布谷鸟沙盒分析静态文件_【虚拟机镜像分析】
来源:iForensics
ID:iForensics-2016
我们在工作中经常会接触到各种各样的虚拟机镜像,常见的镜像文件格式有:raw、qcow2、qed、qcow、luks、vdi、vmdk、vpc、VHDX等。本文以最常用的qcow2格式为例进行分析。
一、分析环境搭建
安装操作系统,本文测试用的操作系统为CentOS 7.5.1804;安装qemu及其它软件包,安装命令:#yum install qemu-kvm qemu-img libvirt libvirt-client libvirt-pythonvirt-manager virt-install virt-viewer virt-top;安装libguestfs-tools工具包,安装命令:#yum install libguestfs-tools,如果需要支持windows系统镜像,还需要执行安装命令:#yum install libguestfs-winsupport。
二、镜像文件的静态分析
1、使用镜像管理工具qemu-img分析镜像
#qemu-img info
//读取镜像文件的基本信息:镜像文件类型、镜像大小、backing file等。
#qemu-img snapshot -l
//读取镜像文件的快照信息。
#qemu-img snapshot -a
//从快照恢复。
#qemu-img convert -f -O
//转换镜像文件的格式,将镜像文件转换为我们需要的格式,支持的格式有:raw、qcow2、qed、qcow、luks、vdi、vmdk、vpc、VHDX。
2、使用libguestfs-tools分析镜像文件
#virt-df //查看镜像的空间使用情况
#virt-filesystems -a -l //读取镜像文件的文件系统
#virt-inspector //检查镜像文件,读取操作系统、挂载点、文件系统、已安装应用程序等信息
#virt-ls -l //读取镜像文件的文件列表
#virt-log -a //读取镜像文件的日志
#virt-customize -a [--options] //自定义虚拟机
例如:#virt-customize -a CentOS-7-x86_64-GenericCloud-1703.qcow2 --root-password password:toor //修改镜像文件的root用户密码为toor
#guestmount -a -i --ro //以只读方式将镜像挂载到本地
#guestmount -a -i --rw //以读写方式将镜像挂载到本地
#guestfish [--ro|--rw] -a //以只读或读写方式加载一个镜像文件,通过提供的shell接口,可以直接对镜像内的文件进行分析,guestfish支持的所有命令通过help --list获取,如果运行guestfish的run命令报错,则需要运行#export LIBGUESTFS_BACKEND=direct。
三、镜像文件的动态分析
镜像文件的动态分析也就是将镜像运行起来,在操作系统运行状态下,分析它的进程、网络连接、服务、日志等数据,很多取证仿真软件也支持镜像文件,我们今天使用的软件是virt-manager,它是KVM的图形界面管理工具,virt-manager支持的操作系统有:Linux、Windows、BSD、macOS、Solaris等,支持的镜像文件格式有:raw、qcow2、qed,启动virt-manager的命令为:#virt-manager,对运行状态下镜像的详细分析方法,本文就不赘述了。
四、小结
以上是针对镜像文件分析的一些方法,本文仅仅列举了部分软件,也欢迎各位批评指正。
Windows 10正式宣布沙盒功能:轻量化虚拟机
https://c.m.163.com/news/a/E3DC9K4D05313F7K.html?spss=newsapp&from=timeline&isappinstalled=0&spssid=3e8a2528cce8c02cc3b0c2ae58df82be&spsw=2
布谷鸟沙盒分析静态文件_【虚拟机镜像分析】相关推荐
- 布谷鸟沙盒分析静态文件_“案例沙盒方法”喜提国际商学院协会(AACSB)2019年启发式创新奖...
国际商学院协会(AACSB)于2019年4月14日至16日在英国爱丁堡召开年会,会上公布了2019年Innovation that Inspire的(启发式创新奖)获奖学校及项目.大会共收到800余个 ...
- Swift5 获取文件大小,清除缓存,删除沙盒里的文件,读取本地文件
获取文件夹大小 /// 遍历文件夹获取目录下的所有的文件 遍历计算大小class func folderSizeAtPath(folderPath:String) -> CGFloat {if ...
- 获取保存在沙盒中plist文件的用户的字典信息
获取保存在沙盒中plist文件的用户的字典信息
- ios 获取沙盒文件名_iOS_沙盒(sandbox)机制及获取沙盒路径和文件操作(NSFileManager)...
