获取Windows虚拟机中已删除文件的方法、装置及安全虚拟机

摘要

本发明公开获取Windows虚拟机中已删除文件的方法、装置及安全虚拟机，方法包括：在接收到携带有目标虚拟机标识的安全检查请求消息后，将目标虚拟机的回收站记录文件挂载到预设的安全虚拟机中；将安全检查请求消息发送到安全虚拟机，以使安全虚拟机将目标虚拟机的回收站记录文件加载到内存中并分析，得到目标虚拟机中已删除文件的信息；接收安全虚拟机发送的安全检查应答消息，安全检查应答消息中携带目标虚拟机中已删除文件的信息；基于目标虚拟机中已删除文件的信息，从目标虚拟机中获取已删除文件。本发明通过分析Windows的回收站记录文件，获取已删除文件的信息，从而获取已删除文件，不依赖虚拟机中Windows的运行状态。

说明书

技术领域

本发明涉及虚拟机技术领域，具体涉及一种获取Windows虚拟机中已删除文件的方法、装置及安全虚拟机。

背景技术

虚拟机技术，被定义为硬件设备的软件模拟实现。虚拟机(Virtual Machine)指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。

云计算系统提供用户一种节省运算成本的解决方案，用户无需花费大量成本购买硬件，只要通过虚拟机的应用即可达到多台实体机的运算目的。

云计算系统包括：云终端、主机和云管理服务器，其中，云终端可以为网络计算机，如台式机、笔记本电脑、平板电脑等；主机可以为网络侧为云终端提供存储空间、软件和其他计算机功能的服务器，在主机上可以部署多个虚拟机；云管理服务器可以为网络侧的服务器，提供用户管理、密钥管理等服务。主机和云管理服务器也被称为云平台。用户通过云终端远程登录云平台，用户的身份通过认证后，则可以使用主机上的虚拟机的功能。

对主机上部署的多个虚拟机进行安全风险检查时，对虚拟机中已删除文件的恢复和检查是评估虚拟机安全级别的一个重要手段。

Windows虚拟机为安装有Windows操作系统的虚拟机，Windows操作系统(下文简称Windows)在删除文件时分一般删除和永久删除两种方式。一般删除是指Windows将文件放入到回收站中，用户可以在回收站中看到被删除的文件，并且可以对其进行还 原。永久删除是指Windows将文件彻底删除，被删除的文件不能通过Windows进行还原。本文仅针对一般删除的情况。

在传统安装有Windows的计算机中，通过Windows提供的接口获取Windows已删除文件的信息。Windows提供的接口包括Windows应用程序编程接口(Application Programming Interface，API)、应用程序、命令等。该方法对于Windows虚拟机同样适用。

现有获取Windows虚拟机中已删除文件的方法存在如下问题：

1、现有技术依赖于被检查的Windows虚拟机中Windows的运行状态。

只有在被检查的Windows虚拟机中Windows运行时，现有技术才可获取已删除文件的信息。

2、现有技术依赖于Windows提供的接口。

对于安装非Windows的操作系统的虚拟机，现有技术不可用。

发明内容

鉴于上述问题，本发明提出了克服上述问题或者至少部分地解决上述问题的一种获取Windows虚拟机中已删除文件的方法、装置及安全虚拟机。

为此目的，第一方面，本发明提出一种获取Windows虚拟机中已删除文件的方法，包括：

在接收到携带有目标Windows虚拟机标识的安全检查请求消息后，将所述目标Windows虚拟机的回收站记录文件挂载到预设的安全虚拟机中；

将所述安全检查请求消息发送到所述安全虚拟机，以使所述安全虚拟机将所述目标Windows虚拟机的回收站记录文件加载到内存中并分析，得到所述目标Windows虚拟机中已删除文件的信息；

