阿里云ECS实例镜像本地取证

更新时间:2024年03月21日10:09:37

1. 说明

很多非法案件中,服务器是直接搭建在阿里云上的,比如我们在拿到OSSKey之后(技术方法、其它方法等),可以将涉案服务器镜像导出,在本地进行取证分析。
本次是将阿里云的ECS进行快照打包之后,导出到本地,使用Vmware打开,进行镜像还原取证分析。

2. 环境准备

2.1 阿里云环境准备

需要阿里云账号,能够导出镜像,并且能够通过OSS下载。

2.2 本地环境准备

mac

image.png

VMware Fusion 13.0.2

image.png

Windows:
VMware:
image.png

Windows 11

image.png

3. 阿里云ECS镜像导出

前提条件:首先是获取账号等成功登录了阿里云,并且能够访问控制台,在控制台里面可以找到对应的实例。

image.png

当然,在这里我是使用自己的账号进行取证测试的,实际上可能要选择不同的区,多找找有无ecs

3.1 创建自定义镜像

在这里点击更多,搜索创建自定义镜像:

image.png

image.png

点击确认之后,在镜像栏等待创建成功:

image.png

过一段时间之后,刷新一下界面,如果显示可用,即代表创建成功:

image.png

3.2 镜像导出

image.png

在选择导出镜像的时候,会使用ossoss是一项收费的服务(创建自定义镜像也是收费的):

image.png
在这里选择下一步的时候,会提示是否完成以下操作:

image.png

此时看到暂时未授权ECSOSS资源的访问权限,直接根据这个提示来打开以下链接:

image.png

点击同意授权即可:

image.png

授权之后,可以看到概览:

image.png

此时回到刚刚的导出镜像页面,继续下一步:

image.png

此时导出的时候,会让你选择OSS Bucket,但是在这里我们目前暂无OSS Bucket地址,所以我们要先行创建一个:

image.png

直接点击如何创建,然后找到登录OSS管理控制台:

image.png

点击立即创建:

image.png

在这里填写Bucket的名称,选择地域,其他的随便选择选择吧,请注意在这里我选择的是私有权限,后期下载的话,需要使用公共读的权限,等我后续弄完之后,再修改对应的权限。

image.png

最后就是创建成功:

image.png
回到刚刚的导出镜像界面,刷新页面之后,选择导出镜像:

image.png

确定导出:

image.png

回到对象存储的界面,找到你的Bucket列表,然后找到碎片管理,再点击统计:

image.png

image.png
image.png

等待一会,这个40G的镜像,压缩完之后,大概是4G左右,所以多等会。

在这里我也买了一个对象存储的资源包,也不贵,但是不知道能不能用上:

image.png
此时显示没有碎片的时候,就已经完成了:

image.png

从这里可以看到当前显示的文件名和大小:

image.png

此时点击一下详情,修改下读写权限:
image.png

修改权限为公共读:

image.png

此时直接使用URL进行下载,在这里可以直接复制链接在浏览器里面下载,也可以使用迅雷下载,看了很多文章,都推荐使用迅雷下载(断点续传):

用迅雷:

image.png

插上网线之后:

image.png

image.png

4. 本地环境打开镜像

将镜像导出到本地之后,需要对镜像转换,将raw的格式转换为wmdk的文件,使用VMware打开。

4.1 qemu格式转换

这个步骤你可以在mac上的vm虚拟机里面用Windows的机器来操作,也可以选择使用实体Windows系统的机器来操作,效果是一样的。

下载下来的文件是压缩过的,在这里将其解压:

image.png

文件解压之后,有40多个G,目前是raw格式,需要将其转化为vmdk的格式,使用VMware打开,在这里下载qemu-img软件:
下载地址:https://qemu.weilnetz.de/
在这里看到只有win版本的,所以在这直接选择64位的下载下来:

image.png

直接双击安装:

image.png

安装完成之后,需要配置相应的环境变量,如果不配置其实也可以:

image.png

新建cmd打开,看下qemu-img命令是否生效:

image.png

此时在解压之后的那个文件夹中使用该命令将raw格式转换为vmdk

qemu-img convert -f raw raw文件名 -O vmdk 保存的vmdk文件名qemu-img convert -f raw demo.raw -O vmdk 123.vmdk

image.png

转换需要时间,等待转换完成:

image.png
转换完成的文件大概是10g,这时候准备使用VMware打开看下。

4.2 VMware Fusion-mac下打开

image.png

创建自定义虚拟机:

image.png

选择操作系统:

image.png

默认:
image.png

选择现有虚拟磁盘:

image.png

image.png

然后存储选择和命令:
image.png

设置好之后,跑一下看看:

image.png

image.png

网络问题,不用管,和本地设置有关

直接启动报错:

