(Ubuntu 20.04)LinuxにインストールされているVMDKファイルからデータをインポートするのに役立ちます。問題は、仮想マシンでファイルを回転させたり、フォレンジックツールを使用する代わりにVMDKファイルをマウントし、CLIを使用してVMDKがインストールされているLinuxシステムに関する情報を取得することです。
私は次のようなものを得ることができましたオペレーティングシステムのリリース、タイムゾーン、CPU名とファイルシステムタイプ。
次のコマンドを使用して実装しました。
cat /mnt/vmdisk/etc/os-release、cat /mnt/vmdisk/etc/hostname、cat /mnt/vmdisk/etc/timezone、df -Th
df -Thすべてのドライブが表示されますが、正確に参照できます。/dev/loop5含む/mnt/vmdiskその下は外部4ファイルシステムVMDKはUbuntu 14.04.6 LTSイメージ用であるため、これは意味があります。
ここでは、どこを見て何を実行するのかわかりません。次のデータも収集する必要があります。
- 「最後の」システムIPを取得する方法は?
- UID XXXXは誰のアカウントですか?
- X日付でどのIPでUID XXXXが認証されていますか?
- ユーザーが最後に使用したコマンドは何ですか?
cat /mnt/vmdisk/etc/passwd#2の場合、orを使用できるようですgrep 'xxxx' /mnt/vmdisk/etc/passwd。ただし、/etc/passwdからUIDを取得するのが正しい場所かどうかは100%確信できません。
このデータを収集する方法の提案は非常に役立ちます。
ありがとうございます。
答え1
だから法医学テストをしています。
- 静的であれば点灯し、動的であれば点灯し
/etc/network/interfacesます。/var/lib/dhcp/dhcpd.leases /etc/passwd/var/log/auth.log、、、、/var/log/wtmp/var/log/btmp/var/log/lastlog/home/$USERNAME/.bash_history- 可能いいえ存在する必要があります。別のシェルの場合、ログファイルも異なります。
数秒ですべてをGoogleで検索できます。