技術共有: KVM 仮想化を使用して証拠を収集するにはどうすればよいでしょうか?

技術共有: KVM 仮想化を使用して証拠を収集するにはどうすればよいでしょうか?

仮想化技術はますます広く使用されるようになっています。国内の仮想化市場においては、5年間で売上が2桁成長を続けています。フォレンジック業界に携わる私たちにとって、仮想化関連の知識を理解することも急務です。本日は、Meiya の技術専門家が Linux KVM 仮想化テクノロジーを使用したフォレンジック調査をご紹介します。

KVM とは何ですか?

KVM はカーネルベースの仮想マシンの略で、オープンソースのシステム仮想化モジュールです。 Linux 2.6.20 以降、すべての主要な Linux ディストリビューションに統合されています。管理には Linux 独自のスケジューラを使用しており、シンプルで使いやすいです。これは、Linux システムにおける主流の仮想化ソリューションの 1 つです。

[[239314]]

KVM仮想マシンの作成

KVM 仮想マシンは、コマンドまたはグラフィカル管理インターフェイスを通じて作成できます。仮想マシンを作成することはフォレンジックにはあまり役立ちませんが、仮想マシンを作成するときのハードディスク ファイルの保存場所は、フォレンジックのために確認する必要があるものです。そのため、ハードディスク ファイルの保存場所を直感的に表示して理解できるように、ここではグラフィカル インターフェイスを使用した簡単なデモンストレーションを使用します。

1. virt-manager コマンドを使用するか、デスクトップ環境で「システム ツール」を見つけて、仮想マシン管理プログラム「Virtual Machine Manager」を開きます。管理プログラムが実行されると、下図のように表示されます。

2. [新規] を選択すると、下の図に示すように [新しい仮想マシン] ダイアログ ボックスがポップアップ表示されます。

3. 必要に応じて関連オプションを設定すると、ハードディスクのファイルの保存場所は次の図のようになります。

4. 上の図からわかるように、新しいハードディスク ファイルを作成することも、既存のハードディスク ファイルを選択することもできます。ここでは、2 番目のオプション「管理対象またはその他の既存のストレージを選択する」を選択し、「参照」をクリックします。下図のようなダイアログ ボックスがポップアップ表示され、デフォルトのハード ディスク ファイルの場所が既に表示されます。

5. 新しいボリュームを作成する「新しいボリューム」、またはローカルで参照する「ローカルを参照」を選択できます。ローカル ブラウジングでは、ハード ディスク ファイルを他の場所に保存できます。下の図に示すように、tmp ディレクトリに 11111111 という名前のハードディスク ファイルが作成されますが、linu はファイルの種類を識別するためにサフィックスを使用しないため、ファイルにはサフィックスがありません。

6. ハードディスクには多くのファイル形式があります。最もよく使用されるのは、raw、qcow2、vmdk です。 Linux のバージョンによって形式が異なる場合があります。次の図は、Ubuntu 16.04 でサポートされているハードディスク ファイル形式を示しています。

ハードディスクのファイル保存ディレクトリがデフォルトの方法で作成される場合、それは/var/lib/libvirt/images/にあります。

以上が仮想マシンの作成とハードディスクストレージに関する設定の手順です。通常のフォレンジック プロセス中に、仮想マシンが正常に作成されました。作成された仮想マシンのハードディスクファイルが保存されている場所を確認するにはどうすればよいですか?

KVM から証拠を収集するにはどうすればいいですか?

フォレンジックにとって最も重要なことは、仮想マシンに保存されているデータを抽出することです。データが保存されている場所を特定し、関連データを取得し、フォレンジック ツールを使用して分析するにはどうすればよいでしょうか。

1. KVM仮想マシンのファイル保存場所を確認する方法

方法1: コマンドを使用してハードディスクファイルの保存場所を確認する

1. KVM仮想マシンリストを表示する

[root@Bance ~]# virsh list –all

コマンドが正常に実行されると、次の画面が表示されます。下の図に示すように、3 つの仮想マシンがあることがわかります。

2. XP仮想マシンの構成ファイルを表示する

[root@Bance ~]# virsh edit xp

コマンドが正常に実行されると、次の画面が表示されます。

上図に示すように、構成ファイルのディスク タイプ オプションは、XP 仮想マシンのハード ディスク ファイルに関連する情報を定義します。ソース ファイルで定義されている /var/lib/libvirt/images/xp.img は、XP 仮想ハード ディスクのストレージ パスです。

3. 下の図に示すように、「ll /var/lib/libvirt/images/」を通じてハードディスク ファイルが存在するかどうかを確認できます。

方法2: グラフィカルインターフェイスを使用してハードディスクのファイルの場所を表示する

1. virt-manager コマンドを使用するか、デスクトップ環境で「システム ツール」を見つけて、下の図に示すように、仮想マシン管理プログラム「Virtual Machine Manager」を開きます

