization technology has brought convenience to enterprises， but also brought challenges to forensics work. This paper studies the architecture of XenServer， focuses on the disk data storage management， which enhances the forensic officer's ability to obtain evidence from XenServer， and provides for the forensic officer to carry out the work of XenServer evidence fixation and forensic analysis and provide basic guidance and evidence-taking ideas.

Key words： virtualization; XenServer; server forensic; virtual disk

1 引言

虛拟化技术可以对物理资源抽象为逻辑资源，以此达到对物理资源的最大化利用。本文首先对服务器虚拟化技术进行介绍，对企业传统服务器的服务器架构以及引入虚拟化技术之后的服务器架构进行对比。XenServer是目前市面上主流的虚拟化服务器之一，本文以XenServer虚拟化服务器为例，着重介绍了XenServer虚拟化服务器的体系结构、存储方式以及XenServer虚拟化服务器在线及离线状态下的取证思路。

2  虚拟化技术

服务器虚拟化技术可以对服务器硬件资源进行虚拟化统筹管理，在服务器中创建多个虚拟机以支持新需求[1]。XenServer有效地整合服务器工作负载，更有效地适应不同企业中不断变化的IT环境，能够对企业现有的硬件进行优化并有效提高IT可靠性，总体可以将IT成本降低50%甚至更多。同时XenServer可以对企业服务器工作负载进行优化，提升服务器的性能和资源利用率，同时改进资源池内的服务器准备情况以便始终保证性能，帮助企业加快向生产环境中交付新应用的速度。

虚拟化就是使用某些程序对计算机资源进行逻辑表示，使之不受物理运行环境的限制，从而可以采用通用的方式查看、访问和维护计算机资源[2]。企业传统的服务器均采用单机运行方式，当企业面临新需求时，就需要增加一台新的服务器给予支持。长此以往直接导致了企业服务器的数量急剧扩展，企业运行的成本直线上升，数据中心的复杂程度也不断提高等诸多问题。企业服务器传统单机运行模式的架构图如图1所示。

虚拟化技术的引入打破了传统企业服务器单机运行的模式，通过虚拟化技术可以让企业在一台服务器上面同时运行多个虚拟机，为企业提供不同的需求支持。服务器虚拟化作为一种主流的应用技术，可以减少投资，增加资源的利用率，快速提高IT响应速度和灵活性[3]。服务器虚拟化技术运行模式架构图如图2所示。

企业传统服务器采用的单机运行模式，缺乏灵活性，资源利用率低[4]，且不同服务器的工作负载不均，有的服务器工作负载极高，有的服务器工作负载却极低，无法将硬件资源有效整合，使服务器的资源得到最有效地利用[5]。而服务器采用虚拟化技术运行模式则可以统筹所有硬件资源，通过虚拟化管理层动态调整服务器负载能力，调高服务器硬件资源的利用率并有效地降低成本。同时，通过服务器虚拟化技术提供的系统，系统的可用性、灵活性更高，可以提高服务器整体的服务水平[6]。

当前，服务器虚拟化管理软件中主流的管理软件有VmWare，微软和思杰提供的商业软件以及Kvm、VirtualBox和Xen等为代表的开源软件。虚拟化技术在为企业带来方便的同时，也对计算机取证带来了新的挑战。

3  XenServer虚拟化平台

3.1 XenServer虚拟化平台架构

XenServer虚拟化平台，是一款全面的、方便管理的服务器虚拟化平台。XenServer可以虚拟化物理服务器的系统资源，将多个不同的操作系统统一到同一个物理硬件平台上进行管理，可以对服务器的处理器、内存、网络、存储等硬件资源进行虚拟化并统筹进行管理，提高系统资源的利用率[7]。

XenServer所采用虚拟化技术是虚拟化技术中最为快速，并且是最为安全的，XenServer直接在物理硬件上安装一个虚拟化管理层，在服务器物理硬件和操作系统之间提供一个抽象层，让每台物理服务器可运行多台虚拟服务器，将操作系统及其应用从底层物理服务器有效分离出来[8]。XenServer运行架构图，如图3所示。

XenServer虚拟化管理软件将企业中所有的CPU、内存以及存储等相关硬件资源统筹管理，对于不同企业新需求直接虚拟化出新的虚拟机对其进行支持扩展，将操作系统与实际物理硬件资源独立开，提高了企业资源利用率。

3.2 XenServer的虚拟机管理

XenServer属于Linux操作系统，安装于服务器之上，系统安装完成后可以对物理硬件进行虚拟化管理，允许用户在该虚拟化平台上创建虚拟机和管理虚拟机。XenServer安装后系统界面如图4所示。

XenServer服务器对整个系统硬件进行虚拟化管理，将整个物理硬件进行统筹管理。用户可以通过XenServer服务器直接在该虚拟化平台上创建虚拟机操作，也可以通过在Windows上安装XenServer管理软件XenCenter，然后在该虚拟化平台上创建虚拟机操作。XenCenter连接到XenServer服务器后管理软件界面如图5所示。

