Rad primljen: 21.09.2010. UDK: 343.983:004.

896

R aunarstvo i informatika

ZNAAJ VIRTUELNIH MAINA U DIGITALNOJ FORENZIKOJ ISTRAZI

THE IMPORTANCE OF VIRTUAL MACHINES IN DIGITAL FORENSIC INVESTIGATION

Prof. dr Mladen Veinovi Univerzitet Singidunum

Mr Igor Franc Univerzitet Singidunum

Mr Aleksandar Jevremovi Univerzitet Singidunum

Nenad Stani, master Univerzitet Singidunum

Rezime: U radu je predstavljen osnovni koncept virtuelnih maina, strutkura jedne virtuelne maine, opis svih fajlova od kojih se sastoji virtuelna maina (WMWare). Prikazan je nain prikupljanja relevantnih podataka sa takvih sistema za forenziku analizu kao i potreban softver. Prikazan i potpuno drugaiji koncept gde se, u stvari, virtuelna maina moe koristiti kao vrlo moan forenziki alat. Identifikovana su i ogranienja zbog kojih se virtuelna maina ne moe koristiti kao zamena za konvencionalne tehnike i metode digitlne forenzike istrage.Na kraju rada prikazano je kako se virtuelna maina moe koristiti i kao anti-forenziki alat. Kljune rei:Virtuelna maina, digitalna forenzika, VMWare, wmdk fajlovi, anti-forenziki alat.

Abstract: This paper presents the basic concept and structure of virtual machine. It shows the way to collect relevant data for DF investigation and introduces a different concept where the virtual machines can be used as forensic tools. It identifies constraints for which the virtual machine can not be used as a replacement for conventional techniques and methods for DF investigations. At the end the paper shows how the virtual machines can be used as an anti-forensic tools. Key words: virtual machines, digital forensic, VMWare, wmdk files, anti-forensic tools.

R A U N A R S T V O I I N F O R M AT I K A

1. UVOD U ovom radu bie obraena uloga virtuelizacije u toku digitalne forenzike istrage. Prvo e biti objanjen sam pojam ,,Virtuelna Maina (VM) a zatim e biti prikazano kako se sve VM moe koristiti u toku digitalne forenzike istrage. Takoe, bie rei i o tome kako se VM moe koristiti kao dokaz, a bie predstavljeni predlog kako da se VM koristi zajedno sa standardnim konvencionalnim (DD) prikupljenim digitalnim dokazom da bi se reio sluaj kompjuterskog incidenta. Bie rei i o tome kako se VM moe koristiti i kao moan forenziki alat pomou kojeg moemo prikupiti podatke, koji su neophodni u toku digitalne forenzike istrage. U poslednjem delu rada prikazano je i kako se VM moe koristiti kao antiforenziki alat, kojim se mogu prikriti tragovi koji su neophodni za dalju forenziku istragu, i samim tim spreiti normalan tok digitalne forenzike istrage. 2. VM VIRTUELIZACIJA Virtuelna maina (VM) je softver koji omoguava korisniku da na jednom raunaru kreira vie nezavisnih i izolovanih operativnih sistema sa razliitim podeavanjima samog hardvera (CPU, hard disk, memorija, mrene kartice, i ostale komponente) i sa razliitom vrstom operativnog sistema (OS) koji e se izvravati na njima. Korisnik moe da konrolie svaki sistem posebno, a moe ih koristiti izolovano ili povezati u raunarsku mreu. Ovakav pristup je vrlo moan i fleksibilan i tedi resurse, jer nije potrebno vie fizikih raunara, ve se hardver jedne

