|
创建loop设备
- # losetup /dev/loop0 bak.img
-
- # fdisk -lDisk /dev/loop0: 8 GiB, 8589934592 bytes, 16777216 sectors
- Units: sectors of 1 * 512 = 512 bytes
- Sector size (logical/physical): 512 bytes / 512 bytes
- I/O size (minimum/optimal): 512 bytes / 512 bytes
- Disklabel type: dos
- Disk identifier: 0x000a7707Device Boot Start End Sectors Size Id Type
- /dev/loop0p1 * 63 16273844 16273782 7.8G 8e Linux LVM
- /dev/loop0p2 16273845 16771859 498015 243.2M 5 Extended
- /dev/loop0p5 16273908 16771859 497952 243.1M 83 Linux
通过fdisk -l 我们可以看到我们的镜像中有三个分区,所以我们需要将每个分区单独映射出来,然后再进行挂载。
这里通过kpartx来进行分区表的读取和映射
- # kpartx -av /dev/loop0
- add map loop0p1 (254:0): 0 16273782 linear 7:0 63add map loop0p2 (254:1): 0 2 linear 7:0 16273845add map loop0p5 (254:2): 0 497952 linear 7:0 16273908
映射完毕后我们通过
- ls -l /dev/mapper/
-
- lrwxrwxrwx 1 root root 7 Nov 6 07:46 brokenwebapps-root -> ../dm-3lrwxrwxrwx 1 root root 7 Nov 6 07:46 brokenwebapps-swap_1 -> ../dm-4crw------- 1 root root 10, 236 Nov 6 07:46 control
- lrwxrwxrwx 1 root root 7 Nov 6 07:46 loop0p1 -> ../dm-0lrwxrwxrwx 1 ro
查看下映射关系。Linux下的mapper设备是内核中提供的一种从逻辑设备到物理设备的映射机制,通过该设备我们可以很清楚的看到root分区所在位置
mount挂载
下面我们将root分区挂载到我们的test目录
- # mount /dev/mapper/brokenwebapps-root /test/
切换到test目录查看,整个文件系统已经被还原到我们的分析系统上
下面我们就可以在我们的分析系统上对被入侵主机进行更加深入的分析了 (编辑:衢州站长网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