smbus host controller not enabled

image.png

主要的解决方法:https://blog.csdn.net/birencs/article/details/124405931

原因可能是:
刚扩展了磁盘容量,系统自动安装或启用了i2c_piix4模块。
解决:把它加入黑名单禁用即可。

其实在这里可以不解决,等着就行了,因为上面的解决方法我看了评论,好多人做了还是没用。
一直等,大概10分钟左右(这个bug有人知道如何解决吗)(2024年06月06日17:54:52,新的取证测试秒打开)

image.png

image.png

此时就可以了。
使用history等就可以查看命令了。

4.3 VMware-Windows下打开

问题比较多,直接尝试使用Windows的环境来做试试,首先在Windows上需要安装VMware,然后继续:

image.png

image.png

image.png

image.png

image.png
image.png

image.png

image.png
image.png

image.png

image.png

image.png
image.png

image.png

image.png

image.png

下面这个暂时不用管就行:

image.png

image.png

同样会遇到mac上遇到的问题,在这里等会就可以了:

image.png

image.png

登录之后(已知密码的情况下),就可以直接进去了:

image.png

5. 重置root密码

在这里用Windows的机器来进行演示:

image.png

选择重启客户机,然后在下面的界面到来的时候,在当前界面输入e键,进入单用户模式:

image.png

在这里找到

image.png

ro之后的全部删掉,修改为rw init=/bin/bash

image.png

然后ctrl + x保存后跳转,输入passwd,重置密码:

image.png

输入你的新密码即可:

image.png

此时重启客户机:

image.png

然后等着:

image.png

此时就成功了,接下来就可以愉快的进行取证了。

6. 总结

本文仅仅是对ecs导出之后,本地将其启动起来而已,其实你可以简单理解下,就是VMware里面运行的某个虚拟机,打了一个快照,然后拷贝到你的电脑上,然后在你的电脑上运行而已,没有太大的难度。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/23980.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

接口的应用、 适配器设计模式

接口的应用 适配器设计模式 Inter package com.itheima.a09;public interface Inter {public abstract void show1();public abstract void show2();public abstract void show3();public abstract void show4();}InterAdapter package com.itheima.a09; //抽象 public abs…

前端自测 - 那些经典的bug

前言 我一直坚持的一个观点,就是不以bug数论成败,但是这个需要加一个前提,就是不能出现那些低级的bug,更不能反复的出现。 由此整理了一系列我认为比较经典常见的前端bug,都是在项目中多次遇到过的,用于前…

如何学习大模型

学习大模型(例如GPT-3、BERT等)需要一定的数学和编程基础,以及对人工智能、机器学习、自然语言处理等领域的了解。以下是一个学习大模型的基本路线: 基础知识储备: 数学基础:掌握线性代数、概率论与数理统…

史上最全,呕心沥血总结oracle推进SCN方法(五)

作者介绍:老苏,10余年DBA工作运维经验,擅长Oracle、MySQL、PG数据库运维(如安装迁移,性能优化、故障应急处理等) 公众号:老苏畅谈运维 欢迎关注本人公众号,更多精彩与您分享。前面介…

小牛翻译API详解:功能、优势介绍及案例实战(附完整代码)

写在前面小牛翻译是做什么的案例-调用图片翻译API进行英文翻译✔准备工作✔获取密钥✔调用API✔完整代码✔运行项目 使用建议 写在前面 随着全球化的快速发展和跨国交流的增多,翻译软件的市场需求持续增长。根据市场数据,全球语言翻译软件市场规模在过去…

google keybox.xml格式 内容有哪些 Keybox数量、设备ID、算法的 私钥 公钥 证书链 (ECDSA即ECC, RSA)

根据您提供的文件内容,keybox.xml 文件包含以下主要信息: Keybox数量 ([NumberOfKeyboxes](file:///d%3A/010F200/svn/ProduceToolMfc/FtSmartPos/FtSmartPos/ToolBydMes/httpclient/e%3A%5CGoogleKey%5CLinux_AttestationKeyboxPack_Tool%5CLinux_Atte…

场景图生成网络——RelTR(TPAMI2023)

一、ReITR概述 场景图是一种图结构,其节点代表图像中的实体,边代表实体间的关系。这项技术超越了传统的对象检测,与视觉关系检测紧密相关,对图像检索、图像字幕、视觉问答(VQA)和图像生成等多种视觉-语言任…

男士内裤怎么选?五款不能错过的超舒适男士内裤

在快节奏的现代都市生活中,男士们同样需要关注内在穿搭的品质与舒适度。一条优质贴身的男士内裤,不仅是日常穿着的舒适保障,更是展现男性精致品味的秘密武器。今天,就让我们一同探讨如何挑选出最适合自己的男士内裤,并…