maina (host-a) deli izmeu vie VM. To funkcionie na sledei nain: raunar na kome se koristi VM zove se Host dok se sama VM koja je instalirana zove Guest. Jedan Host raunar moe imati vie Guest VM, a svi e koristi fizike resurse Host raunara istovremeno, kada je VM aktivna. Najjednostavnije se ovaj koncept moe opisati kao pokretanje vie virtuelnih kompjutera na jednom fizikom kompjuteru. Virtuelizacija nije nov koncept, prvi put je predstavljen 1960 godine na mainframe raunarima. Na personalnim raunarima je predstavljena 1990. godine, posle ega se pojavilo vie razliitih softverskih paketa za ovu namenu od kojih su najpoznatiji: VMWare, Microsoft Virtuel PC, Microsoft Hyper-V, Oracle VirtuelBox, XEN, QEMU, KVM i ostali. Poto su najpopularniji i najee korieni VMWare, Microsoft Hyper-V i Oracle VirtuelBox virtuelizacije, one e biti ukratko opisane. 2.1. MICROSOFT HYPER-V Microsoft Hyper-V [9], pod kodnim nazivom Viridian i ranije poznat kao Windows Server virtuelizacija, je hipervizor zasnovan na virtuelizaciji x86-64 sistema. Hyper-V postoji u dve prilino razliite verzije: Kao samostalni proizvod nazvan Microsoft Hyper-V Server 2008 R2 Kao deo sistema Microsoft Windows Server 2008 R2 Samostalna (Standalone) verzija Hyper-V je besplatna i to je varijanta operativnog sistema Windows Server 2008. Core koji ukljuuje punu funkcionalnsot

132

Hyper-V, a druge uloge Windows Server-a 2008. su onemoguene, a to su ogranieni Windows Servisi.
Slika 1: Hyper-V Virtuelizacija

Sistemski zahtevi Hyper-V Server-a su isti za sve podrane gostujue operativne sisteme, ali se razlikuju u sledeem: Minimalna RAM memorija: 1GB; Preporueno: 2GB ili vie; Maksimum 1TB Prostor na Hard disku: Minimum: 8GB; Preporueno: 20GB ili vie Sam fajl Microsoft Hyper-V servera je VHD koji je kompatibilan sa Virtuel Server 2005. i Virtuel PC 2004/2007. Sam fajl VHD sadri kompletan operativni sistem koji kasnije moe da se modifikujue. Stariji fajlovi VHD Virtuel Server-a 2005. i Virtuel PC 2004/2007. mogu se kopirati i koristiti u samom Windows Serveru 2008. Hyper-V okruenju, ali stariji ,,Dodaci Virtuelnih Maina zahtevaju uklanjanje pre migracije. Nakon migracije gostojui operativni sistem je konfigurisan i poinje da koristi Hyper-V. 2.2. ORACLE VIRTUELBOX Oracle VM VirtuelBox je x86 virtuelizacija softverski paket [8], izvorno izradjen od strane nemacke kompanije Innotek, koja je kupljena od strane kompanije Sun Microsystems, ali je sada razvijen od strane Oracle kompanije kao deo svoje porodice virtuelizacije proizvoda.

U okviru ove aplikacije dodatni gost operativni sistem poznat kao GuestOS moe da se uita i pokrene, svako sa svojim virtuelnim okruenjem. Preko VirtuelBox aplikacije omogueno je viestruko uitavanje gost operativnih sistema. Svaki od njih moe biti pokrenut, zaustavljen i nezavisno zaustavljen. Domai operativni sistemi i gostujui operativni sistemi mogu meusobno da komuniciraju preko mree, a mogua je i sama komunikacija izmeu vie gostujuih operativnih sistema. VirtuelBox podrava Intel i AMD virtuelizaciju hardvera. Hard diskovi su emulirani u poseban kontejner format pod nazivom Virtuel Disk Images koji nije kompatibilan sa drugim virtuelizacionim formatima. Obino uskladitene kao sistem datoteke na sistemu domaih operativnih sistema (sa VDI sufixom).
Slika 2: Oracle VirtuelBox virtuelizacija

R A U N A R S T VO I I N F O R M AT I K A

Alternativno, VirtuelBox ima jedinstvenu karakteristiku koja omoguava povezivanje sa iSCSI linkovima i koristi ih kao virtuelne hard diskove. Takoe, VirtuelBox moe da ita i da pie diskove u formatu VMDK i Microsoft Virtuel PC VHD formatu. To znai da virtuelna maina VirtuelBox moe da se podesi pomou diskova, koji su kreirani preko VMware-a ili Microsoft VirtuelPC.
133