接收所述安全虚拟机发送的安全检查应答消息，所述安全检查应答消息中携带有所述目标Windows虚拟机中已删除文件的信息；

基于所述目标Windows虚拟机中已删除文件的信息，从所述Windows虚拟机中获取已删除文件。

可选的，所述已删除文件的信息包括已删除文件的属性信息和已删除文件的索引信息；其中，所述已删除文件的索引信息用于指示所述已删除文件的原始数据的存储路径；

所述基于所述目标Windows虚拟机中已删除文件的信息，从所述Windows虚拟机中获取已删除文件，包括：

基于所述已删除文件的索引信息，从所述Windows虚拟机中获取所述已删除文件的原始数据；

将所述已删除文件的属性信息与所述已删除文件的原始数据合并，得到所述已删除文件。

可选的，所述从所述Windows虚拟机中获取已删除文件之后，所述方法还包括：

卸载所述安全虚拟机中挂载的所述目标Windows虚拟机的回收站记录文件。

第二方面，本发明还提供一种获取Windows虚拟机中已删除文件的装置，包括：

挂载单元，用于在接收到携带有目标Windows虚拟机标识的安全检查请求消息后，将所述目标Windows虚拟机的回收站记录文件挂载到预设的安全虚拟机中；

发送单元，用于将所述安全检查请求消息发送到所述安全虚拟机，以使所述安全虚拟机将所述目标Windows虚拟机的回收站记录文件加载到内存中并分析，得到所述目标Windows虚拟机中已删除文件的信息；

接收单元，用于接收所述安全虚拟机发送的安全检查应答消息，所述安全检查应答消息中携带有所述目标Windows虚拟机中已删除文件的信息；

获取单元，用于基于所述目标Windows虚拟机中已删除文件的信息，从所述Windows虚拟机中获取已删除文件。

可选的，所述已删除文件的信息包括已删除文件的属性信息和已删除文件的索引信息；其中，所述已删除文件的索引信息用于指示所述已删除文件的原始数据的存储路径；

所述获取单元，用于基于所述已删除文件的索引信息，从所述Windows虚拟机中获取所述已删除文件的原始数据；将所述已删除文件的属性信息与所述已删除文件的原始数据合并，得到所述已删除文件。

可选的，所述装置还包括：

卸载单元，用于在所述获取单元从所述Windows虚拟机中获取已删除文件之后，卸载所述安全虚拟机中挂载的所述目标Windows虚拟机的回收站记录文件。

第三方面，本发明还提供一种获取Windows虚拟机中已删除文件的方法，包括：

在接收到云管理服务器发送的携带有目标Windows虚拟机标识的安全检查请求消息后，将预先挂载的所述目标Windows虚拟机的回收站记录文件加载到内存中并分析，得到所述目标Windows虚拟机中已删除文件的信息；

向所述云管理服务器发送安全检查应答消息，所述安全检查应答消息中携带有所述目标Windows虚拟机中已删除文件的信息，以使所述云管理服务器基于所述目标Windows虚拟机中已删除文件的信息，从所述Windows虚拟机中获取已删除文件。

可选的，所述向所述云管理服务器发送安全检查应答消息，所述安全检查应答消息中携带有所述目标Windows虚拟机中已删除文件的信息，以使所述云管理服务器基于所述目标Windows虚拟机中已删除文件的信息，从所述Windows虚拟机中获取已删除文件，包 括：

向所述云管理服务器发送安全检查应答消息，所述安全检查应答消息中携带有所述目标Windows虚拟机中已删除文件的属性信息和已删除文件的索引信息，所述已删除文件的索引信息用于指示所述已删除文件的原始数据的存储路径，以使所述云管理服务器基于所述已删除文件的索引信息，从所述Windows虚拟机中获取所述已删除文件的原始数据；并将所述已删除文件的属性信息与所述已删除文件的原始数据合并，得到所述已删除文件。

第四方面，本发明还提供一种安全虚拟机，包括：

处理单元，用于在接收到云管理服务器发送的携带有目标Windows虚拟机标识的安全检查请求消息后，将预先挂载的所述目标Windows虚拟机的回收站记录文件加载到内存中并分析，得到所述目标Windows虚拟机中已删除文件的信息；

