Recuperacion archivos VMWare ext3

Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.

Moderador: Moderadores

Recuperacion archivos VMWare ext3

Notapor vlan7 » Jue May 14, 2009 12:48 pm

Hola,

Accidentalmente, no se bien por que, despues de un apagon he perdido varios archivos de una maquina host VMWare.

Con debugfs veo los archivos borrados, pero no se me ocurre como decirle a foremost el tipo de archivos por ejemplo para un .vmdk

¿Alguien con mas experiencia que yo recuperando archivos vmware?

Gracias y un saludo,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor neofito » Jue May 14, 2009 1:53 pm

Hola

¿Que hypervisor estabas utilizando para ejecutar la maquina virtual, un servidor esx/esxi o un vmware server corriendo sobre linux?

No se si algo de esto pueda servirte:

VMDK Recovery Tool (ESX 3.5 Update 3)
recover vmdk file with foremost/scalpel help needed

Saludos y mucha suerte
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor vlan7 » Jue May 14, 2009 2:56 pm

Un VMWare Server corriendo sobre linux...

Seguire investigando.

Gracias,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor vlan7 » Lun May 18, 2009 6:14 am

Resulta que pasó demasiado tiempo como para poder recuperar algo. El tiempo es el enemigo de los forenses... aps

Quizás con ext3grep podría haber conseguido algo si no hubiera pasado tanto tiempo... Sé de gente que ha recuperado imágenes de disco VMDK de 40GB o asi...

Ah, y gracias neofito por la info.

Saludos,

<EDIT>Me hice un script en bash para disaster recovery. Para las VMs ordenadamente, y si hay al menos un 80% de espacio libre en la maquina fisica destino, comprime a tar.gz por un lado del tunel ssh y por el otro lo va descomprimiendo "on-the-fly". No escribo a disco porque las operaciones de acceso a disco son lo mas lento en VMWare. Ah, y scp es lentisimo; mas lento aun.

Por si le sirve a alguien, ahi va:

Código: Seleccionar todo
#!/bin/bash
#
#Copia VMs de FISICA1 a FISICA2 para Disaster Recovery
#
#vlan7 / 13-5-09
#

ALERTA=80 #20% espacio libre
ssh fisica2 df -HP |grep mapper | awk '{ print $5 " " $1 }' |awk '{ print $1}' | cut -d'%' -f1 >/tmp/output
uso=$(cat /tmp/output)

if [ $uso -g $ALERTA ]; then
  echo "$uso % de espacio utilizado a fisica2, abortando copia" >>/var/log/copiaVMsVMWare.log
fi

if [ $uso -le $ALERTA ]; then
  #host1
  echo "Apagando la VM host1 - $(date)" >>/var/log/copiaVMsVMWare.log
  vmrun -T server -h https://fisica1:8333/sdk -u user -p passwd stop "[standard] host1/host1.vmx" soft
  echo "Apagada la VM host1 - $(date)" >>/var/log/copiaVMsVMWare.log
  tar czvf - /var/lib/vmware/Virtual\ Machines/host1/ |ssh fisica2 "cd / ; tar xzvf -"
  echo "Encendiendo la VM host1 - $(date)" >>/var/log/copiaVMsVMWare.log
  vmrun -T server -h https://fisica1:8333/sdk -u user -p passwd start "[standard] host1/host1.vmx"
  echo "Encendida la VM host1 - $(date)" >>/var/log/copiaVMsVMWare.log
 
  #list all available VMs to log
  vmrun -T server -h https://fisica1:8333/sdk -u user -p passwd list >>/var/log/copiaVMsVMWare.log
fi

#enviando correo
tail -100 /var/log/copiaVMsVMWare.log | mail -s "[script] copiaVMsVMWare.sh" user@host.com

</EDIT>
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor vlan7 » Sab Nov 21, 2009 10:39 am

Buenas,

Siento revivir el hilo, pero despues nos dimos cuenta de que teniamos por ahi, apagado en el CPD, un "clon" en una maquina fisica con los datos que perdi.

La alegria fue grande, pues era un FreeBSD que monitorizaba los demas sistemas mediante cacti, y tenia gran cantidad de info almacenada a lo largo del tiempo.

Solo queria decir que la historia tuvo un buen final ;)

Suerte,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor Popolous » Dom Nov 22, 2009 3:26 pm

Una alegría que tuviese final feliz...Yo por mi parte ahora ando peleado con mi vmware en linux. Resulta que al arrancar la máquina virtual me dice que no encuentra un vmdk...

Le doy a examinar y le digo explícitamente dónde está el vmdk y me sigue dando el mismo error...

Seguiré investigando a ver si lo consigo solucionar.

¡Saludos!
A. Einstein, cabello y violín,
hacemos nuestra última reverencia;
aunque sólo comprendido por dos personas,
él mismo y, a veces, Dios.

Jack C. Rosseter

"Sin direccionamiento Físico, no hay direccionamiento Lógico"

Vikingo dixit
Popolous
Wadalbertita
Wadalbertita
 
Mensajes: 1946
Registrado: Mié Ene 26, 2005 10:40 pm
Ubicación: E=mc^2

Notapor neofito » Dom Nov 22, 2009 5:48 pm

Hola Juanjo

¿has comprobado si la configuracion contenida en el fichero .vmdk es correcta?

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor Popolous » Lun Nov 23, 2009 7:43 am

No neo, no lo he comprobado. Voy a mirarlo ahora mismo.

¡Saludos!
A. Einstein, cabello y violín,
hacemos nuestra última reverencia;
aunque sólo comprendido por dos personas,
él mismo y, a veces, Dios.

Jack C. Rosseter

"Sin direccionamiento Físico, no hay direccionamiento Lógico"

Vikingo dixit
Popolous
Wadalbertita
Wadalbertita
 
Mensajes: 1946
Registrado: Mié Ene 26, 2005 10:40 pm
Ubicación: E=mc^2

Notapor vlan7 » Mié Nov 25, 2009 8:15 pm

Sorry, no pude responder antes.

Imagino que neo se refiere al archivo de configuracion .vmx ,pues los .vmdk son binarios, cuidado Popolous.

Tammbien decir que a mi varias veces me ha pasado, y lo resolvi eliminando los .LCK para deshacer el bloqueo.

Suertr,
There is a crack, a crack in everything That's how the light gets in. -subculture

zen7.vlan7.org
Avatar de Usuario
vlan7
<|:-D
<|:-D
 
Mensajes: 1176
Registrado: Dom Mar 05, 2006 11:16 pm
Ubicación: Mas alla del EIP

Notapor neofito » Mié Nov 25, 2009 8:48 pm

vlan7 escribió:Imagino que neo se refiere al archivo de configuracion .vmx ,pues los .vmdk son binarios, cuidado Popolous.


Cierto, se me fueron los dedos con la extension :oops:

Saludos
La verdad nos hara libres

http://neosysforensics.blogspot.com
http://www.wadalbertia.org
@neosysforensics
-<|:-P[G]
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Re: Recuperacion archivos VMWare ext3

Notapor Arakiss » Mar May 17, 2011 2:08 pm

Hola:

Googleando me encontre con este documento , que seguro que a mas de uno le vendra bien :)

http://sanbarrow.com/vmdk-howtos.html#flattovmfs

Salu2
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

https://petruarakiss.com
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1334
Registrado: Mié Ene 11, 2006 3:41 pm
Ubicación: Madrid


Volver a Análisis Forense

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado

cron