R A U N A R S T V O I I N F O R M AT I K A

Takoe, VirtuelBox moe da koristi ISO fajlove preko CD/DVD. (Na primer, operativni sistem koj je veliine jednog DVD-a moe da se preuzme sa interneta i da se direktno koristi preko VirtuelBox aplikacije. Iako nema potrebe da se taj fajl prebacuje na sam DVD disk, takoe je mogue da se fiziki montiraju CD/DVD diskovi na samom VirtuelBox-u. 2.3. VMWARE Postoje tri razliita VMWare proizvoda (Workstation, Server i Player), koji se mogu koristiti za pokretanje i podeavanje virtuelnih maina. VMWare Workstation se najee koristi od svih i nije besplatan (osim to se moe koristiti 30 dana dok traje trial period). VMWare Server ima neto manje mogunosti u odnosu na Workstation, ali je zato besplatan i moe se potpuno besplatno instalirati i koristiti. VMWare Player je takoe potpuno besplatan proizvod, ali ne poseduje mogunost podeavanja VM-a to je neophodno za digitalnu forenziku istragu, i samim tim se ne moe koristiti za ovu namenu.
Slika 3: VMWare virtuelizacija

3. VIRTUELNA MAINA KAO DOKAZ Pre procesa analize u toku digitalne forenzike istrage potrebno je prvo pro134

nai lokaciju VM. esto je to vrlo jednostavan zadatak, jer mnogi korisnici ne menjaju podrazumevanu lokaciju za uvanje VM-a, koja je u sluaju VMWare folder pod imenom My Virtuel Machines a koji se nalazi u folderu, koji se kreira za svakog korisnika na datom raunaru. Moe se desiti da je za pristup ovom folderu potrebna lokalna administratorska ifra, jer korisnici imaju pravo da zatite svoje fajlove od ostalih korisnika na sistemu. Ukoliko se fajlovi ne nalaze na podrazumevanoj lokaciji, potrebno je traiti lokaciju fajlova koji se nekada mogu nalaziti i na nekom eksternom mediju, ili se ak moe desiti i da su fajlovi obrisani sa hard diska (ovde je potrebno imati u vidu da se vmdk, vdi i vhd fajlovi nee slati u Recycle Bin prilikom brisanja, zbog svoje veliine, ve se direktno briu). Ukoliko se sumnja da je na raunaru nekada postojala VM, a nemogu se pronai fajovi, onda je potrebno proveriti da li se moe negde na hard disku pronai My Virtuel Machines folder, i da li postoji bilo koji VM fajl koji moe da ukae na postojanje VM na tom raunaru: kao i to da li moda postoje podaci o uklonjenoj VMWare aplikaciji na samom sistemu. Evo kratkog prikaza ta se sve moe nai na hard disku, kao potencijalni pokazatelj da je tu nekada bila instalirana VM: Program icon ukoliko je VM aplikacija uklonjena ili obrisan folder sa VM aplikacijom, moe se desiti da se na hard disku i dalje negde nalazi ikonica samog programa. Dll fajlovi moe se desiti da se u windows system folderu jo uvek nalazi neki od dll fajlova koji nije obrisan tokom uklanjanja aplikacije.

 Temp folder posle uklanjanja VM aplikacije mogue je da se neto od fajlova jo uvek nalazi u Temp folderu OS. Lnk fajlovi, prefetch fajlovi i MRU potrebno je proveriti da li postoje tragovi u navedenim fajlovima. Regystri esto u registar bazi OS ostanu tragovi o nekim instaliranim programima, pa samim tim i VM aplikacijama, File associations mogue je videti da je za otvaranje odreene vrste fajlova podeana neka VM aplikacija u samom OS. Virtuel adapters prilikom instalacije odreenog VM softvera esto se kreiraju i neki virtuelni adapteri, na primer kod VMWare se uvek kreira VMware Network Adaptor, koji moe biti siguran pokazatelj da je na tom raunaru bila instalirana ova aplikacija. 3.1. PRIKUPLJANJE I OPORAVAK OBRISANIH ILI IFROVANIH VIRTUELNIH MAINA Osnovna stvar kod vraanja obrisanih fajlova jeste, prvo proveriti da li se oni nalaze u Recycle Bin-u. Kod VM fajlova to nije sluaj, jer su ovi fajlovi mnogo vee veliine i zbog limita se ne alju u Racycle Bin ve se briu direktno, ali postoji nain da se oni povrate za dalju digitalnu forenziku analizu. Poto je fajl dosta veliki (veliine i do nekoliko GB) neki put je mogue vratiti ga u potpunosti, a u nekim sluajevima mogue je povratiti samo delove VM (fragmente), koji se mogu koristiti u daljoj digitalnoj forenzikoj istrazi.