发送单元，用于向所述云管理服务器发送安全检查应答消息，所述安全检查应答消息中携带有所述目标Windows虚拟机中已删除文件的信息，以使所述云管理服务器基于所述目标Windows虚拟机中已删除文件的信息，从所述Windows虚拟机中获取已删除文件。

可选的，所述发送单元，用于向所述云管理服务器发送安全检查应答消息，所述安全检查应答消息中携带有所述目标Windows虚拟机中已删除文件的属性信息和已删除文件的索引信息，所述已删除文件的索引信息用于指示所述已删除文件的原始数据的存储路径，以使所述云管理服务器基于所述已删除文件的索引信息，从所述Windows虚拟机中获取所述已删除文件的原始数据；并将所述已删除文件的属性信息与所述已删除文件的原始数据合并，得到所述已删除文件。

相比于现有技术，本发明提出的获取Windows虚拟机中已删除文件的方法及装置，通过分析Windows的回收站记录文件的内容来 获取Windows已删除文件的信息，从而可以恢复出被删除文件的内容，即获得已删除文件，不依赖于被检查的Windows虚拟机中Windows的运行状态，特别地，本发明也适用于处于关机状态的Windows虚拟机(即离线Windows虚拟机)。

进一步地，本发明提出的获取Windows虚拟机中已删除文件的方法及装置，通过分析Windows的回收站记录文件的内容来获取Windows已删除文件的信息，从而可以恢复出被删除文件的内容，即获得已删除文件，不依赖于Windows提供的接口，适用于安装非Windows的操作系统的虚拟机。

附图说明

图1为本发明第一实施例提供的一种获取Windows虚拟机中已删除文件的方法流程图；

图2为本发明第二实施例提供的一种获取Windows虚拟机中已删除文件的装置结构图；

图3为本发明第三实施例提供的一种获取Windows虚拟机中已删除文件的方法流程图；

图4为本发明第四实施例提供的一种安全虚拟机结构图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。

如图1所示，本实施例公开一种获取Windows虚拟机中已删除文件的方法，可包括以下步骤101～104：

101、在接收到携带有目标Windows虚拟机标识的安全检查请求消息后，将所述目标Windows虚拟机的回收站记录文件挂载到预设的安全虚拟机中。

本实施例公开的获取Windows虚拟机中已删除文件的方法的执行主体可设置于云平台的云管理服务器中或为云平台的云管理服务器。

本实施例中，步骤101中“安全检查请求消息”的发送装置可设置于云平台的主机中或设置于云终端中。进一步地，“安全检查请求消息”可由云平台的管理人员人工触发所述发送装置进行发送或者每隔预设时长，例如24小时，所述发送装置自动发送“安全检查请求消息”。

本实施例中，安全虚拟机可设置于云平台的主机中。

本实施例中，挂载回收站记录文件不受被检查的Windows虚拟机中Windows的运行状态的影响，也不受处于关机状态的Windows虚拟机即离线Windows虚拟机的影响。

102、将所述安全检查请求消息发送到所述安全虚拟机，以使所述安全虚拟机将所述目标Windows虚拟机的回收站记录文件加载到内存中并分析，得到所述目标Windows虚拟机中已删除文件的信息。

本实施例中，回收站记录文件对于不同内核版本的Windows会有差异。具体为，Windows Vista之前版本回收站中所有已删除文件的信息记录在同一个记录文件中。Vista及之后的Windows版本回收站中，每一个已删除文件相应地有一个记录文件进行信息记录。因此，本实施例中，会将所述目标Windows虚拟机的所有回收站记录文件均挂载到安全虚拟机中，以使安全虚拟机将所有回收站记录文件均加载到内存中并分析。

