市刑大,VMDK Disk 映像檔file,Windows 2003 - 儲存設備

上周五lab 同事接到某通電話 自稱是市刑大 說我們Lab主機遭人裝上木馬 於2009
12,2x 上 yahoo 拍賣上詐欺廣告..
小弟不太用跟非常不想用 windows server ,主要是給同事操作 vmware
infrastructure client 操作
lab同仁上班不能用VPN 而VI 目前只有在windows 平台上
所以這台win 2003 VM是非常曝露的.

這台VM 主機於 2009 年底時我就有發現不對勁,因此就給與關閉 平常也懶修他,
沒想到確有這樣電話打來 ...市刑大要求給連線與掃毒記錄

小弟自作聰明的把原有VMDK file 導入到新Win 2003 VM 內 再做掃毒
沒想到出了二個問題

1.原有中毒 win2003 VM disk 有快照(為了存證 2010,1,16 有做快照) 導入時 只能引用
原有母VMDK file , 所以在另外一個VM 掃描沒用!

2.最慘的是 把vmdk 導入別的VM後 再想用原來中毒VM 開機 出現

The parent virtual disk has been modified since the child was created

我心想 靠腰 我只是Scan 而已 沒做任何寫入動作 難道手賤自殘證據後 準備要被控訴
詐欺嗎?


還好我也算data recovery 業界小愛好研究者 自己排解問題吧.

這是因為vmdk file 導入新VM內 CID會被修改...檔案實質上沒被動過...

解決方法
http://phorum.study-area.org/index.php?topic=54707.0

如果不止一個快照檔 這邊再說清楚一點 vmdk 快照指引導架構

原始母 描述檔 win2003.vmdk (後面絕不會有delta -00000數字 那會是快照描述檔)
真實 Disk 映像檔為 ":win2003-flat.vmdk

# Disk DescriptorFile
version=1
CID=829ab81d
parentCID=ffffffff (母vmdk file 必為ffffffff)
createType="vmfs"

# Extent description
RW 83886080 VMFS "win2003-flat.vmdk" (對應的真實磁碟映像檔)

------------------------------------------------------------------------

打開 win2003-000004-delta.vmdk (delta 為快照指引檔)
如下

# Disk DescriptorFile
version=1
CID=5d635ed0
parentCID=5d635ed0 (母CID 從下得知要對應 win2003-000005 指引檔的CID )
createType="vmfsSparse"
parentFileNameHint="win2003-000005.vmdk"
# Extent description
RW 83886080 VMFSSPARSE "win2003-000004-delta.vmdk" (對應的真實磁碟映像檔)



--------------------------------------------------------------------------------------------
win2003-000005-delta.vmdk 內的內容

# Disk DescriptorFile
version=1
CID=5d635ed0 (注意此為此 win2003-000005-delta.vmdk CID)
parentCID=829ab81d
createType="vmfsSparse"
parentFileNameHint="win2003-000003.vmdk"
# Extent description
RW 83886080 VMFSSPARSE "win2003-000005-delta.vmdk"

-----------------------------------------------------------------------------------------


從這我們可以看出這個快照述檔為 win2003-000004-delta.vmdk 但是上面快照檔為何為
win2003-000005.vmdk 這是因為快照分支問題 像我快照檔多 會比較混亂

win2003-000004母快照檔為 win2003-000005.vmdk
那win2003-000004 的parentCID就要改為 win2003-000005.vmdk的CID



--------------------------------------------------------------------------------
再來抓下vmx 檔看一下 像

scsi0:0.fileName = "win2003-000007.vmdk"

就要從win2003-000007.vmdk 對應回去看一下 parentCID 是否有誤

反正最後那個快照檔就要從那個修改修改回去對應正確母快照檔 每個檔案都有關聯性 如
果有錯誤都要修正

修改工具 個人建議用 Winscp
http://winscp.net/eng/docs/lang:cht

注意 先把該VM內所有vmdk 指引倒 先備份傳下來 (很小)
再用winscsp 直接edit 修改就可 非常方便


還好 最後總算解決完畢 要不然 我看我就慘了


掃完後 這VM中了三萬隻病毒 .. (此VM目前格離中 無法連上對外網路)

對於平常不太管windows 2003 資安 深感慚愧

所以最好方法是以後都不用 windows server
動手研究 vmware infrastructure client on ubuntu

http://www.virtualinsanity.com/index.php/2009/02/02
/vmware-infrastructure-client-on-ubuntu-an-update/

晚點如果市刑大再跟我要資料的話 我就要用vmware convnter 轉出來Vmdk
(會轉成最終成為一個映像檔 其他snapshot不會在export file內)
他們再用virutal box 導入 vmdk 給他們好好鑑定了 那恐怕又會是另外一篇倒楣文....


--