我们最近发生了几起安全事件,我们立即对虚拟机进行了快照,因为我们希望尽可能多地保留数据。现在我们想将其发送给第三方取证团队,以确定入侵程度。
我的问题是,向他们发送快照文件的副本是否足以让他们进行取证分析?
启动虚拟机需要哪些文件?
任何帮助都将不胜感激!
答案1
虽然我不太确定哪些文件足以启动虚拟机(“最小”文件集”) - 如果快照文件您的意思是创建快照时创建的文件:这还不够!这只是自创建快照以来对虚拟磁盘所做的增量更改。如果没有基础磁盘,此文件就毫无用处。
据我所知,启动虚拟机最重要的是 .vmx 文件(虚拟机配置文件)和 .vmdk 文件(虚拟硬盘(也包含增量快照文件))。由于 vmdk 文件是这些文件夹中最大的文件,而且您肯定需要这些文件,因此我建议将整个文件夹一起复制/导出。甚至日志文件也可能值得分析,这取决于您遇到的“安全事件”类型。
答案2
默认情况下不会。快照文件只是增量更改的日志文件。将来,您需要做的是暂停虚拟机,然后将 .vmss 文件复制到存储中的某个位置。
大多数(如果不是全部)商业供应商和取证服务都拥有将 .vmss 转换为可记录的内存转储所需的工具。他们不太可能“启动机器”,因为那需要额外的文件。