当前位置: 主页 > 关于效率源 > 行业洞察 > 热点技术

【技术实战】阿里云网站服务器镜像取证方法

2018-08-21 16:46

阿里云服务器因其性能卓越、安全稳定、高性价比等特性被广泛使用。而在众多网络犯罪中,我们也发现不少犯罪嫌疑人将涉案网站搭建在阿里云服务器上。当办案人员从阿里云公司获取涉案网站服务器的镜像后,将面对如何对服务器的镜像进行取证的难题。

本文将给大家分享一个关于阿里云网站服务器镜像文件的取证思路,希望能给大家一些灵感和参考。

取证思路

从上文我们知道办案人员拿到的镜像是关于涉案网站的服务器镜像,在针对这个服务器镜像进行取证时,我们可以通过仿真的方法将网站重新搭建起来,然后对网站进行取证。这样对服务器镜像的取证就变成了对网站的取证。

取证思路第一步:将原始镜像文件仿真还原到VMware工具中(这也是本文最重要的操作步骤);

取证思路第二步:通过网站勘验取证工具对仿真的网站进行取证;

取证工具

在整个操作过程中,我们可能会使用到如下工具:

1、qemu-img软件,该软件的功能是将raw格式的镜像转换为vmdk格式的镜像,vmdk格式镜像即是仿真所需的镜像格式;

2、VMware Workstations,该软件的功能是将vmdk格式的镜像进行仿真,还原网站环境;

3、WFS6910网站勘验取证系统(以下简称WFS),可快速对涉案网站进行勘验取证(【新品发布】最快快快快快的网站勘验产品邀你来体验)

具体操作步骤

1.安装qemu-img工具。该工具可以将阿里云的raw镜像文件转换为vmdk的虚拟文件,进入qemu-img工具安装目录,默认安装目录在‘C:\Program Files\qemu’,在文件夹空白处按住shift键右击鼠标,然后选择“在此处打开命令窗口”进入cmd命令行,在cmd命令行执行如下命令:

qemu-img convert -f raw L:\效率源\227.raw -O vmdk 227.vmdk

1.png

2.转换成功后,打开VMware Workstations,创建新的虚拟机;

2.png

3.点击下一步。在安装客户机操作系统这一步骤时,选择稍后安装操作系统,如图所示:

3.png

4.点击下一步。然后根据raw镜像的操作系统选择虚拟机需要安装的操作系统;如图所示:

4.png

5.之后的操作步骤,如创建虚拟机的路径、为虚拟机分配的处理器数量、为虚拟分配的内存、网络类型、I/O控制器类型、磁盘类型可根据自己的需求选择。

6.在选择磁盘的步骤中,需要选择“使用现有虚拟磁盘”,如图所示:

7.继续点击下一步。默认选择即可创建完成,正常启动虚拟机。

7.png

8.虚拟机启动完成后,为了使主机与虚拟机通讯成功,需要修改虚拟机的网络适配器和虚拟机的IP地址。虚拟机的网络适配器修改步骤:点击选项卡“虚拟机”--“可移动设备”--“设置”,按照如图所示修改网络设置。

8.png

修改虚拟机IP,使虚拟机IP与主机IP处于同一网段。进入虚拟机系统,按照如图方式修改虚拟机IP地址。

9.png

IP地址修改完成后,需要重启虚拟机,使修改生效。修改完成后,查询虚拟机iP如下:

10.png

查询主机ip如下:

11.png

验证主机和虚拟机通讯成功:

12.png

9.系统配置修改完毕后,即可使用WFS对搭建完毕的系统进行取证。

新建案例:

13.png

打开网站,登录网站后台。

14.png

根据需求对网站进行勘验取证。

15.png

以上就是整个操作步骤的介绍,希望在遇到类似案件的取证时能给大家一些帮助和参考。如果在实际操作或者演练过程中有任何不清楚的地方都可以,大家也可以通过官方微信私信源妹咨询或者拨打电话:028—85211099详细咨询。


题外话

随着信息时代的到来,网络犯罪急剧增长,据统计,中国网络犯罪占犯罪总数1/3 ,并以每年30%以上速度增长,而在未来,绝大多数犯罪都会涉及网络。针对网络犯罪的取证也成为了取证工作的重要趋势。

WFS在网络犯罪案件快速增长的今天,能快速对涉案网站进行固定勘验,操作简单、方便易用、可直接上手,提高网站勘验效率,节省取证时间。

1.gif

最近不少客户給源妹留言,咨询如何试用体验WFS。

想要试用体验WFS的客户朋友只需点击微信“会员专享”—“产品试用”—“服务器取证”即可申请WFS免费试用(产品试用申请指南戳这里:【号外!号外】免费产品试用、全方位技术支持都到这里来!

 

【拓展阅读】


【技术视界】Access数据库文件恢复提取技术介绍

【技术视界】受损固态硬盘(SSD)数据恢复方法(文内有福利)

【技术视界】虚拟机文件取证技术研究

【技术实战】如何对有访问密码的MySQL数据库进行取证?

【便携易用】只读设备新选择

【技术实战】安卓模拟器数据提取分析方法

【技术实战】树莓派的数据固定与提取方法

【技术视界】暗网取证思路和方法研究

【技术视界】WhatsApp取证:对未root手机的数据库解密以及删除数据的提取