分享

【Citrix XenServer】虚拟化取证

 平淡水的平凡 2017-02-28

转自:美亚柏科(ID:MeiyaPico)


虚拟化引领了计算机行业潮流,从事取证行业的我们虽然不能引领计算机潮流,但对各种虚拟化解决方案做些取证研究总是有必要的,至少我们可以紧跟计算机行业发展,甚至引领取证行业。今天美亚柏科技术专家就为大家带来Citrix(思杰)公司的XenServer虚拟化取证的分享。

一.XenServer简介

XenServer 是思杰公司(Citrix) 推出的一款服务器虚拟化系统,Citrix XenServer是一种全面而易于管理的服务器虚拟化平台,基于强大的 Xen Hypervisor 程序之上。Xen技术被广泛看作是业界最快速、最安全的虚拟化软件。XenServer 是在云计算环境中经过验证的企业级虚拟化平台,可提供创建和管理虚拟基础架构所需的所有功能。它深得很多要求苛刻的企业信赖,被用于运行最关键的应用,而且被最大规模的云计算环境和 xSP 所采用。

二.分析XenServer虚拟机硬盘文件存储

1.XenServer是一个服务器操作系统,直接安在物理服务器上。系统安装好启动后如下图所示:

2.硬盘镜像后使用取证大师加载如下图所示:

上图中除了hdd0、hdd5分区信息可以直接查看,其它分区类容都无法查看到,经过分析这两个分区都是系统分区对我们取证没太多帮助,那接下来我们就使用XenServer管理程序来确认虚拟机硬盘文件存储位置。

3.管理XenServer,需要在windows电脑上安装Citrix XenCenter。

打开Citrix XenCenter,显示如下图所示:

点击“添加新服务器”会弹出下图提示,添加后可以管理XenServer。

成功连接服务器后会如下图所示:

选中服务器的存储可查看硬盘存储相关的信息,如下图所示:

上图的存储位置都是本地的,存储也可以选择专用存储设备,如下图点击“新建SR”可以查看支持的储存类型。

点击“控制台”可以通过Linux命令来管理XenServer,如下图所示:

也可以使用SSh来控制XenServer,如下图所示:

展开localhost可以查看当前Xenserver下面所建立的虚拟机,如下图所示Windows 7.Ubuntu就是专家所创建的虚拟机。

4.确认虚拟机存储位置

选择一台虚拟机,点击“存储”,上面有显示设备路径/dev/xvda,如下图所示:

了解过Linux的同学们看到/dev应该知道,这个设备的目录并不是分区挂载目录,我们通过SSH连接验证,结果如下图所示,未找到相应的目录。

打开XenServer的“本地存储”查看,在本地存储设备里面有两个虚拟机硬盘文件,刚好和我们创建的虚拟吻合,看来硬盘文件就是存在这个分区。

通过“本地存储”的“常规”可以查看到这个设备的相关信息,如下图所示,此设备大小总共为57.6G。

通过上面只确认到数据存在57.6G的分区里面,没法确认具体位置。接下来我们通过控制台或是SSH方式来确认57.6G硬盘挂载在什么目录。

5.通过XenServer“控制台”或是SSH确认“本地存储”挂载目录。

使用Linux命令 df –h可以查看各分区的大小以使用情况,如下图所示:

从上图我可以看到一个容量为58G并且使用了5.4G的分区挂载在/run/sr-mount/83129423-8e09-6e9e-db2d-010654e7e8ac下面。

通过Linux命令cd /run/sr-mount/83129423-8e09-6e9e-db2d-010654e7e8ac进入此目录查看是否有我们要找的硬盘文件。

通过上图可以查看到此目录下有两个vhd文件,并且大小能和我们之前分析的相吻合,可以肯定这两个文件应该就是我们两个虚拟机的硬盘文件。

三.导出虚拟机硬盘文件分析

1.已确定硬盘存储目录,我们可以使用FTP工具下载我们需要的硬盘文件。

此方法会有一个比较麻烦的问题,就是XenServer的虚拟机文件命名是以英文和数据自动成生成的,不能自已设定,需要跟据硬盘使用大小来区分,如果虚拟机比较多的时候不好分辨。

2.可以使用导出的方法,把整个系统导出。(推荐,操作简单)

可以导出的格式为OVF/OVA。

建议导出OVF,导出后是文件夹形式,配制文件和硬盘文件是分开的,可以直接加载硬盘文件分析。而OVA格式的包是把配制文件和硬盘文件打包到一起,可以使用VMware软件打开,从而分离配制文件。

导出后如图所示:

此模版一般是用来大量快速部署虚拟机使用的,刚好在此处也能给我们数据导出带来很大的帮助。

3.使用取证大师加载导出的硬盘文件进行分析。

四.总结

虚拟化技术已非常成熟,各行业使用比例也在提高,针对虚拟化的产品取证研究也是有必要的,文章只是非常小范围的介绍,实际工作中遇到的情况也各有不同,文章只能给大家做为指引,希望能给您的取证带来帮助。


    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。请注意甄别内容中的联系方式、诱导购买等信息,谨防诈骗。如发现有害或侵权内容,请点击一键举报。
    转藏 分享 献花(0

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多