qcow2镜像转换为iso_【虚拟机镜像分析】
来源:iForensics
表单大师怎么统计分析ID:iForensics-2016
我们在⼯作中经常会接触到各种各样的虚拟机镜像,常见的镜像⽂件格式有:raw、qcow2、qed、qcow、luks、vdi、vmdk、vpc、VHDX等。本⽂以最常⽤的qcow2格式为例进⾏分析。
⼀、分析环境搭建
安装操作系统,本⽂测试⽤的操作系统为CentOS 7.5.1804;安装qemu及其它软件包,安装命令:#yum install qemu-kvm qemu-img libvirt libvirt-client libvirt-pythonvirt-manager virt-install virt-viewer virt-top;安装libguestfs-tools⼯具包,安装命令:#yum install libguestfs-tools,如果需要⽀持windows系统镜像,还需要执⾏安装命令:#yum install libguestfs-winsupport。
amplitude数学
⼆、镜像⽂件的静态分析
1、使⽤镜像管理⼯具qemu-img分析镜像
#qemu-img info
//读取镜像⽂件的基本信息:镜像⽂件类型、镜像⼤⼩、backing file等。
#qemu-img snapshot -l
//读取镜像⽂件的快照信息。
#qemu-img snapshot -a
//从快照恢复。
#qemu-img convert -f -O
//转换镜像⽂件的格式,将镜像⽂件转换为我们需要的格式,⽀持的格式有:raw、qcow2、qed、qcow、luks、vdi、vmdk、vpc、VHDX。
2、使⽤libguestfs-tools分析镜像⽂件结构体变量名是什么意思
#virt-df //查看镜像的空间使⽤情况
#virt-filesystems -a -l //读取镜像⽂件的⽂件系统
#virt-inspector //检查镜像⽂件,读取操作系统、挂载点、⽂件系统、已安装应⽤程序等信息
#virt-ls -l //读取镜像⽂件的⽂件列表
#virt-log -a //读取镜像⽂件的⽇志
#virt-customize -a  [--options] //⾃定义虚拟机
例如:#virt-customize -a CentOS-7-x86_64-GenericCloud-1703.qcow2 --root-password password:toor //修改镜像⽂件的root ⽤户密码为toor
c语言子函数怎么写#guestmount -a -i --ro //以只读⽅式将镜像挂载到本地
#guestmount -a -i --rw //以读写⽅式将镜像挂载到本地
文件格式转换app#guestfish [--ro|--rw] -a //以只读或读写⽅式加载⼀个镜像⽂件,通过提供的shell接⼝,可以直接对镜像内的⽂件进⾏分析,guestfish ⽀持的所有命令通过help --list获取,如果运⾏guestfish的run命令报错,则需要运⾏#export LIBGUESTFS_BACKEND=direct。
三、镜像⽂件的动态分析
镜像⽂件的动态分析也就是将镜像运⾏起来,在操作系统运⾏状态下,分析它的进程、⽹络连接、服务、⽇志等数据,很多取证仿真软件也⽀持镜像⽂件,我们今天使⽤的软件是virt-manager,它是KVM的图形界⾯管理⼯具,virt-manager⽀持的操作系统有:Linux、Windows、BSD、macOS、Solaris等,⽀持的镜像⽂件格式有:raw、qcow2、qed,启动virt-manager的命令为:#virt-manager,对运⾏状态下镜像的详细分析⽅法,本⽂就不赘述了。
html网站导航栏怎么做
四、⼩结
以上是针对镜像⽂件分析的⼀些⽅法,本⽂仅仅列举了部分软件,也欢迎各位批评指正。
Windows 10正式宣布沙盒功能:轻量化虚拟机

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。