更新时间:2024年03月21日10:09:37
1. 说明
很多非法案件中,服务器是直接搭建在阿里云上的,比如我们在拿到OSSKey
之后(技术方法、其它方法等),可以将涉案服务器镜像导出,在本地进行取证分析。
本次是将阿里云的ECS进行快照打包之后,导出到本地,使用Vmware
打开,进行镜像还原取证分析。
2. 环境准备
2.1 阿里云环境准备
需要阿里云账号,能够导出镜像,并且能够通过OSS
下载。
2.2 本地环境准备
mac
:
VMware Fusion 13.0.2
:
Windows:
VMware:
Windows 11
:
3. 阿里云ECS镜像导出
前提条件:首先是获取账号等成功登录了阿里云,并且能够访问控制台,在控制台里面可以找到对应的实例。
当然,在这里我是使用自己的账号进行取证测试的,实际上可能要选择不同的区,多找找有无ecs
。
3.1 创建自定义镜像
在这里点击更多,搜索创建自定义镜像:
点击确认之后,在镜像栏等待创建成功:
过一段时间之后,刷新一下界面,如果显示可用,即代表创建成功:
3.2 镜像导出
在选择导出镜像的时候,会使用oss
,oss
是一项收费的服务(创建自定义镜像也是收费的):
在这里选择下一步的时候,会提示是否完成以下操作:
此时看到暂时未授权ECS
对OSS
资源的访问权限,直接根据这个提示来打开以下链接:
点击同意授权即可:
授权之后,可以看到概览:
此时回到刚刚的导出镜像页面,继续下一步:
此时导出的时候,会让你选择OSS Bucket
,但是在这里我们目前暂无OSS Bucket
地址,所以我们要先行创建一个:
直接点击如何创建,然后找到登录OSS
管理控制台:
点击立即创建:
在这里填写Bucket
的名称,选择地域,其他的随便选择选择吧,请注意在这里我选择的是私有权限,后期下载的话,需要使用公共读的权限,等我后续弄完之后,再修改对应的权限。
最后就是创建成功:
回到刚刚的导出镜像界面,刷新页面之后,选择导出镜像:
确定导出:
回到对象存储的界面,找到你的Bucket
列表,然后找到碎片管理,再点击统计:
等待一会,这个40G
的镜像,压缩完之后,大概是4G
左右,所以多等会。
在这里我也买了一个对象存储的资源包,也不贵,但是不知道能不能用上:
此时显示没有碎片的时候,就已经完成了:
从这里可以看到当前显示的文件名和大小:
此时点击一下详情,修改下读写权限:
修改权限为公共读:
此时直接使用URL进行下载,在这里可以直接复制链接在浏览器里面下载,也可以使用迅雷下载,看了很多文章,都推荐使用迅雷下载(断点续传):
用迅雷:
插上网线之后:
4. 本地环境打开镜像
将镜像导出到本地之后,需要对镜像转换,将raw
的格式转换为wmdk
的文件,使用VMware
打开。
4.1 qemu格式转换
这个步骤你可以在mac
上的vm
虚拟机里面用Windows
的机器来操作,也可以选择使用实体Windows
系统的机器来操作,效果是一样的。
下载下来的文件是压缩过的,在这里将其解压:
文件解压之后,有40
多个G
,目前是raw
格式,需要将其转化为vmdk
的格式,使用VMware
打开,在这里下载qemu-img
软件:
下载地址:https://qemu.weilnetz.de/
在这里看到只有win
版本的,所以在这直接选择64
位的下载下来:
直接双击安装:
安装完成之后,需要配置相应的环境变量,如果不配置其实也可以:
新建cmd
打开,看下qemu-img
命令是否生效:
此时在解压之后的那个文件夹中使用该命令将raw
格式转换为vmdk
:
qemu-img convert -f raw raw文件名 -O vmdk 保存的vmdk文件名
qemu-img convert -f raw demo.raw -O vmdk 123.vmdk
转换需要时间,等待转换完成:
转换完成的文件大概是10g
,这时候准备使用VMware
打开看下。
4.2 VMware Fusion-mac下打开
创建自定义虚拟机:
选择操作系统:
默认:
选择现有虚拟磁盘:
然后存储选择和命令:
设置好之后,跑一下看看:
网络问题,不用管,和本地设置有关
直接启动报错:
smbus host controller not enabled
主要的解决方法:https://blog.csdn.net/birencs/article/details/124405931
原因可能是:
刚扩展了磁盘容量,系统自动安装或启用了i2c_piix4模块。
解决:把它加入黑名单禁用即可。
其实在这里可以不解决,等着就行了,因为上面的解决方法我看了评论,好多人做了还是没用。
一直等,大概10
分钟左右(这个bug
有人知道如何解决吗)(2024年06月06日17:54:52,新的取证测试秒打开)
此时就可以了。
使用history
等就可以查看命令了。
4.3 VMware-Windows下打开
问题比较多,直接尝试使用Windows
的环境来做试试,首先在Windows
上需要安装VMware
,然后继续:
下面这个暂时不用管就行:
同样会遇到mac上遇到的问题,在这里等会就可以了:
登录之后(已知密码的情况下),就可以直接进去了:
5. 重置root密码
在这里用Windows
的机器来进行演示:
选择重启客户机,然后在下面的界面到来的时候,在当前界面输入e
键,进入单用户模式:
在这里找到
将ro
之后的全部删掉,修改为rw init=/bin/bash
然后ctrl + x
保存后跳转,输入passwd
,重置密码:
输入你的新密码即可:
此时重启客户机:
然后等着:
此时就成功了,接下来就可以愉快的进行取证了。
6. 总结
本文仅仅是对ecs
导出之后,本地将其启动起来而已,其实你可以简单理解下,就是VMware
里面运行的某个虚拟机,打了一个快照,然后拷贝到你的电脑上,然后在你的电脑上运行而已,没有太大的难度。