远程主机固定方式
Windows远程固定
直接镜像或拷贝
使用RDP远程连接到目标机器,连接时挂载一个配有取证工具的本地磁盘,这样可以在服务器上运行取证程序,最小程度避免对数据的干扰
连接成功后,就可以在目标服务器上成功看到分区
接下来按照PE做镜像的标准,直接将内容磁盘镜像下来,FTK可以选择我们挂载的网络驱动器,所以直接将镜像文件保存到驱动器中
一切正常的话,数据就同步下载下来了(如果时间比较紧迫,那么就只把需要的文件拷贝到挂载的磁盘里,一般是项目文件和数据库文件,其他类型的要视情况而定)
一般情况下服务器的上传会高一些,而我们自己的上传带宽就比较低,所以可以不做验证
这样可以成功获取到镜像或文件
上传网盘
有时目标服务器在境外,需要通过VPN才能访问,或是可以访问,但是速度太慢,此时可以使用目标服务器所在地主流的网盘应用
比如一台在香港/台湾的服务器,大陆直连的速度很慢,那么就可以将需要固定的内容打包,然后上传到谷歌网盘,在本地再下载一次,就可以了
Linux远程固定
国内云服务平台
如果目标及其在国内的云上,在客户不愿调证的情况下,需要客户提供对应云平台的账号,登录到云平台进行固定(Windows由于版权问题,不支持通过云平台固定)。
通过云平台固定是效率比较高的方式。
- 登录到对应的云平台
- 查看账号下的资产,如ECS、RDS等,主要是服务器、数据库和备份
- 确认是否开启了资产对应区域的OSS存储服务,如果没有开启,那么就开一个
- 为指定的服务器创建快照/自定义镜像/备份,将备份导入到对应区域的OSS当中
- 使用OSSBrowser等工具或是直链(有时直链下载会失败)下载对应的备份并校验哈希
不使用云平台固定
第一种方式,只固定项目文件和数据库文件。
使用tar命令将目标目录打包,然后使用scp命令将文件下载至本地
# 固定
tar zvcf 固定目录.tar.gz 固定目录
# 例如
tar zvcf 1.tar.gz /www
# 下载(在本地机器中执行)端口号默认是22,如果没有变化则不需要加-P参数
scp -P 端口号 用户名@IP:远程路径 本地路径(目录)
# 例如
scp root@192.168.1.202:/root/.zsh_history ./
scp -P 2202 root@192.168.1.202:/root/.zsh_history ./
第二种方式,使用dd命令直接获取设备的镜像数据,并通过gzip进行压缩后传输(cmd中执行,切记不能在powershell中执行)
ssh root@192.168.1.139 "dd if=设备 status=progress|gzip -f" > 1.dd.gz
RANFS系列工具
使用RFDK制作镜像,首先需要在目标服务器上下载RFSD,用于提供服务
下载好RFSD后,需要先运行install.bat,之后以管理员权限运行rfsd.exe
之后在RFDK中输入目标的IP地址进行连接,在启动RFSD时可以配置加密
连接成功后,就可以在本地看到目标服务器的硬盘
可以挂载设备后查看文件、镜像或是使用导出镜像功能直接制作镜像文件
支持e01镜像
不过e01镜像不支持断点续传,e01中会保存校验信息
此方式在linux中一样可以运行,只需要安装对应平台的RFSD即可
最后还需要注意,RFSD需要使用6688等端口,要记得在防火墙里放行
如果不想使用RFDK,那么可以用RFDD,不过还是需要启动RFSD服务的
