DIsk imaging su ambiente virtuale

2

Ogni materiale forense che leggi, ti dice di ottenere un'immagine del disco e di lavorare con questa immagine. Tuttavia, sembra che si riferiscano sempre a un singolo computer.

Che cosa succede se il compromesso si trova su un'installazione VMWare in cui sono presenti più dischi che configurano gruppi LUN e LUN? Come devo ottenere l'immagine?

    
posta yzT 17.12.2014 - 13:04
fonte

1 risposta

1

Non dovresti ottenere l'immagine, sono già presenti sui tuoi repository VMware. Devi solo esaminarli.

È meglio se si imposta (o si utilizza una macchina virtuale appena creata). Quindi:

  1. interrompe le macchine virtuali comporomizzate
  2. rimuovi i loro dischi
  3. consegnali alla tua VM di ricerca / servizio
  4. controlla tutto da esso.

I Luns non hanno nulla da fare con loro, sono solo una parte dell'emulazione SCSI virtuale del vmware. Non importa, ciò che conta davvero sono le immagini del disco sul tuo sistema.

C'è anche la possibilità, se è necessario indagare su un intero sistema vmware. In questo caso, le cose sono un po 'più complesse, anche se non penso che un server VMware possa essere veramente danneggiato.

In questo caso ho gestito i dischi fisici vmware come dischi normali (quindi ho copiato un'immagine da loro), ho estratto le immagini .vmdk da loro e li ho usati. Quindi, la creazione dell'immagine ha un processo in due fasi:

  1. estrae i dischi di vmware .vmdk dai repository di vmware,
  2. analizza il loro contenuto.

Qui può sorgere un piccolo problema nell'immagine, e questo è che vmware usa il filesystem vmfs per le immagini di vmdk. Ma questo vmfs può essere elaborato da strumenti liberamente scaricabili da vmware.com.

    
risposta data 18.12.2014 - 12:15
fonte

Leggi altre domande sui tag