取证思路
从上文我们知道办案人员拿到的镜像是关于涉案网站的服务器镜像,在针对这个服务器镜像进行取证时,我们可以通过仿真的方法将网站重新搭建起来,然后对网站进行取证。这样对服务器镜像的取证就变成了对网站的取证。
取证思路第一步:将原始镜像文件仿真还原到VMware工具中(这也是本文最重要的操作步骤);
取证思路第二步:通过网站勘验取证工具对仿真的网站进行取证;
取证工具
在整个操作过程中,我们可能会使用到如下工具:
1、qemu-img软件,该软件的功能是将raw格式的镜像转换为vmdk格式的镜像,vmdk格式镜像即是仿真所需的镜像格式;
2、VMware Workstations,该软件的功能是将vmdk格式的镜像进行仿真,还原网站环境;
3、WFS6910网站勘验取证系统(以下简称WFS),可快速对涉案网站进行勘验取证(【新品发布】最快快快快快的网站勘验产品邀你来体验);
具体操作步骤
1.安装qemu-img工具。该工具可以将阿里云的raw镜像文件转换为vmdk的虚拟文件,进入qemu-img工具安装目录,默认安装目录在‘C:\Program Files\qemu’,在文件夹空白处按住shift键右击鼠标,然后选择“在此处打开命令窗口”进入cmd命令行,在cmd命令行执行如下命令:
qemu-img convert -f raw L:\效率源\227.raw -O vmdk 227.vmdk
2.转换成功后,打开VMware Workstations,创建新的虚拟机;
3.点击下一步。在安装客户机操作系统这一步骤时,选择稍后安装操作系统,如图所示:
4.点击下一步。然后根据raw镜像的操作系统选择虚拟机需要安装的操作系统;如图所示:
5.之后的操作步骤,如创建虚拟机的路径、为虚拟机分配的处理器数量、为虚拟分配的内存、网络类型、I/O控制器类型、磁盘类型可根据自己的需求选择。
6.在选择磁盘的步骤中,需要选择“使用现有虚拟磁盘”,如图所示:
7.继续点击下一步。默认选择即可创建完成,正常启动虚拟机。
8.虚拟机启动完成后,为了使主机与虚拟机通讯成功,需要修改虚拟机的网络适配器和虚拟机的IP地址。虚拟机的网络适配器修改步骤:点击选项卡“虚拟机”–“可移动设备”–“设置”,按照如图所示修改网络设置。
修改虚拟机IP,使虚拟机IP与主机IP处于同一网段。进入虚拟机系统,按照如图方式修改虚拟机IP地址。
IP地址修改完成后,需要重启虚拟机,使修改生效。修改完成后,查询虚拟机iP如下:
查询主机ip如下:
验证主机和虚拟机通讯成功:
9.系统配置修改完毕后,即可使用WFS对搭建完毕的系统进行取证。
新建案例:
打开网站,登录网站后台。
根据需求对网站进行勘验取证。
以上就是整个操作步骤的介绍,希望在遇到类似案件的取证时能给大家一些帮助和参考。如果在实际操作或者演练过程中有任何不清楚的地方都可以
**
题外话**
随着信息时代的到来,网络犯罪急剧增长,据统计,中国网络犯罪占犯罪总数1/3 ,并以每年30%以上速度增长,而在未来,绝大多数犯罪都会涉及网络。针对网络犯罪的取证也成为了取证工作的重要趋势。
WFS在网络犯罪案件快速增长的今天,能快速对涉案网站进行固定勘验,操作简单、方便易用、可直接上手,提高网站勘验效率,节省取证时间。
原文链接:https://developer.aliyun.com/article/922931