獲取Windows虛擬機中已刪除文件的方法����、裝置及安全虛擬機的制作方法
【專利摘要】本發(fā)明公開獲取Windows虛擬機中已刪除文件的方法、裝置及安全虛擬機���,方法包括:在接收到攜帶有目標虛擬機標識的安全檢查請求消息后�,將目標虛擬機的回收站記錄文件掛載到預設(shè)的安全虛擬機中;將安全檢查請求消息發(fā)送到安全虛擬機����,以使安全虛擬機將目標虛擬機的回收站記錄文件加載到內(nèi)存中并分析���,得到目標虛擬機中已刪除文件的信息��;接收安全虛擬機發(fā)送的安全檢查應答消息�,安全檢查應答消息中攜帶目標虛擬機中已刪除文件的信息��;基于目標虛擬機中已刪除文件的信息����,從目標虛擬機中獲取已刪除文件。本發(fā)明通過分析Windows的回收站記錄文件�,獲取已刪除文件的信息,從而獲取已刪除文件����,不依賴虛擬機中Windows的運行狀態(tài)。
【專利說明】
獲取Windows虛擬機中已刪除文件的方法����、裝置及安全虛擬機
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及虛擬機技術(shù)領(lǐng)域�����,具體涉及一種獲取Windows虛擬機中已刪除文件的方法�����、裝置及安全虛擬機�����。
【背景技術(shù)】
[0002]虛擬機技術(shù)��,被定義為硬件設(shè)備的軟件模擬實現(xiàn)����。虛擬機(VirtualMachine)指通過軟件模擬的具有完整硬件系統(tǒng)功能的�、運行在一個完全隔離環(huán)境中的完整計算機系統(tǒng)。
[0003]云計算系統(tǒng)提供用戶一種節(jié)省運算成本的解決方案�,用戶無需花費大量成本購買硬件,只要通過虛擬機的應用即可達到多臺實體機的運算目的��。
[0004]云計算系統(tǒng)包括:云終端�����、主機和云管理服務器,其中�,云終端可以為網(wǎng)絡計算機,如臺式機����、筆記本電腦、平板電腦等;主機可以為網(wǎng)絡側(cè)為云終端提供存儲空間���、軟件和其他計算機功能的服務器,在主機上可以部署多個虛擬機�;云管理服務器可以為網(wǎng)絡側(cè)的服務器,提供用戶管理���、密鑰管理等服務�。主機和云管理服務器也被稱為云平臺�����。用戶通過云終端遠程登錄云平臺���,用戶的身份通過認證后�����,則可以使用主機上的虛擬機的功能��。
[0005]對主機上部署的多個虛擬機進行安全風險檢查時�����,對虛擬機中已刪除文件的恢復和檢查是評估虛擬機安全級別的一個重要手段��。
[0006]Windows虛擬機為安裝有Windows操作系統(tǒng)的虛擬機���,Windows操作系統(tǒng)(下文簡稱Windows)在刪除文件時分一般刪除和永久刪除兩種方式�。一般刪除是指Windows將文件放入到回收站中��,用戶可以在回收站中看到被刪除的文件�����,并且可以對其進行還原���。永久刪除是指Windows將文件徹底刪除�����,被刪除的文件不能通過Windows進行還原���。本文僅針對一般刪除的情況�����。
[0007]在傳統(tǒng)安裝有Windows的計算機中���,通過Windows提供的接口獲取Windows已刪除文件的信息Windows提供的接口包括Windows應用程序編程接口(Applicat1nProgramming Interface,API)���、應用程序、命令等��。該方法對于Windows虛擬機同樣適用�。
[0008]現(xiàn)有獲取Windows虛擬機中已刪除文件的方法存在如下問題:
[0009]1、現(xiàn)有技術(shù)依賴于被檢查的Windows虛擬機中Windows的運行狀態(tài)�。
[0010]只有在被檢查的Windows虛擬機中Windows運行時,現(xiàn)有技術(shù)才可獲取已刪除文件的信息��。
[0011 ] 2���、現(xiàn)有技術(shù)依賴于Windows提供的接口���。
[0012]對于安裝非Windows的操作系統(tǒng)的虛擬機�����,現(xiàn)有技術(shù)不可用���。
【發(fā)明內(nèi)容】
[0013]鑒于上述問題,本發(fā)明提出了克服上述問題或者至少部分地解決上述問題的一種獲取Windows虛擬機中已刪除文件的方法�、裝置及安全虛擬機。
[0014]為此目的����,第一方面,本發(fā)明提出一種獲取Windows虛擬機中已刪除文件的方法����,包括:
[0015]在接收到攜帶有目標Windows虛擬機標識的安全檢查請求消息后,將所述目標Windows虛擬機的回收站記錄文件掛載到預設(shè)的安全虛擬機中�;