ifrovanje VM je vrlo sloen proces i moe se vriti kroz nekoliko razliitih slojeva (layer-a). Sam folder u kome se nalazi VM mogue je ifrovati odreenim osnovnim Windows algoritmom za tu namenu FDE (Full Disk Encryption), kao to je, na primer, softver BitLocker ili neki od programa za tu namenu. Dodatno i sam virtuelni operativni sistem moe biti ifrovan. Pristup sifrovanim fajlovima i pristup ifrovanom hard disku izlazi van okvira ovog rada tako da ovde nee biti objanjen. 3.2. RAZLIITI PRISTUPI PRAVLJENJA KOPIJE VM Standardno pravljanje imida u forenzikoj istrazi radi se na jedan od dva naina. Prvi nain: hard disk se prikljui na neku vrstu ureaja koji onemoguuje upisivanje sadraja, odnosno, koji garantuju da se sadraj hard diska nee promeniti (hardware write blockers). Drugi nain: raunar se podie sa nekog butabilnog diska (Helix, Knopix STD) i tada se moe koristiti i softverski nain blokiranja upisa (software write blockers). Tek posle ovog (kada je osigurano da nee doi do promene podataka na hard disku), mogue je nekim programom za tu namenu napraviti imid diska (FTKImager), kao na slici 4. to se VM tie, tu je stvar potpuno drugaija, jer VM predstavlja skup fajlova koje je potrebno kopirati, ali to nije dovoljno, jer se moe desiti da se na hard disku nalaze jo neki povezani fajlovi koji e kasnije biti neophodni u toku digitalne forenzike istrage. Takoe, moe se javiti problem sa MACE podacima koji se mogu

135

R A U N A R S T VO I I N F O R M AT I K A

R A U N A R S T V O I I N F O R M AT I K A

Slika 4 AccessData FTK Imager

Slika 5 Helix 3 live OS startovan na WMVare Workstation 6.5

izmeniti u odnosu na Host mainu koja se koristi, i samim tim unititi dalji tok digitalne forenzike istrage. Zbog svega navedenog kopiranje fajlova se ne smatra dobrom metodom za ovu namenu, ve je potrebno, prvo na standardan nain izvriiti forenziku akviziciju podataka, pa tek onda iz nje ekstraktovati VM fajlove i analizirati ih. Jo jedna od estih situacija jeste, da se na raunaru Host-u nalazi folder koji slui za razmenu podataka sa VM (shared folder) i ukoliko bi se podaci prikupljali samo prostim kopiranjem fajlova, do tih podataka vie ne bi mogli doi osim ako bi i dalje imali pristup datom raunaru, to je u nekim sluajevima potpuno nemogue. Ovde je bitno naglasiti da se VM moe
136

montirati i kao fiziki ureaj uz pomo raznih softverskih aplikacija i onda vriti analiza podataka. 3.3. ISTRAGA VM Istraga VM je skoro ista kao i standardno prikupljenog forenzikog imida. VM se moe istraivati na standardan nain kao imid, koji je napravljen od strane forenziara klasinom metodom. Meutim, VM sadri i meta podatke koji mogu biti vrlo korisni, jer daju razne dodatne informacije o VM i Host raunaru na kome se izvravala, koji mogu biti vrlo korisni forenziarima u toku digitalne forenzike istrage. Primer takvih podataka su MACE podaci koji mogu dati uvid

u to koji korisniki nalog se koristio na host raunaru kada se pristupano VM. Tu moemo videti i dodatne informacije o samom korisniku raunara, ili u najgorem sluaju samo korisniki nalog, koji je bio u upotrebi. 4. VIRTUELNA MAINA KAO FORENZIKI ALAT Ne tako davno podizanje forenzikog imida je trajalo nekoliko sati, pa i itav dan, i sastojalo se u tome, to se hard disk sa imidom ubacivao fiziki u kompjuter i tako podizao. To je esto zahtevalo pravilno konfigurisanje sistema da prepozna razliit hardver, koji se nalazi na fizikom raunaru, a koji se nije nalazio na originalnom raunaru odakle je napravljen imid.

