如何進行虛擬機磁盤取證？

2015-11-20 13:54 作者：admin 瀏覽量：

　　VDMK(virtual machine disk)是VMare虛擬機存儲虛擬磁盤鏡像的一種格式，虛擬機磁盤文件代表了虛擬機的存儲卷，它以vmdk后綴命名。

　　VMare虛擬磁盤有兩個關(guān)鍵的特征：

　　1)虛擬磁盤可能使用包含在同一個文件中的后備存儲器，也可能使用包含許多更小文件集成的存儲。

　　2)所有詢磁盤所需的磁盤空間可能在虛擬磁盤創(chuàng)建的時候被分配，也可能從小開始、逐步增大來容納更多的數(shù)據(jù)（恢復(fù)）。

　　在處理一個運行中的可能危及安全的虛擬機時，無論創(chuàng)建一個鏡像是作為電子證據(jù)發(fā)現(xiàn)請求的一部分還是事件響應(yīng)，都應(yīng)該采用取證的方式對虛擬機磁盤(*flat.vmdk)創(chuàng)建鏡像。

　　盡管虛擬環(huán)境比物理環(huán)境更復(fù)雜，但VMware讓取證和事件響應(yīng)的工作變得相當(dāng)輕松。簡單的說，一切同一個運行虛擬機相關(guān)的東西都已經(jīng)包含在對應(yīng)的VMDK容器中，并且所有獲取鏡像的必要工具都已經(jīng)內(nèi)嵌在VMware ESX和ESXi中。

　　1.VMDK容器定位

　　為了使用VMware更強大的功能，如vMotion，HA和DRS，VMDK容器一般需要存放在共享存儲上。在主機硬盤上不大可能會找到VMDK容器。

　　要找到相應(yīng)的VMDK的位置，可以使用vSphere內(nèi)嵌的“Maps”標簽頁，如圖1所示。

　　圖1

　　該Maps視圖顯示了虛擬機和對應(yīng)的包含該虛擬機VMDK容器的存儲介質(zhì)之間的關(guān)系。在圖2中，很容易看出虛擬機SRV02正在esx01主機上運行，而它的文件就存儲在共享存儲設(shè)備LABVMFS01上。

　　現(xiàn)在我們既然已經(jīng)知道了VMDK容器的位置，我們需要創(chuàng)建一個運行虛擬機的快照。創(chuàng)建一個快照從字面上理解就是將虛擬機的父磁盤凍結(jié)。當(dāng)創(chuàng)建一個快照時，一個新的子磁盤會被創(chuàng)建同時所有的寫操作都會轉(zhuǎn)到該子磁盤中，這樣父磁盤就處于一個靜止的狀態(tài)。另外，父磁盤(*flat.vmdk)本質(zhì)上是一個物理磁盤的抽象，因此，他相當(dāng)于(以dd或者原始格式)進行逐位復(fù)制。簡而概之，在取證的時候我們總是想要逐位復(fù)制，因為這可以提供已分配和未分配的磁盤空間。如果是傳統(tǒng)的對物理硬盤的文件拷貝，那只會提供已分配的磁盤空間，如此一來你就不能恢復(fù)那些已經(jīng)刪除的文件，需計算機網(wǎng)絡(luò)維護外包。

　　創(chuàng)建好快照后，下一步就是創(chuàng)建原始父磁盤*flat.vmdk的哈希。我們在Maps視圖中看到，虛擬機是在esx01上。通過SSH登錄到esx01然后進入/vmfs/volumnes。這里你應(yīng)該會看到目標虛擬機SRV02的VMDK容器，以及其他駐留在esx01上的虛擬機。進入SRV02目錄，你會看到和對應(yīng)的虛擬機有關(guān)的所有文件?，F(xiàn)在只需要簡單的使用主機上內(nèi)置的md5sum命令來創(chuàng)建*flat.vmdk文件的哈希值然后重定向到一個文件，如md5sum *flat.vmdk>srv02.md5。

　　2.拷貝*flat.vmdk文件

　　之前提到過，*flat.vmdk代表一個dd或者原始格式的物理磁盤的抽象，意味著你的磁盤鏡像已經(jīng)是一個可接受的格式并且現(xiàn)在可以毫無顧慮的進行復(fù)制了。

　　在vSphere中， 進入Home>Inventory>Storage視圖，然后選擇相應(yīng)的數(shù)據(jù)存儲。右鍵打開Datastore Browser，如圖3所示。導(dǎo)航到相應(yīng)的虛擬機磁盤容器然后簡單的上傳*flat.vmdk文件以及包含哈希值的那個文件。

　　圖3

　　因為在運行vSphere的Window操作系統(tǒng)里沒有自帶原生的哈希工具，你需要一個第三方工具來創(chuàng)建*flat.vmdk拷貝的哈希值。HashTab工具可以很輕松的完成文件的哈希，右鍵點擊文件，然后在彈出的屬性對話框里選擇“File Hashes”標簽頁。現(xiàn)在只要原始文件的哈希值與你復(fù)制的文件的哈希值一致，你就完成了一個虛擬機磁盤鏡像的取證(圖4)。

　　圖4

　　將磁盤正確做成鏡像后，現(xiàn)在可以整合你的運行虛擬機快照，然后開始對虛擬機磁盤的取證鏡像進行分析，北京it外包公司艾銻無限可以做到。