(Ubuntu 20.04) Linux에 설치된 VMDK 파일에서 데이터를 가져오는 데 도움을 찾고 있습니다. 문제는 가상 머신에서 파일을 회전시키거나 포렌식 도구를 사용하는 대신 VMDK 파일을 마운트하고 CLI를 사용하여 VMDK가 설치된 Linux 시스템에 대한 정보를 얻는 것입니다.
나는 다음과 같은 것을 얻을 수 있었다운영 체제 릴리스,시간대,CPU 이름, 그리고파일 시스템유형.
다음 명령을 사용하여 구현했습니다.
cat /mnt/vmdisk/etc/os-release,cat /mnt/vmdisk/etc/hostname,cat /mnt/vmdisk/etc/timezone,df -Th
df -Th모든 드라이브가 표시되지만 정확히 찾아볼 수 있습니다 ./dev/loop5포함/mnt/vmdisk그 아래는외부 4파일 시스템. VMDK는 Ubuntu 14.04.6 LTS 이미지용이므로 이는 의미가 있습니다.
여기서는 어디를 보고 무엇을 실행해야 할지 잘 모르겠습니다. 다음 데이터도 수집해야 합니다.
- "마지막" 시스템 IP를 얻는 방법은 무엇입니까?
- UID XXXX는 누구의 계정인가요?
- X 날짜에 어느 IP에서 UID XXXX가 인증되었습니까?
- 사용자가 마지막으로 사용한 명령은 무엇입니까?
cat /mnt/vmdisk/etc/passwd#2의 경우 or 을 사용할 수 있을 것 같습니다 grep 'xxxx' /mnt/vmdisk/etc/passwd. 그러나 /etc/passwd에서 UID를 가져오는 것이 올바른 위치인지는 100% 확신할 수 없습니다.
이 데이터를 수집하는 방법에 대한 제안은 매우 도움이 될 것입니다.
감사해요.
답변1
그래서 법의학 테스트를하고 있습니다.
- 정적이면 켜져 있고,
/etc/network/interfaces동적이면 켜져 있습니다./var/lib/dhcp/dhcpd.leases /etc/passwd/var/log/auth.log,/var/log/wtmp,/var/log/btmp,/var/log/lastlog/home/$USERNAME/.bash_history- 가능한아니요존재해야 합니다. 다른 쉘이면 로그 파일도 달라집니다.
몇 초 안에 모든 것을 Google에 검색할 수 있습니다.