我想使用 Hyper-V 或 Vmware 来找出拍摄 Clean Base 快照和修改后的快照后,两个图像之间的修改/差异和更改是什么。
VMware ThinApp 是我能找到的最接近这个的东西,因为它显示它在尝试创建虚拟化应用程序时在两个图像之间进行了修改。我对制作虚拟化应用程序不感兴趣,我更感兴趣的是我们的一些定制的旧应用程序如何工作以及它们安装到哪里。
这也可以用于安全目的,以查看病毒或恶意软件对系统做了哪些改变。
有人知道如何测量或解决这个问题吗?
答案1
我可能错了,但我相当肯定基于虚拟机管理程序的快照记录的是虚拟磁盘上已更改的块,而不是虚拟硬盘内已更改的文件。在客户操作系统中,您可以使用文件或文件系统级别的快照实用程序,如卷影复制,我相当肯定许多备份公司已经创建了一些实用程序来更有效地复制虚拟化数据,他们肯定有办法检查它。
也许您应该寻找其他方法来确保数据完整性没有受到损害,即通过使用像 puppet 这样的编排工具与 tripwire 和 MD5 校验和结合使用?
另外,考虑将帖子发布到安全堆栈交换,那些日复一日做这件事的人可能会给你提供一些更权威的想法。