Hallo,
ich benötige für meine Diplomarbeit die Möglichkeit, nachdem ich einen Snapshot von einem Windows PC/NTFS erstellt habe, alle geänderten Dateien (und auch welche Änderungen vorgenommen wurden) zu ermitteln. Das sind doch genau die Informationen, die nach einem Snapshot im delta-Snapshot persistiert werden, oder?
Nun die Frage(n) an die VMware Gurus:
.) Welche Möglichkeiten habe ich um die von mir benötigten Daten sichtbar zu machen?
.) Sollte es mit Bordmitteln nicht möglich sein, wäre es auch super falls ihr einen Workaround für mich hättet?
Verwende VMware ESX 4 vSphere.
Vielen Dank und LG,
Racer1
Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!
Geänderte Dateien über (delta)Snapshot feststellen?
-
continuum
- UNSTERBLICH(R.I.P.)
- Beiträge: 14759
- Registriert: 09.08.2003, 05:41
- Wohnort: sauerland
- Kontaktdaten:
Hi
die Sache ist viel schwieriger als du denkst ...
in einem snapshot tauchen viel viel mehr Dateien auf als man denkt - der groesste Teil ist aber NICHT auslesbar !
Oft sieht der Inhalt eines snapshots so aus als haette man fast die kompletten Daten.
Ich lese Snapshots aus indem ich eine parent-disk erstelle, den Snapshot anhaenge und dann diese Kette mounte ...
die Sache ist viel schwieriger als du denkst ...
in einem snapshot tauchen viel viel mehr Dateien auf als man denkt - der groesste Teil ist aber NICHT auslesbar !
Oft sieht der Inhalt eines snapshots so aus als haette man fast die kompletten Daten.
Ich lese Snapshots aus indem ich eine parent-disk erstelle, den Snapshot anhaenge und dann diese Kette mounte ...
-
continuum
- UNSTERBLICH(R.I.P.)
- Beiträge: 14759
- Registriert: 09.08.2003, 05:41
- Wohnort: sauerland
- Kontaktdaten:
Ich weiss ja nicht genau was du damit erreichen willst ... ich nehme regshot oder Installrite wenn ich rauskriegen will was sich in der letzten halben Stunde innerhalb der VM getan hat ...
Wenn es wirklich um die snapshots ansich geht - erklaer genauer ... wir kennen hier auch Tricks die nicht im Handbuch stehen ...
Wenn es wirklich um die snapshots ansich geht - erklaer genauer ... wir kennen hier auch Tricks die nicht im Handbuch stehen ...
Hi!
Tricks die nicht im Handbuch stehen hört sich
an, dann hole ich mal weiter aus 
.
Aus der „Produktivumgebung“, virtualisiere ich zB einen XP-Rechner mit VMConverterStarter. Diesen muss ich aber auf USB-HDD zwischenspeichern, da das Produktivnetz und die Testumgebung (ESXi) voneinander getrennt sein müssen (wieso kommt ein wenig weiter unten
). Hierfür verwende ich folgende zwei Schritte (welche äußerst zeitintensiv sind, durchaus einige Stunden! Diese Zeit muss aber minimiert werden, da dies ein Routineprozess werden soll und daher „flott“ laufen zu bewerkstelligen sein muss):
1. Konvertierung von physisch auf VMWorkstation (auf USB -HDD, kann nur das wählen, wenn ich keinen ESX live erreiche).
2. Dann stecke ich die USB-HDD an einen Client in der Testumgebung an, welcher über Netzwerk mit dem ESXi verbunden ist und starte die zweite Konvertierung von VMWare Workstation auf ESXi über Netzwerk.
Frage 1: Mache ich es so „umständlich“, oder gibt es wirklich keine andere Möglichkeit als 2Mal zu konvertieren (zB wäre solch eine Lösung doch besser, oder?: das erste Mal direkt auf ESXi Format zu konvertieren und auf die USB-HDD zu speichern, dann die USB-HDD auf den ESXi direkt anstecken und einfach die Dateien kopieren)?
Dann soll vor dem Start der neu eingebundenen VM ein Snapshot erstellt werden. Nach dem ersten Start soll diese Maschine unters Messer kommen, sprich sie soll bewusst mit Viren infiziert werden und es soll im Anschluss möglich sein zu sehen, welche Manipulation der Virus/Wurm/Trojaner am System vorgenommen hat (Vorranging gilt es für Windows, jedoch wäre es natürlich toll wenn ich das Monitoring auch für Linux machen könnte).
Wie gesagt, es soll ein Teil meiner Diplomarbeit werden und es war mein Wunsch es mit ESXi zu realisieren. Ich glaube und hoffe, dass ich damit den richtigen Weg gewählt habe.