[0016]將所述安全檢查請求消息發(fā)送到所述安全虛擬機,以使所述安全虛擬機將所述目標Windows虛擬機的回收站記錄文件加載到內(nèi)存中并分析�,得到所述目標Windows虛擬機中已刪除文件的信息���;
[0017]接收所述安全虛擬機發(fā)送的安全檢查應答消息,所述安全檢查應答消息中攜帶有所述目標Windows虛擬機中已刪除文件的信息���;
[0018]基于所述目標Windows虛擬機中已刪除文件的信息����,從所述Windows虛擬機中獲取已刪除文件。
[0019]可選的�,所述已刪除文件的信息包括已刪除文件的屬性信息和已刪除文件的索引信息;其中,所述已刪除文件的索引信息用于指示所述已刪除文件的原始數(shù)據(jù)的存儲路徑;
[0020]所述基于所述目標Windows虛擬機中已刪除文件的信息�����,從所述Windows虛擬機中獲取已刪除文件�,包括:
[0021]基于所述已刪除文件的索引信息�,從所述Windows虛擬機中獲取所述已刪除文件的原始數(shù)據(jù);
[0022]將所述已刪除文件的屬性信息與所述已刪除文件的原始數(shù)據(jù)合并��,得到所述已刪除文件�。
[0023]可選的�,所述從所述Windows虛擬機中獲取已刪除文件之后���,所述方法還包括:
[0024]卸載所述安全虛擬機中掛載的所述目標Windows虛擬機的回收站記錄文件����。
[0025]第二方面�,本發(fā)明還提供一種獲取Windows虛擬機中已刪除文件的裝置�����,包括:
[0026]掛載單元,用于在接收到攜帶有目標Windows虛擬機標識的安全檢查請求消息后�,將所述目標Windows虛擬機的回收站記錄文件掛載到預設(shè)的安全虛擬機中��;
[0027]發(fā)送單元�����,用于將所述安全檢查請求消息發(fā)送到所述安全虛擬機,以使所述安全虛擬機將所述目標Windows虛擬機的回收站記錄文件加載到內(nèi)存中并分析,得到所述目標Windows虛擬機中已刪除文件的信息;
[0028]接收單元�����,用于接收所述安全虛擬機發(fā)送的安全檢查應答消息�����,所述安全檢查應答消息中攜帶有所述目標Windows虛擬機中已刪除文件的信息�;
[0029]獲取單元��,用于基于所述目標Windows虛擬機中已刪除文件的信息,從所述Windows虛擬機中獲取已刪除文件。
[0030]可選的,所述已刪除文件的信息包括已刪除文件的屬性信息和已刪除文件的索引信息;其中,所述已刪除文件的索引信息用于指示所述已刪除文件的原始數(shù)據(jù)的存儲路徑�;
[0031]所述獲取單元����,用于基于所述已刪除文件的索引信息��,從所述Windows虛擬機中獲取所述已刪除文件的原始數(shù)據(jù);將所述已刪除文件的屬性信息與所述已刪除文件的原始數(shù)據(jù)合并���,得到所述已刪除文件���。
[0032]可選的,所述裝置還包括:
[0033]卸載單元����,用于在所述獲取單元從所述Windows虛擬機中獲取已刪除文件之后,卸載所述安全虛擬機中掛載的所述目標Windows虛擬機的回收站記錄文件���。
[0034]第三方面����,本發(fā)明還提供一種獲取Windows虛擬機中已刪除文件的方法,包括:
[0035]在接收到云管理服務器發(fā)送的攜帶有目標Windows虛擬機標識的安全檢查請求消息后����,將預先掛載的所述目標Windows虛擬機的回收站記錄文件加載到內(nèi)存中并分析,得到所述目標Windows虛擬機中已刪除文件的信息�����;
[0036]向所述云管理服務器發(fā)送安全檢查應答消息�,所述安全檢查應答消息中攜帶有所述目標Windows虛擬機中已刪除文件的信息,以使所述云管理服務器基于所述目標Windows虛擬機中已刪除文件的信息�����,從所述Windows虛擬機中獲取已刪除文件�����。
[0037]可選的�,所述向所述云管理服務器發(fā)送安全檢查應答消息,所述安全檢查應答消息中攜帶有所述目標Windows虛擬機中已刪除文件的信息��,以使所述云管理服務器基于所述目標Windows虛擬機中已刪除文件的信息����,從所述Windows虛擬機中獲取已刪除文件���,包括:
[0038]向所述云管理服務器發(fā)送安全檢查應答消息,所述安全檢查應答消息中攜帶有所述目標Windows虛擬機中已刪除文件的屬性信息和已刪除文件的索引信息�����,所述已刪除文件的索引信息用于指示所述已刪除文件的原始數(shù)據(jù)的存儲路徑���,以使所述云管理服務器基于所述已刪除文件的索引信息,從所述Windows虛擬機中獲取所述已刪除文件的原始數(shù)據(jù)�����;并將所述已刪除文件的屬性信息與所述已刪除文件的原始數(shù)據(jù)合并����,得到所述已刪除文件。
