【镜像取证篇】VMware虚拟机配置文件取证
虚拟机取证中,通常主要关注.log、.vmdk、.vmem三个文件,里面包含虚拟机的大部分资料信息—【蘇小沐】
1、测试环境
(一)虚拟机挂起状态
(二)虚拟机文件简介
1、log
vmware-0.log、vmware-1.log等用来记录vmware工作日志。
2、vmdk
虚拟机虚拟磁盘文件,记录操作系统中所产生的全部数据。
3、vmem
虚拟内存文件,同本地内存文件pagefile.sys(分页文件),包含了操作系统的内核数据结构、进程、线程、堆中的数据,以及用户的其他如用户输入的密码、聊天信息等敏感信息;正常虚拟机中的系统关机后,vmem文件就会消失;但虚拟机的系统在挂起状态时,该文件会保留在本地。
【虚拟机-挂起状态】中[虚拟机名-xxx.vmem]和[虚拟机名-xxx.vmss]文件是成对出现的。
【虚拟机-快照】中[虚拟机名-Snapshot快照名.vmem]和[虚拟机名-Snapshot快照名.vmsn]文件是成对出现的。
4、vmsd
记录虚拟机快照的相关信息和元数据,把.vmsn和.vmdk记录一起。
5、vmsn
虚拟机建立快照时自动创建的文件,根据快照数量自增,无快照则该文件没有。
6、vmss
虚拟机-已挂起状态时的信息文件(虚拟机挂起状态才有!)
【虚拟机-挂起状态】中[虚拟机名-xxx.vmem]和[虚拟机名-xxx.vmss]文件是成对出现的。
7、vmx
虚拟机-硬件配置文件
8、vmxf
虚拟机-附加配置文件,记录虚拟机的辅助配置文件。
9、nvram
储存虚拟机BIOS状态信息,可不关注。
10、lck
该目录是虚拟机系统在开机时自动创建的以.lck结尾的目录,作用是用于锁定vmx的文件夹,在虚拟机关机后会自动删除。也用于在虚拟机异常退出时为了保护虚拟系统的磁盘文件数据而保留的.lck结尾的文件及文件夹。
在开启虚拟机系统时,如出现“虚拟机正在被使用,获取所有权的报错”,可将其删除,一般就可正常开启虚拟机。
总结
越来越自动化取证的同时也要多学些基础原理。
书写片面,纯粹做个记录,有错漏之处欢迎指正。
【著作所有权归作者 [蘇小沐] 所有,转载请注明文章出处】
本文转自 https://mp.weixin.qq.com/s/oE21qfHOgoFYcKjMOMMVcw,如有侵权,请联系删除。