当前位置: 首页 > 新闻中心 > 技术分享 > 【美亚技术分享】第四十一期:基于VMware vSphere 虚拟化取证研究

【美亚技术分享】第四十一期:基于VMware vSphere 虚拟化取证研究

【美亚技术分享】第四十一期:基于VMware vSphere 虚拟化取证研究


编者按:本期感谢美亚柏科技术专家的分享,如果您也对这方面的知识感兴趣,欢迎加入我们的讨论!


为什么要针对虚拟化做取证研究?


据中国权威ICT研究咨询机构(CCW Research) 2016年6月调研报告结果显示,2011-2015年中国服务器虚拟化市场规模(按照销售额计算)已经连续成两位数增长。如图1所示,到2015年市场销售额已达到18.2亿元。



图1 


2015年中国服务器虚拟化市场份额(按照厂商销售额计算),如图2所示。



图2


从统计数据来看,IT行业使用虚拟化技术比重越来越大,进一步要求我们取证技术人员了解更多虚拟化相关的知识。


什么是虚拟化?

虚拟化的本质都是将现有的计算机资源通过虚拟化的技术分割成若干个计算机资源,这些计算机资源相互独立。其最终目标是提高计算机的利用效率和使计算机的灵活性最大化。从图2可以看出VMware公司2015年市场份额达到了47.8%,是虚拟化行业的龙头企业。下面我们来了解VMware公司虚拟化解决方案 vSphere的相关知识和取证要点。


vSphere架构非常灵活,可以单台服务器使用,也可以多台服务器组成群组。


单台服务器虚拟化:一般是直接在物理服务器上安装VMware vSphere的系统组件VMware ESXi,通过vSphere Client 管理。


虚拟化集群:一般是由存储、服务器、管理服务器组成。可以过vSphere Client或是vCenter  Server管理,架构如图3所示:



图3

VMware vSphere如何取证?

1. 单台虚拟化服务器取证


VMware ESXi系统安装好后系统界面图4所示:



图4


把装有VMware ESXi系统的硬盘通过取证魔方或是其它证据固定设备复制或镜像,然后通过取证大师加载,得到如图5所示的硬盘分区信息。



图5 


通过查看分区中的数据,发现虚拟机数据都在VMFS 分区里面,其它的分区都是VMware ESXi系统分区。点开VMFS分区可以看到ubuntu就是虚拟机数据,展示的文件夹里面的数据和VMware workstation 桌面虚拟化软件建立的虚拟机文件一样。



图6 


VMware ESXi 本身的数据对取证来说没多大意义,我们需要分析的是通过VMware ESXi虚拟出的系统数据。如图6所示,我们需要把硬盘文件ubuntu.vmdk文件导出,然后通过取证大师分析,图7为导出硬盘文件后使用取证大师加载后的信息。



图7 


2.虚拟化集群取证


虚拟化集群环境一般是由存储、服务器、管理前端组成。数据存储可以存在X86服务器也可以存储阵列里面。集群我们不能像单台那样镜像分析,因为如果数据存储在后端存储阵列时时,我们无直观的看到,此时需要用管理前端vCenter Server 或是vSphere Clinet来连接管理。


2.1使用vSphere Clietn管理服务器


vSphere Clinet软件一般安装在windows环境,针对单台ESXi管理,不同VMware ESXi版本软件可能不通用,登录界面如图8所示:


图8 


填写好对应IP 用户 和 密码登录即可以登录到管理界面,如图9所示:



图9 


我们要关注的是存储,在vSphere Client 的“摘要” 里面可以查看服务器相关配置信息,如图10所示:



图10 


在存储器下面我们能看到datastore1就是目前链接在此设备上的存储,在上面点右键选择“浏览数据存储”,如图11所示:



图11 


点击“浏览数据存储”后会弹出如图12所示窗口,里面就是现在所存储的数据,也就是上面提到过,在取证大师查看的VMFS的分区。


图12


一般情况下除以“.” 开头的文件以外,其它都是后来自已所建立的文件夹,或是建立的虚拟机存储目录,取证时要特别关注,如图13所示。



图13


点击左侧文件夹,会在右侧显示出文件夹里面的内容如图14所示:




图14 


到这一步,怎么ESXi 0没有*.vmdk硬盘文件,这是为什么呢?


这其实是为了数据安全考虑。对计算机来说,最重要的就是数据,把数据存在冗余比较高的存储中比较安全,方便统一管理。如图15所示,新建虚拟机的时候可以选择硬盘文件存储位置。



图15 


需要注意的是如果存储没有开机,使用vSphere Client可能无法查看到存储目录,如图16所示。



图16


此时我们可以使用vCenter Server查看。


2.2使用vCenter Server管理服务器


存储不在线vSphere Client无法查看,但只要存储里面有存数据,vCenter Server是可以显示如图17所示。



图17


确认存储位置后需要把虚拟机硬盘文件从后台存储下载到本地计算机,如图18所示。



图18 


成功下载后,剩下的工作就是使用取证大师分析了。


附:本文中使用的工具为美亚柏科自主研发的取证魔方及取证大师,也可用其他对应工具替代。若您想要了解更多技术或者产品相关内容也可与美亚柏科联系,拨打免费服务电话400-888-6688