Kod VM procedura se drastino promenila i to vreme je redukovano, potrebno je nekoliko klikova miem da bi se podigao sistem i to bez ikakvih hardverskih radova (ubacivanja hard diska u raunar), za ilustraciju pogledajte sliku 6. Hardver je standardizovan, tako da se automatski podeava bez potrebe za dodatnim drajverima. Na ovaj nain tedi se vreme forenziara i samim tim ubrzava itav proces digitalne forenzike istrage. Ovakav sistem se moe koristiti da bi se u toku forenzike istrage ili prilikom vetaenja na sudu mogli grafiki predstaviti odreeni elementi sistema koji se koristio za napad, ili je meta napada. Na primer, mogue je prikazati kreirane fajlove i foldere zajedno sa datumima kreiranja, na ovaj nain mogue je i prikazati prisustvo odreenih vrsta malicionznih programa, kao to su virusi, crvi ili trojanci.

R A U N A R S T VO I I N F O R M AT I K A

Slika 6 Startovan MS Windows 2003 Server R2 na VMWare Workstation 6.5

137

R A U N A R S T V O I I N F O R M AT I K A

4.1. DVOSTRUKI PRISTUP Ono to se ovde pojavljuje kao problem jeste to, to e prilikom podizanja sistema u virtuelnom okruenju neizbeno doi do odreenih promena na samom imidu, tako da on vie nee biti identian onom koji je uzet sa originalne maine, to pokazuje verifikacija Hash vrednosti. Samim tim ovakav dokaz nije validan pred sudom, i zbog toga se predlae primena dvostrukog pristupa: dve kopije bi se uvale to je i standard u digitalnom forenzikom procesu, dok bi se trea kopija podizala preko VM i na njemu bi se vrila razna ispitivanja. Original bi ostao netaknut, i na taj nain bi se mogao bez problema koristiti kao validan dokaz na sudu. Kao to je poznato, prikom uzimanja imida, pravi se jedinstvena hash vrednost koja garantuje da nije dolo do bilo kakvih promena na imidu tokom forenzike istrage, i poto se sva istraivanja sprovode na kopiji, koja ja podignuta na VM-u ta vrednost e ostati ouvana. Na ovaj nain, korienjem tehnologije virtuelizacije drastino se moe ubrzati tok istrage jer strunjak za VM okruenje radi na kopiji i pokuava na sve naine da rekonstruie incident (sliku 7). Takoe, postoji mogunost da se u toku istrage doe do odreenih podataka do
Slika 7 Dvostruki pristup prikupljanju podataka

kojih se ne bi moglo doi na standardni nain digitalne forenzike istrage, i samim tim da se istraga usmeri u pravom smeru. 5. IST OPERATIVNI SISTEM U SVAKOM TRENUTKU Jo jedna od bitnih prednosti korienja VM je ta to se vrlo lako i jednostavno, u svakom trenutnku, moe podii nov, ist virtuelni operativni sistem na kome se mogu vriti razliita testiranja. Mogu se u toku forenzikog procesa testirati razliite vrste malicionznog kda, kao i to, da se moe na licu mesta, u toku ekspertize, a u toku procesa digitalne forenzike istrage pred sudom demonstrirati rad odreenih softvera, pa tako sudiji i ostalim netehnikim licima pokazati na lep i vizuelno prijemiv nain funkcionisanje odreenog softvera. 6. VIRTUELNA MAINA KAO ANTI-FORENZIKI ALAT Iako se VM moe koristiti u toku digitalne forenzike istrage kao znaajna pomo, takoe, ona se moe koristiti i kao sredstvo za skrivanje tragova ili remeenje normalnog toka digitalne forenzike istrage od strane kompjuterskih (cyber)