本实施例中，安全虚拟机对回收站记录文件的分析可采用预设的或现有的文件级语义分析方法进行分析，本实施例不再赘述语义分析的具体方法。

103、接收所述安全虚拟机发送的安全检查应答消息，所述安全检查应答消息中携带有所述目标Windows虚拟机中已删除文件的信 息。

104、基于所述目标Windows虚拟机中已删除文件的信息，从所述Windows虚拟机中获取已删除文件。

本实施例中，在Windows中由于每一个磁盘分区下有一个回收站目录，因此对于离线Windows虚拟机，恢复回收站中已删除文件时需要逐个磁盘分区进行恢复。

可见，本实施例公开的获取Windows虚拟机中已删除文件的方法，通过分析Windows的回收站记录文件的内容来获取Windows已删除文件的信息，从而可以恢复出被删除文件的内容，即获得已删除文件，不依赖于被检查的Windows虚拟机中Windows的运行状态，特别地，本发明也适用于处于关机状态的Windows虚拟机(即离线Windows虚拟机)。

进一步地，本实施例公开的获取Windows虚拟机中已删除文件的方法，通过分析Windows的回收站记录文件的内容来获取Windows已删除文件的信息，从而可以恢复出被删除文件的内容，即获得已删除文件，不依赖于Windows提供的接口，适用于安装非Windows的操作系统的虚拟机。

在一个具体的例子一中，图1所示的步骤102中所述已删除文件的信息，包括：已删除文件的属性信息和已删除文件的索引信息；其中，所述已删除文件的索引信息用于指示所述已删除文件的原始数据的存储路径。

本实施例中，所述已删除文件的属性信息可包括诸如已删除文件的大小、删除时间、原始文件名等信息，用于指示已删除文件的基本信息。

本实施例中，给出图1所示的步骤104：“基于所述目标Windows虚拟机中已删除文件的信息，从所述Windows虚拟机中获取已删除 文件”的一种优选实施方式，具体包括图1中未示出的步骤1041～1042：

1041、基于所述已删除文件的索引信息，从所述Windows虚拟机中获取所述已删除文件的原始数据。

1042、将所述已删除文件的属性信息与所述已删除文件的原始数据合并，得到所述已删除文件。

可见，本实施例公开的获取Windows虚拟机中已删除文件的方法，通过分析Windows的回收站记录文件的内容来获取Windows已删除文件的属性信息和索引信息，从而可以恢复出被删除文件的内容，即获得已删除文件，不依赖于被检查的Windows虚拟机中Windows的运行状态，特别地，本发明也适用于处于关机状态的Windows虚拟机(即离线Windows虚拟机)。

进一步地，本实施例公开的获取Windows虚拟机中已删除文件的方法，通过分析Windows的回收站记录文件的内容来获取Windows已删除文件的属性信息和索引信息，从而可以恢复出被删除文件的内容，即获得已删除文件，不依赖于Windows提供的接口，适用于安装非Windows的操作系统的虚拟机。

在一个具体的例子二中，图1所示的步骤104“基于所述目标Windows虚拟机中已删除文件的信息，从所述Windows虚拟机中获取已删除文件”之后，本实施例的方法还包括图1中未示出的步骤105：

105、卸载所述安全虚拟机中挂载的所述目标Windows虚拟机的回收站记录文件。

本实施例公开的获取Windows虚拟机中已删除文件的方法，在获取Windows虚拟机中已删除文件之后，卸载安全虚拟机中挂载的目标Windows虚拟机的回收站记录文件，以节约硬件资源。

如图2所示，本实施例公开一种获取Windows虚拟机中已删除文件的装置，可包括以下单元：挂载单元21、发送单元22、接收单元23以及获取单元24。

挂载单元21，用于在接收到携带有目标Windows虚拟机标识的安全检查请求消息后，将所述目标Windows虚拟机的回收站记录文件挂载到预设的安全虚拟机中；

发送单元22，用于将所述安全检查请求消息发送到所述安全虚拟机，以使所述安全虚拟机将所述目标Windows虚拟机的回收站记录文件加载到内存中并分析，得到所述目标Windows虚拟机中已删除文件的信息；

