Ogni materiale forense che leggi, ti dice di ottenere un'immagine del disco e di lavorare con questa immagine. Tuttavia, sembra che si riferiscano sempre a un singolo computer.
Che cosa succede se il compromesso si trova su un'installazione VMWare in cui sono presenti più dischi che configurano gruppi LUN e LUN? Come devo ottenere l'immagine?
Non dovresti ottenere l'immagine, sono già presenti sui tuoi repository VMware. Devi solo esaminarli.
È meglio se si imposta (o si utilizza una macchina virtuale appena creata). Quindi:
I Luns non hanno nulla da fare con loro, sono solo una parte dell'emulazione SCSI virtuale del vmware. Non importa, ciò che conta davvero sono le immagini del disco sul tuo sistema.
C'è anche la possibilità, se è necessario indagare su un intero sistema vmware. In questo caso, le cose sono un po 'più complesse, anche se non penso che un server VMware possa essere veramente danneggiato.
In questo caso ho gestito i dischi fisici vmware come dischi normali (quindi ho copiato un'immagine da loro), ho estratto le immagini .vmdk da loro e li ho usati. Quindi, la creazione dell'immagine ha un processo in due fasi:
Qui può sorgere un piccolo problema nell'immagine, e questo è che vmware usa il filesystem vmfs per le immagini di vmdk. Ma questo vmfs può essere elaborato da strumenti liberamente scaricabili da vmware.com.
Leggi altre domande sui tag forensics