1. 准備工作
應用場景
在需要單機取證時,需要在不影響對象業務的情況下進行取證或分析,可以使用dd 對目標服務器進行鏡像,生成img文件,鏡像可以通過winhex進行靜態分析。但是想要動態分析服務器運行狀態時,需要運行鏡像的服務器,這時采用qemu-kvm技術可以達到目的。
環境
物理機win10
VM14pro虛擬機里面Ubuntu18
Img鏡像 與Ubuntu18 連接
檢查虛擬機中Ubuntu18 的CPU是否支持虛擬化,執行命令檢查是否支持
egrep -c ‘(svm|vmx)’ /proc/cpuinfo
上面命令執行結果返回0表示不支持虛擬化技術。當然主板BIOS中虛擬化技術也可能不是默認開啟。
- 在物理機BIOS上設置,具體可以根據主板型號問google。
- 若在虛擬機上返回0還要再虛擬機上選擇。
2.安裝 KVM
再Ubuntu安裝kvm
sudo apt update sudo apt install qemu qemu-kvm libvirt-bin bridge-utils virt-manager
將libvirtd 添加到自啟動
sudo systemctl libvirtd.service sudo systemctl enable libvirtd.service
3.使用教程
3.1啟動命令
virt-manager
啟動后如下效果
3.2新建虛擬機
3.3導入已存在的img鏡像
3.4選擇鏡像
3.5選擇本地
選擇帶有啟動boot項的img鏡像
3.6選擇kvm 點擊open即可
啟動后如下:
4 未來工作
完善qemu的教程,總結工作總需要的工具和搭建使用教程(詳細)