【取证】Clonezilla(再生龙)镜像恢复还原及格式转换
【取证】Clonezilla(再生龙)镜像恢复还原及格式转换
FatPig前言
Clonezilla(再生龙)是一个免费的灾难恢复、硬盘克隆、硬盘映像档制作的部署和解决方案,由台湾的国家高速网络与计算中心(国网中心)所开发,以 GNU 通用公共许可协议(GPL)发布。
它基于 Partimage,吸取了 Norton Ghost 和 Partition Image 的优点。即不仅支持对整个硬盘系统进行克隆,而且也可以克隆单个的分区,这种灵活性更能满足各种使用者的需要,此外支持多种的操作系统与文件系统也是其强大之处。
Clonezilla(再生龙)备份生成的镜像不是常规我们常见的raw格式镜像,我们无法直接对镜像进行仿真和分析,本文主要介绍如何对Clonezilla(再生龙)镜像恢复还原、仿真,以及将其格式转换为我们取证常见的dd、e01等格式。
Clonezilla官网:https://clonezilla.org/
Clonezilla 镜像下载地址:https://clonezilla.org/downloads.php
一、环境准备
本文使用的系统环境及工具:
- VMWare Workstation 17.0
- Clonezilla Live 启动盘ISO
- 三星T7 移动硬盘
- 需要恢复还原的Clonezilla镜像
1.下载Clonezilla live:
下载地址:https://clonezilla.org/downloads/download.php?branch=stable
CPU结构选amd64,文件格式选择iso
二、还原Clonezilla镜像
总体还原思路
建立一台空白的虚拟机,通过Clonezilla live工具,将Clonezilla镜像还原至这台空白虚拟机上,这样我们就得到了一个常规vmdk系统镜像,而后我们就可以轻松地通过FTK imager 或者 qeum-img 将这个系统镜像转换为我们需要的dd、e01等格式
2.1 判断是否为Clonezilla生成的镜像文件
我们获取到的Clonezilla镜像文件一般都是压缩包的形式,解压后会得到类似如下目录结构的文件。
通过文件目录中有clonezilla-img这个文件我们可以判断这个文件目录是一个Clonezilla生成的镜像文件,clonezilla-img这个文件详细记录了clonezilla生成镜像的过程。
2.2 查看镜像系统类型及原始盘大小
点击查看Info-OS-prober.txt,确定镜像的系统类型
点击查看clonezilla-img文件,根据日志信息,可以看出这个镜像备份的是sda这块盘,sda这块盘的容量大小为42.9GB,后面建立空白VMware虚拟磁盘的大小要大于这个原始盘容量大小
2.3 使用VMWare Workstation 新建一台空白磁盘的虚拟机
- 新建虚拟机 -> 自定义(高级) -> 下一步 -> 硬件兼容性默认 -> 下一步
选择稍后安装操作系统 -> 下一步
选择操作系统,根据前面在
Info-OS-prober.txt中查看到的系统类型进行选择-> 下一步命名虚拟机,选择存储位置,存储位置剩余容量要大于镜像原盘容量大小
处理器配置(默认或根据自己需求设置)-> 下一步
虚拟机内存(默认或根据自己需求设置)-> 下一步
网络类型(默认或根据自己需求设置)-> 下一步
选择I//O控制器类型(默认)-> 下一步
选择磁盘类型(默认或者根据实际磁盘类型选择)-> 下一步
选择磁盘 -> 创建新虚拟磁盘 -> 下一步
指定磁盘容量(指定的磁盘大小要大于前面查看到的镜像原始盘大小) -> 选择将虚拟磁盘存储为单个文件 -> 下一步
指定磁盘文件(默认或者根据自己需求设置)-> 下一步 -> 完成
提示:这里直接点击完成,虚拟机新建完成后,再通过编辑虚拟机去修改USB兼容性设置,否则会出现移动硬盘无法连接虚拟机的玄学问题。
编辑虚拟机设置
点击USB控制器 -> USB兼容性选择USB3.1
点击CD/DVD -> 选择使用 ISO 映像文件 -> 浏览并选择前面下载的Clonezilla Live 的ISO文件 -> 关闭窗口
2.4 使用Clonezilla Live工具还原Clonezilla镜像到虚拟机中
启动虚拟机
进入Clonezilla启动项界面,选择第一项 Clonezilla Live (VGA 800x600),回车
进入语言选择界面,选择简体中文,回车
键盘设定,默认选项,直接回车
进入Clonezilla模式选择界面,选择第一个 Start Clonezilla 使用再生龙,回车
进入到工作模式选择界面,选择第一项device-image 硬盘/分区[存到/来自]镜像文件,回车
