日期:
来源:网络安全与取证研究收集编辑:
近期,我司受客户委托协助解决某个案件,客户反馈某台Windows服务器无法制作磁盘镜像,案件服务器相关情况如下图所示:
了解到具体情况后,我们根据客户的诉求,结合网探的功能成功为客户解决了难题,接下来跟小编一起回顾一下整个过程吧!
首先通过网探连接Linux服务器,由于两台服务器在同一局域网内,可使用局域网端口映射功能,将Windows服务器的3389端口映射至本地3390端口(未被占用的端口)。
局域网端口映射成功后,远程桌面连接本地的3390端口,关闭目标服务器的SQLServer服务、去掉1433端口监听(SQLServer默认监听1433端口),将网探Agent文件复制到远程桌面并打开。
制作磁盘镜像,选择Linux服务器作为跳板机,上传镜像至华为云OSS。由于Windows服务器无任何外网通信,所以网探通过跳板机的形式解决无外网通信也能获取磁盘镜像的问题。
至此,我们就成功上传并制作了镜像,后续可使用火眼证据分析软件解析镜像,查看数据库、浏览器、用户痕迹等分析结果。下图展示了远程连接过该服务器的连接记录,为办案提供帮助。