一. 如何确认kvm虚拟机硬盘文件存位置方法一:使用命令查硬盘文件存储位置1.查看KVM虚拟机列表[root@Bance ~]# virsh list –all命令运行成功后会得到如下画面。如下图所示,可以看到有三台虚拟机。
2.查看xp虚拟机的配制文件[root@Bance ~]# virsh edit xp命令运行成功能会显示如下图画面。如图所示配制文件的disk type选项就定义了xp虚拟机硬盘文相关信息,source file 中定义的/var/lib/libvirt/images/xp.img就是xp虚拟硬盘存储路径。
3.我们可通过“ll /var/lib/libvirt/images/“确认硬盘文件是否存在,如下图所示。
方法二:使用图形化界面查看硬盘文件位置1.使用命令virt-manager或是在桌面环境中找到”System Tools”并打开虚拟机管理程序” Virtual Machine Manager”如下图所示。
2.打开管理程序后如下图显示,从图中也可以看到三个虚拟机。
3.双击xp虚拟机打开如下界面。
4.选择“Details“可以查查xp虚拟机的祥细信息
5.我们要查看硬盘文件相关信息,只需选择disk相关的选项,如下图所示
6.确认位置后,把相应文件下载到本地使用取证大师分析。
方法三:如果对配制文件比较熟悉,证据固定后可以直接通过取证大师查看,默认情况配制文件在/etc/libvirt/qemu/,使用取证大师加载并查看配制文件如下图所示:
二. 如何导出文件虚拟机硬盘文件方法一:如果证据已固定,并且已通过配制文件确认硬盘文件存储位置,可直接使用取证大师导出。取证大师使用我想大家都很熟悉了,在这里就不多说了。 方法二:如果设备是大型商用平台,无法针对服务器证据固定,只能远程操作时,可使用FTP之类的工具把我们需要的文件下载到本地。如下图所示,是使用Xftp工具下载我们需要的硬盘文件。
三. 如何分析KVM硬盘文件文件导出后可以使用取证大师等取证软件直接分析,目前取证大师可以支持*.img 和*.qcow2格式取证分析。
总结虚拟化应用越来赵广泛的今天,对虚拟化解决方案取证也是我们工作中可能会遇到的情况,今天分享给大家的也是个人研究的结果,无法涵盖所有取证中遇到的问题,就像KVM虚拟化解决方案,不同linux系统都会有一些差异,如有遇到需要取证的情况,切勿按部就班,需要根据实际情况融会贯通。END