进入到挂载再生龙镜像文件目录选项界面,选择第一项local_dev 使用本机的分区(如:硬盘、随身盘)
将解压后的Clonezilla镜像目录拷贝至移动硬盘(拷贝整个文件夹),然后将移动硬盘重新插入电脑,vmware 弹出弹窗时,选择连接至虚拟机,回到Clonezilla界面,回车。
Clonezilla(再生龙)会自动检测插入的移动硬盘,如果插入的移动硬盘信息显示在界面中,则表示硬盘已被成功识别,按Ctrl +C 退出当前界面并继续
进入挂载Clonezilla(再生龙)镜像所在分区的界面,直接回车
进入到选择是否检查并修复文件系统界面,直接回车,跳过检查与修复文件系统
进入到选择Clonezilla(再生龙)镜像所在目录的界面,Clonezilla(再生龙)会自动识别当前路径下属于Clonezilla镜像的目录,由于刚刚我们拷贝的Clonezilla(再生龙)镜像目录
2024-07-12-05-img是直接放在根目录下,因此我们这边直接将光标移动到Done并回车。(如果你的Clonezilla目录不是保存在根目录下,需要进入到其所在目录,再按Done继续)进入到模式选择界面,选择初学者模式,回车
进入到还原模式选择,选择第三项 restoredisk 还原镜像文件到本机硬盘,回车
进入到选择镜像文件还原界面,直接回车
进入到选择目标硬盘还原界面,直接回车
进入选择创建分区表模式界面,选择第一项 使用镜像文件中的硬盘分割表,回车
进入到选择是否检查硬盘完整性界面,直接回车
进入到选择还原完要执行动作界面,直接回车
进入到确认是否执行界面,输入y,回车
镜像还原中。。。
22.恢复完成后,选择关机,回车
编辑虚拟机设置
点击CD/DVD,选择使用物理驱动器,然后点击确定
启动虚拟机,如果能够正常进入被还原系统,则表示镜像还原成功。
三、镜像格式转换
3.1 查看、复制vmdk镜像
前面通过Clonezilla live 工具,已经成功将Clonezilla(再生龙)的镜像还原转换成 vmdk 格式的虚拟磁盘镜像,我们可以在虚拟机目录中找到该vmdk磁盘镜像
- 选择虚拟机,点击右键,打开虚拟机目录
- 找到vmdk文件,拷贝一份到其他路径,避免虚拟机运行,对原始数据产生影响。
3.2 使用FTK Imager 转换vmdk 镜像
文件 -> 添加证据项
源证据类型选择镜像文件
选择需要转换格式的vmdk镜像,点击完成
点击文件 -> 导出磁盘镜像
点击添加 -> 选择目标镜像类型,一般选择Raw(dd),e01格式,
- DD镜像也称成原始格式(RAW Image);对数据进行位对位的复制,与原始证据数据完全一致。DD镜像一般以.dd、.001为后缀为主。
- DD镜像没有压缩,镜像文件与原始证据磁盘容量完全一致。即便原始证据磁盘仅有很少的数据,也一样需要同样的磁盘容量。
- E01是电子数据取证分析工具EnCase的一种证据文件格式。国内外的取证软件大体上都支持E01镜像的制作。一般是.E01、.e01后缀。
- E01镜像是压缩格式,方便存储,节约空间。
填写案件信息,跳过直接下一步
选择目标镜像保存路径及文件名(文件名不包含扩展名),镜像分片大小填写0,点击完成
点击开始,等待转换成功
3.2 使用QUEM-IMG转换镜像格式
quem-img 下载地址 :https://qemu.weilnetz.de/w64/
安装qemu-img。
- 下载qemu-img安装包至本地:https://qemu.weilnetz.de/w64/。
- 双击setup文件安装qemu-img,以下操作以安装路径为
D:\Program Files\qemu为例。
配置环境变量。
- 选择“开始 > 计算机”,右键单击“属性”。
- 单击“高级系统设置”。
- 在“系统属性”对话框里,单击“高级 > 环境变量”。
- 在环境变量对话框里,在系统变量部分找到Path,并单击“编辑”。在“变量值”里,添加
D:\Program Files\qemu,不同的变量值之间以“;”分隔。 - 单击“确定”,保存修改。
验证安装成功。
单击“开始 > 运行”,输入“cmd”后按回车键,在“cmd”窗口输入qemu-img –help,如回显信息中出现qemu-img工具的版本信息,即表示安装成功。
转换镜像格式。
执行如下命令转换镜像文件格式,以转换vmdk格式为dd格式的镜像为例。
qemu-img convert -p -f vmdk -O raw centos7.vmdk centos7.dd
上述命令中各参数对应的说明如下:
- -p:表示镜像转换的进度。
- -f后面为源镜像格式。
- -O(必须是大写)后面的参数由如下3个部分组成:转换出来的镜像格式 + 源镜像文件名称 + 目标文件名称。
转换完成后,目标文件会出现在源镜像文件所在的目录下。
