CAIF 2014

PRCTICA FORENSE EN HOST QUE

CONTIENEN MAQUINAS VIRTUALES
Ing. Pablo Croci
Lic. Juan Blanco

Situaciones que al perito se le pueden

presentar
Cmo proceder ante un host que contenga
algn tipo de mquina virtual?
Distinguir entre host comunes y servidores que
contengan mquinas virtuales
Qu resguardar y cmo efectuar la prctica
forense para cada caso?
Cmo actuar si existe el borrado de las
mquinas virtuales?

Anlisis de la situaciones que

podemos encontrar
Hosts de usuarios con Vmware o VirtualBox

Servidores Microsoft o Linux con Vmware o

VirtualBox

Ambientes tipo cloud con Vsephre , Hypervisor

Estructura de archivos de Vmware en

Microsoft
Principales archivos de VMWARE

Qu respresenta?

.vdmk

Archivo del disco duro virtual

.vmx

Conf. De la virtual machine

.vmxf

Archivo de configuracin
adicional

.nvram

Bios de la virtual machine

.vmsd

Registro de los snapshots

.log

Log de actividad de la virtual

machine

Estructura de archivos de VirtualBox en

Ubuntu 12.04 LT
Principales archivos de VirtualBOX

Qu respresenta?

.vdi

Archivo del disco duro virtual

.vbox

Settings de la VM, grabados en

formato XML

/log/

Log de actividad de la virtual

machine

/home/VirtualBox VM/

Contenedor principal de la
VirtualBox

Otros archivos que puede soportar una

VirtualBox en Linux
Extensin VMDK de VMware
Formato de mquinas virtuales de Microsoft
VHD
Versin 2 de Parallels (HDD format)

Anlisis de la situacin general que nos podemos

encontrar en un allanamiento
Situacin ideal y respetando las buenas formas:
Imgenes forenses de los hosts, sabiendo o no que las
mismas poseen mquinas virtuales. Realizacin imagen
forense de los discos del servidor, (o sea
desconectando el plug de alimentacin para conservar
el ltimo estado).
Situacin real:
Un servidor en vivo que posee diferentes mquinas
virtuales. Para el caso de no poder cortar la
alimentacin
o
encontrarnos
con
tamaos
inmanejables para efectuar imgenes forenses,
debemos efectuar la evidencia lgica de la carpeta
contenedora de la mquina virtual.

Construccin de la Situacin prctica

para la disertacin

Se construy una mquina virtual con Windows XP

SP2.

Adems se utiliz una mquina virtual preexistentes

en un entorno UBUNTU 12.

Se efectu sobre la VM en Windows, navegacin con

Internet Explorer, se le creo una cuenta de Outlook
Express, se le instal Cain & Abel, y se le desinstal
las Vmware tools originales

A modo de ejemplo se visualiza los

contenedores y archivos de una Virtualbox
creada en Ubuntu

Vista de archivos y lugares en el disco

Vamos a Analizar el caso en que slo podemos efectuar

archivos de evidencia lgica. El perito debe asentar en
acta que la mejor de todas las opciones es, efectuar la
imagen forense de el/los disco/os fsicos del host que
nos encontremos:
1.Efectuando archivo de evidencia lgica con Encase
Imager
2.Archivo de evidencia lgica con Access Ftk-imager
3.Evidencia lgica en Linux para la VM en VirtualBox

Este es el ejemplo de cmo realizar el archivo de

evidencia lgica con Encase Imager

Incorporar los settings de archivos en uso

El paso posterior ser abrir la evidencia lgica en un

Encase 7, en nuestro Laboratorio Forense, de modo de
extraer los archivos

En el caso de una VirtualBox, usamos el comando cpio de Linux,

que es un comando que nos mantiene los atributo de archivo y a la
vez hacemos el clculo de hash

