上周五lab 同事接到某通电话 自称是市刑大 说我们Lab主机遭人装上木马 於2009 12,2x 上 yahoo 拍卖上诈欺广告.. 小弟不太用跟非常不想用 windows server ,主要是给同事操作 vmware infrastructure client 操作 lab同仁上班不能用VPN 而VI 目前只有在windows 平台上 所以这台win 2003 VM是非常曝露的. 这台VM 主机於 2009 年底时我就有发现不对劲,因此就给与关闭 平常也懒修他, 没想到确有这样电话打来 ...市刑大要求给连线与扫毒记录 小弟自作聪明的把原有VMDK file 导入到新Win 2003 VM 内 再做扫毒 没想到出了二个问题 1.原有中毒 win2003 VM disk 有快照(为了存证 2010,1,16 有做快照) 导入时 只能引用 原有母VMDK file , 所以在另外一个VM 扫描没用! 2.最惨的是 把vmdk 导入别的VM後 再想用原来中毒VM 开机 出现 The parent virtual disk has been modified since the child was created 我心想 靠腰 我只是Scan 而已 没做任何写入动作 难道手贱自残证据後 准备要被控诉 诈欺吗? 还好我也算data recovery 业界小爱好研究者 自己排解问题吧. 这是因为vmdk file 导入新VM内 CID会被修改...档案实质上没被动过... 解决方法 http://phorum.study-area.org/index.php?topic=54707.0 如果不止一个快照档 这边再说清楚一点 vmdk 快照指引导架构 原始母 描述档 win2003.vmdk (後面绝不会有delta -00000数字 那会是快照描述档) 真实 Disk 映像档为 ":win2003-flat.vmdk # Disk DescriptorFile version=1 CID=829ab81d parentCID=ffffffff (母vmdk file 必为ffffffff) createType="vmfs" # Extent description RW 83886080 VMFS "win2003-flat.vmdk" (对应的真实磁碟映像档) ------------------------------------------------------------------------ 打开 win2003-000004-delta.vmdk (delta 为快照指引档) 如下 # Disk DescriptorFile version=1 CID=5d635ed0 parentCID=5d635ed0 (母CID 从下得知要对应 win2003-000005 指引档的CID ) createType="vmfsSparse" parentFileNameHint="win2003-000005.vmdk" # Extent description RW 83886080 VMFSSPARSE "win2003-000004-delta.vmdk" (对应的真实磁碟映像档) -------------------------------------------------------------------------------------------- win2003-000005-delta.vmdk 内的内容 # Disk DescriptorFile version=1 CID=5d635ed0 (注意此为此 win2003-000005-delta.vmdk CID) parentCID=829ab81d createType="vmfsSparse" parentFileNameHint="win2003-000003.vmdk" # Extent description RW 83886080 VMFSSPARSE "win2003-000005-delta.vmdk" ----------------------------------------------------------------------------------------- 从这我们可以看出这个快照述档为 win2003-000004-delta.vmdk 但是上面快照档为何为 win2003-000005.vmdk 这是因为快照分支问题 像我快照档多 会比较混乱 win2003-000004母快照档为 win2003-000005.vmdk 那win2003-000004 的parentCID就要改为 win2003-000005.vmdk的CID -------------------------------------------------------------------------------- 再来抓下vmx 档看一下 像 scsi0:0.fileName = "win2003-000007.vmdk" 就要从win2003-000007.vmdk 对应回去看一下 parentCID 是否有误 反正最後那个快照档就要从那个修改修改回去对应正确母快照档 每个档案都有关联性 如 果有错误都要修正 修改工具 个人建议用 Winscp http://winscp.net/eng/docs/lang:cht 注意 先把该VM内所有vmdk 指引倒 先备份传下来 (很小) 再用winscsp 直接edit 修改就可 非常方便 还好 最後总算解决完毕 要不然 我看我就惨了 扫完後 这VM中了三万只病毒 .. (此VM目前格离中 无法连上对外网路) 对於平常不太管windows 2003 资安 深感惭愧 所以最好方法是以後都不用 windows server 动手研究 vmware infrastructure client on ubuntu http://www.virtualinsanity.com/index.php/2009/02/02 /vmware-infrastructure-client-on-ubuntu-an-update/ 晚点如果市刑大再跟我要资料的话 我就要用vmware convnter 转出来Vmdk (会转成最终成为一个映像档 其他snapshot不会在export file内) 他们再用virutal box 导入 vmdk 给他们好好监定了 那恐怕又会是另外一篇倒楣文.... --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 219.91.88.220