Несмотря на то, что основной целью виртуализации является создание «контейнерных» сред для каждой инстансируемой ОС без совместного использования пространства памяти, существуют ли методы проведения криминалистической экспертизы на виртуальных машинах онлайн или офлайн (приостановленных)?
Вопрос смещен в сторону того факта, что я надеюсь, что такой возможности нет, но, опять же, меня беспокоит тот факт, что, говоря очень непрофессиональным языком, когда вы приостанавливаете свою виртуальную машину, память должна быть «сброшена» где-то на хосте, чтобы восстановить позже.
Можно ли в этом случае получить доступ (только для чтения) к конфиденциальной информации из виртуальной машины? Если да, существуют ли процедуры смягчения последствий таких событий и как их следует правильно применять?
С наилучшими пожеланиями,
Бруно
Физическая память виртуальной машины обычно представлена в виде файла в операционной системе хоста.
Для Hyper-V - файлы VMRS в папке ВМ. Еще есть конвертер от Microsoft - https://github.com/CSS-Windows/WindowsDiag/tree/master/SHA/vm2dmp
Для ESXi - файлы VMEM. Вот описание, как преобразовать в dmp - https://support.arcserve.com/s/article/206136986?language=en_US
Вы должны предположить, что да.
Это зависит от продукта. Например, производственные контрольные точки Hyper-V не включают память. Для VMWare создание снимка и извлечение памяти довольно тривиально.
Смягчения также будут зависеть от продукта. Microsoft Hyper-V 2016 и выше имеет экранированные виртуальные машины / виртуальный TPM / BitLocker. VMWare VSphere 6.7 и выше имеет шифрование диска на уровне виртуальных машин / шифрование VMotion / виртуальный TPM, хотя я не уверен, есть ли у него паритет функций с экранированными виртуальными машинами, но это определенно лучше, чем не использовать его.
Мне не известны какие-либо другие гипервизоры на рынке с такой возможностью.