ArcGIS JSAPI 学习教程 - ArcGIS Maps SDK for JavaScript - 框选显示高亮几何对象

ArcGIS JSAPI 学习教程 - ArcGIS Maps SDK for JavaScript - 框选显示高亮对象 核心代码完整代码:在线示例 在研究 ArcGIS JSAPI RenderNode 高亮(highlights)FBO 的时候,实现了一下框选高亮几何对象,这里分享一下。 …

LlamaIndex三 配置

前言 在上篇LlamIndex二 RAG应用开发 - 掘金 (juejin.cn)中,我们学习到LlamaIndex对RAG的全面支持。这篇文章,我们就来细化这个过程,尝试各种配置选项,满足不同场景需求。学习过后,大家再开发RAG应用,会更…

Sketch语言设置指南:将英文版改成中文版的教程

Sketch版本的转换一直是困扰大家的关键问题。如今UI设计领域的UI设计软件很多,但大部分都是英文版。对于国内英语基础差的设计师来说,使用这样的软件无形中增加了工作量,往往需要在设计编辑的同时查阅翻译。即时设计详细介绍了Sketch英文版如…

单个python文件代码的车牌检测系统 使用pyqt做界面进行车牌检测,可以保存结果到excel文件

融合了hyperlpr3和opencv 来检测车牌 通过图片检测车牌的系统,使用了pyqt和hyperlpr3结合来进行检测,可以保存检测的结果到excel文件 亲自测试修改代码,运行正常并且不依赖百度网络api, 纯本地运行,融合了2个车牌检测模型, 第…

2024年【起重机司机(限桥式起重机)】考试试卷及起重机司机(限桥式起重机)证考试

题库来源:安全生产模拟考试一点通公众号小程序 2024年【起重机司机(限桥式起重机)】考试试卷及起重机司机(限桥式起重机)证考试,包含起重机司机(限桥式起重机)考试试卷答案和解析及起重机司机(限桥式起重机)证考试练习。安全生产模拟考试一点通结合国家…

音视频开发17 FFmpeg 音频解码- 将 aac 解码成 pcm

这一节,接 音视频开发12 FFmpeg 解复用详情分析,前面我们已经对一个 MP4文件,或者 FLV文件,或者TS文件进行了 解复用,解出来的 视频是H264,音频是AAC,那么接下来就要对H264和AAC进行处理,这一节…

WebAPI AOP方式 异常方式

》》 自定义异常处理特性 using System; using System.Collections.Generic; using System.Linq; using System.Net; using System.Net.Http; using System.Web; using System.Web.Http.Filters;namespace WebApplication11 {/// <summary>/// 异常处理特性/// </sum…

005.FashionMNIST数据集简介

一、FashionMNIST数据集简介 FashionMNIST数据集&#xff0c;作为经典的MNIST数据集的现代替代品的数据集&#xff0c;是衣物分类数据集&#xff0c;由Zalando&#xff08;一家德国的在线时尚零售商&#xff09;发布。 FashionMNIST数据集和MNIST相比。图片尺寸相同&#xff0c…

混凝土结构中最小配筋率45ft/fy怎么来的?

文章目录 0. 背景1. 原理解析2. 总结 0. 背景 上学的时候就对混凝土结构规范中关于最小配筋率“ 45 f t / f y 45f_t/f_y 45ft​/fy​”的表述很好奇&#xff0c;今天终于看到解释了。原文来自这里&#xff0c;喜欢的可以关注原作者。 按照原作者的说法&#xff0c;本文的解释…

I P协议

IPv4首部 4个字节的32 bit值以下面的次序传输&#xff1a;首先是 0&#xff5e;7 bit&#xff0c;其次8&#xff5e;15 bit&#xff0c;然后1 6&#xff5e;23 bit&#xff0c;最后是24~31 bit。这种传输次序称作 big endian字节序。由于TCP/IP首部中所有的二进制整数在网络中传…

简单聊聊大数据分析的方法有什么

大数据分析是指对规模巨大的数据集合进行的分析过程。 这些数据集合通常具有以下几个特点&#xff0c;可以概括为5个V&#xff1a; 1.数据量大&#xff08;Volume&#xff09;&#xff1a;大数据分析处理的数据量巨大&#xff0c;远远超出了传统数据处理软件的能力范围。 2.…

攻防世界testre做法(考点:base58)

在做这道题目之前&#xff0c;我们先来简单了解一下base64加密和base58加密&#xff0c;先来说一些预备知识&#xff0c;bit为1个位&#xff0c;即一个0或1&#xff0c;八个位组成一个字节&#xff0c;即八个二进制数。 base64编码原理&#xff1a;1&#xff0c;在使用base64加…