[0039 ]第四方面�����,本發(fā)明還提供一種安全虛擬機�����,包括:
[0040]處理單元,用于在接收到云管理服務器發(fā)送的攜帶有目標Windows虛擬機標識的安全檢查請求消息后��,將預先掛載的所述目標Windows虛擬機的回收站記錄文件加載到內(nèi)存中并分析���,得到所述目標Windows虛擬機中已刪除文件的信息��;
[0041 ]發(fā)送單元����,用于向所述云管理服務器發(fā)送安全檢查應答消息�,所述安全檢查應答消息中攜帶有所述目標Windows虛擬機中已刪除文件的信息,以使所述云管理服務器基于所述目標Windows虛擬機中已刪除文件的信息�����,從所述Windows虛擬機中獲取已刪除文件����。
[0042]可選的,所述發(fā)送單元�,用于向所述云管理服務器發(fā)送安全檢查應答消息,所述安全檢查應答消息中攜帶有所述目標Windows虛擬機中已刪除文件的屬性信息和已刪除文件的索引信息��,所述已刪除文件的索引信息用于指示所述已刪除文件的原始數(shù)據(jù)的存儲路徑,以使所述云管理服務器基于所述已刪除文件的索引信息���,從所述Windows虛擬機中獲取所述已刪除文件的原始數(shù)據(jù);并將所述已刪除文件的屬性信息與所述已刪除文件的原始數(shù)據(jù)合并�����,得到所述已刪除文件����。
[0043]相比于現(xiàn)有技術(shù)�,本發(fā)明提出的獲取Windows虛擬機中已刪除文件的方法及裝置,通過分析Windows的回收站記錄文件的內(nèi)容來獲取Windows已刪除文件的信息�����,從而可以恢復出被刪除文件的內(nèi)容���,即獲得已刪除文件,不依賴于被檢查的Windows虛擬機中Windows的運行狀態(tài)��,特別地���,本發(fā)明也適用于處于關(guān)機狀態(tài)的Windows虛擬機(S卩離線Windows虛擬機)�����。
[0044]進一步地�����,本發(fā)明提出的獲取Windows虛擬機中已刪除文件的方法及裝置�,通過分析Windows的回收站記錄文件的內(nèi)容來獲取Windows已刪除文件的信息,從而可以恢復出被刪除文件的內(nèi)容����,即獲得已刪除文件,不依賴于Windows提供的接口�����,適用于安裝非Windows的操作系統(tǒng)的虛擬機���。
【附圖說明】
[0045]圖1為本發(fā)明第一實施例提供的一種獲取Windows虛擬機中已刪除文件的方法流程圖��;
[0046]圖2為本發(fā)明第二實施例提供的一種獲取Windows虛擬機中已刪除文件的裝置結(jié)構(gòu)圖����;
[0047]圖3為本發(fā)明第三實施例提供的一種獲取Windows虛擬機中已刪除文件的方法流程圖��;
[0048]圖4為本發(fā)明第四實施例提供的一種安全虛擬機結(jié)構(gòu)圖。
【具體實施方式】
[0049]為使本發(fā)明實施例的目的��、技術(shù)方案和優(yōu)點更加清楚�����,下面將結(jié)合本發(fā)明實施例中的附圖�,對本發(fā)明實施例中的技術(shù)方案進行清楚地描述,顯然���,所描述的實施例是本發(fā)明一部分實施例����,而不是全部的實施例�。
[0050]如圖1所示,本實施例公開一種獲取Windows虛擬機中已刪除文件的方法����,可包括以下步驟101?104:
[0051 ] 101��、在接收到攜帶有目標Windows虛擬機標識的安全檢查請求消息后����,將所述目標Windows虛擬機的回收站記錄文件掛載到預設(shè)的安全虛擬機中���。
[0052]本實施例公開的獲取Windows虛擬機中已刪除文件的方法的執(zhí)行主體可設(shè)置于云平臺的云管理服務器中或為云平臺的云管理服務器。
[0053]本實施例中����,步驟101中“安全檢查請求消息”的發(fā)送裝置可設(shè)置于云平臺的主機中或設(shè)置于云終端中。進一步地���,“安全檢查請求消息”可由云平臺的管理人員人工觸發(fā)所述發(fā)送裝置進行發(fā)送或者每隔預設(shè)時長�,例如24小時��,所述發(fā)送裝置自動發(fā)送“安全檢查請求消息”�。
[0054]本實施例中,安全虛擬機可設(shè)置于云平臺的主機中����。
[°°55] 本實施例中,掛載回收站記錄文件不受被檢查的Windows虛擬機中Windows的運行狀態(tài)的影響�����,也不受處于關(guān)機狀態(tài)的Windows虛擬機即離線Windows虛擬機的影響���。
[0056]102����、將所述安全檢查請求消息發(fā)送到所述安全虛擬機,以使所述安全虛擬機將所述目標Windows虛擬機的回收站記錄文件加載到內(nèi)存中并分析�,得到所述目標Windows虛擬機中已刪除文件的信息。
