免责声明

请您仔细阅读以下声明：
您在AtomsTeam查看信息以及使用AtomsTeam服务，表明您对以下内容的接受：
AtomsTeam提供程序(方法)可能带有攻击性，仅供安全研究与实验性教学之用。
用户将其信息做其他用途，由用户承担全部法律及连带责任，AtomsTeam不承担任何法律及连带责任。
与此同时，希望你能遵守如下的规范，因为这能帮助你走的更远：
1.不在没有直接或间接授权的情况下，对公网的任何设施进行安全检测。
2.在测试的过程中，不做任何可能导致业务遇到干扰的动作。
3.任何的测试中，不查看与下载任何敏感的数据。
4.发现漏洞后，第一时间通过企业SRC进行报告。
5.不在目标站点使用后门类工具，如需必要的测试，请获取目标网站官方授权，测试可通过替代的方案(如webshell替换为phpinfo页面等)。

0x00    所需工具

qemu-img软件，将阿里云导出的raw镜像转换成vmdk格式方便VMware打开仿真

VMware ，将vmdk镜像进行仿真，进行系统取证；

0x01    前期准备

0x01-1    阿里云对象存储（oss）下载镜像

操作步骤(这里较为敏感摘取官网步骤不做复现)

在通过各种手法获取到阿里云的账户登录权限后

1. 登录ECS管理控制台。

2. 在左侧导航栏，选择*实例与镜像* > **镜像****。

3. 在顶部菜单栏左上角处，选择地域。确保存储镜像文件的OSS Bucket地域与当前ECS控制台所选地域保持一致。

4. 在自定义镜像页签，找到要导出的目标镜像，在操作列单击导出镜像。

5. 在导出前准备配置向导页面，确认镜像是否满足导出条件，然后单击下一步。

6. （条件必选）授权ECS服务访问OSS的权限。

       如果您是首次导出镜像还没有授予ECS对OSS资源的访问权限，您可以直接在导出镜像对话框进行操作。

1. 在将镜像文件导出至**OSS区域，单击AliyunECSImageImportDefaultRole**。

2. 在云资源访问授权页面，查看到AliyunECSImageImportDefaultRole和AliyunECSImageExportDefaultRole角色，单击同意授权。

3. 返回至导出镜像对话框，重新单击下一步。

4. 单击继续导出。

5. 在导出镜像文件配置向导页面，配置如下参数。

       重要

–      设置镜像导出格式功能仅在部分地域可用，支持的地域有印度（孟买）、日本（东京）、澳大利亚（悉尼）、印度尼西亚（雅加达）、德国（法兰克福）、阿联酋（迪拜）、美国（弗吉尼亚）、英国（伦敦）、新加坡、马来西亚（吉隆坡）和美国（硅谷）。

–      不支持设置镜像格式的地域，默认导出RAW格式的镜像。

–      镜像存储空间 (OSS Bucket)：选择与自定义镜像所属地域相同的OSS Bucket。

–      镜像文件名前缀：为导出的镜像文件名称设置一个前缀。例如，将Demo设为前缀，则导出自定义镜像文件后，在OSS Bucket中的名称即为Demo–[**系统自动生成的文件名]。

10. 信息确认无误后，单击确定导出，开始导出自定义镜像。

       在镜像导出过程中，您可以查看导出任务的进度或取消导出任务。

–      您可以在任务管理界面或者登录OSS控制台查看导出任务的进度。

       说明

       导出时间取决于镜像文件的大小和当前导出任务队列的繁忙程度，请您耐心等待。

–      在任务完成前，您都可以在任务管理界面相应地域下找到导出自定义镜像的任务，并取消导出自定义镜像。

复制URL地址到迅雷下载或者直接点击下载（镜像文件较大，建议使用迅雷下载、迅雷支持断点续传）

0x01-2    qemu-img下载

直接从官网下载（https://qemu.weilnetz.de/w64/）最新版本 qemu-w64-setup-20231224.exe进行安装

0x01-3    VMware 安装

必备技能此处省略

0x02    镜像转换

在raw镜像所在目录下打开cmd
qemu-img convert -f raw 要转换的.raw -O vmdk 生成的.vmdk

等待一段时间转换完成后看到目录下多了123.vmdk

0x03    创建虚拟机

这时候打开VMware, 文件 =>>新建 虚拟机

选择自定义 =>>下一步

下一步

稍后安装操作系统=>>下一步

选择对应的操作系统版本

命名虚拟机，并进行处理器和内存配置

这里要结合站点规模选择合适的大小

网络类型选择桥接网路

I/O控制器和磁盘类型选择默认推荐即可

选择磁盘，使用现有虚拟磁盘

选择转换后的vmdk

选择保持现有格式和转换都可

选择完成即可

此时看到创建好的虚拟机，开启即可

0x04    删除系统cloud-init和重置密码

在启动页面选中第一个，按e键进入单用户模式

找到linux开头的一行，把ro后面的部分全部删掉，改为rw init=/bin/bash

编辑完成后Ctrl+x 开始，此时进入命令行界面

whoami
sudo su

0x04-1    删除掉阿里云的cloud-init

rm -rf $(find / 2>/dev/null|grep cloud-init)

0x04-2    修改密码

(无密码或知道密码可跳过)
passwd
输入两遍新密码即可

0x05    重新启动进入系统

修改成功后重新启动

使用修改后密码登录

配置网络信息

ip a
dhclient eth0
ip a

此时镜像已经本地恢复成功，可结合取证工具和脚本进行进一步镜像取证

本文作者：AtomsTeam