1. 准备工作
应用场景
在需要单机取证时,需要在不影响对象业务的情况下进行取证或分析,可以使用dd 对目标服务器进行镜像,生成img文件,镜像可以通过winhex进行静态分析。但是想要动态分析服务器运行状态时,需要运行镜像的服务器,这时采用qemu-kvm技术可以达到目的。
环境
物理机win10
VM14pro虚拟机里面Ubuntu18
Img镜像 与Ubuntu18 连接
检查虚拟机中Ubuntu18 的CPU是否支持虚拟化,执行命令检查是否支持
egrep -c ‘(svm|vmx)’ /proc/cpuinfo
上面命令执行结果返回0表示不支持虚拟化技术。当然主板BIOS中虚拟化技术也可能不是默认开启。
- 在物理机BIOS上设置,具体可以根据主板型号问google。
- 若在虚拟机上返回0还要再虚拟机上选择。
2.安装 KVM
再Ubuntu安装kvm
sudo apt update sudo apt install qemu qemu-kvm libvirt-bin bridge-utils virt-manager
将libvirtd 添加到自启动
sudo systemctl libvirtd.service sudo systemctl enable libvirtd.service
3.使用教程
3.1启动命令
virt-manager
启动后如下效果
3.2新建虚拟机
3.3导入已存在的img镜像
3.4选择镜像
3.5选择本地
选择带有启动boot项的img镜像
3.6选择kvm 点击open即可
启动后如下:
4 未来工作
完善qemu的教程,总结工作总需要的工具和搭建使用教程(详细)