目前互联网已经进入云时代,云服务正处于高速发展阶段,云业务已经遍布各大小企业,如同基础设施一般普及和应用。其中阿里云更是其中的佼佼者,其云服务器安全性、可用性、高性价比等优势明显。
很多不法分子也利用了阿里云的这些特点,将其违法网站安装运行在阿里云服务器中,依赖托管服务器、云服务器的服务部署实现他们的违法犯罪目的,例如搭建钓鱼网站,赌博网站,P2P金融管理后台等。而当案件发生后当如何对服务器的镜像进行取证,一直是办案人员面对的难题之一,近期,平航科技为多个涉及电信诈骗类型的案件提供了技术支持,并在取证工作中整理了相关的取证技术路线,为广大执法取证人员参考。
案例
阿里云镜像文件类型
通过办案人员前期工作,阿里云服务器将固定形成raw格式镜像。
取证思路
针对服务器类取证的案件,通常服务器上面会部署运营网站或者涉及犯罪的数据库。我们可以通过仿真服务器镜像文件进行证据的固定,还原犯罪过程。
1
第一步
通过qemu-img工具,将raw格式镜像文件转换成vmdk格式文件:
(1)qemu-img下载地址:
(2)通过命令将raw转换成vmdk文件。具体需要将上述下载好的文件解压缩到某个文件夹,双击进入解压缩过后的文件夹,在该文件夹空白处,按键盘Shift键并同时单击鼠标右键,选择“在此处打开Powershell窗口”,如下图
电脑会弹出如下界面:
我们在该界面中输入命令:
.qemu-img.exe convert -f raw D:平航科技xxxx.raw -O vmdk xxxx.vmdk
等待转换完成,我们得到xxxx.vmdk文件。
2
第二步
使用介质取证塔PM612或现场取证一体机PK531中的计算机仿真软件。
(1)打开“平航计算机仿真软件”,勾选必要的设置
(2)点击“开始”,软件开始仿真系统
(3)当出现“仿真预处理成功”之后,“平航计算机仿真软件”自动调用VMWare,如下图所示,说明仿真已经成功了。如果不涉及root密码的情况,到这里就结束了,但是一般的Liunx的系统都会给root账号设置密码,如果遇到需要root密码的情况,请继续按照下面第三步继续执行。
3
第三步
root密码的修改
(1)如果遇到有Liunx系统登陆密码的情况,则需要在上一步的界面,选中对应的系统,按“e”键,编辑系统启动时对应的内容。
(2)我们选择在linux16这行的结尾,修改某些内容,之后通过后续的步骤,完成修改root密码的工作。
(3)上述界面,我们需要从“idle=halt”这里把前面的一些配置删除掉,一直删除到“net.ifnames=0”后面,并在后面追加内容“quiet rd.break”,具体操作如下图所示:
(4)上述编辑完成之后按“Ctrl+x”,等待系统运行起来,如下图:
(5)重新挂载根,现在的根为只读状态,需要挂载为读写状态以便进行更改,输入命令:
mount –o remount,rw /sysroot
(6)切换根,进入到sh,即为你真正的系统,输入命令:
chroot /sysroot
(7)修改密码,需要输入两次密码进行确认,当结尾看到successfully,即为修改成功:
(8)退出并重启
(9)成功进入系统
以上便是完整的阿里云服务器镜像仿真的过程,进入系统之后,我们可以通过一些常见的命令查询,以便发现更多线索。
常见命令如下:
查询历史输入命令
~]# history
分页查询
~]#history | more 15
查询系统安装有那些服务
~]# service –status-all
查看服务和端口状态
~]# netstat –a
查看网卡信息
~]# ifconfig
查看mysql服务状态
~]#service mysqld status
查看tomcat运行进程
~]# ps–ef | grep tomcat
查看nginx运行进程
~]# ps –ef | grep nginx
———END———
限 时 特 惠: 本站每日持续更新海量各大内部创业教程,一年会员只需98元,全站资源免费下载 点击查看详情
站 长 微 信: wxii2p22
admin
