阿里雲伺服器因其性能卓越、安全穩定、高性價比等特性被廣泛使用。而在眾多網絡犯罪中,效率源也發現不少犯罪嫌疑人將涉案網站搭建在阿里雲伺服器上。當辦案人員從阿里雲公司獲取涉案網站伺服器的鏡像後,將面對如何對伺服器的鏡像進行取證的難題。
下面,效率源盤點關於阿里雲網站伺服器鏡像文件的取證思路,希望能給公檢法機構辦案人員一些靈感和參考。
取證思路
從上文我們知道辦案人員拿到的鏡像是關於涉案網站的伺服器鏡像,在針對這個伺服器鏡像進行取證時,可以通過仿真的方法將網站重新搭建起來,然後對網站進行取證。這樣對伺服器鏡像的取證就變成了對網站的取證。
取證思路第一步:將原始鏡像文件仿真還原到VMware工具中(這也是本文最重要的操作步驟);
取證思路第二步:通過網站勘驗取證工具對仿真的網站進行取證;
取證工具
在整個操作過程中,我們可能會使用到如下工具:
1、qemu-img軟體,該軟體的功能是將raw格式的鏡像轉換為vmdk格式的鏡像,vmdk格式鏡像即是仿真所需的鏡像格式;
2、VMware Workstations,該軟體的功能是將vmdk格式的鏡像進行仿真,還原網站環境;
3、效率源WFS6910網站勘驗取證系統(以下簡稱WFS),可快速對涉案網站進行勘驗取證;
具體操作步驟
1.安裝qemu-img工具。
該工具可以將阿里雲的raw鏡像文件轉換為vmdk的虛擬文件,進入qemu-img工具安裝目錄,默認安裝目錄在『C:Program Filesqemu』,在文件夾空白處按住shift鍵右擊滑鼠,然後選擇「在此處打開命令窗口」進入cmd命令行,在cmd命令行執行如下命令:
qemu-img convert -f raw L:效率源227.raw -O vmdk 227.vmdk
2.轉換成功後,打開VMware Workstations,創建新的虛擬機;
3.點擊下一步。在安裝客戶機作業系統這一步驟時,選擇稍後安裝作業系統,如圖所示:
4.點擊下一步。然後根據raw鏡像的作業系統選擇虛擬機需要安裝的作業系統;如圖所示:
5.之後的操作步驟,如創建虛擬機的路徑、為虛擬機分配的處理器數量、為虛擬分配的內存、網絡類型、I/O控制器類型、磁碟類型可根據自己的需求選擇。
6.在選擇磁碟的步驟中,需要選擇「使用現有虛擬磁碟」,如圖所示:
7.繼續點擊下一步。默認選擇即可創建完成,正常啟動虛擬機。
8.虛擬機啟動完成後,為了使主機與虛擬機通訊成功,需要修改虛擬機的網絡適配器和虛擬機的IP位址。虛擬機的網絡適配器修改步驟:點擊選項卡「虛擬機」--「可行動裝置」--「設置」,按照如圖所示修改網絡設置。
修改虛擬機IP,使虛擬機IP與主機IP處於同一網段。進入虛擬機系統,按照如圖方式修改虛擬機IP位址。
IP位址修改完成後,需要重啟虛擬機,使修改生效。修改完成後,查詢虛擬機iP如下:
查詢主機ip如下:
驗證主機和虛擬機通訊成功:
9.系統配置修改完畢後,即可使用WFS對搭建完畢的系統進行取證。
新建案例:
打開網站,登錄網站後臺。
根據需求對網站進行勘驗取證。
以上就是整個操作步驟的介紹,希望在遇到類似案件的取證時能給公檢法機構辦案人員一些幫助和參考。如果在實際操作或者演練過程中有任何疑問和技術難題,請關注效率源科技微信號,微信留言即可獲得免費技術支持!