Đào Tạo CEH – CHFI – ECSA – CPENT – LPT – PENTEST+ CySA+ SECURITY +

CertMaster Đông Dương

Chưa có bình luận trong Convert Virtual Machine to Raw Images for Forensics (Qemu-Img)

Convert Virtual Machine to Raw Images for Forensics (Qemu-Img)

Qemu-Img là một ứng dụng nhỏ rất tiện dụng. Qemu-Img được phát triển bởi nhóm QEMU. Phần mềm này rất hữu ích khi xử lý ảo hóa, Qemu-img có sẵn cho cả Windows và Linux. Cung cấp cho bạn khả năng thay đổi định dạng của một tệp đĩa ảo nhất định thành phần lớn các định dạng đĩa ảo phổ biến được sử dụng trên các nền tảng. Giả sử bạn đang sử dụng máy ảo trong Windows và muốn di chuyển đĩa ảo để sử dụng trên máy mac, song song đó, bạn có thể sử dụng chương trình Qemu-Img để đạt được điều này với nỗ lực tối thiểu.

Mục đích của CEH VIETNAM khi viết về vấn đề này hơi khác so với cách sử dụng chính của Qemu-img, chúng tôi muốn tập trung vào cách sử dụng ứng dụng này để chuyển đổi toàn bộ hình ảnh đĩa ảo hoặc chia thành tệp .raw có thể được sử dụng với hầu hết các khuôn khổ pháp y số phổ biến hiện có. Để cung cấp thêm cho các học viên và thành viên của khóa học CHFI những kiến thức và kỹ năng mở rộng nhưng cần thiết.

Hãy khởi động Qemu-img trên máy Linux của các bạn. Có thể dùng DEFT ZERO cho trường hợp này. Thử cài đặt với lệnh sau trên Kali hay Parrot OS

sudo apt-get install qemu-img

Tại dấu nhắc đầu cuối, nhập “qemu-img –h”

Điều này sẽ hiển thị cho bạn tất cả các tùy chọn có thể được sử dụng với qemu-img

Ngay ở phần cuối của thông tin được trình bày sau khi sử dụng lệnh ở trên, chúng ta có thể thấy tất cả các định dạng được hỗ trợ bởi ứng dụng này.

Đây là danh sách tất cả các định dạng tương thích với Qemu-img

Bây giờ các bạn hãy xem ứng dụng này có ích như thế nào trong pháp y số.

Trong trường hợp đĩa ảo là một phần của quá trình thu nhận và cần phân tích chuyên dụng hơn nữa, đĩa ảo có thể được chuyển đổi thành định dạng .raw.

Hãy bắt đầu nào.

Vì mục tiêu của chúng ta là phân tích đĩa ảo, chúng tôi đang sử dụng tệp hình ảnh từ Windows 7 được cài đặt trên VMWare. Tệp được đề cập ở định dạng .vmdk .

Lưu ý, khi bạn chuyển đổi tệp đĩa ảo thành tệp .raw , kích thước của tệp được chuyển đổi có thể khá lớn, vì vậy hãy đảm bảo bạn có đủ dung lượng.

Đây là tệp .vmdk của chúng tôi

Để dễ sử dụng, chúng ta đặt tệp .vmdk trong một thư mục có tên Qmeu trên màn hình nền Thiết bị đầu cuối được mở từ trong thư mục.

Tại dấu nhắc đầu cuối, nhập “qemu-img convert -f vmdk -O raw Windows \ 7.vmdk win7.raw”

Phân tích lệnh mà chúng ta vừa đưa ra:

qemu-img convert đang gọi hàm convert của qemu-img.

-f là định dạng của tệp đầu vào, trong trường hợp này là .vmdk

-O là định dạng của tệp đầu ra mà chúng tôi muốn, tệp .raw .

Windows \ 7.vmdk là tên của tệp đầu vào mà chúng ta có trong thư mục của mình.

win7.raw là tên mà chúng tôi đã đặt cho tệp đầu ra với phần mở rộng tệp của nó.

Hãy cho hệ thống một vài phút và kiểm tra thư mục, bạn sẽ tìm thấy tệp đã chuyển đổi.

Như bạn có thể thấy, kích thước của tệp .raw là 10,7 GB và kích thước của tệp .vmdk là 6,0 GB, đó là một kích thước khá lớn!

Bây giờ chúng ta có thể sử dụng Foremost để carve hay “khắc” tệp thô để xem những gì bên trong.

Tại đầu cuối, nhập  lệnh

Với lệnh này, chúng tôi đang khắc tệp .raw cho các tệp .jpeg và .png sẽ được thu thập trong một thư mục có tên là đầu ra .  Như bạn có thể thấy, tệp .raw của chúng ta đã được “khắc” thành công, kết quả hiển thị bên dưới

Chúng ta đã tạo thành công tệp .raw được tạo từ đĩa ảo, bây giờ hãy mount tệp .raw để xem nội dung . Các bạn có thể sử dụng Windows cho hoạt động này.

… ta sẽ mount tệp .raw này bằng FTK Imager để xem nội dung của chúng. Bạn có thể tìm thấy tùy chọn gắn hình ảnh trong menu Tệp . Điều hướng đến tệp .raw từ trong trình đơn gắn kết.

Chọn Mount, giữ nguyên các tùy chọn khác và tệp sẽ xuất hiện trên Danh sách hình ảnh được ánh xạ.

Tiếp theo, điều hướng đến Máy tính của tôi và có thể thấy rằng .raw đã được gắn kết dưới dạng phân vùng.

Hệ thống tệp windows có thể được nhìn thấy bên trong và khám phá nội dung.

Qemu-img là một ứng dụng rất đơn giản nhưng có tiềm năng cao. Nó có thể là một công cụ rất có giá trị trong bộ công cụ pháp y số của bạn do khả năng hỗ trợ nhiều định dạng tương thích. 

Thông tin về các Tác giả

Abhimanyu Dev là một Hacker có đạo đức được chứng nhận, người kiểm tra thâm nhập, nhà phân tích và nghiên cứu bảo mật thông tin. 

BQT – Trong nhiều tình huống thử thách các bạn có thể thấy hình ảnh được convert từ 1 ảnh đĩa vmdk, có thể họ đã dùng công cụ này. Mặc dù chúng ta có thể đọc trực tiếp hay mount tệp vmdk nhưng khi chuyển qua dạng thô sẽ dê dàng ứng dụn nhiều thể loại công cụ pháp y số khác nhau hơn.

Ngoài ra, các bạn có thể làm điều ngược lại là tạo máy ảo từ forensic disk image với OS Forensic 8. Hãy tham khảo seri các bài về OS Forensic tại đây

Posted by:

CertMaster Đông Dương

Learn Everywhere with CertMaster

Trả lời

Bạn cần phải đăng nhập để gửi bình luận:

Gravatar
WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Hủy bỏ

Connecting to %s

%d người thích bài này: