阿里云ECS实例镜像本地取证

更新时间：2024年03月21日10:09:37

1. 说明

很多非法案件中，服务器是直接搭建在阿里云上的，比如我们在拿到OSSKey之后（技术方法、其它方法等），可以将涉案服务器镜像导出，在本地进行取证分析。

本次是将阿里云的ECS进行快照打包之后，导出到本地，使用Vmware打开，进行镜像还原取证分析。

2. 环境准备

2.1 阿里云环境准备

需要阿里云账号，能够导出镜像，并且能够通过OSS下载。

2.2 本地环境准备

mac：

VMware Fusion 13.0.2：

Windows：
VMware：

Windows 11：

3. 阿里云ECS镜像导出

前提条件：首先是获取账号等成功登录了阿里云，并且能够访问控制台，在控制台里面可以找到对应的实例。

当然，在这里我是使用自己的账号进行取证测试的，实际上可能要选择不同的区，多找找有无ecs。

3.1 创建自定义镜像

在这里点击更多，搜索创建自定义镜像：

点击确认之后，在镜像栏等待创建成功：

过一段时间之后，刷新一下界面，如果显示可用，即代表创建成功：

3.2 镜像导出

在选择导出镜像的时候，会使用oss，oss是一项收费的服务（创建自定义镜像也是收费的）：

在这里选择下一步的时候，会提示是否完成以下操作：

此时看到暂时未授权ECS对OSS资源的访问权限，直接根据这个提示来打开以下链接：

点击同意授权即可：

授权之后，可以看到概览：

此时回到刚刚的导出镜像页面，继续下一步：

此时导出的时候，会让你选择OSS Bucket，但是在这里我们目前暂无OSS Bucket地址，所以我们要先行创建一个：

直接点击如何创建，然后找到登录OSS管理控制台：

点击立即创建：

在这里填写Bucket的名称，选择地域，其他的随便选择选择吧，请注意在这里我选择的是私有权限，后期下载的话，需要使用公共读的权限，等我后续弄完之后，再修改对应的权限。

最后就是创建成功：

回到刚刚的导出镜像界面，刷新页面之后，选择导出镜像：

确定导出：

回到对象存储的界面，找到你的Bucket列表，然后找到碎片管理，再点击统计：

等待一会，这个40G的镜像，压缩完之后，大概是4G左右，所以多等会。

在这里我也买了一个对象存储的资源包，也不贵，但是不知道能不能用上：

此时显示没有碎片的时候，就已经完成了：

从这里可以看到当前显示的文件名和大小：

此时点击一下详情，修改下读写权限：

修改权限为公共读：

此时直接使用URL进行下载，在这里可以直接复制链接在浏览器里面下载，也可以使用迅雷下载，看了很多文章，都推荐使用迅雷下载（断点续传）：

用迅雷：

插上网线之后：

4. 本地环境打开镜像

将镜像导出到本地之后，需要对镜像转换，将raw的格式转换为wmdk的文件，使用VMware打开。

4.1 qemu格式转换

这个步骤你可以在mac上的vm虚拟机里面用Windows的机器来操作，也可以选择使用实体Windows系统的机器来操作，效果是一样的。

下载下来的文件是压缩过的，在这里将其解压：

文件解压之后，有40多个G，目前是raw格式，需要将其转化为vmdk的格式，使用VMware打开，在这里下载qemu-img软件：

下载地址：https://qemu.weilnetz.de/

在这里看到只有win版本的，所以在这直接选择64位的下载下来：

直接双击安装：

安装完成之后，需要配置相应的环境变量，如果不配置其实也可以：

新建cmd打开，看下qemu-img命令是否生效：

此时在解压之后的那个文件夹中使用该命令将raw格式转换为vmdk：

qemu-img convert -f raw raw文件名 -O vmdk 保存的vmdk文件名

qemu-img convert -f raw demo.raw -O vmdk 123.vmdk

转换需要时间，等待转换完成：

转换完成的文件大概是10g，这时候准备使用VMware打开看下。

4.2 VMware Fusion-mac下打开

创建自定义虚拟机：

选择操作系统：

默认：

选择现有虚拟磁盘：

然后存储选择和命令：

设置好之后，跑一下看看：

网络问题，不用管，和本地设置有关

直接启动报错：

smbus host controller not enabled

主要的解决方法：https://blog.csdn.net/birencs/article/details/124405931

原因可能是：
刚扩展了磁盘容量，系统自动安装或启用了i2c_piix4模块。
解决：把它加入黑名单禁用即可。

其实在这里可以不解决，等着就行了，因为上面的解决方法我看了评论，好多人做了还是没用。

一直等，大概10分钟左右（这个bug有人知道如何解决吗）（2024年06月06日17:54:52，新的取证测试秒打开）

此时就可以了。

使用history等就可以查看命令了。

4.3 VMware-Windows下打开

问题比较多，直接尝试使用Windows的环境来做试试，首先在Windows上需要安装VMware，然后继续：

下面这个暂时不用管就行：

同样会遇到mac上遇到的问题，在这里等会就可以了：

登录之后（已知密码的情况下），就可以直接进去了：

5. 重置root密码

在这里用Windows的机器来进行演示：

选择重启客户机，然后在下面的界面到来的时候，在当前界面输入e键，进入单用户模式：

在这里找到

将ro之后的全部删掉，修改为rw init=/bin/bash

然后ctrl + x保存后跳转，输入passwd，重置密码：

输入你的新密码即可：

此时重启客户机：

然后等着：

此时就成功了，接下来就可以愉快的进行取证了。

6. 总结

本文仅仅是对ecs导出之后，本地将其启动起来而已，其实你可以简单理解下，就是VMware里面运行的某个虚拟机，打了一个快照，然后拷贝到你的电脑上，然后在你的电脑上运行而已，没有太大的难度。