阿里云ECS实例镜像本地取证

更新时间:2024年03月21日10:09:37

1. 说明

很多非法案件中,服务器是直接搭建在阿里云上的,比如我们在拿到OSSKey之后(技术方法、其它方法等),可以将涉案服务器镜像导出,在本地进行取证分析。

本次是将阿里云的ECS进行快照打包之后,导出到本地,使用Vmware打开,进行镜像还原取证分析。

2. 环境准备

2.1 阿里云环境准备

需要阿里云账号,能够导出镜像,并且能够通过OSS下载。

2.2 本地环境准备

mac

VMware Fusion 13.0.2

Windows:
VMware:

Windows 11

3. 阿里云ECS镜像导出

前提条件:首先是获取账号等成功登录了阿里云,并且能够访问控制台,在控制台里面可以找到对应的实例。

当然,在这里我是使用自己的账号进行取证测试的,实际上可能要选择不同的区,多找找有无ecs

3.1 创建自定义镜像

在这里点击更多,搜索创建自定义镜像:

点击确认之后,在镜像栏等待创建成功:

过一段时间之后,刷新一下界面,如果显示可用,即代表创建成功:

3.2 镜像导出

在选择导出镜像的时候,会使用ossoss是一项收费的服务(创建自定义镜像也是收费的):

在这里选择下一步的时候,会提示是否完成以下操作:

此时看到暂时未授权ECSOSS资源的访问权限,直接根据这个提示来打开以下链接:

点击同意授权即可:

授权之后,可以看到概览:

此时回到刚刚的导出镜像页面,继续下一步:

此时导出的时候,会让你选择OSS Bucket,但是在这里我们目前暂无OSS Bucket地址,所以我们要先行创建一个:

直接点击如何创建,然后找到登录OSS管理控制台:

点击立即创建:

在这里填写Bucket的名称,选择地域,其他的随便选择选择吧,请注意在这里我选择的是私有权限,后期下载的话,需要使用公共读的权限,等我后续弄完之后,再修改对应的权限。

最后就是创建成功:

回到刚刚的导出镜像界面,刷新页面之后,选择导出镜像:

确定导出:

回到对象存储的界面,找到你的Bucket列表,然后找到碎片管理,再点击统计:


等待一会,这个40G的镜像,压缩完之后,大概是4G左右,所以多等会。

在这里我也买了一个对象存储的资源包,也不贵,但是不知道能不能用上:

此时显示没有碎片的时候,就已经完成了:

从这里可以看到当前显示的文件名和大小:

此时点击一下详情,修改下读写权限:

修改权限为公共读:

此时直接使用URL进行下载,在这里可以直接复制链接在浏览器里面下载,也可以使用迅雷下载,看了很多文章,都推荐使用迅雷下载(断点续传):

用迅雷:

插上网线之后:

4. 本地环境打开镜像

将镜像导出到本地之后,需要对镜像转换,将raw的格式转换为wmdk的文件,使用VMware打开。

4.1 qemu格式转换

这个步骤你可以在mac上的vm虚拟机里面用Windows的机器来操作,也可以选择使用实体Windows系统的机器来操作,效果是一样的。

下载下来的文件是压缩过的,在这里将其解压:

文件解压之后,有40多个G,目前是raw格式,需要将其转化为vmdk的格式,使用VMware打开,在这里下载qemu-img软件:

下载地址:https://qemu.weilnetz.de/

在这里看到只有win版本的,所以在这直接选择64位的下载下来:

直接双击安装:

安装完成之后,需要配置相应的环境变量,如果不配置其实也可以:

新建cmd打开,看下qemu-img命令是否生效:

此时在解压之后的那个文件夹中使用该命令将raw格式转换为vmdk

qemu-img convert -f raw raw文件名 -O vmdk 保存的vmdk文件名

qemu-img convert -f raw demo.raw -O vmdk 123.vmdk

转换需要时间,等待转换完成:

转换完成的文件大概是10g,这时候准备使用VMware打开看下。

4.2 VMware Fusion-mac下打开

创建自定义虚拟机:

选择操作系统:

默认:

选择现有虚拟磁盘:

然后存储选择和命令:

设置好之后,跑一下看看:

网络问题,不用管,和本地设置有关

直接启动报错:

smbus host controller not enabled

主要的解决方法:https://blog.csdn.net/birencs/article/details/124405931

原因可能是:
刚扩展了磁盘容量,系统自动安装或启用了i2c_piix4模块。
解决:把它加入黑名单禁用即可。

其实在这里可以不解决,等着就行了,因为上面的解决方法我看了评论,好多人做了还是没用。

一直等,大概10分钟左右(这个bug有人知道如何解决吗)(2024年06月06日17:54:52,新的取证测试秒打开)

此时就可以了。

使用history等就可以查看命令了。

4.3 VMware-Windows下打开

问题比较多,直接尝试使用Windows的环境来做试试,首先在Windows上需要安装VMware,然后继续:




下面这个暂时不用管就行:

同样会遇到mac上遇到的问题,在这里等会就可以了:

登录之后(已知密码的情况下),就可以直接进去了:

5. 重置root密码

在这里用Windows的机器来进行演示:

选择重启客户机,然后在下面的界面到来的时候,在当前界面输入e键,进入单用户模式:

在这里找到

ro之后的全部删掉,修改为rw init=/bin/bash

然后ctrl + x保存后跳转,输入passwd,重置密码:

输入你的新密码即可:

此时重启客户机:

然后等着:

此时就成功了,接下来就可以愉快的进行取证了。

6. 总结

本文仅仅是对ecs导出之后,本地将其启动起来而已,其实你可以简单理解下,就是VMware里面运行的某个虚拟机,打了一个快照,然后拷贝到你的电脑上,然后在你的电脑上运行而已,没有太大的难度。

相关推荐
hikktn4 小时前
如何在 Rust 中实现内存安全:与 C/C++ 的对比分析
c语言·安全·rust
23zhgjx-NanKon6 小时前
华为eNSP:QinQ
网络·安全·华为
23zhgjx-NanKon6 小时前
华为eNSP:mux-vlan
网络·安全·华为
昔我往昔7 小时前
阿里云文本内容安全处理
安全·阿里云·云计算
棱角~~9 小时前
盘点和嗨格式一样好用的10款数据恢复!!
数据库·经验分享·安全·电脑·学习方法
NETFARMER运营坛10 小时前
如何优化 B2B 转化率?这些步骤你不可不知
大数据·安全·阿里云·ai·ai写作
安徽京准10 小时前
京准时钟:无人机卫星信号安全防护隔离装置
安全·无人机·信号安全防护装置·卫星安全隔离装置·北斗授时安全隔离·北斗对时防护隔离装置
mingzhi6110 小时前
渗透测试-快速获取目标中存在的漏洞(小白版)
安全·web安全·面试·职场和发展
Coding~11 小时前
NewStar easygui re wp
安全
23zhgjx-zgx11 小时前
以太网交换安全:DHCP Snooping
linux·服务器·网络·安全·华为