[0057]本實施例中�����,回收站記錄文件對于不同內(nèi)核版本的Windows會有差異��。具體為�����,Windows Vista之前版本回收站中所有已刪除文件的信息記錄在同一個記錄文件中�����。Vista及之后的Windows版本回收站中���,每一個已刪除文件相應地有一個記錄文件進行信息記錄����。因此����,本實施例中,會將所述目標Windows虛擬機的所有回收站記錄文件均掛載到安全虛擬機中���,以使安全虛擬機將所有回收站記錄文件均加載到內(nèi)存中并分析���。
[0058]本實施例中,安全虛擬機對回收站記錄文件的分析可采用預設(shè)的或現(xiàn)有的文件級語義分析方法進行分析����,本實施例不再贅述語義分析的具體方法。
[0059]103����、接收所述安全虛擬機發(fā)送的安全檢查應答消息,所述安全檢查應答消息中攜帶有所述目標Windows虛擬機中已刪除文件的信息����。
[0060]104、基于所述目標Windows虛擬機中已刪除文件的信息��,從所述Windows虛擬機中獲取已刪除文件��。[0061 ] 本實施例中,在Windows中由于每一個磁盤分區(qū)下有一個回收站目錄����,因此對于離線Windows虛擬機,恢復回收站中已刪除文件時需要逐個磁盤分區(qū)進行恢復�����。
[0062]可見���,本實施例公開的獲取Windοws虛擬機中已刪除文件的方法�����,通過分析Windows的回收站記錄文件的內(nèi)容來獲取Windows已刪除文件的信息�,從而可以恢復出被刪除文件的內(nèi)容�,即獲得已刪除文件,不依賴于被檢查的Windows虛擬機中Windows的運行狀態(tài)���,特別地�,本發(fā)明也適用于處于關(guān)機狀態(tài)的Windows虛擬機(S卩離線Windows虛擬機)���。
[0063]進一步地��,本實施例公開的獲取Windows虛擬機中已刪除文件的方法�,通過分析Windows的回收站記錄文件的內(nèi)容來獲取Windows已刪除文件的信息���,從而可以恢復出被刪除文件的內(nèi)容��,即獲得已刪除文件�����,不依賴于Windows提供的接口��,適用于安裝非Windows的操作系統(tǒng)的虛擬機�����。
[0064]在一個具體的例子一中����,圖1所示的步驟102中所述已刪除文件的信息��,包括:已刪除文件的屬性信息和已刪除文件的索引信息����;其中�����,所述已刪除文件的索引信息用于指示所述已刪除文件的原始數(shù)據(jù)的存儲路徑��。
[0065]本實施例中�����,所述已刪除文件的屬性信息可包括諸如已刪除文件的大小��、刪除時間����、原始文件名等信息����,用于指示已刪除文件的基本信息。
[0066]本實施例中����,給出圖1所示的步驟104:“基于所述目標Windows虛擬機中已刪除文件的信息,從所述Windows虛擬機中獲取已刪除文件”的一種優(yōu)選實施方式���,具體包括圖1中未示出的步驟1041?1042:
[0067]1041�、基于所述已刪除文件的索引信息,從所述Windows虛擬機中獲取所述已刪除文件的原始數(shù)據(jù)��。
[0068]1042��、將所述已刪除文件的屬性信息與所述已刪除文件的原始數(shù)據(jù)合并��,得到所述已刪除文件���。
[0069]可見,本實施例公開的獲取Windοws虛擬機中已刪除文件的方法���,通過分析Windows的回收站記錄文件的內(nèi)容來獲取Windows已刪除文件的屬性信息和索引信息�����,從而可以恢復出被刪除文件的內(nèi)容��,即獲得已刪除文件���,不依賴于被檢查的Windows虛擬機中Windows的運行狀態(tài),特別地��,本發(fā)明也適用于處于關(guān)機狀態(tài)的Windows虛擬機(S卩離線Windows虛擬機)���。
[°07°]進一步地�,本實施例公開的獲取Windows虛擬機中已刪除文件的方法,通過分析Windows的回收站記錄文件的內(nèi)容來獲取Windows已刪除文件的屬性信息和索引信息��,從而可以恢復出被刪除文件的內(nèi)容�����,即獲得已刪除文件����,不依賴于Windows提供的接口,適用于安裝非Windows的操作系統(tǒng)的虛擬機����。
[0071]在一個具體的例子二中,圖1所示的步驟104“基于所述目標Windows虛擬機中已刪除文件的信息���,從所述Windows虛擬機中獲取已刪除文件”之后���,本實施例的方法還包括圖1中未示出的步驟105:
[0072]105、卸載所述安全虛擬機中掛載的所述目標Windows虛擬機的回收站記錄文件��。
