当前位置:主页 > 导出文件 >

技术分享:KVM虚拟化如何取证?

  虚拟化技术应用越来越广泛,在国内虚拟化市场,按销售额已经五年成两位数增长了。对于我们取证业行来说也迫切需要了解一些虚拟化相关的知识,今天美亚技术专家为大家带来使用Linux KVM虚拟化技术的取证研究。

  KVM是Kernel-based Virtual Machine的简称,是一个开源的系统虚拟化模块,自Linux 2.6.20之后集成在Linux的各个主要发行版本中。它使用Linux自身的调度器进行管理,操作简单使用方便。是Linux系统中主流的虚拟化解决方案之一。

  创建KVM虚拟机可以通过命令方式,也可以通过图形化管理界面方式,创建虚拟取对取证没有太大帮助,但创建虚拟机时硬盘文件存放位置是我们取证必须确认的,因此为了直观显示并了解硬盘文件存储位置,此处使用图形化界面简单演示:

  2、选择New 会弹出如下图显示的新建虚拟机对线、根据自已需要设置好相关选项,硬盘文件存储位置设置如下图所示。

  4、从上图可以看见,我们可以创建新的硬盘文件,也可以选择已经有的硬盘文件。此处我们选择第二项“select managed or other existing storage“并点击”Browse“浏览,会弹出如下图对话框,对话框中已经显示了默认硬盘文件位置。

  5、我们可以选择新建卷“New Volume“或是本地浏览“Browse Local“,本地浏览可以把硬盘文件存放在其它位置。如下图所示,是在tmp目录下建的一个11111111的硬盘文件,并且文件没有后缀,因为linu不以后缀来识别文件类型。

  6、硬盘的文件格式有很多种,最常使用的是raw、qcow2、vmdk,不同linux版本会有不同,如下图所示是ubuntu 16.04版本所支持的硬盘文件格式。

  以上就是创建虚拟机的流程,硬盘存储相关的设置,正常取证过程中虚拟机都已创建成功,我们怎么来确认创建好的虚拟机硬盘文件存储在那呢?

  3、我们可通过“ll /var/lib/libvirt/images/“确认硬盘文件是否存在,如下图所示。

  方法一:如果证据已固定,并且已通过配制文件确认硬盘文件存储位置,可直接使用取证大师导出。

  方法二:如果设备是大型商用平台,无法针对服务器证据固定,只能远程操作时,可使用FTP之类的工具把我们需要的文件下载到本地。

http://ogelus.com/daochuwenjian/192.html
点击次数:??更新时间2019-04-18??【打印此页】??【关闭
  • Copyright © 2002-2017 DEDECMS. 织梦科技 版权所有  
  • 点击这里给我发消息
在线交流 
客服咨询
【我们的专业】
【效果的保证】
【百度百科】
【因为有我】
【所以精彩】