阿里去镜像本地重构——记一次案例过程

素材:网络Web服务器镜像,位于阿里云,系统为CentOS,数据库为Mysql
事件:委托取证分析网站业务及资金

一、数据源下载
获得阿里云服务器相关权限(用户名及密码),系合法授权。在线生成镜像(参考官网文档如何生成镜像)。文件名是.raw格式。.raw格式文件是服务器的镜像格式,需通过搭建linux虚拟机环境打开。将线上生成的.raw文件下载,下载可能是打了包,直接解压出来。
在这里插入图片描述解压出来后
在这里插入图片描述

二、转换.raw文件格式
Raw文件为原始镜像文件,可以转换为vmdk虚拟机文件,再用虚拟机vmware加载。raw为最原始的虚拟机镜像文件,vmdk是vmware的虚拟机镜像文件,如果要查看raw文件中的内容可以先把raw文件转换为vmdk文件,然后再用vmware虚拟机打开vmdk文件。raw文件转化为vmdk文件需要在Linux系统中使用qemu-img命令,本示例中使用的是Ubantu18.4系统。转换时间比较长,耐心等。转换格式命令如下所示:
qemu-img convert -f raw xxxx.raw -O vmdk xxxx.vmdk
-p 显示转换进度
-f 原有镜像格式
-O 输出镜像格式
得到.vmdk格式的虚拟磁盘镜像文件,一个命名为data(数据分区), 另一个命名为system(系统分区)
在这里插入图片描述
三、用 Vmware虚拟机加载vmdk文件(VirtualBox虚拟机不行)
在windows系统中用Vmware来加载两个磁盘虚拟文件。一个是系统盘system.vm

你可能感兴趣的:(forensics)