Frage 2: Welche Vorgehensweise ratet Ihr mir für mein Vorhaben?
Vielen Dank und LG,
Racer1
Tricks die nicht im Handbuch stehen hört sich
an, dann hole ich mal weiter aus .
Aus der „Produktivumgebung“, virtualisiere ich zB einen XP-Rechner mit VMConverterStarter. Diesen muss ich aber auf USB-HDD zwischenspeichern, da das Produktivnetz und die Testumgebung (ESXi) voneinander getrennt sein müssen (wieso kommt ein wenig weiter unten
). Hierfür verwende ich folgende zwei Schritte (welche äußerst zeitintensiv sind, durchaus einige Stunden! Diese Zeit muss aber minimiert werden, da dies ein Routineprozess werden soll und daher „flott“ laufen zu bewerkstelligen sein muss):
1. Konvertierung von physisch auf VMWorkstation (auf USB -HDD, kann nur das wählen, wenn ich keinen ESX live erreiche).
2. Dann stecke ich die USB-HDD an einen Client in der Testumgebung an, welcher über Netzwerk mit dem ESXi verbunden ist und starte die zweite Konvertierung von VMWare Workstation auf ESXi über Netzwerk.
Frage 1: Mache ich es so „umständlich“, oder gibt es wirklich keine andere Möglichkeit als 2Mal zu konvertieren (zB wäre solch eine Lösung doch besser, oder?: das erste Mal direkt auf ESXi Format zu konvertieren und auf die USB-HDD zu speichern, dann die USB-HDD auf den ESXi direkt anstecken und einfach die Dateien kopieren)?
Dann soll vor dem Start der neu eingebundenen VM ein Snapshot erstellt werden. Nach dem ersten Start soll diese Maschine unters Messer kommen, sprich sie soll bewusst mit Viren infiziert werden und es soll im Anschluss möglich sein zu sehen, welche Manipulation der Virus/Wurm/Trojaner am System vorgenommen hat (Vorranging gilt es für Windows, jedoch wäre es natürlich toll wenn ich das Monitoring auch für Linux machen könnte).
Wie gesagt, es soll ein Teil meiner Diplomarbeit werden und es war mein Wunsch es mit ESXi zu realisieren. Ich glaube und hoffe, dass ich damit den richtigen Weg gewählt habe.
Frage 2: Welche Vorgehensweise ratet Ihr mir für mein Vorhaben?
Vielen Dank und LG,
Racer1
-
continuum
- UNSTERBLICH(R.I.P.)
- Beiträge: 14759
- Registriert: 09.08.2003, 05:41
- Wohnort: sauerland
- Kontaktdaten:
Hi
Frage 1: machst du es umstaendlich ?
Ja - fuer meinen Geschmack ja.
Ein XP nach ESXi ohne direkte Verbindung importier ich im ersten Schritt auch auf USB.
Dann binde ich die USB-platte auf einem Client als NFS-share ein und importiere und convertiere es in einem Schritt per vmkfstools - siehe zB hier
http://sanbarrow.com/uploadwstoesxi.html
Da eine Workstation und eine ESX VM bis auf das vmdk format im Prinzip gleich sind - ist ein zweimaliges Foltern der armen VM mit Converter weder noetig noch nuetzlich. Einmal reicht.
zu der 2 Frage:
da feallt mir direkt was zu ein ... fuer das Monitoring einer Windows VM auf jeden Fall.
Das kannst du im Prinzip wie gewuenscht machen - ist allerdings Zeugs was ich nicht soeben mal in ein paar Posts auf die Schnelle erklaeren kann ....
ruf doch einfach mal an wenn es dich genug interessiert
Frage 1: machst du es umstaendlich ?
Ja - fuer meinen Geschmack ja.
Ein XP nach ESXi ohne direkte Verbindung importier ich im ersten Schritt auch auf USB.
Dann binde ich die USB-platte auf einem Client als NFS-share ein und importiere und convertiere es in einem Schritt per vmkfstools - siehe zB hier
http://sanbarrow.com/uploadwstoesxi.html
Da eine Workstation und eine ESX VM bis auf das vmdk format im Prinzip gleich sind - ist ein zweimaliges Foltern der armen VM mit Converter weder noetig noch nuetzlich. Einmal reicht.
zu der 2 Frage:
da feallt mir direkt was zu ein ... fuer das Monitoring einer Windows VM auf jeden Fall.
Das kannst du im Prinzip wie gewuenscht machen - ist allerdings Zeugs was ich nicht soeben mal in ein paar Posts auf die Schnelle erklaeren kann ....
ruf doch einfach mal an wenn es dich genug interessiert
-
Tschoergez
- Moderator
- Beiträge: 3476
- Registriert: 23.02.2005, 09:14
- Wohnort: Burgberg im Allgäu
- Kontaktdaten:
Hi,
ganz neben Deiner Planung, das Ganze auf dem ESX zu machen:
Warum nutzt Du nicht die VMware Workstation?
