此篇文章发布距今已超过36天,您需要注意文章的内容或图片是否可用!
近期,美亚柏科技术人员在一次技术实战支撑中,遭遇了一台ESXi虚拟化平台服务器,该服务器上托管着数台运行不同操作系统的虚拟主机。除ESXi外,市场上常见的虚拟化平台还包括微软的Hyper-V、Citrix的XenServer、IBM的PowerVM,以及开源的PVE、KVM和Xen等。对于这类虚拟化平台,取证工作的核心在于深入分析其内部创建的各类虚拟主机,而采用仿真技术进行取证,将显著提升效率和便捷性。本期专题,美亚柏科取证专家将与大家分享虚拟化平台仿真取证的实战技巧。
以ESXi虚拟化平台为例,我们使用电子数据仿真取证系统进行取证。(6)在弹出的界面中可以看到自动识别到操作系统和版本号,点击【开始仿真】。(8)当进度条走完会自动弹出Vmware并启动虚拟机。(1)适当调整CPU、内存相关参数,尽量设置大一点,确保仿真后内部的虚拟主机运行稳定。(2)在高级设置中,网卡设置根据案情情况禁用或启用,禁用状态下vmware的虚拟机网络为仅主机状态。(3)检查Vmware虚拟机的虚拟化引擎是否开启。(1)启动后在主界面可以看到虚拟化管理地址,访问该地址可以进入虚拟机管理页面。(2) 一般虚拟化平台网段与本机不同,需要设置同网段进行访问。根据Vmware虚拟机设置中的【网络连接】模式,打开【虚拟网络编辑器】调整对应模式的网段。(4)点继续前往,仿真系统已重置平台用户名和密码(root/123456),输入后点击登录。(5)在管理页面中可看到平台创建的所有虚拟机,并且可以操作管理,此时无需再单独仿真虚拟机。ESXi管理系统中没有重置虚拟机密码的功能,下面是对应系统手动绕密的常用办法。第一种:子虚拟机挂载PE工具iso镜像,编辑虚拟主机从光驱加载镜像引导启动,重置密码。第二种:编辑子虚拟主机强制进入恢复模式,替换加载cmd.exe模式新增管理员。(2) linux系统的子虚拟主机,GRUB编辑模式下使用单用户重置密码服务器虚拟化技术能够将单一服务器分割成多个独立的子虚拟主机,每个子主机均能自主运行操作系统和应用程序。借助动态仿真取证方法,可以更高效地对虚拟化平台执行全面分析,深入挖掘用户行为痕迹以及各子虚拟主机间的业务关联性。 推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-周飒博客
还没有评论,来说两句吧...