【镜像取证篇】VMware虚拟机配置文件取证

最新推荐文章于 2024-06-07 14:29:15 发布
最新推荐文章于 2024-06-07 14:29:15 发布
阅读量3.5k 收藏 26
点赞数
分类专栏: # 镜像仿真 文章标签: 电子取证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NDASH/article/details/121089384
版权

【镜像取证篇】VMware虚拟机配置文件取证

​ 虚拟机取证中,通常主要关注.log、.vmdk、.vmem三个文件,里面包含虚拟机的大部分资料信息。—【suy】

测试环境

1、VMware® Workstation 16 Pro(V16.1.2 build-17966106)

2、Microsoft windows 11 专业版(V22000.282)

虚拟机挂起状态

请添加图片描述

请添加图片描述

虚拟机文件简介

序号名称内容备注
01.log虚拟机-调试运行情况的日志记录;如文件创建、USB接入、虚拟机运行的情况、操作系统基本信息、用户行为时间等。日志
02.vmdk虚拟机-虚拟磁盘文件,记录操作系统中所产生的全部数据。磁盘
03.vmem虚拟机-内存文件。内存
04.vmsd用于存储元数据和虚拟机快照文件的描述信息,信息包括UID编号、快照文件名、快照注释、执行快照的磁盘文件和快照总数等。初始大小为0字节,随着快照数的增加而持续增大。
05.vmsn虚拟机-建立快照时自动创建的文件,配合.vmsd文件使用快照
06.vmss虚拟机-已挂起状态时的信息文件(虚拟机挂起状态才有!)
07.vmx虚拟机-硬件配置文件
08.vmxf虚拟机-附加配置文件
09.nvram储存虚拟机BIOS状态信息
10.Ick动态文件

1、log

​ vmware-0.log、vmware-1.log等用来记录vmware工作日志。
请添加图片描述

2、vmdk

​ 虚拟机虚拟磁盘文件,记录操作系统中所产生的全部数据。

3、vmem

​ 虚拟内存文件,同本地内存文件pagefile.sys(分页文件),包含了操作系统的内核数据结构、进程、线程、堆中的数据,以及用户的其他如用户输入的密码、聊天信息等敏感信息;正常虚拟机中的系统关机后,vmem文件就会消失;但虚拟机的系统在挂起状态时,该文件会保留在本地。

【虚拟机-挂起状态】中[虚拟机名-xxx.vmem]和[虚拟机名-xxx.vmss]文件是成对出现的

【虚拟机-快照】[虚拟机名-Snapshot快照名.vmem]和[虚拟机名-Snapshot快照名.vmsn]文件是成对出现的

请添加图片描述

4、vmsd

​ 记录虚拟机快照的相关信息和元数据,把.vmsn和.vmdk记录一起。

请添加图片描述

5、vmsn

​ 虚拟机建立快照时自动创建的文件,根据快照数量自增,无快照则该文件没有。

6、vmss

​ 虚拟机-已挂起状态时的信息文件(虚拟机挂起状态才有!)

【虚拟机-挂起状态】中[虚拟机名-xxx.vmem]和[虚拟机名-xxx.vmss]文件是成对出现的

7、vmx

虚拟机-硬件配置文件

请添加图片描述

8、vmxf

​ 虚拟机-附加配置文件,记录虚拟机的辅助配置文件。

请添加图片描述

9、nvram

储存虚拟机BIOS状态信息,可不关注。
请添加图片描述

10、lck

​ 该目录是虚拟机系统在开机时自动创建的以.lck结尾的目录,作用是用于锁定vmx的文件夹,在虚拟机关机后会自动删除。也用于在虚拟机异常退出时为了保护虚拟系统的磁盘文件数据而保留的.lck结尾的文件及文件夹。

