三步教你輕松竊取VMware虛擬機(jī)及其數(shù)據(jù)

是否記得曾經(jīng)虛擬化過的郵件服務(wù)器或者薪酬支付系統(tǒng)？如果擁有訪問虛擬化工作環(huán)境管理員權(quán)限，就可以輕松地進(jìn)入該虛擬化工作環(huán)境，并且竊取所有的數(shù)據(jù)，而又不會(huì)留下任何痕跡。從數(shù)據(jù)中心偷走一個(gè)物理服務(wù)器是非常困難的，并且也很容易被人發(fā)現(xiàn)。但是無論在任何位置都可以通過網(wǎng)絡(luò)偷竊一臺(tái)虛擬機(jī)，把該虛擬機(jī)裝在閃存盤中就可以輕易地帶走。

虛擬化技術(shù)可以提供很多物理服務(wù)器無法比擬的優(yōu)勢(shì)，但是仍然有一些需要注意的意想不到的安全風(fēng)險(xiǎn)，以防止敏感數(shù)據(jù)丟失。這是因?yàn)樘摂M機(jī)被封裝在一個(gè)宿主在虛擬宿主服務(wù)器上的單獨(dú)虛擬磁盤文件中，對(duì)于具有對(duì)應(yīng)訪問權(quán)限的用戶來講，對(duì)這個(gè)磁盤文件做一份拷貝，并且讀取該文件中的數(shù)據(jù)并不困難。完成這樣的工作相當(dāng)輕松，在此我們將向各位讀者演示如何做到這些，希望能夠幫助大家保護(hù)各自的工作環(huán)境。

通常有兩種方法可以讀取虛擬機(jī)的虛擬磁盤文件（.vmdk）。第一種方法是使用ESX服務(wù)控制臺(tái)（ESX Service Console），如果擁有根密碼或者主機(jī)上的用戶賬號(hào)，就可以讀取包含虛擬機(jī)文件的VMFS卷，并且使用諸如“安全拷貝（Secure Copy）”或者SCP這樣的復(fù)制工具就可以進(jìn)行文件復(fù)制。第二種方法是使用vSphere或者包含有內(nèi)置數(shù)據(jù)存儲(chǔ)瀏覽器的VMware基礎(chǔ)架構(gòu)客戶端。在這里我們介紹的是第二種方法。

第一步：虛擬機(jī)快照

需要做的第一步就是對(duì)虛擬機(jī)做一份快照。這樣做可以使虛擬機(jī)的虛擬磁盤成為只讀，并且對(duì)任何對(duì)磁盤的寫操作都可以創(chuàng)建一個(gè)新的更新文件。 這一步必不可少，因?yàn)樘摂M機(jī)正在運(yùn)行并且正在使用磁盤文件——如果沒有做這一步，則就無法復(fù)制VMDK文件，因?yàn)樵撐募�在使用過程中被鎖定。很多虛擬備份應(yīng)用程序在備份虛擬機(jī)時(shí)也使用同樣的方法，如果虛擬機(jī)處于關(guān)機(jī)狀態(tài)或者掛起狀態(tài)則就不需要進(jìn)行這一步操作。

第二部：復(fù)制虛擬磁盤

接下來需要做的第二步是復(fù)制虛擬磁盤文件，也可以選擇復(fù)制虛擬機(jī)的配置文件（.vmx），從而可以使導(dǎo)入Player或者Workstation的工作更加容易。虛擬磁盤文件（.vmdk）實(shí)際上包含兩個(gè)文件，較大的一個(gè)文件中包含有磁盤塊，較小的文件是磁盤描述符文件的文本文檔。如果使用內(nèi)置數(shù)據(jù)存儲(chǔ)瀏覽器的vSphere客戶端，可以看到這些文件作為一個(gè)整體出現(xiàn)，并且都可以被復(fù)制。如果使用諸如WinSCP這樣另外的復(fù)制程序，則需要復(fù)制這兩個(gè)文件。

瀏覽虛擬機(jī)運(yùn)行的數(shù)據(jù)存儲(chǔ)，查看虛擬機(jī)的文件目錄，選擇文件，然后選擇下載；然后在運(yùn)行vSphere客戶端的PC機(jī)上選擇保存下載文件的一個(gè)文件夾。根據(jù)虛擬磁盤文件的大小和網(wǎng)速的不同，該復(fù)制過程大概需要幾分鐘到幾個(gè)小時(shí)不等。文件下載完成之后，就等于是為最后一步做好了準(zhǔn)備�，F(xiàn)在可以刪除（或者忽略）虛擬機(jī)快照，因?yàn)橐呀?jīng)完成了對(duì)磁盤文件的復(fù)制。

第三步：訪問虛擬磁盤文件

現(xiàn)在既然已經(jīng)擁有了虛擬磁盤文件，就可以讀取該磁盤上的數(shù)據(jù)。既可以把數(shù)據(jù)復(fù)制到閃存盤內(nèi)帶回家，也可以在下載的PC機(jī)上讀取這些數(shù)據(jù)。目前有兩種方法可以使用來讀取這些數(shù)據(jù)：

在VMware的虛擬磁盤開發(fā)工具包（VDDK ：VMware's Virtual Disk Development Kit）中使用vmware-mount命令把虛擬磁盤文件掛載到PC機(jī)上，該虛擬磁盤文件將會(huì)以一個(gè)磁盤驅(qū)動(dòng)符的形式在PC機(jī)上出現(xiàn)。這個(gè)方法只能夠允許讀取虛擬機(jī)上的文件，而不允許應(yīng)用程序在其上運(yùn)行；

把虛擬機(jī)導(dǎo)入到VMware Player、Workstation或者Server，然后啟動(dòng)。如果沒有登錄操作系統(tǒng)的任何證書，則該方法將無法使用。為了解決這個(gè)問題，可以使用一個(gè)Live CD啟動(dòng)系統(tǒng)，然后要么銷毀或者更改管理員口令，要么直接訪問文件系統(tǒng)。

想要了解這兩種解決方案如何進(jìn)行，請(qǐng)點(diǎn)閱讀竊取虛擬機(jī)及其數(shù)據(jù)實(shí)戰(zhàn)。