[心得] 市刑大,VMDK Disk 映像檔file,Windows …

看板Storage_Zone (儲存裝置)作者laptop (空中飛熊)時間16年前 (2010/01/18 08:58)推噓2(2推 0噓 8→)

留言10則, 6人參與討論串1/1

上周五lab 同事接到某通電話自稱是市刑大說我們Lab主機遭人裝上木馬於2009 12,2x 上 yahoo 拍賣上詐欺廣告.. 小弟不太用跟非常不想用 windows server ,主要是給同事操作 vmware infrastructure client 操作 lab同仁上班不能用VPN 而VI 目前只有在windows 平台上所以這台win 2003 VM是非常曝露的. 這台VM 主機於 2009 年底時我就有發現不對勁,因此就給與關閉平常也懶修他, 沒想到確有這樣電話打來 ...市刑大要求給連線與掃毒記錄小弟自作聰明的把原有VMDK file 導入到新Win 2003 VM 內再做掃毒沒想到出了二個問題 1.原有中毒 win2003 VM disk 有快照(為了存證 2010,1,16 有做快照) 導入時只能引用原有母VMDK file , 所以在另外一個VM 掃描沒用! 2.最慘的是把vmdk 導入別的VM後再想用原來中毒VM 開機出現 The parent virtual disk has been modified since the child was created 我心想靠腰我只是Scan 而已沒做任何寫入動作難道手賤自殘證據後準備要被控訴詐欺嗎? 還好我也算data recovery 業界小愛好研究者自己排解問題吧. 這是因為vmdk file 導入新VM內 CID會被修改...檔案實質上沒被動過... 解決方法 http://phorum.study-area.org/index.php?topic=54707.0 如果不止一個快照檔這邊再說清楚一點 vmdk 快照指引導架構原始母描述檔 win2003.vmdk (後面絕不會有delta -00000數字那會是快照描述檔) 真實 Disk 映像檔為 ":win2003-flat.vmdk # Disk DescriptorFile version=1 CID=829ab81d parentCID=ffffffff (母vmdk file 必為ffffffff) createType="vmfs" # Extent description RW 83886080 VMFS "win2003-flat.vmdk" (對應的真實磁碟映像檔) ------------------------------------------------------------------------ 打開 win2003-000004-delta.vmdk (delta 為快照指引檔) 如下 # Disk DescriptorFile version=1 CID=5d635ed0 parentCID=5d635ed0 (母CID 從下得知要對應 win2003-000005 指引檔的CID ) createType="vmfsSparse" parentFileNameHint="win2003-000005.vmdk" # Extent description RW 83886080 VMFSSPARSE "win2003-000004-delta.vmdk" (對應的真實磁碟映像檔) -------------------------------------------------------------------------------------------- win2003-000005-delta.vmdk 內的內容 # Disk DescriptorFile version=1 CID=5d635ed0 (注意此為此 win2003-000005-delta.vmdk CID) parentCID=829ab81d createType="vmfsSparse" parentFileNameHint="win2003-000003.vmdk" # Extent description RW 83886080 VMFSSPARSE "win2003-000005-delta.vmdk" ----------------------------------------------------------------------------------------- 從這我們可以看出這個快照述檔為 win2003-000004-delta.vmdk 但是上面快照檔為何為 win2003-000005.vmdk 這是因為快照分支問題像我快照檔多會比較混亂 win2003-000004母快照檔為 win2003-000005.vmdk 那win2003-000004 的parentCID就要改為 win2003-000005.vmdk的CID -------------------------------------------------------------------------------- 再來抓下vmx 檔看一下像 scsi0:0.fileName = "win2003-000007.vmdk" 就要從win2003-000007.vmdk 對應回去看一下 parentCID 是否有誤反正最後那個快照檔就要從那個修改修改回去對應正確母快照檔每個檔案都有關聯性如果有錯誤都要修正修改工具個人建議用 Winscp http://winscp.net/eng/docs/lang:cht 注意先把該VM內所有vmdk 指引倒先備份傳下來 (很小) 再用winscsp 直接edit 修改就可非常方便還好最後總算解決完畢要不然我看我就慘了掃完後這VM中了三萬隻病毒 .. (此VM目前格離中無法連上對外網路) 對於平常不太管windows 2003 資安深感慚愧所以最好方法是以後都不用 windows server 動手研究 vmware infrastructure client on ubuntu http://www.virtualinsanity.com/index.php/2009/02/02 /vmware-infrastructure-client-on-ubuntu-an-update/ 晚點如果市刑大再跟我要資料的話我就要用vmware convnter 轉出來Vmdk (會轉成最終成為一個映像檔其他snapshot不會在export file內) 他們再用virutal box 導入 vmdk 給他們好好鑑定了那恐怕又會是另外一篇倒楣文.... -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 219.91.88.220