마운트된 VMDK 파일에서 시스템 및 사용자 정보를 얻는 방법은 무엇입니까?

마운트된 VMDK 파일에서 시스템 및 사용자 정보를 얻는 방법은 무엇입니까?

(Ubuntu 20.04) Linux에 설치된 VMDK 파일에서 데이터를 가져오는 데 도움을 찾고 있습니다. 문제는 가상 머신에서 파일을 회전시키거나 포렌식 도구를 사용하는 대신 VMDK 파일을 마운트하고 CLI를 사용하여 VMDK가 설치된 Linux 시스템에 대한 정보를 얻는 것입니다.

나는 다음과 같은 것을 얻을 수 있었다운영 체제 릴리스,시간대,CPU 이름, 그리고파일 시스템유형.

다음 명령을 사용하여 구현했습니다.

  • cat /mnt/vmdisk/etc/os-release,
  • cat /mnt/vmdisk/etc/hostname,
  • cat /mnt/vmdisk/etc/timezone,
  • df -Th

df -Th모든 드라이브가 표시되지만 정확히 찾아볼 수 있습니다 ./dev/loop5포함/mnt/vmdisk그 아래는외부 4파일 시스템. VMDK는 Ubuntu 14.04.6 LTS 이미지용이므로 이는 의미가 있습니다.

여기서는 어디를 보고 무엇을 실행해야 할지 잘 모르겠습니다. 다음 데이터도 수집해야 합니다.

  1. "마지막" 시스템 IP를 얻는 방법은 무엇입니까?
  2. UID XXXX는 누구의 계정인가요?
  3. X 날짜에 어느 IP에서 UID XXXX가 인증되었습니까?
  4. 사용자가 마지막으로 사용한 명령은 무엇입니까?

cat /mnt/vmdisk/etc/passwd#2의 경우 or 을 사용할 수 있을 것 같습니다 grep 'xxxx' /mnt/vmdisk/etc/passwd. 그러나 /etc/passwd에서 UID를 가져오는 것이 올바른 위치인지는 100% 확신할 수 없습니다.

이 데이터를 수집하는 방법에 대한 제안은 매우 도움이 될 것입니다.

감사해요.

답변1

그래서 법의학 테스트를하고 있습니다.

  1. 정적이면 켜져 있고, /etc/network/interfaces동적이면 켜져 있습니다./var/lib/dhcp/dhcpd.leases
  2. /etc/passwd
  3. /var/log/auth.log, /var/log/wtmp, /var/log/btmp,/var/log/lastlog
  4. /home/$USERNAME/.bash_history- 가능한아니요존재해야 합니다. 다른 쉘이면 로그 파일도 달라집니다.

몇 초 안에 모든 것을 Google에 검색할 수 있습니다.

관련 정보