三步教你輕松竊取VMware虛擬機及其數(shù)據(jù)

是否記得曾經(jīng)虛擬化過的郵件服務(wù)器或者薪酬支付系統(tǒng)？如果擁有訪問虛擬化工作環(huán)境管理員權(quán)限，就可以輕松地進入該虛擬化工作環(huán)境，并且竊取所有的數(shù)據(jù)，而又不會留下任何痕跡。從數(shù)據(jù)中心偷走一個物理服務(wù)器是非常困難的，并且也很容易被人發(fā)現(xiàn)。但是無論在任何位置都可以通過網(wǎng)絡(luò)偷竊一臺虛擬機，把該虛擬機裝在閃存盤中就可以輕易地帶走。

虛擬化技術(shù)可以提供很多物理服務(wù)器無法比擬的優(yōu)勢，但是仍然有一些需要注意的意想不到的安全風(fēng)險，以防止敏感數(shù)據(jù)丟失。這是因為虛擬機被封裝在一個宿主在虛擬宿主服務(wù)器上的單獨虛擬磁盤文件中，對于具有對應(yīng)訪問權(quán)限的用戶來講，對這個磁盤文件做一份拷貝，并且讀取該文件中的數(shù)據(jù)并不困難。完成這樣的工作相當(dāng)輕松，在此我們將向各位讀者演示如何做到這些，希望能夠幫助大家保護各自的工作環(huán)境。

通常有兩種方法可以讀取虛擬機的虛擬磁盤文件（.vmdk）。第一種方法是使用ESX服務(wù)控制臺（ESX Service Console），如果擁有根密碼或者主機上的用戶賬號，就可以讀取包含虛擬機文件的VMFS卷，并且使用諸如“安全拷貝（Secure Copy）”或者SCP這樣的復(fù)制工具就可以進行文件復(fù)制。第二種方法是使用vSphere或者包含有內(nèi)置數(shù)據(jù)存儲瀏覽器的vmware基礎(chǔ)架構(gòu)客戶端。在這里我們介紹的是第二種方法。

第一步：虛擬機快照

需要做的第一步就是對虛擬機做一份快照。這樣做可以使虛擬機的虛擬磁盤成為只讀，并且對任何對磁盤的寫操作都可以創(chuàng)建一個新的更新文件。 這一步必不可少，因為虛擬機正在運行并且正在使用磁盤文件——如果沒有做這一步，則就無法復(fù)制VMDK文件，因為該文件在使用過程中被鎖定。很多虛擬備份應(yīng)用程序在備份虛擬機時也使用同樣的方法，如果虛擬機處于關(guān)機狀態(tài)或者掛起狀態(tài)則就不需要進行這一步操作。

第二部：復(fù)制虛擬磁盤

接下來需要做的第二步是復(fù)制虛擬磁盤文件，也可以選擇復(fù)制虛擬機的配置文件（.vmx），從而可以使導(dǎo)入Player或者Workstation的工作更加容易。虛擬磁盤文件（.vmdk）實際上包含兩個文件，較大的一個文件中包含有磁盤塊，較小的文件是磁盤描述符文件的文本文檔。如果使用內(nèi)置數(shù)據(jù)存儲瀏覽器的vSphere客戶端，可以看到這些文件作為一個整體出現(xiàn)，并且都可以被復(fù)制。如果使用諸如WinSCP這樣另外的復(fù)制程序，則需要復(fù)制這兩個文件。

瀏覽虛擬機運行的數(shù)據(jù)存儲，查看虛擬機的文件目錄，選擇文件，然后選擇下載；然后在運行vSphere客戶端的PC機上選擇保存下載文件的一個文件夾。根據(jù)虛擬磁盤文件的大小和網(wǎng)速的不同，該復(fù)制過程大概需要幾分鐘到幾個小時不等。文件下載完成之后，就等于是為最后一步做好了準(zhǔn)備�，F(xiàn)在可以刪除（或者忽略）虛擬機快照，因為已經(jīng)完成了對磁盤文件的復(fù)制。

第三步：訪問虛擬磁盤文件

現(xiàn)在既然已經(jīng)擁有了虛擬磁盤文件，就可以讀取該磁盤上的數(shù)據(jù)。既可以把數(shù)據(jù)復(fù)制到閃存盤內(nèi)帶回家，也可以在下載的PC機上讀取這些數(shù)據(jù)。目前有兩種方法可以使用來讀取這些數(shù)據(jù)：

在VMware的虛擬磁盤開發(fā)工具包（VDDK ：VMware's Virtual Disk Development Kit）中使用vmware-mount命令把虛擬磁盤文件掛載到PC機上，該虛擬磁盤文件將會以一個磁盤驅(qū)動符的形式在PC機上出現(xiàn)。這個方法只能夠允許讀取虛擬機上的文件，而不允許應(yīng)用程序在其上運行；

把虛擬機導(dǎo)入到VMware Player、Workstation或者Server，然后啟動。如果沒有登錄操作系統(tǒng)的任何證書，則該方法將無法使用。為了解決這個問題，可以使用一個Live CD啟動系統(tǒng)，然后要么銷毀或者更改管理員口令，要么直接訪問文件系統(tǒng)。

想要了解這兩種解決方案如何進行，請點閱讀竊取虛擬機及其數(shù)據(jù)實戰(zhàn)。