[0073]本實施例公開的獲取Windows虛擬機中已刪除文件的方法,在獲取Windows虛擬機中已刪除文件之后�,卸載安全虛擬機中掛載的目標Windows虛擬機的回收站記錄文件,以節(jié)約硬件資源����。
[0074]如圖2所示,本實施例公開一種獲取Windows虛擬機中已刪除文件的裝置����,可包括以下單元:掛載單元21、發(fā)送單元22�、接收單元23以及獲取單元24。
[0075]掛載單元21�,用于在接收到攜帶有目標Windows虛擬機標識的安全檢查請求消息后�,將所述目標Windows虛擬機的回收站記錄文件掛載到預設(shè)的安全虛擬機中;
[0076]發(fā)送單元22�����,用于將所述安全檢查請求消息發(fā)送到所述安全虛擬機��,以使所述安全虛擬機將所述目標Windows虛擬機的回收站記錄文件加載到內(nèi)存中并分析���,得到所述目標Windows虛擬機中已刪除文件的信息����;
[0077]接收單元23,用于接收所述安全虛擬機發(fā)送的安全檢查應答消息�����,所述安全檢查應答消息中攜帶有所述目標Windows虛擬機中已刪除文件的信息��;
[0078]獲取單元24��,用于基于所述目標Windows虛擬機中已刪除文件的信息�����,從所述Windows虛擬機中獲取已刪除文件���。
[0079]本實施例公開的獲取Windows虛擬機中已刪除文件的裝置可設(shè)置于云平臺的云管理服務器中或為云平臺的云管理服務器��。
[0080]本實施例公開的獲取Windows虛擬機中已刪除文件的裝置�����,可實現(xiàn)圖1所示的獲取Windows虛擬機中已刪除文件的方法流程��,因此�����,本實施例中的裝置的效果及說明可參見圖1所示的方法實施例�,在此不再贅述。
[0081]在一個具體的例子三中�,圖2所示的裝置實施例中所述已刪除文件的信息包括已刪除文件的屬性信息和已刪除文件的索引信息;其中�,所述已刪除文件的索引信息用于指示所述已刪除文件的原始數(shù)據(jù)的存儲路徑。
[0082]本實施例中�����,給出圖2所示的獲取單元24的優(yōu)選實施方式�����,具體為:獲取單元24�,用于基于所述已刪除文件的索引信息���,從所述Windows虛擬機中獲取所述已刪除文件的原始數(shù)據(jù);將所述已刪除文件的屬性信息與所述已刪除文件的原始數(shù)據(jù)合并���,得到所述已刪除文件。
[0083]本實施例公開的獲取Windows虛擬機中已刪除文件的裝置����,可實現(xiàn)具體的例子一中所述的獲取Windows虛擬機中已刪除文件的方法流程��,因此�����,本實施例中的裝置的效果及說明可參見具體的例子一���,在此不再贅述。
[0084]在一個具體的例子四中�,圖2所示的裝置還包括圖2中未示出的:卸載單元25,用于在所述獲取單元24從所述Windows虛擬機中獲取已刪除文件之后��,卸載所述安全虛擬機中掛載的所述目標Windows虛擬機的回收站記錄文件��。
[0085]本實施例公開的獲取Windows虛擬機中已刪除文件的裝置���,可實現(xiàn)具體的例子二中所述的獲取Windows虛擬機中已刪除文件的方法流程��,因此��,本實施例中的裝置的效果及說明可參見具體的例子二�,在此不再贅述����。
[0086]如圖3所示����,本實施例公開一種獲取Windows虛擬機中已刪除文件的方法�����,可包括以下步驟301?302:
[0087]301����、在接收到云管理服務器發(fā)送的攜帶有目標Windows虛擬機標識的安全檢查請求消息后,將預先掛載的所述目標Windows虛擬機的回收站記錄文件加載到內(nèi)存中并分析���,得到所述目標Windows虛擬機中已刪除文件的信息����。
[0088]本實施例中獲取Windows虛擬機中已刪除文件的方法的執(zhí)行主體為安全虛擬機��。本實施例中�,安全虛擬機可設(shè)置于云平臺的主機中�����。
[0089]302、向所述云管理服務器發(fā)送安全檢查應答消息�����,所述安全檢查應答消息中攜帶有所述目標Windows虛擬機中已刪除文件的信息��,以使所述云管理服務器基于所述目標Windows虛擬機中已刪除文件的信息��,從所述Windows虛擬機中獲取已刪除文件����。
[0090]本實施例中,回收站記錄文件對于不同內(nèi)核版本的Windows會有差異�。具體為,Windows Vista之前版本回收站中所有已刪除文件的信息記錄在同一個記錄文件中�����。Vista及之后的Windows版本回收站中�����,每一個已刪除文件相應地有一個記錄文件進行信息記錄�����。因此,本實施例中�����,會將所述目標Windows虛擬機的所有回收站記錄文件均掛載到安全虛擬機中�����,以使安全虛擬機將所有回收站記錄文件均加載到內(nèi)存中并分析�����。
