将ESXi快照发送给第三方法医小组

Question

最近发生了一些安全事件，我们立即对VM进行了快照，因为我们希望尽可能多地保存这些数据。现在我们想把它发送给第三方法医小组，以确定妥协的程度。

我的问题是，是否向他们发送快照文件的副本足以让他们进行取证分析？

VM需要什么文件才能启动？

任何帮助，这将是非常感谢！

Answer 1

虽然我不太确定哪些文件足以启动VM (“最小”文件集)--如果快照文件是指在创建快照时创建的文件:这还不够！这只是快照创建以来对虚拟磁盘所做的增量更改。如果没有基本磁盘，则该文件是无用的。

据我所知，至少启动VM最重要的是.vmx文件(虚拟机配置文件)和.vmdk文件(虚拟硬盘(也包含增量快照文件))。因为vmdk文件是这些文件夹中最大的文件，而且您肯定需要这些文件，所以我建议将整个文件夹全部复制/导出。甚至日志文件也可以插入以进行分析，这取决于发生在您身上的“安全事件”的类型。

Answer 2

不是默认的，不是。快照文件只是增量更改的日志文件。将来，您想要做的是挂起VM，然后在存储的某个地方复制.vmss文件。

大多数(如果不是所有的话)商业供应商和法医服务都拥有将.vmss转换为带有日志记录的可行内存转储所需的工具。他们不太可能“给盒子上电源”，因为这需要额外的文件。