接收单元23，用于接收所述安全虚拟机发送的安全检查应答消息，所述安全检查应答消息中携带有所述目标Windows虚拟机中已删除文件的信息；

获取单元24，用于基于所述目标Windows虚拟机中已删除文件的信息，从所述Windows虚拟机中获取已删除文件。

本实施例公开的获取Windows虚拟机中已删除文件的装置可设置于云平台的云管理服务器中或为云平台的云管理服务器。

本实施例公开的获取Windows虚拟机中已删除文件的装置，可实现图1所示的获取Windows虚拟机中已删除文件的方法流程，因此，本实施例中的装置的效果及说明可参见图1所示的方法实施例，在此不再赘述。

在一个具体的例子三中，图2所示的装置实施例中所述已删除文件的信息包括已删除文件的属性信息和已删除文件的索引信息；其中，所述已删除文件的索引信息用于指示所述已删除文件的原始数据的存储路径。

本实施例中，给出图2所示的获取单元24的优选实施方式，具 体为：获取单元24，用于基于所述已删除文件的索引信息，从所述Windows虚拟机中获取所述已删除文件的原始数据；将所述已删除文件的属性信息与所述已删除文件的原始数据合并，得到所述已删除文件。

本实施例公开的获取Windows虚拟机中已删除文件的装置，可实现具体的例子一中所述的获取Windows虚拟机中已删除文件的方法流程，因此，本实施例中的装置的效果及说明可参见具体的例子一，在此不再赘述。

在一个具体的例子四中，图2所示的装置还包括图2中未示出的：卸载单元25，用于在所述获取单元24从所述Windows虚拟机中获取已删除文件之后，卸载所述安全虚拟机中挂载的所述目标Windows虚拟机的回收站记录文件。

本实施例公开的获取Windows虚拟机中已删除文件的装置，可实现具体的例子二中所述的获取Windows虚拟机中已删除文件的方法流程，因此，本实施例中的装置的效果及说明可参见具体的例子二，在此不再赘述。

如图3所示，本实施例公开一种获取Windows虚拟机中已删除文件的方法，可包括以下步骤301～302：

301、在接收到云管理服务器发送的携带有目标Windows虚拟机标识的安全检查请求消息后，将预先挂载的所述目标Windows虚拟机的回收站记录文件加载到内存中并分析，得到所述目标Windows虚拟机中已删除文件的信息。

本实施例中获取Windows虚拟机中已删除文件的方法的执行主体为安全虚拟机。本实施例中，安全虚拟机可设置于云平台的主机中。

302、向所述云管理服务器发送安全检查应答消息，所述安全检 查应答消息中携带有所述目标Windows虚拟机中已删除文件的信息，以使所述云管理服务器基于所述目标Windows虚拟机中已删除文件的信息，从所述Windows虚拟机中获取已删除文件。

本实施例中，回收站记录文件对于不同内核版本的Windows会有差异。具体为，Windows Vista之前版本回收站中所有已删除文件的信息记录在同一个记录文件中。Vista及之后的Windows版本回收站中，每一个已删除文件相应地有一个记录文件进行信息记录。因此，本实施例中，会将所述目标Windows虚拟机的所有回收站记录文件均挂载到安全虚拟机中，以使安全虚拟机将所有回收站记录文件均加载到内存中并分析。

本实施例中，安全虚拟机对回收站记录文件的分析可采用预设的或现有的文件级语义分析方法进行分析，本实施例不再赘述语义分析的具体方法。

可见，本实施例公开的获取Windows虚拟机中已删除文件的方法，通过分析Windows的回收站记录文件的内容来获取Windows已删除文件的信息，从而可以恢复出被删除文件的内容，即获得已删除文件，不依赖于被检查的Windows虚拟机中Windows的运行状态，特别地，本发明也适用于处于关机状态的Windows虚拟机(即离线Windows虚拟机)。

进一步地，本实施例公开的获取Windows虚拟机中已删除文件的方法，通过分析Windows的回收站记录文件的内容来获取Windows已删除文件的信息，从而可以恢复出被删除文件的内容，即获得已删除文件，不依赖于Windows提供的接口，适用于安装非Windows的操作系统的虚拟机。