138

Slika 8 Startni ekran MS Windows 2003 Server R2 operativnog sistema

R A U N A R S T VO I I N F O R M AT I K A

kriminalaca. Kao to je ve reeno, VM predstavlja skup fajlova koji se mogu obrisati ili se mogu nalazite na nekom eksternom mediju. Takoe, mogue je, da je za odreenu VM dovoljno da se na raunaru nalazi instaliran VMWare Player ili Server koji je zaduen za otvaranje vmdk fajlova. Bitno je napomenuti da se odreene VM mogu pokrenuti ak i bez programa koji je potrebno da bude instaliran na hard disk raunaru, to jo vie ometa tok digitalne forenzike istrage. Poto je mogue da se virtuelna maina nalazi na eksternom mediju, postoji opasnost da je VM na neki nain kriptovana, kako bi se neovlaenim osobama spreio pristup fajlovima. Ali o ovome je ve bilo rei, i ovo izlazi van okvira ovog rada.

7. ZAKLJUAK Tehnologija VM danas se esto primenjuje u razliitim vrstama poslovnih okruenja. Samim tim, neophodno je analizirati razliite naine za koje je mogue prikupiti podatke koji su neophodni za digitalnu forenziku istragu u uslovima VM okruenja. Ovde je bitno naglasiti da postoje velike razlike u prikupljanju standardnih i VM operativnih sistema. U radu je predloen dvostruki pristup koji se moe koristiti za digitalnu istragu VM. Objanjeno je i koliko vremena se moe utedeti korienjem tehnlogoije VM u digitalnoj forenzikoj istrazi, ali je prikazano i to, kako se ova tehnologija moe koristiti i u svrhu ometanja digitalne forenzike istrage (kao anti-forenziki alat).
139

R A U N A R S T V O I I N F O R M AT I K A

LITERATURA
[1] Brown, C. L. T. (2005). Computer Evidence: Collection & Preservation. Hingham, MA: Charles River Media [2] Kruse II, W. G., & Heiser, J. G. (2002). Computer Forensics: Incident Response Essentials (1st ed.): Addison Wesley Professional [3] Nelson, B., Phillips, A., Enfinger, F., & Steuart, C. (2006). Guide to Computer Forensics and Investigations, Second Edition (2nd ed.). Boston, MA: Thomson Course Technology [4] Computer Forensic Analysis in a Virtuel Environment: University of Western Sydney D. Bem and E. Huebner, University of Western Sydney, 2007 [5] www.e-fense.com/helix HELIX LIVE CD, 2010 [6] www.accessdata.com - FTK IMAGER, 2009 [7] www.vmware.com VMWARE SOFTWARE, 2010 [8] www.virtuelbox.org ORACLE VIRTUEL BOX, 2010 [9] www.microsoft.com WINDOWS 2003 SERVER, MS HYPER V, 2010

AUTORI
Prof. dr Mladen Veinovi Univerzitet Singidunum Danijelova 32, Beograd e-mail: mveinovic@singidunum.ac.rs Oblasti istraivanja: raunarske mree, baze podataka, zatita informacija, elektronsko poslovanje, digitalna obrada signala, identifikacija sistema. Mr Igor Franc Univerzitet Singidunum Danijelova 32, Beograd e-mail: ifranc@singidunum.ac.rs Oblasti istraivanja: digitalna forenzika, bezbednost inormacionih sistema, raunarske mree, internet tehnologije, smart kartice, elektronsko poslovanje. Mr Aleksandar Jevremovi Univerzitet Singidunum Danijelova 32, Beograd e-mail: ajevremovic@singidunum.ac.rs Oblasti istraivanja: raunarske mree, baze podataka, zatita informacija, elektronsko poslovanje, Internet tehnologije. Nenad Stani, master Univerzitet Singidunum Danijelova 32, Beograd e-mail: nstanic@singidunum.ac.rs Oblasti istraivanja: baze podataka, zatita informacija, elektronsko poslovanje, Internet tehnologije.

140