当前位置: 首页 > 新闻中心 > 技术分享 > 【美亚技术分享】第五十期:Citrix XenServer虚拟化取证

【美亚技术分享】第五十期:Citrix XenServer虚拟化取证

【美亚技术分享】第五十期:Citrix XenServer虚拟化取证


编者按:虚拟化引领了计算机行业潮流,从事取证行业的我们虽然不能引领计算机潮流,但对各种虚拟化解决方案做些取证研究总是有必要的,至少我们可以紧跟计算机行业发展,甚至引领取证行业。今天美亚柏科技术专家就为大家带来Citrix(思杰)公司的XenServer虚拟化取证的分享。


一.XenServer简介

XenServer 是思杰公司(Citrix) 推出的一款服务器虚拟化系统,Citrix XenServer是一种全面而易于管理的服务器虚拟化平台,基于强大的 Xen Hypervisor 程序之上。Xen技术被广泛看作是业界最快速、最安全的虚拟化软件。XenServer 是在云计算环境中经过验证的企业级虚拟化平台,可提供创建和管理虚拟基础架构所需的所有功能。它深得很多要求苛刻的企业信赖,被用于运行最关键的应用,而且被最大规模的云计算环境和 xSP 所采用。


二.分析XenServer虚拟机硬盘文件存储


1.XenServer是一个服务器操作系统,直接安在物理服务器上。系统安装好启动后如下图所示:


1489111841709863.png


2.硬盘镜像后使用取证大师加载如下图所示:


1489111868212488.png


上图中除了hdd0、hdd5分区信息可以直接查看,其它分区类容都无法查看到,经过分析这两个分区都是系统分区对我们取证没太多帮助,那接下来我们就使用XenServer管理程序来确认虚拟机硬盘文件存储位置。


3.管理XenServer,需要在windows电脑上安装Citrix XenCenter。


1489111896356178.png


打开Citrix XenCenter,显示如下图所示:


1489111923701632.png


点击“添加新服务器”会弹出下图提示,添加后可以管理XenServer。


1489111953129095.png


成功连接服务器后会如下图所示:


1489111977828538.png


选中服务器的存储可查看硬盘存储相关的信息,如下图所示:


1489112015104140.png


上图的存储位置都是本地的,存储也可以选择专用存储设备,如下图点击“新建SR”可以查看支持的储存类型。


1489112064269882.png

1489112064437165.png


点击“控制台”可以通过Linux命令来管理XenServer,如下图所示:


1489112106281789.png


也可以使用SSh来控制XenServer,如下图所示:


1489112135904914.png


展开localhost可以查看当前Xenserver下面所建立的虚拟机,如下图所示Windows 7.Ubuntu就是专家所创建的虚拟机。


4.确认虚拟机存储位置

选择一台虚拟机,点击“存储”,上面有显示设备路径/dev/xvda,如下图所示:


1489112261731915.png


了解过Linux的同学们看到/dev应该知道,这个设备的目录并不是分区挂载目录,我们通过SSH连接验证,结果如下图所示,未找到相应的目录。


1489112289387151.png


打开XenServer的“本地存储”查看,在本地存储设备里面有两个虚拟机硬盘文件,刚好和我们创建的虚拟吻合,看来硬盘文件就是存在这个分区。


1489112317841365.png


通过“本地存储”的“常规”可以查看到这个设备的相关信息,如下图所示,此设备大小总共为57.6G。


1489112348195212.png


通过上面只确认到数据存在57.6G的分区里面,没法确认具体位置。接下来我们通过控制台或是SSH方式来确认57.6G硬盘挂载在什么目录。


5.通过XenServer“控制台”或是SSH确认“本地存储”挂载目录。

使用Linux命令 df –h可以查看各分区的大小以使用情况,如下图所示:


1489112385302969.png


从上图我可以看到一个容量为58G并且使用了5.4G的分区挂载在/run/sr-mount/83129423-8e09-6e9e-db2d-010654e7e8ac下面。


通过Linux命令cd /run/sr-mount/83129423-8e09-6e9e-db2d-010654e7e8ac进入此目录查看是否有我们要找的硬盘文件。


1489112411916095.png


通过上图可以查看到此目录下有两个vhd文件,并且大小能和我们之前分析的相吻合,可以肯定这两个文件应该就是我们两个虚拟机的硬盘文件。


三.导出虚拟机硬盘文件分析


1.已确定硬盘存储目录,我们可以使用FTP工具下载我们需要的硬盘文件。


1489112444475505.png


此方法会有一个比较麻烦的问题,就是XenServer的虚拟机文件命名是以英文和数据自动成生成的,不能自已设定,需要跟据硬盘使用大小来区分,如果虚拟机比较多的时候不好分辨。


2.可以使用导出的方法,把整个系统导出。(推荐,操作简单)


1489112483335586.png


可以导出的格式为OVF/OVA。


1489112509870879.png


建议导出OVF,导出后是文件夹形式,配制文件和硬盘文件是分开的,可以直接加载硬盘文件分析。而OVA格式的包是把配制文件和硬盘文件打包到一起,可以使用VMware软件打开,从而分离配制文件。


1489112533700824.png


导出后如图所示:


1489112558368783.png


此模版一般是用来大量快速部署虚拟机使用的,刚好在此处也能给我们数据导出带来很大的帮助。


3.使用取证大师加载导出的硬盘文件进行分析。


1489112584702284.png


四.总结


虚拟化技术已非常成熟,各行业使用比例也在提高,针对虚拟化的产品取证研究也是有必要的,文章只是非常小范围的介绍,实际工作中遇到的情况也各有不同,文章只能给大家做为指引,希望能给您的取证带来帮助。


推荐阅读↓↓↓

1、Windows VHDX虚拟硬盘如何取证

2、VMware vSphere虚拟化取证研究

3、KVM虚拟化取证技术干货