[发明专利]基于共享内存的云取证证据获取方法及系统

权利要求书

1.基于共享内存的云取证证据获取方法，其特征在于，包括如下步骤：

步骤一，在虚拟机被启动前设置其当前内存、最大内存和最小内存；

步骤二，在接收虚拟机中，使用规则探测方法来探测云平台中VMM所使用的内存调控规则中的上限和下限；

步骤三：在接收虚拟机中，使用自调整模块降低自身的内存的大小，把部分空闲的内存放到共享内存池中；

步骤四：在发送虚拟机中，使用发送模块把要传输的数据写入到内存页当中，然后持续不断的申请物理页，来促使VMM增大该虚拟机的内存直到内存大小达到最大内存为止；

步骤五：在发送虚拟机中，通过释放进程空间来降低内存的使用率，使其低于VMM调整内存规则中的下限，促使VMM降低该虚拟机的内存大小，把包含有要传递数据的内存回收到共享内存池中；

步骤六：在接收虚拟机中，把自身的内存大小设置为最大内存来从共享内存池中获取包含要传输数据的内存页；

步骤七：在接收虚拟机中，使用接收模块来获取当前的内存数据，并进行转存，当数据较大时需要按照顺序重构数据。

2.根据权利要求1所述的基于共享内存的云取证证据获取方法，其特征在于，所述步骤二中规则探测方法包括以下步骤：

直接启动虚拟机，观察虚拟机的内存的状态，当虚拟机内存持续减少时，等待虚拟机的内存大小稳定不变后，从当前的状态下获取规则下限值相关数据；当虚拟机内存持续增加时，等待虚拟机的内存大小稳定不变后，从当前的状态下获取规则上限值相关数据；当规则上限未被探测时，探测规则上限，当规则下限未被探测时，探测规则下限。

3.根据权利要求2所述的基于共享内存的云取证证据获取方法，其特征在于，所述探测上限的方法包括以下步骤：

判断当前的虚拟机的内存大小，当前的内存的大小等于最大内存时，关闭虚拟机，增大虚拟机最大内存的配置，然后重新穷的那个虚拟机后重新执行规则探测方法；

当前的内存的大小不等于最大内存时，持续不断的增加虚拟机的内存使用率，直至虚拟机的总的内存大小出现增大的情况的为止，从而探测出规则中的上限。

4.根据权利要求2所述的基于共享内存的云取证证据获取方法，其特征在于，所述探测下限的方法包括以下步骤：

当前的内存的大小等于最小内存时，增大内存的使用率使其接近于规则中的上限；当内存的大小不再增大后，一点一点的降低内存的使用率，直至虚拟机的内存的总大小出现降低的情况时，从而探测出规则中的下限；

当前的内存的大小不等于最小内存时，持续不断的降低内存使用率，直至出现内存大小有突然降低的情况，从而探测出规则中的下限；

当虚拟机内存的大小增大到最大内存时，关闭虚拟机，增大虚拟机最大内存的配置，然后重新穷的那个虚拟机后重新执行规则探测方法。

5.根据权利要求1所述的基于共享内存的云取证证据获取方法，其特征在于，所述步骤四中在将传输的数据写入到内存页当中时，包括以下步骤：

当数据较小时，在内存页中写入数据直到要传输的数据在内存中所占据的比重达到传入的比重参数为止；当要传输的数据的大小比较大时，将要传输的数据进行分割，并用特定的符号标注碎片的顺序，再将这些数据碎片中的数据填充入内存中。

6.根据权利要求1所述的基于共享内存的云取证证据获取方法，其特征在于：所述步骤七中进行数据转存时，对于完全处于控制下的虚拟机，针对操作系统的内核代码进行修改，实现物理原数据的转存；对于不处于完全控制之下的虚拟机来，利用内存转存工具对数据进行转存。

7.根据权利要求5所述的基于共享内存的云取证证据获取方法，其特征在于，所述步骤七中重构数据时，根据顺序标记进行重构。