寻求一些帮助,以从安装在 (Ubuntu 20.04) Linux 下的 VMDK 文件获取(抓取)数据。挑战在于挂载 VMDK 文件并使用 CLI 获取有关 VMDK 安装的 Linux 系统的信息,而不是在虚拟机中旋转它或在其上使用取证工具。
我能够获得一些东西,例如操作系统发布,时区,主机名, 和文件系统类型。
我使用以下命令实现了它:
cat /mnt/vmdisk/etc/os-release,cat /mnt/vmdisk/etc/hostname,cat /mnt/vmdisk/etc/timezone,df -Th
虽然df -Th显示所有驱动器,但我可以查明/dev/loop5其中有/mnt/vmdisk在其下是外部4文件系统。这是有意义的,因为 VMDK 适用于 Ubuntu 14.04.6 LTS 映像。
这是我不确定在哪里寻找和运行什么的地方。我还需要收集以下数据。
- 如何获取“最后”系统IP?
- UID XXXX 是谁的账户?
- 在 X 日期,UID XXXX 通过哪个 IP 进行了身份验证?
- 用户最后使用的命令?
对于 #2,我想我可以使用cat /mnt/vmdisk/etc/passwd或grep 'xxxx' /mnt/vmdisk/etc/passwd。但是,我不能 100% 确定从 /etc/passwd 中获取 UID 是否是正确的位置。
关于如何收集这些数据的建议将非常有帮助。
谢谢。
答案1
所以,你正在做法医鉴定。
- 如果它是静态的,它就在,
/etc/network/interfaces如果它是动态的,它就在/var/lib/dhcp/dhcpd.leases /etc/passwd/var/log/auth.log,/var/log/wtmp,/var/log/btmp,/var/log/lastlog/home/$USERNAME/.bash_history- 可能不是必然存在。如果是不同的shell,日志文件也会不同。
几秒钟之内就可以用谷歌搜索到所有内容。