虚拟环境下的DIsk成像

Question

你所读的每一份鉴证材料，都告诉你要得到磁盘的图像，并使用这个图像。然而，他们似乎总是指一台计算机。

如果妥协是在VMWare安装上，其中有多个磁盘设置LUN和LUN组，怎么办？我该怎么得到这张照片？

Answer 1

你不应该得到图像，他们已经在你的vmware回购。你只需要调查他们。

如果您设置(或使用很快创建的)虚拟机，这是最好的可能。所以：

1. 停止已合并的VM
2. 把他们的磁盘拿开
3. 将它们交给您的调查/服务VM
4. 检查一下里面的一切。

Luns与他们没有任何关系，他们只是vmware虚拟SCSI仿真的一部分。它们并不重要，真正重要的是系统上的磁盘映像。

如果您需要调查整个vmware系统，也有可能。在这种情况下，事情有点复杂，虽然我不认为vmware服务器可能真的被破坏了。

在本例中，我将vmware物理磁盘作为普通磁盘处理(因此我从它们复制了一个映像)，从它们中提取.vmdk映像并使用它们。因此，图像创作有两个阶段：

1. 从vmware repos中提取vmware .vmdk磁盘，
2. 分析它们的内容。

这里可能会出现一些小麻烦，这就是vmware对vmdk映像使用vmfs文件系统。但是这个vmfs可以由vmware.com提供的可自由下载的工具来处理。