qcow2映象轉換為iso 虛擬機器映象分析

id：iforensics-2016

我們在工作中經常會接觸到各種各樣的虛擬機器映象，常見的映象檔案格式有：raw、qcow2、qed、qcow、luks、vdi、vmdk、vpc、vhdx等。本文以最常用的qcow2格式為例進行分析。

一、分析環境搭建

安裝作業系統，本文測試用的作業系統為centos 7.5.1804；安裝qemu及其它軟體包，安裝命令：#yum install qemu-kvm qemu-img libvirt libvirt-client libvirt-pythonvirt-manager virt-install virt-viewer virt-top；安裝libguestfs-tools工具包，安裝命令：#yum install libguestfs-tools，如果需要支援windows系統映象，還需要執行安裝命令：#yum install libguestfs-winsupport。

二、映象檔案的靜態分析

1、使用顯像管理工具qemu-img分析映象

#qemu-img info

//讀取映象檔案的基本資訊：映象檔案型別、映象大小、backing file等。

#qemu-img snapshot -l

//讀取映象檔案的快照資訊。

#qemu-img snapshot -a

//從快照恢復。

#qemu-img convert -f -o

//轉換映象檔案的格式，將映象檔案轉換為我們需要的格式，支援的格式有：raw、qcow2、qed、qcow、luks、vdi、vmdk、vpc、vhdx。

2、使用libguestfs-tools分析映象檔案

#virt-df //檢視映象的空間使用情況

#virt-filesystems -a -l //讀取映象檔案的檔案系統

#virt-inspector //檢查映象檔案，讀取作業系統、掛載點、檔案系統、已安裝應用程式等資訊

#virt-ls -l //讀取映象檔案的檔案列表

#virt-log -a //讀取映象檔案的日誌

#virt-customize -a [--options] //自定義虛擬機器

例如：#virt-customize -a centos-7-x86_64-genericcloud-1703.qcow2 --root-password password:toor //修改映象檔案的root使用者密碼為toor

#guestmount -a -i --ro //以唯讀方式將映象掛載到本地

#guestmount -a -i --rw //以讀寫方式將映象掛載到本地

#guestfish [--ro|--rw] -a //以唯讀或讀寫方式載入乙個映象檔案，通過提供的shell介面，可以直接對映象內的檔案進行分析，guestfish支援的所有命令通過help --list獲取，如果執行guestfish的run命令報錯，則需要執行#export libguestfs_backend=direct。

三、映象檔案的動態分析

映象檔案的動態分析也就是將映象執行起來，在作業系統執行狀態下，分析它的程序、網路連線、服務、日誌等資料，很多取證**軟體也支援映象檔案，我們今天使用的軟體是virt-manager，它是kvm的圖形介面管理工具，virt-manager支援的作業系統有：linux、windows、bsd、macos、solaris等，支援的映象檔案格式有：raw、qcow2、qed，啟動virt-manager的命令為：#virt-manager，對執行狀態下映象的詳細分析方法，本文就不贅述了。

四、小結

windows 10正式宣布沙盒功能：輕量化虛擬機器

qcow2映象轉換為iso 虛擬機器映象分析

虛擬磁碟ISO轉化為qcow2

壓縮qcow2虛擬機器映象檔案

將VMDK格式的映象轉成qcow2

qcow2映象轉換為iso 虛擬機器映象分析

虛擬磁碟ISO轉化為qcow2

壓縮qcow2虛擬機器映象檔案

將VMDK格式的映象轉成qcow2

相關推薦