漳州网站开发,英文外贸发布网站,查询公司信息去哪里查,渭南做网站的更新时间#xff1a;2024年03月21日10:09:37
1. 说明
很多非法案件中#xff0c;服务器是直接搭建在阿里云上的#xff0c;比如我们在拿到OSSKey之后#xff08;技术方法、其它方法等#xff09;#xff0c;可以将涉案服务器镜像导出#xff0c;在本地进行取证分析。 …更新时间2024年03月21日10:09:37
1. 说明
很多非法案件中服务器是直接搭建在阿里云上的比如我们在拿到OSSKey之后技术方法、其它方法等可以将涉案服务器镜像导出在本地进行取证分析。 本次是将阿里云的ECS进行快照打包之后导出到本地使用Vmware打开进行镜像还原取证分析。
2. 环境准备
2.1 阿里云环境准备
需要阿里云账号能够导出镜像并且能够通过OSS下载。
2.2 本地环境准备
mac VMware Fusion 13.0.2 Windows VMware
Windows 11 3. 阿里云ECS镜像导出
前提条件首先是获取账号等成功登录了阿里云并且能够访问控制台在控制台里面可以找到对应的实例。 当然在这里我是使用自己的账号进行取证测试的实际上可能要选择不同的区多找找有无ecs。
3.1 创建自定义镜像
在这里点击更多搜索创建自定义镜像 点击确认之后在镜像栏等待创建成功 过一段时间之后刷新一下界面如果显示可用即代表创建成功 3.2 镜像导出 在选择导出镜像的时候会使用ossoss是一项收费的服务创建自定义镜像也是收费的 在这里选择下一步的时候会提示是否完成以下操作 此时看到暂时未授权ECS对OSS资源的访问权限直接根据这个提示来打开以下链接 点击同意授权即可 授权之后可以看到概览 此时回到刚刚的导出镜像页面继续下一步 此时导出的时候会让你选择OSS Bucket但是在这里我们目前暂无OSS Bucket地址所以我们要先行创建一个 直接点击如何创建然后找到登录OSS管理控制台 点击立即创建 在这里填写Bucket的名称选择地域其他的随便选择选择吧请注意在这里我选择的是私有权限后期下载的话需要使用公共读的权限等我后续弄完之后再修改对应的权限。 最后就是创建成功 回到刚刚的导出镜像界面刷新页面之后选择导出镜像 确定导出 回到对象存储的界面找到你的Bucket列表然后找到碎片管理再点击统计 等待一会这个40G的镜像压缩完之后大概是4G左右所以多等会。
在这里我也买了一个对象存储的资源包也不贵但是不知道能不能用上 此时显示没有碎片的时候就已经完成了 从这里可以看到当前显示的文件名和大小 此时点击一下详情修改下读写权限
修改权限为公共读 此时直接使用URL进行下载在这里可以直接复制链接在浏览器里面下载也可以使用迅雷下载看了很多文章都推荐使用迅雷下载断点续传
用迅雷 插上网线之后 4. 本地环境打开镜像
将镜像导出到本地之后需要对镜像转换将raw的格式转换为wmdk的文件使用VMware打开。
4.1 qemu格式转换
这个步骤你可以在mac上的vm虚拟机里面用Windows的机器来操作也可以选择使用实体Windows系统的机器来操作效果是一样的。
下载下来的文件是压缩过的在这里将其解压 文件解压之后有40多个G目前是raw格式需要将其转化为vmdk的格式使用VMware打开在这里下载qemu-img软件 下载地址https://qemu.weilnetz.de/ 在这里看到只有win版本的所以在这直接选择64位的下载下来 直接双击安装 安装完成之后需要配置相应的环境变量如果不配置其实也可以 新建cmd打开看下qemu-img命令是否生效 此时在解压之后的那个文件夹中使用该命令将raw格式转换为vmdk
qemu-img convert -f raw raw文件名 -O vmdk 保存的vmdk文件名qemu-img convert -f raw demo.raw -O vmdk 123.vmdk转换需要时间等待转换完成 转换完成的文件大概是10g这时候准备使用VMware打开看下。
4.2 VMware Fusion-mac下打开 创建自定义虚拟机 选择操作系统 默认
选择现有虚拟磁盘 然后存储选择和命令
设置好之后跑一下看看 网络问题不用管和本地设置有关
直接启动报错
smbus host controller not enabled主要的解决方法https://blog.csdn.net/birencs/article/details/124405931
原因可能是
刚扩展了磁盘容量系统自动安装或启用了i2c_piix4模块。
解决把它加入黑名单禁用即可。其实在这里可以不解决等着就行了因为上面的解决方法我看了评论好多人做了还是没用。 一直等大概10分钟左右这个bug有人知道如何解决吗2024年06月06日17:54:52新的取证测试秒打开 此时就可以了。 使用history等就可以查看命令了。
4.3 VMware-Windows下打开
问题比较多直接尝试使用Windows的环境来做试试首先在Windows上需要安装VMware然后继续 下面这个暂时不用管就行 同样会遇到mac上遇到的问题在这里等会就可以了 登录之后已知密码的情况下就可以直接进去了 5. 重置root密码
在这里用Windows的机器来进行演示 选择重启客户机然后在下面的界面到来的时候在当前界面输入e键进入单用户模式 在这里找到 将ro之后的全部删掉修改为rw init/bin/bash 然后ctrl x保存后跳转输入passwd重置密码 输入你的新密码即可 此时重启客户机 然后等着 此时就成功了接下来就可以愉快的进行取证了。
6. 总结
本文仅仅是对ecs导出之后本地将其启动起来而已其实你可以简单理解下就是VMware里面运行的某个虚拟机打了一个快照然后拷贝到你的电脑上然后在你的电脑上运行而已没有太大的难度。
