零壹
分享
LVM分区仿真方法
——14网安顾星旸
以2020美亚团体赛为例
1、因为镜像文件为E01(EWF)所以需要用ewfmount命令把里面的数据取出来,需要安装libewf或者ewf-tools
![34988028cfb9291545e39c253c538444.png](https://i-blog.csdnimg.cn/blog_migrate/5e44fe2418e21255673c94eb130fa4a1.png)
2、挂载镜像
![41f6b67296aa3132708d23ddfc39bd5d.png](https://i-blog.csdnimg.cn/blog_migrate/3104f03e07dbaa352b74135f2c39ba9e.png)
3、可以看到挂载目录下有数据文件,因挂载是采用ISO 9660 (CD images),无权限对其进行修改,所以要将该文件cp出来进行二次挂载
![aae941a8b3049e3eb7ee21082458b9c9.png](https://i-blog.csdnimg.cn/blog_migrate/409dafad79f7b9aad1901d00e2681d04.jpeg)
![a72f31a91282577c8975be155528db62.png](https://i-blog.csdnimg.cn/blog_migrate/7750cf69785aa63c0b5265ca592af7aa.png)
4、安装kpartx,利用其将文件系统自动挂载到/dev目录上
![ae0e656ed0537bf65a505c1fd3b77983.png](https://i-blog.csdnimg.cn/blog_migrate/090457ff24555b9e1d5a63fcdaf4986e.png)
5、挂载cp出的数据
![84a1d0b65f406bf3e1cc1a6e67233555.png](https://i-blog.csdnimg.cn/blog_migrate/94051d1e58461972ced05479740dbe3d.jpeg)
6、挂载之后的数据在/dev/mapper里,可以看到,此数据里有lvm2
![bb2e00c7ca3a1dde6572335f6e00c7fb.png](https://i-blog.csdnimg.cn/blog_migrate/b963aee43db9263635339b0e4835a5c0.png)
也可以利用fdisk查看新的设备文件
![0e1441b192f6fa5d5dd897833afbbc6c.png](https://i-blog.csdnimg.cn/blog_migrate/a340eae05781a046fc000c7f4534a663.png)
7、显示该镜像一共有三个分区,因第一个分区是BIOS,所以直接挂载分区2,3即可:
![77c3b760dab5679cdea09dd02357b663.png](https://i-blog.csdnimg.cn/blog_migrate/e7387226c2e24815057f0d06d9ee8f93.jpeg)
挂载分区2后查看该分区数据,发现该分区挂载点为/boot用作启动该系统
![1038fd3334df780c874835315d7df283.png](https://i-blog.csdnimg.cn/blog_migrate/7a9827f7b532b43e4f94e49d2017b72e.png)
8、因第三个分区是lvm,所以直接搜索就可以找到lvm信息
![6f3e1719353acb69326f61c106584e7a.png](https://i-blog.csdnimg.cn/blog_migrate/30e52e5ba3d3c7fbfbc5f97dd990553a.png)
进一步查看可以看到lv及vg的信息和该设备的UUID
![e4f688f99ccd16b526e9f14b9db4b116.png](https://i-blog.csdnimg.cn/blog_migrate/656fc9b103cdd8252bed67201355d134.png)
9、将该分区挂载起来
![2372c83938971fbc70f6c173d1940e62.png](https://i-blog.csdnimg.cn/blog_migrate/9db2ac88f035f4c573c78b09261ec96b.jpeg)
查看该分区数据判断挂载点为/
![1f9e0caaaa3040c90b0fae58ad32afc7.png](https://i-blog.csdnimg.cn/blog_migrate/1cc4835ef4418ca77e7e747dd937662a.png)
10、用chroot命令将该挂载点设为根目录(/),并以root用户启动。
![8a134d1b07ad95fd877bd7b416cb7b72.png](https://i-blog.csdnimg.cn/blog_migrate/d6610c28ef8f50ea787126f5b9c4e781.png)
因分区2为/boot,对于取证来讲没有影响,所以以root用户启动的时候没有将此分区的信息一起加进去,如需加入此信息需要把分区而卸载后再从新挂载到分区3挂载点的/boot目录
![4e8028b86b24c21a15dfca7b183e318f.png](https://i-blog.csdnimg.cn/blog_migrate/e2e5f07a45674a17c8ee61b02147cea3.jpeg)
这样就相当于把此系统仿真起来了,就可以继续操作了
![520caabf6b4f73ece747e1669d609a0f.png](https://i-blog.csdnimg.cn/blog_migrate/e6b2e3e1c2625057029b44572dd868bf.png)
01