[0091]本實施例中��,安全虛擬機對回收站記錄文件的分析可采用預設(shè)的或現(xiàn)有的文件級語義分析方法進行分析����,本實施例不再贅述語義分析的具體方法。
[0092]可見����,本實施例公開的獲取Windοws虛擬機中已刪除文件的方法,通過分析Windows的回收站記錄文件的內(nèi)容來獲取Windows已刪除文件的信息�,從而可以恢復出被刪除文件的內(nèi)容,即獲得已刪除文件�,不依賴于被檢查的Windows虛擬機中Windows的運行狀態(tài),特別地����,本發(fā)明也適用于處于關(guān)機狀態(tài)的Windows虛擬機(S卩離線Windows虛擬機)。
[0093]進一步地�,本實施例公開的獲取Windows虛擬機中已刪除文件的方法,通過分析Windows的回收站記錄文件的內(nèi)容來獲取Windows已刪除文件的信息��,從而可以恢復出被刪除文件的內(nèi)容����,即獲得已刪除文件,不依賴于Windows提供的接口��,適用于安裝非Windows的操作系統(tǒng)的虛擬機�����。
[0094]在一個具體的例子五中��,本實施例給出圖3所示的步驟302:“向所述云管理服務器發(fā)送安全檢查應答消息�����,所述安全檢查應答消息中攜帶有所述目標Windows虛擬機中已刪除文件的信息�,以使所述云管理服務器基于所述目標Windows虛擬機中已刪除文件的信息����,從所述Windows虛擬機中獲取已刪除文件”的一種優(yōu)選實施方式�����,具體如下:
[0095]302����、向所述云管理服務器發(fā)送安全檢查應答消息,所述安全檢查應答消息中攜帶有所述目標Windows虛擬機中已刪除文件的屬性信息和已刪除文件的索引信息�����,所述已刪除文件的索引信息用于指示所述已刪除文件的原始數(shù)據(jù)的存儲路徑�,以使所述云管理服務器基于所述已刪除文件的索引信息,從所述Windows虛擬機中獲取所述已刪除文件的原始數(shù)據(jù);并將所述已刪除文件的屬性信息與所述已刪除文件的原始數(shù)據(jù)合并����,得到所述已刪除文件。
[0096]本實施例中�����,所述已刪除文件的屬性信息可包括諸如已刪除文件的大小、刪除時間����、原始文件名等信息,用于指示已刪除文件的基本信息���。
[0097]可見����,本實施例公開的獲取Windοws虛擬機中已刪除文件的方法��,通過分析Windows的回收站記錄文件的內(nèi)容來獲取Windows已刪除文件的屬性信息和索引信息�,從而可以恢復出被刪除文件的內(nèi)容,即獲得已刪除文件���,不依賴于被檢查的Windows虛擬機中Windows的運行狀態(tài)��,特別地����,本發(fā)明也適用于處于關(guān)機狀態(tài)的Windows虛擬機(S卩離線Windows虛擬機)��。
[0098]進一步地����,本實施例公開的獲取Windows虛擬機中已刪除文件的方法�����,通過分析Windows的回收站記錄文件的內(nèi)容來獲取Windows已刪除文件的屬性信息和索引信息��,從而可以恢復出被刪除文件的內(nèi)容��,即獲得已刪除文件�����,不依賴于Windows提供的接口����,適用于安裝非Windows的操作系統(tǒng)的虛擬機����。
[0099]如圖4所示,本實施例公開一種安全虛擬機�����,可包括以下單元:處理單元41以及發(fā)送單元42���。
[0100]處理單元41�����,用于在接收到云管理服務器發(fā)送的攜帶有目標Windows虛擬機標識的安全檢查請求消息后���,將預先掛載的所述目標Windows虛擬機的回收站記錄文件加載到內(nèi)存中并分析����,得到所述目標Windows虛擬機中已刪除文件的信息����;
[0101]發(fā)送單元42�,用于向所述云管理服務器發(fā)送安全檢查應答消息,所述安全檢查應答消息中攜帶有所述目標Windows虛擬機中已刪除文件的信息��,以使所述云管理服務器基于所述目標Windows虛擬機中已刪除文件的信息���,從所述Windows虛擬機中獲取已刪除文件�。
[0102]本實施例中�,安全虛擬機可設(shè)置于云平臺的主機中。
[0103]本實施例公開的安全虛擬機��,可實現(xiàn)圖3所示的獲取Windows虛擬機中已刪除文件的方法流程,因此��,本實施例中的安全虛擬機的效果及說明可參見圖3����,在此不再贅述。
[0104]在一個具體的例子中���,給出圖4中所示的發(fā)送單元42的一種優(yōu)選實施方式�,具體如下:
