技术分享：KVM虚拟化如何取证？

默认情况配制文件在/etc/libvirt/qemu/，使用取证大师加载并查看配制文件如下图所示：

二、如何导出文件虚拟机硬盘文件

方法一：如果证据已固定，并且已通过配制文件确认硬盘文件存储位置，可直接使用取证大师导出。

取证大师的使用我想大家都很熟悉了，就不在此赘述了。

方法二：如果设备是大型商用平台，无法针对服务器证据固定，只能远程操作时，可使用FTP之类的工具把我们需要的文件下载到本地。

如下图所示，是使用Xftp工具下载我们需要的硬盘文件。

三．如何分析KVM硬盘文件

文件导出后可以使用取证大师等取证软件直接分析，目前取证大师可以支持*.img 和*.qcow2格式取证分析。

总结：虚拟化应用越来赵广泛的今天，对虚拟化解决方案取证也是我们工作中可能会遇到的情况，今天分享给大家的也是个人研究的结果，无法涵盖所有取证中遇到的问题，就像KVM虚拟化解决方案，不同linux系统都会有一些差异，如有遇到需要取证的情况，切勿按部就班，需要根据实际情况融会贯通。

【编辑推荐】

1. 谈谈服务器虚拟化解决方案
2. 存储虚拟化技术的实现与比较
3. VPS虚拟化架构OpenVZ、KVM、Xen、Hyper-V的区别
4. 虚拟化之后还可以做什么？
5. 显卡虚拟化的前世今生

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!