​ 在开启虚拟机系统时,如出现“虚拟机正在被使用,获取所有权的报错”,可将其删除,一般就可正常开启虚拟机。

请添加图片描述

总结

​ 越来越自动化取证的同时也要多学些基础原理。

名称时间
开始编辑日期:2021 年 11 月 01 日
最后编辑日期:2021 年 11 月 01 日
DFIR蘇小沐
关注
  • 0
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
镜像取证:阿里云镜像恢复
weixin_72608767的博客
10-28 553
这些都是个人经验总结。欢迎大家一起交流。不明白可以问我。
检测程序是否在虚拟机运行的两种方法
hnlwt的专栏
04-05 1万+
最近在项目中遇到一个虚拟机检测的问题,需要检测当前程序是否在虚拟机中运行。 关于虚拟机的检测方法有很多,网上也能搜索到很多相关的 相信很多程序狗很可能也会遇到相同的问题
阿里云ECS实例镜像本地取证
最新发布
crowsec
06-07 809
很多情况下,我们需要对服务器进行应急取证,但是很多服务器是直接搭建在云上的,比如我们在拿到OSSKey之后(技术方法、其它方法等),可以将待取证服务器镜像导出,在本地进行取证分析。
镜像取证】DD系统镜像仿真问题的一些补充说明
蘇小沐的电子数据取证博客
06-07 3096
​ 系统千千万,环境占一半,遇到问题建议多重新挂载镜像,多尝试,站在岸上永远学不会游泳。—【蘇小沐】Windows建议用专业版,功能全。这里的镜像是以电子取证而言的法证镜像,国际常用的证据文件格式及应用有.DD、.001、.E01/L01、.Ex01/Lx01、.Raw、.AFF等镜像,是将一个磁盘打包成一个单独的文件,可以随时还原到另一个磁盘上,是一种位对位的数据备份功能,其数据和原盘数据完全相同的副本(包括了有数据的部分和没有数据的部分),并非简单的复制粘贴,这也是为什么DD镜像可以恢复删除的数据最重要
虚拟机检测技术剖析
02-10 840
作者:riusksk (泉哥) 前言 在当今信息安全领域,特别是恶意软件分析中,经常需要利用到虚拟机技术,以提高病毒分析过程的安全性以及硬件资源的节约性,因此它在恶意软件领域中是应用越来越来广泛。这里我们所谓的虚拟机(Virtual Machine)是指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件(比如VMware,Virtual PC ,Vi
镜像取证】常见镜像文件类型
蘇小沐的电子数据取证博客
09-06 4306
镜像取证】常见镜像文件类型 ​ 人生若都如镜像–【suy】 文章目录【镜像取证】常见镜像文件类型常见镜像文件类型 常见镜像文件类型 序号 镜像后缀名 镜像文件类型 备注 1 .aff 高级取证格式文件 AFF 2 .dd、.001、.raw、.bin 原始镜像文件 RAW 3 .dmg DMG镜像文件 DMG 4 .e01、.ex01 Encase镜像文件(EWF、EWF2) EWF 5 .gho GHOSTE镜像文件 GHO 6 .img、.dvd Clone
内存取证例题
路baby的博客
10-19 6118
内存取证例题 是金砖技能大赛-应急响应-内存镜像分析 和46届世界技能大赛湖北省选拔赛-数字取证 原题
VMware虚拟机安装kali详细版.docx
08-31
在开始之前,确保你已安装了VMware软件,并下载了Kali Linux的ISO镜像文件。Kali Linux通常可以在其官方网站上找到最新版本。 2. **新建虚拟机**: 打开VMware,点击“创建/注册虚拟机”,选择“典型”安装,然后...
阿里云导出的镜像raw转vmdk
04-25
相比之下,vmdkVMware虚拟机使用的磁盘文件格式,支持多种虚拟化功能,如动态扩展、快照等,并能在VMware Workstation、vSphere等产品中直接使用。 转换过程通常涉及以下几个步骤: 1. **准备工具**:为了将raw...
VMware)kali最新版2022下载安装.docx
05-02
同时,也可以从 https://www.kali.org/get-kali/#kali-virtual-machines 下载预配置的虚拟机镜像文件。 安装 Kali 系统需要使用 VMware 软件,首先需要下载和安装 VMware 软件。然后,创建一个新的虚拟机,选择已...
磁盘镜像工具
06-12
5. VMDK(Virtual Machine Disk Format):是VMware虚拟机使用的磁盘格式,可代表完整的虚拟硬盘或只包含部分数据的快照。 6. VHD(Virtual Hard Disk):是Microsoft Hyper-V虚拟化平台的磁盘格式,同样用于虚拟机...
vmware-1.log
08-04
vmware-1.log
kaili liunx,虚拟机,系统,u盘安装方式 安装手册.docx
12-20