在XenCenter上可以查看当前虚拟化平台的各种信息，可以查看当前虚拟化平台上所有物理硬件资源的使用情况，如当前系统安装的总内存、当前虚拟机已使用的内存大小、当前系统安装的存储磁盘大小、当前已经分配的存储空间大小、CPU、网络等各种信息。同时，可以查看当前所有已经安装的虚拟机的相关信息，包括已经分配的磁盘空间大小。XenServer虚拟化平台打破了传统服务器安装维护复杂、扩展性差的问题，对于当前虚拟化平臺中创建的任意虚拟机，系统都可以对其进行扩展，如扩展内存大小、扩展存储空间等操作。

4 XenServer取证

XenServer虚拟化平台对整个服务器进行虚拟化，对取证工作也带来了一些挑战。对于取证工作来说，最重要的一步就是对证据的固定，提取相关数据。对于XenServer虚拟化平台管理的服务器，需要解决如何获取服务器中所有数据的难题，并对获取到的数据加以取证。

4.1 XenServer服务器在线取证

XenServer服务器在线情况下，可以借助XenCenter管理工具进行取证操作。XenCenter管理工具可以对运行中的服务器进行管理操作，在XenServer仍然处于运行状态下，采用XenCenter管理工具对当前服务器中的虚拟机进行备份导出操作，使用XenCenter对运行的服务器中的虚拟机备份和导出结果示例如图6所示。

虚拟机的数据采用VHD镜像格式的虚拟磁盘进行存储，导出虚拟机的虚拟磁盘之后，即可采用主流的电子数据取证工具对该服务器虚拟机进行取证。图7是采用取证工具对导出来的虚拟机进行取证的结果示例。

4.2 XenServer服务器离线取证

当XenServer服务器关机情况下，无法通过虚拟机备份取证的方式进行取证，此时只能直接分析XenServer的磁盘结构。本文对一个安装有两个虚拟机的XenServer服务器进行实验与分析，总结并介绍XenServer服务器的磁盘存储格式。

通过上述分析，XenServer虚拟化服务器采用VHD镜像格式来存储虚拟化服务器中的磁盘数据，以下将对XenServer服务器进行分析，实验并验证XenServer管理并存储这些VHD镜像格式的磁盘的方式。实验中直接固定XenServer虚拟化服务器硬盘，采用主流取证工具对XenServer服务器磁盘进行加载分析，具体结果如图8所示。

在本实验中，对取证工具中解析的XenServer磁盘布局进行分析，除了分区1[hda0]以及分区5[hda4]两个分区能够正常解析分区数据以外，其余分区都无法正常解析具体信息。同时经过取证分析后发现分区1[hda0]与分区5[hda4]分别是系统分区以及系统备份分区，对这两个分区取证只能分析当前服务器的相关数据，无法确认具体虚拟机相关数据。

分析过程中可以发现XenServer虚拟化服务器采用了LVM2逻辑卷管理的方式对服务器中剩余的磁盘空间进行管理，使用取证工具对已经加载的XenServer磁盘进行动态磁盘解析，具体结果如图9所示。

使用取证工具对XenServer服务器磁盘进行动态磁盘扫描之后，发现可以分析出4个动态磁盘，结合XenCenter工具进行分析，此XenServer服务器中安装有3个虚拟机，并创建有3个虚拟磁盘。通过对此解析出来的跨区卷进行分析，发现解析出来的这两个动态磁盘就是XenServer当前已经动态分配出去的虚拟磁盘。XenServer服务器以VHD磁盘格式作为虚拟机的磁盘存储，解析出来的跨区卷即为XenServer服务器中已经分配给虚拟机的虚拟磁盘，具体结果如图10所示。

至此，采用取证工具分析XenServer服务器中虚拟机数据结束。

5  结束语

随着服务器虚拟化技术的普及，取证人员将会越来越多地遇到此类虚拟化服务器取证相关的任务。本文从服务器虚拟化技术着手，在重点对XenServer服务器虚拟化系统进行深入研究的基础上，介绍了XenServer服务器的整体架构以及虚拟机的管理方式，并提出XenServer虚拟化服务器取证的思路。

参考文献

[1] 韩寓.服务器虚拟化技术研究与分析[J].微型电脑应用，2011.

[2] 郭春梅，孟庆森，毕学尧.服务器虚拟化技术及安全研究[J].信息网络安全，2011.

[3] 刘刚.服务器虚拟化技术[J].硅谷，2012（15）.

[4] 李永，胡伟.虚拟机Xen体系结构分析[J].科技风，2009（12）.

[5] 马喆，禹熹，袁傲，易晓磊，沈晴霓.Xen安全机制探析[J].信息网络安全，2011（11）.

[6] 孟江涛，卢显良，董贵山.Xen的虚拟机网络优化研究[J].电子科技大学学报，2010（1）.

[7] 陈刚.XenServer资源池构建及远程接入访问控制部署[J].电信快报，2013（10）.

[8] 汤泉，李小勇.文件支持的Xen存储虚拟化研究[J].计算机工程与应用，2009（16）.