2. ハイパーバイザーを開くと、次の図が表示され、図には 3 つの仮想マシンも表示されます。

3. XP 仮想マシンをダブルクリックして、次のインターフェイスを開きます。

4. 「詳細」を選択して、XP 仮想マシンの詳細情報を確認します。

5. ハードディスク ファイルに関連する情報を表示する場合は、下の図に示すように、ディスク関連のオプションを選択します

6. 場所を確認したら、対応するファイルをローカル コンピューターにダウンロードし、Forensic Master を使用して分析します。

方法 3: 設定ファイルに精通している場合は、修正後に Forensic Master を通じて証拠を直接表示できます。

デフォルトでは、設定ファイルは /etc/libvirt/qemu/ にあります。以下に示すように、Forensic Master を使用して構成ファイルを読み込み、表示します。

2. 仮想マシンのハードディスクファイルをエクスポートする方法

方法 1: 証拠が修正され、構成ファイルを通じてハードディスクのファイルの保存場所が確認された場合は、Forensic Master を使用して直接エクスポートできます。

Forensic Master の使い方は皆さんもよくご存知だと思いますので、ここでは詳しく説明しません。

方法 2: デバイスが大規模な商用プラットフォームであり、サーバー証拠に固定できず、リモートでのみ操作できる場合は、FTP などのツールを使用して、必要なファイルをローカル コンピューターにダウンロードできます。

下の図に示すように、Xftp ツールを使用して必要なハードディスク ファイルをダウンロードします。

三つ。 KVMハードディスクファイルの分析方法

ファイルをエクスポートした後、Forensic Master などのフォレンジック ソフトウェアを使用して直接分析できます。現在、Forensic Master は *.img および *.qcow2 形式のフォレンジック分析をサポートできます。

概要: 今日、仮想化アプリケーションはますます普及しています。仮想化ソリューションのフォレンジックも、私たちの仕事で遭遇する可能性がある状況です。今日私が皆さんにシェアするものも、個人的な研究の結果です。法医学で遭遇するすべての問題を網羅することはできません。 KVM 仮想化ソリューションと同様に、Linux システムによっても多少の違いがあります。フォレンジックが必要な状況に遭遇した場合は、ルーチンに従うのではなく、実際の状況に応じて統合する必要があります。

<<:  エッジコンピューティングとは何ですか? ビジネスにどのような影響を与えますか?

>>:  Linux - Kvm 仮想マシンにサービス ポートを開かせましょう。

推薦する

周紅一:携帯電話と検索は避けられない戦争だ

おそらく数十年後のある日、批評家たちは周紅一点(Weibo)を次のように評するだろう。「周紅一点氏の...

エッジコンピューティングが企業のITをどう変えるか

2018 年初頭に発表されたデータによると、エッジ コンピューティング セクターの支出は 2022 ...

初心者が身につけるべきSEO習慣

SEO 初心者としては、良い SEO 習慣を身につける必要があります。良い習慣を身につけることで、学...

3月にドメイン名販売業者から提供されたプロモーション オファーの一覧

長い間、ドメイン名には注目していませんでした。一般的なドメイン名販売業者のプロモーション情報をお送り...

A5マーケティング: ウェブマスターがウェブサイトタグ機能を正しく使用する方法の簡単な分析

ちなみに、ウェブサイトのタグは、一部のウェブマスター、特に一部のブログやフォーラムなどで高く評価され...

従来のマーケティング会社はどのようにしてオンラインプロモーションを効果的に行うのでしょうか?

オンライン マーケティング モデルの人気が高まり、オンライン プロモーションには従来のマーケティング...

Dockerを理解して使いたいならこの記事だけで十分です!

Dockerとは何ですか?翻訳ツールを開いて「Docker」と入力すると、結果に「dock work...

トラフィックの断片化、電子商取引の混乱

変化の核心は、交通が細分化され、供給側が開放され、インフラが普及することです。電子商取引はトラフィッ...

トランセンド航空券予約ウェブサイトのユーザー役割需要分析

私がオンラインチケット予約について調査を行った理由は、実は最近受けた一連の筆記試験問題に端を発してい...

GreenGeeks セール: 本日限定 30 ドルオフ

greengeeks は本日プロモーションを実施しています。クーポン コードを使用すると、仮想ホスト...

物議を醸しているP2Pは7つの核心的な問題に焦点を当てている: 走る前に靴ひもを結ぶ

P2P: 走る前に靴ひもを結んでくださいニエ・ウェイジュ・リー・ジンシア商業銀行が金利の市場化と金融...

企業のウェブサイトは攻撃と防御を組み合わせる必要がある

攻撃:まず、百度百科、知道、文庫などのプラットフォームを利用して企業の信頼性を高める一般企業にとって...

ソーシャルアプリ「モモ」と「ソウル」を分析!

中国では、見知らぬ人とのソーシャルネットワーキングは、出会い系サイトによるPCインターネット時代を経...

仮想マシンを Istio サービス メッシュに統合するにはどうすればよいですか?

[[350264]] [51CTO.com クイック翻訳] Istio は、サービスを接続、保護、制...