来源:iForensics
ID:iForensics-2016
我们在工作中经常会接触到各种各样的虚拟机镜像,常见的镜像文件格式有:raw、qcow2、qed、qcow、luks、vdi、vmdk、vpc、VHDX等。本文以最常用的qcow2格式为例进行分析。
一、分析环境搭建
安装操作系统,本文测试用的操作系统为CentOS 7.5.1804;安装qemu及其它软件包,安装命令:#yum install qemu-kvm qemu-img libvirt libvirt-client libvirt-pythonvirt-manager virt-install virt-viewer virt-top;安装libguestfs-tools工具包,安装命令:#yum install libguestfs-tools,如果需要支持windows系统镜像,还需要执行安装命令:#yum install libguestfs-winsupport。
二、镜像文件的静态分析
1、使用镜像管理工具qemu-img分析镜像
#qemu-img info
//读取镜像文件的基本信息:镜像文件类型、镜像大小、backing file等。
#qemu-img snapshot -l
//读取镜像文件的快照信息。
#qemu-img snapshot -a
//从快照恢复。
#qemu-img convert -f -O
//转换镜像文件的格式,将镜像文件转换为我们需要的格式,支持的格式有:raw、qcow2、qed、qcow、luks、vdi、vmdk、vpc、VHDX。
2、使用libguestfs-tools分析镜像文件
#virt-df //查看镜像的空间使用情况
#virt-filesystems -a -l //读取镜像文件的文件系统
#virt-inspector //检查镜像文件,读取操作系统、挂载点、文件系统、已安装应用程序等信息
#virt-ls -l //读取镜像文件的文件列表
#virt-log -a //读取镜像文件的日志
#virt-customize -a [--options] //自定义虚拟机
例如:#virt-customize -a CentOS-7-x86_64-GenericCloud-1703.qcow2 --root-password password:toor //修改镜像文件的root用户密码为toor
#guestmount -a -i --ro //以只读方式将镜像挂载到本地
#guestmount -a -i --rw //以读写方式将镜像挂载到本地
#guestfish [--ro|--rw] -a //以只读或读写方式加载一个镜像文件,通过提供的shell接口,可以直接对镜像内的文件进行分析,guestfish支持的所有命令通过help --list获取,如果运行guestfish的run命令报错,则需要运行#export LIBGUESTFS_BACKEND=direct。
三、镜像文件的动态分析
镜像文件的动态分析也就是将镜像运行起来,在操作系统运行状态下,分析它的进程、网络连接、服务、日志等数据,很多取证仿真软件也支持镜像文件,我们今天使用的软件是virt-manager,它是KVM的图形界面管理工具,virt-manager支持的操作系统有:Linux、Windows、BSD、macOS、Solaris等,支持的镜像文件格式有:raw、qcow2、qed,启动virt-manager的命令为:#virt-manager,对运行状态下镜像的详细分析方法,本文就不赘述了。
四、小结
以上是针对镜像文件分析的一些方法,本文仅仅列举了部分软件,也欢迎各位批评指正。
Windows 10正式宣布沙盒功能:轻量化虚拟机
https://c.m.163.com/news/a/E3DC9K4D05313F7K.html?spss=newsapp&from=timeline&isappinstalled=0&spssid=3e8a2528cce8c02cc3b0c2ae58df82be&spsw=2