在一个具体的例子五中，本实施例给出图3所示的步骤302：“向所述云管理服务器发送安全检查应答消息，所述安全检查应答消息 中携带有所述目标Windows虚拟机中已删除文件的信息，以使所述云管理服务器基于所述目标Windows虚拟机中已删除文件的信息，从所述Windows虚拟机中获取已删除文件”的一种优选实施方式，具体如下：

302、向所述云管理服务器发送安全检查应答消息，所述安全检查应答消息中携带有所述目标Windows虚拟机中已删除文件的属性信息和已删除文件的索引信息，所述已删除文件的索引信息用于指示所述已删除文件的原始数据的存储路径，以使所述云管理服务器基于所述已删除文件的索引信息，从所述Windows虚拟机中获取所述已删除文件的原始数据；并将所述已删除文件的属性信息与所述已删除文件的原始数据合并，得到所述已删除文件。

本实施例中，所述已删除文件的属性信息可包括诸如已删除文件的大小、删除时间、原始文件名等信息，用于指示已删除文件的基本信息。

可见，本实施例公开的获取Windows虚拟机中已删除文件的方法，通过分析Windows的回收站记录文件的内容来获取Windows已删除文件的属性信息和索引信息，从而可以恢复出被删除文件的内容，即获得已删除文件，不依赖于被检查的Windows虚拟机中Windows的运行状态，特别地，本发明也适用于处于关机状态的Windows虚拟机(即离线Windows虚拟机)。

进一步地，本实施例公开的获取Windows虚拟机中已删除文件的方法，通过分析Windows的回收站记录文件的内容来获取Windows已删除文件的属性信息和索引信息，从而可以恢复出被删除文件的内容，即获得已删除文件，不依赖于Windows提供的接口，适用于安装非Windows的操作系统的虚拟机。

如图4所示，本实施例公开一种安全虚拟机，可包括以下单元： 处理单元41以及发送单元42。

处理单元41，用于在接收到云管理服务器发送的携带有目标Windows虚拟机标识的安全检查请求消息后，将预先挂载的所述目标Windows虚拟机的回收站记录文件加载到内存中并分析，得到所述目标Windows虚拟机中已删除文件的信息；

发送单元42，用于向所述云管理服务器发送安全检查应答消息，所述安全检查应答消息中携带有所述目标Windows虚拟机中已删除文件的信息，以使所述云管理服务器基于所述目标Windows虚拟机中已删除文件的信息，从所述Windows虚拟机中获取已删除文件。

本实施例中，安全虚拟机可设置于云平台的主机中。

本实施例公开的安全虚拟机，可实现图3所示的获取Windows虚拟机中已删除文件的方法流程，因此，本实施例中的安全虚拟机的效果及说明可参见图3，在此不再赘述。

在一个具体的例子中，给出图4中所示的发送单元42的一种优选实施方式，具体如下：

发送单元42，用于向所述云管理服务器发送安全检查应答消息，所述安全检查应答消息中携带有所述目标Windows虚拟机中已删除文件的属性信息和已删除文件的索引信息，所述已删除文件的索引信息用于指示所述已删除文件的原始数据的存储路径，以使所述云管理服务器基于所述已删除文件的索引信息，从所述Windows虚拟机中获取所述已删除文件的原始数据；并将所述已删除文件的属性信息与所述已删除文件的原始数据合并，得到所述已删除文件。

本实施例中，所述已删除文件的属性信息可包括诸如已删除文件的大小、删除时间、原始文件名等信息，用于指示已删除文件的基本信息。

本实施例公开的安全虚拟机，可实现具体的例子五中所示的获 取Windows虚拟机中已删除文件的方法流程，因此，本实施例中的安全虚拟机的效果及说明可参见具体的例子五，在此不再赘述。

本领域技术人员可以理解，可以把实施例中的各单元组合成一个单元，以及此外可以把它们分成多个子单元。除了这样的特征和/或过程或者单元中的至少一些是互相排斥之处，可以采用任何组合对本说明书中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。

本领域技术人员可以理解，实施例中的各单元可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。

虽然结合附图描述了本发明的实施方式，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。