如何進(jìn)行虛擬機(jī)磁盤取證？

2015-11-20 13:54 作者：admin 瀏覽量：

　　VDMK(virtual machine disk)是VMare虛擬機(jī)存儲(chǔ)虛擬磁盤鏡像的一種格式，虛擬機(jī)磁盤文件代表了虛擬機(jī)的存儲(chǔ)卷，它以vmdk后綴命名。

　　VMare虛擬磁盤有兩個(gè)關(guān)鍵的特征：

　　1)虛擬磁盤可能使用包含在同一個(gè)文件中的后備存儲(chǔ)器，也可能使用包含許多更小文件集成的存儲(chǔ)。

　　2)所有詢磁盤所需的磁盤空間可能在虛擬磁盤創(chuàng)建的時(shí)候被分配，也可能從小開始、逐步增大來(lái)容納更多的數(shù)據(jù)（恢復(fù)）。

　　在處理一個(gè)運(yùn)行中的可能危及安全的虛擬機(jī)時(shí)，無(wú)論創(chuàng)建一個(gè)鏡像是作為電子證據(jù)發(fā)現(xiàn)請(qǐng)求的一部分還是事件響應(yīng)，都應(yīng)該采用取證的方式對(duì)虛擬機(jī)磁盤(*flat.vmdk)創(chuàng)建鏡像。

　　盡管虛擬環(huán)境比物理環(huán)境更復(fù)雜，但VMware讓取證和事件響應(yīng)的工作變得相當(dāng)輕松。簡(jiǎn)單的說(shuō)，一切同一個(gè)運(yùn)行虛擬機(jī)相關(guān)的東西都已經(jīng)包含在對(duì)應(yīng)的VMDK容器中，并且所有獲取鏡像的必要工具都已經(jīng)內(nèi)嵌在VMware ESX和ESXi中。

　　1.VMDK容器定位

　　為了使用VMware更強(qiáng)大的功能，如vMotion，HA和DRS，VMDK容器一般需要存放在共享存儲(chǔ)上。在主機(jī)硬盤上不大可能會(huì)找到VMDK容器。

　　要找到相應(yīng)的VMDK的位置，可以使用vSphere內(nèi)嵌的“Maps”標(biāo)簽頁(yè)，如圖1所示。

　　圖1

　　該Maps視圖顯示了虛擬機(jī)和對(duì)應(yīng)的包含該虛擬機(jī)VMDK容器的存儲(chǔ)介質(zhì)之間的關(guān)系。在圖2中，很容易看出虛擬機(jī)SRV02正在esx01主機(jī)上運(yùn)行，而它的文件就存儲(chǔ)在共享存儲(chǔ)設(shè)備LABVMFS01上。

　　現(xiàn)在我們既然已經(jīng)知道了VMDK容器的位置，我們需要?jiǎng)?chuàng)建一個(gè)運(yùn)行虛擬機(jī)的快照。創(chuàng)建一個(gè)快照從字面上理解就是將虛擬機(jī)的父磁盤凍結(jié)。當(dāng)創(chuàng)建一個(gè)快照時(shí)，一個(gè)新的子磁盤會(huì)被創(chuàng)建同時(shí)所有的寫操作都會(huì)轉(zhuǎn)到該子磁盤中，這樣父磁盤就處于一個(gè)靜止的狀態(tài)。另外，父磁盤(*flat.vmdk)本質(zhì)上是一個(gè)物理磁盤的抽象，因此，他相當(dāng)于(以dd或者原始格式)進(jìn)行逐位復(fù)制。簡(jiǎn)而概之，在取證的時(shí)候我們總是想要逐位復(fù)制，因?yàn)檫@可以提供已分配和未分配的磁盤空間。如果是傳統(tǒng)的對(duì)物理硬盤的文件拷貝，那只會(huì)提供已分配的磁盤空間，如此一來(lái)你就不能恢復(fù)那些已經(jīng)刪除的文件，需計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)外包。

　　創(chuàng)建好快照后，下一步就是創(chuàng)建原始父磁盤*flat.vmdk的哈希。我們?cè)贛aps視圖中看到，虛擬機(jī)是在esx01上。通過(guò)SSH登錄到esx01然后進(jìn)入/vmfs/volumnes。這里你應(yīng)該會(huì)看到目標(biāo)虛擬機(jī)SRV02的VMDK容器，以及其他駐留在esx01上的虛擬機(jī)。進(jìn)入SRV02目錄，你會(huì)看到和對(duì)應(yīng)的虛擬機(jī)有關(guān)的所有文件。現(xiàn)在只需要簡(jiǎn)單的使用主機(jī)上內(nèi)置的md5sum命令來(lái)創(chuàng)建*flat.vmdk文件的哈希值然后重定向到一個(gè)文件，如md5sum *flat.vmdk>srv02.md5。

　　2.拷貝*flat.vmdk文件

　　之前提到過(guò)，*flat.vmdk代表一個(gè)dd或者原始格式的物理磁盤的抽象，意味著你的磁盤鏡像已經(jīng)是一個(gè)可接受的格式并且現(xiàn)在可以毫無(wú)顧慮的進(jìn)行復(fù)制了。

　　在vSphere中， 進(jìn)入Home>Inventory>Storage視圖，然后選擇相應(yīng)的數(shù)據(jù)存儲(chǔ)。右鍵打開Datastore Browser，如圖3所示。導(dǎo)航到相應(yīng)的虛擬機(jī)磁盤容器然后簡(jiǎn)單的上傳*flat.vmdk文件以及包含哈希值的那個(gè)文件。

　　圖3

　　因?yàn)樵谶\(yùn)行vSphere的Window操作系統(tǒng)里沒(méi)有自帶原生的哈希工具，你需要一個(gè)第三方工具來(lái)創(chuàng)建*flat.vmdk拷貝的哈希值。HashTab工具可以很輕松的完成文件的哈希，右鍵點(diǎn)擊文件，然后在彈出的屬性對(duì)話框里選擇“File Hashes”標(biāo)簽頁(yè)。現(xiàn)在只要原始文件的哈希值與你復(fù)制的文件的哈希值一致，你就完成了一個(gè)虛擬機(jī)磁盤鏡像的取證(圖4)。

　　圖4

　　將磁盤正確做成鏡像后，現(xiàn)在可以整合你的運(yùn)行虛擬機(jī)快照，然后開始對(duì)虛擬機(jī)磁盤的取證鏡像進(jìn)行分析，北京it外包公司艾銻無(wú)限可以做到。