首先,需要下载 Kali Linux 的镜像文件,然后使用虚拟机软件(如 VMware 或 VirtualBox)将其安装到虚拟机中。安装过程中需要选择语言、时区、键盘布局等配置选项,并设置用户名和密码。最后,需要等待系统的安装...
内存取证入门第一题
admin的博客
07-02 1310
试题链接:https://pan.baidu.com/s/1nDo5N4uHnV8a5hYXScV4nQ--来自百度网盘超级会员V2的分享。
2021-内存取证wp
Maya_Soy的博客
06-15 2652
使用工具 volatility WinHex 1. 从内存中获取到用户admin的密码并且破解密码,作为flag提交; 使用imageinfo得到操作系统 volatility.exe -f E:\网络安全\volatility\1.vmem imageinfo 使用hashdump得到密码hash volatility.exe -f E:\网络安全\volatility\1.vmem --profile=Win7SP1x64 hashdump 使用hashcat破解密码hash,得到明文密码
windows取证镜像取证仿真步骤
kernweak的博客
06-19 1万+
工具使用 取证工具:winhex,FTK Imager,VMware-converter 挂载工具:Arsenal-Image-Mounter-v3.1.107 简介 在windows平台中一般使用VMware-converter来进行取证,因为这种方式是在系统跑起来之后进行取镜像,而且取出来直接是vmware可以识别的格式,直接可以在分析时仿真起来,但是有时候由于任务限制,取证不允许在对方主机上安装任何软件,所以只能使用winhex,或者FTK,但是winhex在本人非盘对盘对拷试验时,无法挂载,
ctf -- 内存取证分析工具volatility的下载与安装+简单的使用
热门推荐
半岛铁盒的博客
06-16 1万+
你可以在Release中找到对应你系统(Mac,Win,Linux)的源代码,当然也可以git clone下来: git clone https://github.com/volatilityfoundation/volatility.git 上面那个是本体的安装,需要安装一些插件 python setup.py build python setup.py install 安装setup-tools wget https://pypi.python.org/packages/45/29/8814bf414
VMware系列之虚拟机文件格式详解,VMX 等文件结构,建议收藏
LiF29103的博客
06-07 2356
VMware Workstation 中创建虚拟机后,会生成一系列文件。这些文件的文件格式是怎样的?都有何作用?从最核心、最重要的几个文件说起。如果您正在使用VMware,那么耐心看完对您一定大有裨益。VMware虚拟机有9种类型的文件,对于刚安装系统的虚拟机,默认只存在6种。
凭证获取:Linux凭证获取
qq_68163788的博客
02-15 1115
在Linux系统中,凭证获取是指获取和管理用户身份验证信息的过程。凭证通常包括用户名和密码,用于验证用户的身份并授予特定的权限。 在Linux系统中,有几种常见的凭证获取方式。最常见的是通过输入用户名和密码进行身份验证。用户可以通过登录界面或命令行提示输入凭证来验证其身份。另一种方式是使用SSH密钥对进行远程身份验证。用户可以生成公钥和私钥,将公钥放置在远程服务器上,然后使用私钥进行身份验证。
vmware虚拟机镜像文件
08-09
VMware虚拟机镜像文件是一种用于虚拟化软件VMware的文件格式,用于存储虚拟机的配置和磁盘数据。这些镜像文件通常具有.vmdk扩展名。 .vmdk文件是虚拟机的磁盘映像文件,它包含了虚拟硬盘的内容,包括操作系统、应用程序和数据。这些文件可以被复制、备份和移动到其他计算机上运行。 在VMware中创建虚拟机时,您可以选择创建一个新的.vmdk文件或使用现有的.vmdk文件作为虚拟机的磁盘。在虚拟机运行时,所有的读写操作都将在这个虚拟磁盘上进行。 .ova和.ovf是另外两种与VMware相关的文件扩展名。.ova(Open Virtual Appliance)是一种打包格式,用于将整个虚拟机环境打包成一个单独的文件,包括.vmdk文件、配置文件和其他相关文件。.ovf(Open Virtualization Format)是一种开放标准格式,用于描述虚拟机配置和相关信息。 这些文件可以通过VMware Workstation、VMware Fusion、VMware vSphere等VMware产品进行创建、管理和部署。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DFIR蘇小沐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值