-
公开(公告)号:CN105868056B
公开(公告)日:2019-06-21
申请号:CN201610214439.3
申请日:2016-04-07
Applicant: 北京北信源软件股份有限公司
Abstract: 本发明公开获取Windows虚拟机中已删除文件的方法、装置及安全虚拟机,方法包括:在接收到携带有目标虚拟机标识的安全检查请求消息后,将目标虚拟机的回收站记录文件挂载到预设的安全虚拟机中;将安全检查请求消息发送到安全虚拟机,以使安全虚拟机将目标虚拟机的回收站记录文件加载到内存中并分析,得到目标虚拟机中已删除文件的信息;接收安全虚拟机发送的安全检查应答消息,安全检查应答消息中携带目标虚拟机中已删除文件的信息;基于目标虚拟机中已删除文件的信息,从目标虚拟机中获取已删除文件。本发明通过分析Windows的回收站记录文件,获取已删除文件的信息,从而获取已删除文件,不依赖虚拟机中Windows的运行状态。
-
公开(公告)号:CN106503547B
公开(公告)日:2019-07-05
申请号:CN201610875493.2
申请日:2016-09-30
Applicant: 北京北信源软件股份有限公司
Abstract: 本发明提供一种基于VMWare Workstation的Windows虚拟机进程枚举方法。该方法包括选定宿主机并在宿主机上安装VMWare Workstation、根据给定的虚拟机标识符找到目标来宾虚拟机、利用虚拟化技术读取目标来宾虚拟机的基本信息并判断目标来宾虚拟机的操作系统类型、利用虚拟化技术从目标来宾虚拟机的ntoskrnl.exe文件中读取内核标记并计算进程链表内存地址的偏移量、在宿主机上执行vprobe脚本并将执行结果保存在宿主机上的临时文件中、从临时文件中读取执行结果并分析整理出目标来宾虚拟机的最终进程列表。本发明具有不依赖Windows操作系统使用知识、不需要目标来宾虚拟机的用户和口令、不需要登录目标来宾虚拟机以及不消耗目标来宾虚拟机资源等优点。
-
Patent Agency Ranking
公开(公告)号:CN107463638A
公开(公告)日:2017-12-12
申请号:CN201710585763.0
申请日:2017-07-18
Applicant: 北京北信源软件股份有限公司
CPC classification number: G06F9/45558 , G06F16/176
Abstract: 本发明提供离线虚拟机间文件共享方法和设备用于解决离线虚拟机在离线状态下的文件共享问题。其中在管理域上加载第一离线虚拟机对应的第一虚拟磁盘镜像和第二离线虚拟机对应的第二虚拟磁盘镜像;在管理域上,根据文件操作指令,操作第一虚拟磁盘和第二虚拟磁盘中的文件。本发明通过在管理域上加载第一虚拟磁盘和第二虚拟磁盘中的文件系统,并运行对应文件操作指令,使第一虚拟机和第二虚拟机在离线的状态下实现第一虚拟机和第二虚拟机之间文件系统的共享访问。
-
公开(公告)号:CN107463427A
公开(公告)日:2017-12-12
申请号:CN201710513566.8
申请日:2017-06-29
Applicant: 北京北信源软件股份有限公司
CPC classification number: G06F9/45504 , G06F8/71 , G06F9/45558
Abstract: 本发明公开了一种虚拟机操作系统类型与版本的获取方法,包括:获取目标来宾虚拟机的虚拟机标识符,并根据虚拟机标识符在虚拟化平台接口确定目标来宾虚拟机;确定目标来宾虚拟机搭载的虚拟磁盘镜像文件;将虚拟磁盘镜像文件加载到宿主机/管理域;从加载到宿主机/管理域内存中的虚拟磁盘镜像文件中解析出目标来宾虚拟机的操作系统类型和/或版本信息。本发明能够针对不同虚拟机或不同类型的虚拟机进行虚拟机操作系统类型与版本的获取,不需要目标计算机开机、不依赖目标计算机的应用程序、应用程序能跨越操作系统使用、不消耗目标计算机资源、并且目标计算机不会感知。
-
公开(公告)号:CN106503547A
公开(公告)日:2017-03-15
申请号:CN201610875493.2
申请日:2016-09-30
Applicant: 北京北信源软件股份有限公司
CPC classification number: G06F21/53 , G06F9/45545
Abstract: 本发明提供一种基于VMWare Workstation的Windows虚拟机进程枚举方法。该方法包括选定宿主机并在宿主机上安装VMWare Workstation、根据给定的虚拟机标识符找到目标来宾虚拟机、利用虚拟化技术读取目标来宾虚拟机的基本信息并判断目标来宾虚拟机的操作系统类型、利用虚拟化技术从目标来宾虚拟机的ntoskrnl.exe文件中读取内核标记并计算进程链表内存地址的偏移量、在宿主机上执行vprobe脚本并将执行结果保存在宿主机上的临时文件中、从临时文件中读取执行结果并分析整理出目标来宾虚拟机的最终进程列表。本发明具有不依赖Windows操作系统使用知识、不需要目标来宾虚拟机的用户和口令、不需要登录目标来宾虚拟机以及不消耗目标来宾虚拟机资源等优点。
-
公开(公告)号:CN105868056A
公开(公告)日:2016-08-17
申请号:CN201610214439.3
申请日:2016-04-07
Applicant: 北京北信源软件股份有限公司
CPC classification number: G06F11/1469 , G06F9/45533
Abstract: 本发明公开获取Windows虚拟机中已删除文件的方法、装置及安全虚拟机,方法包括:在接收到携带有目标虚拟机标识的安全检查请求消息后,将目标虚拟机的回收站记录文件挂载到预设的安全虚拟机中;将安全检查请求消息发送到安全虚拟机,以使安全虚拟机将目标虚拟机的回收站记录文件加载到内存中并分析,得到目标虚拟机中已删除文件的信息;接收安全虚拟机发送的安全检查应答消息,安全检查应答消息中携带目标虚拟机中已删除文件的信息;基于目标虚拟机中已删除文件的信息,从目标虚拟机中获取已删除文件。本发明通过分析Windows的回收站记录文件,获取已删除文件的信息,从而获取已删除文件,不依赖虚拟机中Windows的运行状态。
-
公开(公告)号:CN105574099A
公开(公告)日:2016-05-11
申请号:CN201510921473.X
申请日:2015-12-14
Applicant: 北京北信源软件股份有限公司
IPC: G06F17/30
CPC classification number: G06F16/196
Abstract: 本发明涉及一种基于内存信息解决文件数据块语义鸿沟的方法,包括虚拟机内部文件与虚拟机磁盘块映射构建、虚拟机内部文件与虚拟机磁盘块映射动态更新和虚拟机磁盘块操作与内部文件操作对应关系三个部分。本发明结合系统内存中已打开的文件信息,快速、按需构建系统运行期间必须的映射集合,缩短构建时间的同时也提高了映射集合的使用效率;本发明聚焦于虚拟机文件事件的无代理检测,通过构建磁盘数据块与文件的映射,解决了虚拟机外部无代理模块侦测到的原始磁盘块读写数据与文件内容的语义鸿沟问题。本发明的有益效果是:后续使用过程中搜索效率高;访问速度快,构建时间短;保持和系统真实运行状态同步。
-
-
-
-
-
-
Search Results
7
records
(took 0.041 seconds)
