技術實戰-阿里雲網站伺服器鏡像取證方法

阿里雲伺服器因其性能卓越、安全穩定、高性價比等特性被廣泛使用。而在眾多網路犯罪中，我們也發現不少犯罪嫌疑人將涉案網站搭建在阿里雲伺服器上。當辦案人員從阿里雲公司獲取涉案網站伺服器的鏡像後，將面對如何對伺服器的鏡像進行取證的難題。

本文將給大家分享一個關於阿里雲網站伺服器鏡像文件的取證思路，希望能給大家一些靈感和參考。

取證思路

從上文我們知道辦案人員拿到的鏡像是關於涉案網站的伺服器鏡像，在針對這個伺服器鏡像進行取證時，我們可以通過模擬的方法將網站重新搭建起來，然後對網站進行取證。這樣對伺服器鏡像的取證就變成了對網站的取證。

取證思路第一步：將原始鏡像文件模擬還原到VMware工具中（這也是本文最重要的操作步驟）；

取證思路第二步：通過網站勘驗取證工具對模擬的網站進行取證；

取證工具

在整個操作過程中，我們可能會使用到如下工具：

1、qemu-img軟體，該軟體的功能是將raw格式的鏡像轉換為vmdk格式的鏡像，vmdk格式鏡像即是模擬所需的鏡像格式；

2、VMware Workstations，該軟體的功能是將vmdk格式的鏡像進行模擬，還原網站環境；

3、WFS6910網站勘驗取證系統（以下簡稱WFS），可快速對涉案網站進行勘驗取證（【新品發布】最快快快快快的網站勘驗產品邀你來體驗）；

具體操作步驟

1.安裝qemu-img工具。該工具可以將阿里雲的raw鏡像文件轉換為vmdk的虛擬文件，進入qemu-img工具安裝目錄，默認安裝目錄在『C:Program Filesqemu』，在文件夾空白處按住shift鍵右擊滑鼠，然後選擇「在此處打開命令窗口」進入cmd命令行，在cmd命令行執行如下命令：

qemu-img convert -f raw L:效率源227.raw -O vmdk 227.vmdk

2.轉換成功後，打開VMware Workstations，創建新的虛擬機；

3.點擊下一步。在安裝客戶機操作系統這一步驟時，選擇稍後安裝操作系統，如圖所示:

4.點擊下一步。然後根據raw鏡像的操作系統選擇虛擬機需要安裝的操作系統；如圖所示：

5.之後的操作步驟，如創建虛擬機的路徑、為虛擬機分配的處理器數量、為虛擬分配的內存、網路類型、I/O控制器類型、磁碟類型可根據自己的需求選擇。

6.在選擇磁碟的步驟中，需要選擇「使用現有虛擬磁碟」，如圖所示：

7.繼續點擊下一步。默認選擇即可創建完成，正常啟動虛擬機。

8.虛擬機啟動完成後，為了使主機與虛擬機通訊成功，需要修改虛擬機的網路適配器和虛擬機的IP地址。虛擬機的網路適配器修改步驟：點擊選項卡「虛擬機」--「可移動設備」--「設置」，按照如圖所示修改網路設置。

修改虛擬機IP，使虛擬機IP與主機IP處於同一網段。進入虛擬機系統，按照如圖方式修改虛擬機IP地址。

IP地址修改完成後，需要重啟虛擬機，使修改生效。修改完成後，查詢虛擬機iP如下：

查詢主機ip如下：

驗證主機和虛擬機通訊成功：

9.系統配置修改完畢後，即可使用WFS對搭建完畢的系統進行取證。

新建案例：

打開網站，登錄網站後台。

根據需求對網站進行勘驗取證。

以上就是整個操作步驟的介紹，希望在遇到類似案件的取證時能給大家一些幫助和參考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！