[0105]發(fā)送單元42����,用于向所述云管理服務器發(fā)送安全檢查應答消息,所述安全檢查應答消息中攜帶有所述目標Windows虛擬機中已刪除文件的屬性信息和已刪除文件的索引信息���,所述已刪除文件的索引信息用于指示所述已刪除文件的原始數(shù)據(jù)的存儲路徑�,以使所述云管理服務器基于所述已刪除文件的索引信息����,從所述Windows虛擬機中獲取所述已刪除文件的原始數(shù)據(jù);并將所述已刪除文件的屬性信息與所述已刪除文件的原始數(shù)據(jù)合并,得到所述已刪除文件����。
[0106]本實施例中��,所述已刪除文件的屬性信息可包括諸如已刪除文件的大小��、刪除時間�、原始文件名等信息����,用于指示已刪除文件的基本信息。
[0107]本實施例公開的安全虛擬機�����,可實現(xiàn)具體的例子五中所示的獲取Windows虛擬機中已刪除文件的方法流程�����,因此����,本實施例中的安全虛擬機的效果及說明可參見具體的例子五���,在此不再贅述���。
[0108]本領(lǐng)域技術(shù)人員可以理解�,可以把實施例中的各單元組合成一個單元��,以及此外可以把它們分成多個子單元���。除了這樣的特征和/或過程或者單元中的至少一些是互相排斥之處����,可以采用任何組合對本說明書中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進行組合���。除非另外明確陳述����,本說明書中公開的每個特征可以由提供相同�、等同或相似目的的替代特征來代替。
[0109]本領(lǐng)域的技術(shù)人員能夠理解����,盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征,但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例��。
[0110]本領(lǐng)域技術(shù)人員可以理解����,實施例中的各單元可以以硬件實現(xiàn)����,或者以在一個或者多個處理器上運行的軟件模塊實現(xiàn)�,或者以它們的組合實現(xiàn)。本領(lǐng)域的技術(shù)人員應當理解�,可以在實踐中使用微處理器或者數(shù)字信號處理器(DSP)來實現(xiàn)根據(jù)本發(fā)明實施例的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如�����,計算機程序和計算機程序產(chǎn)品)����。
[0111]雖然結(jié)合附圖描述了本發(fā)明的實施方式,但是本領(lǐng)域技術(shù)人員可以在不脫離本發(fā)明的精神和范圍的情況下做出各種修改和變型�����,這樣的修改和變型均落入由所附權(quán)利要求所限定的范圍之內(nèi)��。
【主權(quán)項】
1.獲取Windows虛擬機中已刪除文件的方法���,其特征在于,包括: 在接收到攜帶有目標Windows虛擬機標識的安全檢查請求消息后���,將所述目標Windows虛擬機的回收站記錄文件掛載到預設(shè)的安全虛擬機中����; 將所述安全檢查請求消息發(fā)送到所述安全虛擬機,以使所述安全虛擬機將所述目標Windows虛擬機的回收站記錄文件加載到內(nèi)存中并分析��,得到所述目標Windows虛擬機中已刪除文件的信息�����; 接收所述安全虛擬機發(fā)送的安全檢查應答消息�����,所述安全檢查應答消息中攜帶有所述目標Windows虛擬機中已刪除文件的信息��; 基于所述目標Windows虛擬機中已刪除文件的信息���,從所述Windows虛擬機中獲取已刪除文件����。2.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述已刪除文件的信息包括已刪除文件的屬性信息和已刪除文件的索引信息��;其中,所述已刪除文件的索引信息用于指示所述已刪除文件的原始數(shù)據(jù)的存儲路徑�����; 所述基于所述目標Windows虛擬機中已刪除文件的信息�,從所述Windows虛擬機中獲取已刪除文件,包括: 基于所述已刪除文件的索引信息�,從所述Windows虛擬機中獲取所述已刪除文件的原始數(shù)據(jù); 將所述已刪除文件的屬性信息與所述已刪除文件的原始數(shù)據(jù)合并�,得到所述已刪除文件。3.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述從所述Windows虛擬機中獲取已刪除文件之后�,所述方法還包括: 卸載所述安全虛擬機中掛載的所述目標Windows虛擬機的回收站記錄文件。4.