Abrimos el caso en Encase 7, realizamos la extraccin de

archivos, luego de que verific la evidencia lgica
adquirida

Extraccin de los archivos de la VMware

Ventajas y Desventajas de efectuar el anlisis de la VM,

con Encase
1.Ventaja: Podemos efectuar la evidencia lgica, teniendo
en cuenta los archivos que estn en uso de la VM
2.Encase soporta anlisis de archivos vdmk, pero no si la
VM esta subdividida en varios archivos de disco (spliting
de la VM).
VM
3.Las tareas a realizar en laboratorio en caso de VM con
split de disco, sea con Encase o FTK, es la extraccin de
los archivos y reconstruccin de la VM con Vmware o
VirtualBox

Lo mismo la extraccin de los archivos evidencia con

FTK imager:

Luego de reconstruir la VM
que hacemos?? Como
Examinamos???
La VM es un host mas, por lo
tanto, aqu s valen las buenas
prcticas de la Informtica
Forense IMAGEN FORENSE
del DISCO FISICO VM

Debemos bootear con un Live CD/DVD/USB

Forense la VM. Hay que editar la VM y en la
unidad de CD-ROM elegir una ISO Forense

Para nuestro ejemplo, seleccionamos CAINE

4.0

Debemos adicionar un parmetro al archivo de

configuracin de la VM, para que tengamos tiempo de
elegir el medio de boot en la VM, bios.bootdelay=20000

Presionamos ESC para seleccionar medio de inicio

En el men optamos por bootear con el CD-ROM virtual

Pantalla de inicio del CAINE, elegimos modo seguro

CAINE trae un mount manager, podemos montar como solo

lectura el disco al que debemos efectuar imagen forense, con
el objeto solo de examinarlo, en este caso el disco a adquirir
es Sdb1

Lo que si debemos montar con escritura, es el disco en donde

vamos a alojar la imagen forense, en este caso es Sdc1

Para efectuar imagen forense elegimos Guymager y

efectuamos imagen EWF (E01), del disco Sdb1

Ya en nuestro caso de Encase 7 en el laboratorio, tenemos todas las

evidencias adquiridas, pero la nica que podemos analizar es la
adquirida a travs de la imagen forense efectuada en la Vmware con
el Live CAINE

Aqu efectuamos la apertura de nuestra evidencia,

examinando el repositorio de la cuenta de OE
configurada

Examinacin de la carpeta c:\archivos de programas,

donde podemos ver la carpeta en donde se instal
Cain & Abel

Qu sucede si el usuario efectu el borrado de la

Virtual Machine?
Borrado de la VM, desde el Directorio de Windows
manualmente o desde el contenedor de Linux.
Este es el mejor de los casos. Se intenta la
recuperacin por parte del perito, desde la
papelera de reciclaje en ambos sistemas
(Recycler en Windows, Trahs el Linux)
Peor de los casos, que se borre directamente
desde la misma aplicacin de Virtualizacin

Borrado de la Vmware, desde la

aplicacin

Solucin mas desfavorable y menos querida File Carving?

File Carving de los discos de la VM

Bsqueda sobre el espacio no asignado de
archivos o fragmentos que tengan Header 33C0-8E-D0 como muestra la figura anterior
Adems del encabezado necesitamos datos de
offsett y footer que no abunda tanta
informacin sobre el tema, y de acuerdo a las
versiones de Vmware varan los datos de
Desventajas: Aqu si es necesaria la
adquisicin del Disco Fsico del host que
contuvo la Vmware.

Conclusiones
Depender del caso y la situacin encontrada :
Lo que las buenas costumbres indican es,
Imagen Forense de todos los discos duros
encontrados en los Hosts. No es la econmica
Evidencia lgica de los contenedores de la VM,
reconstruccin de la misma, imagen forense
de la misma de la VM reconstruida
Peor de los casos: No hacer nada!!!
Referencias: Analyzing the impact of a virtual machine on a host machine, Greg Don ,
Chris Marberry, Scott Conrad and Phillips Craiger, Advances in Digital Forensic V, Gilbert
Peterson, Sujeet Shenoi IFIP AICT 306

Muchas Gracias

Preguntas
Ing. Pablo Croci (ppc@sisbaires.com.ar)
(@pablocroci)
Lic. JuanBlanco (jab@sisbaires.com.ar)