不看后悔!Citrix XenServer虚拟化取证美亚技术分享VOL.50

Posted 美亚柏科

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了不看后悔!Citrix XenServer虚拟化取证美亚技术分享VOL.50相关的知识,希望对你有一定的参考价值。

编者按
 

虚拟化引领了计算机行业潮流,从事取证行业的我们虽然不能引领计算机潮流,但对各种虚拟化解决方案做些取证研究总是有必要的,至少我们可以紧跟计算机行业发展,甚至引领取证行业。今天美亚柏科技术专家就为大家带来Citrix(思杰)公司的XenServer虚拟化取证的分享。

一.XenServer简介

XenServer 是思杰公司(Citrix) 推出的一款服务器虚拟化系统,Citrix XenServer是一种全面而易于管理的服务器虚拟化平台,基于强大的 Xen Hypervisor 程序之上。Xen技术被广泛看作是业界最快速、最安全的虚拟化软件。XenServer 是在云计算环境中经过验证的企业级虚拟化平台,可提供创建和管理虚拟基础架构所需的所有功能。它深得很多要求苛刻的企业信赖,被用于运行最关键的应用,而且被最大规模的云计算环境和 xSP 所采用。

二.分析XenServer虚拟机硬盘文件存储

1.XenServer是一个服务器操作系统,直接安在物理服务器上。系统安装好启动后如下图所示:



2.硬盘镜像后使用取证大师加载如下图所示:


不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】


上图中除了hdd0、hdd5分区信息可以直接查看,其它分区类容都无法查看到,经过分析这两个分区都是系统分区对我们取证没太多帮助,那接下来我们就使用XenServer管理程序来确认虚拟机硬盘文件存储位置。


3.管理XenServer,需要在windows电脑上安装Citrix XenCenter。


不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】


打开Citrix XenCenter,显示如下图所示:


不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】


点击“添加新服务器”会弹出下图提示,添加后可以管理XenServer。


不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】


成功连接服务器后会如下图所示:


不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】


选中服务器的存储可查看硬盘存储相关的信息,如下图所示:


不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】


上图的存储位置都是本地的,存储也可以选择专用存储设备,如下图点击“新建SR”可以查看支持的储存类型。


不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】

不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】


点击“控制台”可以通过Linux命令来管理XenServer,如下图所示:


不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】


也可以使用SSh来控制XenServer,如下图所示:


不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】


展开localhost可以查看当前Xenserver下面所建立的虚拟机,如下图所示Windows 7.Ubuntu就是专家所创建的虚拟机。


不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】


4.确认虚拟机存储位置

选择一台虚拟机,点击“存储”,上面有显示设备路径/dev/xvda,如下图所示:


不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】


了解过Linux的同学们看到/dev应该知道,这个设备的目录并不是分区挂载目录,我们通过SSH连接验证,结果如下图所示,未找到相应的目录。


不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】


打开XenServer的“本地存储”查看,在本地存储设备里面有两个虚拟机硬盘文件,刚好和我们创建的虚拟吻合,看来硬盘文件就是存在这个分区。


不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】


通过“本地存储”的“常规”可以查看到这个设备的相关信息,如下图所示,此设备大小总共为57.6G。


不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】


通过上面只确认到数据存在57.6G的分区里面,没法确认具体位置。接下来我们通过控制台或是SSH方式来确认57.6G硬盘挂载在什么目录。


5.通过XenServer“控制台”或是SSH确认“本地存储”挂载目录。

使用Linux命令 df –h可以查看各分区的大小以使用情况,如下图所示:


不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】


从上图我可以看到一个容量为58G并且使用了5.4G的分区挂载在/run/sr-mount/83129423-8e09-6e9e-db2d-010654e7e8ac下面。


通过Linux命令cd /run/sr-mount/83129423-8e09-6e9e-db2d-010654e7e8ac进入此目录查看是否有我们要找的硬盘文件。


不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】


通过上图可以查看到此目录下有两个vhd文件,并且大小能和我们之前分析的相吻合,可以肯定这两个文件应该就是我们两个虚拟机的硬盘文件。

三.导出虚拟机硬盘文件分析

1.已确定硬盘存储目录,我们可以使用FTP工具下载我们需要的硬盘文件。


不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】


此方法会有一个比较麻烦的问题,就是XenServer的虚拟机文件命名是以英文和数据自动成生成的,不能自已设定,需要跟据硬盘使用大小来区分,如果虚拟机比较多的时候不好分辨。


2.可以使用导出的方法,把整个系统导出。(推荐,操作简单)


不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】


可以导出的格式为OVF/OVA。


不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】


建议导出OVF,导出后是文件夹形式,配制文件和硬盘文件是分开的,可以直接加载硬盘文件分析。而OVA格式的包是把配制文件和硬盘文件打包到一起,可以使用VMware软件打开,从而分离配制文件。


不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】


导出后如图所示:


不看后悔!Citrix XenServer虚拟化取证【美亚技术分享VOL.50】


此模版一般是用来大量快速部署虚拟机使用的,刚好在此处也能给我们数据导出带来很大的帮助。


3.使用取证大师加载导出的硬盘文件进行分析。



四.总结

虚拟化技术已非常成熟,各行业使用比例也在提高,针对虚拟化的产品取证研究也是有必要的,文章只是非常小范围的介绍,实际工作中遇到的情况也各有不同,文章只能给大家做为指引,希望能给您的取证带来帮助。

推荐阅读↓↓↓



更多美亚技术分享尽在【阅读原文】

↓↓↓

以上是关于不看后悔!Citrix XenServer虚拟化取证美亚技术分享VOL.50的主要内容,如果未能解决你的问题,请参考以下文章

Citrix xenserver 安装使用

Citrix XenServer 池要求

citrix xencenter 无法启动虚拟机

使用云祺虚拟机备份软件备份Citrix XenServer 虚拟机

使用云祺虚拟机备份软件恢复Citrix XenServer 虚拟机

Citrix XenServer ? Workload Balancing 7.3 快速入门指南