作者:杨乐
计算机仿真取证的方法,相信大家都不陌生,相对于冷冰冰的解析文件系统,活生生的操作系统更加令人血脉喷张,毕竟能够以对象的身份登陆对象的操作系统,这种“所见即所得”的临机感是传统静态取证方式所不具备的。因此,仿真取证特别适用于还原计算机犯罪现场、倒推对象的操作步骤、网站/数据库服务器数据还原以及特定类型或加密数据提取等情形。
01
本案中,警方查处一个诈骗网站,从网站所在服务器运营商处获得了原始服务器的虚拟机镜像文件,与一般的阿里云raw或qcow2格式不同的是,本案中获得的是两个VHDX的镜像文件,而且一个是10G,一个是150G大小。用户希望能将原始服务器仿真后进行取证。
VHDX大家可能比较陌生,但VHD就熟悉多了,微软虚拟机VirtualPC的虚拟磁盘,而VHDX可以认为是VHDX的升级版本,是从Windows8和Server2012开始,微软引入的新的虚拟磁盘格式。相对之前的VHD格式,VHDX最大的优势之一在于虚拟硬盘存储容量。在Windows Server 2012之前,Hyper-V虚拟硬盘存在最大2TB的容量限制。而VHDX最大能够达到64TB。而VHDX的优势不只限于容量方面的改进,VHDX为现在的硬盘而设计,相比于VHD文件,其4KB大小的逻辑区域大小有助于提高性能。本案提供的两个VHDX文件很可能是微软的Hyper-V创建的虚拟机中的虚拟磁盘。
02
在Windows 10环境下,VHDX文件默认有Windows自己的打开方式,分别双击两个文件,均弹出同样的错误,如下图。
03
打开磁盘管理,发现两个盘其实已经被加载到本地。
04
想着最简单粗暴的方式,分配个盘符,直接资源管理器打开,结果右键几乎所有功能选项都不可用,看来是Windows不支持的文件系统,估计是两个Linux系统的镜像文件。
05
尝试下用计算机取证软件解析下文件系统,通过添加本地磁盘的方式,果然解析出了结果。
06
通过分析发现10G大小的磁盘含有EFI引导分区,150G大小的文件应该是数据盘,因此尝试打开计算机仿真取证系统,添加10G磁盘。
07
点击高级设置中的源盘设置,添加第二块磁盘。
08
不确定系统类型,也不知道用户账户和密码的情况下,系统类型默认自动,勾选登陆密码绕过。
09
点击开始,耐心等待直到虚拟机启动,程序右侧日志中提示检测到的操作系统为CentOS6.4,绕过登陆密码成功,并将所有账户密码重置成123456。
10
比对后,发现在虚拟机中查看发现/WWW目录下即为150G虚拟磁盘的内容。
"幻视"计算机仿真取证系统特性:
1. 支持各类型带操作系统的全盘及分区仿真
2. 支持DD、E01、aff、vmdk、vhd、vdi、qcow2等格式的镜像3. 文件的仿真
4. 支持分卷镜像的直接仿真
5. 自动识别原始硬盘或镜像文件中的操作系统
6. 支持双系统或多系统、双硬盘或多硬盘的直接仿真
7. 支持全系列Windows、Linux及MacOS10.6以上版本的仿真及8. 自动绕过登录密码
9. 对源盘或镜像文件始终保持只读状态
10.支持历史仿真任务继续
11.硬件条件允许的情况下,支持同时启动多个仿真任务