獲取Windows虛擬機中已刪除文件的裝置��,其特征在于���,包括: 掛載單元��,用于在接收到攜帶有目標Windows虛擬機標識的安全檢查請求消息后�����,將所述目標Windows虛擬機的回收站記錄文件掛載到預設(shè)的安全虛擬機中�; 發(fā)送單元��,用于將所述安全檢查請求消息發(fā)送到所述安全虛擬機���,以使所述安全虛擬機將所述目標Windows虛擬機的回收站記錄文件加載到內(nèi)存中并分析��,得到所述目標Windows虛擬機中已刪除文件的信息��; 接收單元��,用于接收所述安全虛擬機發(fā)送的安全檢查應答消息�,所述安全檢查應答消息中攜帶有所述目標Windows虛擬機中已刪除文件的信息����; 獲取單元,用于基于所述目標Windows虛擬機中已刪除文件的信息�,從所述Windows虛擬機中獲取已刪除文件。5.根據(jù)權(quán)利要求4所述的裝置�����,其特征在于��,所述已刪除文件的信息包括已刪除文件的屬性信息和已刪除文件的索引信息;其中�����,所述已刪除文件的索引信息用于指示所述已刪除文件的原始數(shù)據(jù)的存儲路徑�; 所述獲取單元,用于基于所述已刪除文件的索引信息����,從所述Windows虛擬機中獲取所述已刪除文件的原始數(shù)據(jù);將所述已刪除文件的屬性信息與所述已刪除文件的原始數(shù)據(jù)合并,得到所述已刪除文件���。6.根據(jù)權(quán)利要求4所述的裝置�����,其特征在于����,所述裝置還包括: 卸載單元���,用于在所述獲取單元從所述Windows虛擬機中獲取已刪除文件之后���,卸載所述安全虛擬機中掛載的所述目標Windows虛擬機的回收站記錄文件�。7.獲取Windows虛擬機中已刪除文件的方法�,其特征在于���,包括: 在接收到云管理服務器發(fā)送的攜帶有目標Windows虛擬機標識的安全檢查請求消息后���,將預先掛載的所述目標Windows虛擬機的回收站記錄文件加載到內(nèi)存中并分析,得到所述目標Windows虛擬機中已刪除文件的信息���; 向所述云管理服務器發(fā)送安全檢查應答消息����,所述安全檢查應答消息中攜帶有所述目標Windows虛擬機中已刪除文件的信息���,以使所述云管理服務器基于所述目標Windows虛擬機中已刪除文件的信息�����,從所述Windows虛擬機中獲取已刪除文件��。8.根據(jù)權(quán)利要求7所述的方法���,其特征在于,所述向所述云管理服務器發(fā)送安全檢查應答消息,所述安全檢查應答消息中攜帶有所述目標Windows虛擬機中已刪除文件的信息�����,以使所述云管理服務器基于所述目標Windows虛擬機中已刪除文件的信息�����,從所述Windows虛擬機中獲取已刪除文件�,包括: 向所述云管理服務器發(fā)送安全檢查應答消息,所述安全檢查應答消息中攜帶有所述目標Windows虛擬機中已刪除文件的屬性信息和已刪除文件的索引信息���,所述已刪除文件的索引信息用于指示所述已刪除文件的原始數(shù)據(jù)的存儲路徑����,以使所述云管理服務器基于所述已刪除文件的索引信息�,從所述Windows虛擬機中獲取所述已刪除文件的原始數(shù)據(jù);并將所述已刪除文件的屬性信息與所述已刪除文件的原始數(shù)據(jù)合并,得到所述已刪除文件���。9.安全虛擬機�����,其特征在于����,包括: 處理單元,用于在接收到云管理服務器發(fā)送的攜帶有目標Windows虛擬機標識的安全檢查請求消息后�,將預先掛載的所述目標Windows虛擬機的回收站記錄文件加載到內(nèi)存中并分析,得到所述目標Windows虛擬機中已刪除文件的信息���; 發(fā)送單元,用于向所述云管理服務器發(fā)送安全檢查應答消息�,所述安全檢查應答消息中攜帶有所述目標Windows虛擬機中已刪除文件的信息,以使所述云管理服務器基于所述目標Windows虛擬機中已刪除文件的信息��,從所述Windows虛擬機中獲取已刪除文件����。10.根據(jù)權(quán)利要求9所述的安全虛擬機,其特征在于��, 所述發(fā)送單元����,用于向所述云管理服務器發(fā)送安全檢查應答消息,所述安全檢查應答消息中攜帶有所述目標Windows虛擬機中已刪除文件的屬性信息和已刪除文件的索引信息��,所述已刪除文件的索引信息用于指示所述已刪除文件的原始數(shù)據(jù)的存儲路徑�����,以使所述云管理服務器基于所述已刪除文件的索引信息,從所述Windows虛擬機中獲取所述已刪除文件的原始數(shù)據(jù);并將所述已刪除文件的屬性信息與所述已刪除文件的原始數(shù)據(jù)合并��,得到所述已刪除文件���。
【文檔編號】G06F9/455GK105868056SQ201610214439
【公開日】2016年8月17日
【申請日】2016年4月7日
【發(fā)明人】黨艷平, 李健波, 陳紅逵, 潘學樹
【申請人】北京北信源軟件股份有限公司