⚠️版权声明:本文为博主原创文章,转载必须标明原文出处. 一. 每个iOS应用SDK都被限制在"沙盒"中,"沙盒"相当于一个加了仅主人可见权限的文件夹,苹果对 ...
- ios 模拟器沙盒_举例详解iOS开发过程中的沙盒机制与文件
iOS沙盒机制 iOS应用程序只能在为该改程序创建的文件系统中读取文件,不可以去其它地方访问,此区域被成为沙盒,所以所有的非代码文件都要保存在此,例如图像,图标,声音,映像,属性列表,文本文件等. 每 ...
- Go语言中间件框架 Negroni 的静态文件处理源码分析
Negroni是一个非常棒的中间件,尤其是其中间件调用链优雅的设计,以及对GO HTTP 原生处理器的兼容.我以前写过两篇文章,对Negroni进行了专门的分析,没有看过的朋友可以在看下. Go语言经 ...
- Tornado源码分析 --- 静态文件处理模块
每个web框架都会有对静态文件的处理支持,下面对于Tornado的静态文件的处理模块的源码进行分析,以加强自己对静态文件处理的理解. 先从Tornado的主要模块 web.py 入手,可以看到在App ...
- jprofiler分析dump文件_内存溢出+CPU占用过高:问题排查+解决方案+复盘(超详细分析教程)...
点击上方 "Java指南者"关注, 星标或置顶一起成长 免费送 1024GB 精品学习资源 来源:https://zhanghan.blog.csdn.net/article/de ...
- iOS 沙盒路径/创建文件夹
iOS 应用目录简介 iOS的沙盒机制,应用只能访问自己应用目录下的文件.iOS不像android,没有SD卡概念,不能直接访问图像.视频等内容.iOS应用产生的内容,如图像.文件.缓存内容等都必须存 ...
最新文章
- 国内 Java 开发者必备的两个神器:Maven国内镜像和Spring国内脚手架
- 面试必问的16个经典问题的回答思路
- java的流传输的进度条_JAVA程序设计(17)----- 制作文件拷贝软件 进程 输入流输出流 NIO 进度条 底层拷贝 多线程...
- 对于判断飞鸽传书2007来说是不够的
- 收藏 | 深度学习pytorch训练代码
- Hadoop 的核心(1)—— HDFS
- 湖南师范大学数学与计算机学院郭水霞,湖南师范大学数学与计算机科学学院2013备考手册...
- CUDA——Ubuntu系统上CUDA和cuDNN的安装教程
- 解决IntelliJ IDEA在笔记本屏幕中部分界面显示不全被遮挡的问题
- 拓端tecdat|Python面板时间序列数据预测:格兰杰因果关系检验Granger causality test药品销售实例与可视化
- 绿油损耗大于大多数高速板材,对于高度板材而言,绿油带来的损耗会更明显
- Kconfig语法学习
- 三、基础的Serializer序列化器
- 计算机内 云盘图标,如何关闭我的电脑中百度网盘图标
- cba篮球暂停次数和时间_篮球比赛CBA中每节多长时间?每次暂停都分为多长
- ChatGPT万能工具箱 | ChatGPT辅助神器 提升了用户体验 提问回答更加精确。
- 软考题目之头结点、头指针和首元节点
- Linux 使用docker搭建MySQL服务的一些细节问题
- 相机分辨率、图片分辨率、像素及图片尺寸关系的思考
- python进行图像处理rows, cols = Img.shape,copyMakeBorder()、merge()、dft()、log()和normalize()
热门文章
- android 4.2.2 jelly bean更新,Android 4.2.2 Jelly Bean更新已经发布:有何改变?
- python scrapy cookies 处理
- php 模拟表单提交-get-post
- 计算机中字符编码换算
- 一个用js写的接口http调试程序
- SQL对字符串进行排序
- (转)Ubuntu下JDK7安装全过程并调试第一个带包的java程序
- 46 -算法 - Leetcode -169 - 多数元素 - map insert 迭代器
- python模拟按键_Python实现windows下模拟按键和鼠标点击的方法
- 红亚科技联手董付国老师开启Python实训教育新篇章