如何進行虛擬機磁盤取證？

2015-11-20 13:54 作者：admin 瀏覽量：

　　VDMK(virtual machine disk)是VMare虛擬機存儲虛擬磁盤鏡像的一種格式，虛擬機磁盤文件代表了虛擬機的存儲卷，它以vmdk后綴命名。

　　VMare虛擬磁盤有兩個關鍵的特征：

　　1)虛擬磁盤可能使用包含在同一個文件中的后備存儲器，也可能使用包含許多更小文件集成的存儲。

　　2)所有詢磁盤所需的磁盤空間可能在虛擬磁盤創建的時候被分配，也可能從小開始、逐步增大來容納更多的數據（恢復）。

　　在處理一個運行中的可能危及安全的虛擬機時，無論創建一個鏡像是作為電子證據發現請求的一部分還是事件響應，都應該采用取證的方式對虛擬機磁盤(*flat.vmdk)創建鏡像。

　　盡管虛擬環境比物理環境更復雜，但VMware讓取證和事件響應的工作變得相當輕松。簡單的說，一切同一個運行虛擬機相關的東西都已經包含在對應的VMDK容器中，并且所有獲取鏡像的必要工具都已經內嵌在VMware ESX和ESXi中。

　　1.VMDK容器定位

　　為了使用VMware更強大的功能，如vMotion，HA和DRS，VMDK容器一般需要存放在共享存儲上。在主機硬盤上不大可能會找到VMDK容器。

　　要找到相應的VMDK的位置，可以使用vSphere內嵌的“Maps”標簽頁，如圖1所示。

　　圖1

　　該Maps視圖顯示了虛擬機和對應的包含該虛擬機VMDK容器的存儲介質之間的關系。在圖2中，很容易看出虛擬機SRV02正在esx01主機上運行，而它的文件就存儲在共享存儲設備LABVMFS01上。

　　現在我們既然已經知道了VMDK容器的位置，我們需要創建一個運行虛擬機的快照。創建一個快照從字面上理解就是將虛擬機的父磁盤凍結。當創建一個快照時，一個新的子磁盤會被創建同時所有的寫操作都會轉到該子磁盤中，這樣父磁盤就處于一個靜止的狀態。另外，父磁盤(*flat.vmdk)本質上是一個物理磁盤的抽象，因此，他相當于(以dd或者原始格式)進行逐位復制。簡而概之，在取證的時候我們總是想要逐位復制，因為這可以提供已分配和未分配的磁盤空間。如果是傳統的對物理硬盤的文件拷貝，那只會提供已分配的磁盤空間，如此一來你就不能恢復那些已經刪除的文件，需計算機網絡維護外包。

　　創建好快照后，下一步就是創建原始父磁盤*flat.vmdk的哈希。我們在Maps視圖中看到，虛擬機是在esx01上。通過SSH登錄到esx01然后進入/vmfs/volumnes。這里你應該會看到目標虛擬機SRV02的VMDK容器，以及其他駐留在esx01上的虛擬機。進入SRV02目錄，你會看到和對應的虛擬機有關的所有文件。現在只需要簡單的使用主機上內置的md5sum命令來創建*flat.vmdk文件的哈希值然后重定向到一個文件，如md5sum *flat.vmdk>srv02.md5。

　　2.拷貝*flat.vmdk文件

　　之前提到過，*flat.vmdk代表一個dd或者原始格式的物理磁盤的抽象，意味著你的磁盤鏡像已經是一個可接受的格式并且現在可以毫無顧慮的進行復制了。

　　在vSphere中， 進入Home>Inventory>Storage視圖，然后選擇相應的數據存儲。右鍵打開Datastore Browser，如圖3所示。導航到相應的虛擬機磁盤容器然后簡單的上傳*flat.vmdk文件以及包含哈希值的那個文件。

　　圖3

　　因為在運行vSphere的Window操作系統里沒有自帶原生的哈希工具，你需要一個第三方工具來創建*flat.vmdk拷貝的哈希值。HashTab工具可以很輕松的完成文件的哈希，右鍵點擊文件，然后在彈出的屬性對話框里選擇“File Hashes”標簽頁。現在只要原始文件的哈希值與你復制的文件的哈希值一致，你就完成了一個虛擬機磁盤鏡像的取證(圖4)。

　　圖4

　　將磁盤正確做成鏡像后，現在可以整合你的運行虛擬機快照，然后開始對虛擬機磁盤的取證鏡像進行分析，北京it外包公司艾銻無限可以做到。