Gerade beim Beobachten von Viren usw. ist die eigentlich besser geeignet, weil Du eben auf dem Host (auf dem die VMware Workstation läuft) z.b. einen Debugger ansetzten kannst. Damit kannst Du das Verhalten der VM beobachten, ohne dass Du IN der VM irgendwas installieren musst (was evtl. das Verhalten des Virus verändern würde).
(OT: da fällt mir immer Schrödingers Katze ein, und das wahre Mittel, um diese zu töten:
http://www.amazon.de/Wenger-Schweizer-O ... 000R0JDSI/ OT Ende)
Außerdem gibts bei der Workstation den Record/Replay-Mechanismus, der Dir ermöglicht, das Verhalten der VM AUFZUZEICHNEN (nicht nur ne momentaufnahme wie beim Snapshot). Super mächtig bei solchen Aufgaben!
Da gibts für beides auch entsprechende Plugins für Eclipse und Visual Studio.
Snapshots usw. hast Du bei der Workstation auch, ich glaube, sogar ein bisschen komfortabler (da gehen ein paar Dinge via GUI, was Du beim ESX nach Ullis Anleitung mit dem Dateieditor machen musst 
)
Viele Grüße,
Jörg
ganz neben Deiner Planung, das Ganze auf dem ESX zu machen:
Warum nutzt Du nicht die VMware Workstation?
Gerade beim Beobachten von Viren usw. ist die eigentlich besser geeignet, weil Du eben auf dem Host (auf dem die VMware Workstation läuft) z.b. einen Debugger ansetzten kannst. Damit kannst Du das Verhalten der VM beobachten, ohne dass Du IN der VM irgendwas installieren musst (was evtl. das Verhalten des Virus verändern würde).
(OT: da fällt mir immer Schrödingers Katze ein, und das wahre Mittel, um diese zu töten:
http://www.amazon.de/Wenger-Schweizer-O ... 000R0JDSI/ OT Ende)
Außerdem gibts bei der Workstation den Record/Replay-Mechanismus, der Dir ermöglicht, das Verhalten der VM AUFZUZEICHNEN (nicht nur ne momentaufnahme wie beim Snapshot). Super mächtig bei solchen Aufgaben!
Da gibts für beides auch entsprechende Plugins für Eclipse und Visual Studio.
Snapshots usw. hast Du bei der Workstation auch, ich glaube, sogar ein bisschen komfortabler (da gehen ein paar Dinge via GUI, was Du beim ESX nach Ullis Anleitung mit dem Dateieditor machen musst
)
Viele Grüße,
Jörg
Hi,
Danke für die Vorschläge!
@Ulli: Danke Rüberschieben über NFS werd ich auf jeden Fall probieren, hoffe es ist schneller als der Converter bei der zweiten Konvertierung mit Import auf den ESXi.
Möchte mich nicht aufdrängen, aber natürlich bin ich gespannt was dir da noch so eingefallen ist und wenn du mir deine Nummer verrätst und eine Zeit nennst, wann es bei dir am Beste passt, rufe ich gerne an. Danke!
@Jörg: Das mit der VM Workstation geht aus mehreren Gründen nicht. Einerseits soll es so "Freewaremäßig" wie möglich sein und andererseits muss ich einen Haufen an Netzwerkhardware + an uunterschiedliche vNetzwerke und physikalische NICs anhängen.
LG,
Racer1
Danke für die Vorschläge!
@Ulli: Danke Rüberschieben über NFS werd ich auf jeden Fall probieren, hoffe es ist schneller als der Converter bei der zweiten Konvertierung mit Import auf den ESXi.
Möchte mich nicht aufdrängen, aber natürlich bin ich gespannt was dir da noch so eingefallen ist und wenn du mir deine Nummer verrätst und eine Zeit nennst, wann es bei dir am Beste passt, rufe ich gerne an. Danke!
@Jörg: Das mit der VM Workstation geht aus mehreren Gründen nicht. Einerseits soll es so "Freewaremäßig" wie möglich sein
und andererseits muss ich einen Haufen an Netzwerkhardware + an uunterschiedliche vNetzwerke und physikalische NICs anhängen.
LG,
Racer1
-
Tschoergez
- Moderator
- Beiträge: 3476
- Registriert: 23.02.2005, 09:14
- Wohnort: Burgberg im Allgäu
- Kontaktdaten:
hm, freewaremäßig ist natürlich bei der Workstation nix zu machen, außer Du installierst alle 60 Tage neu (Oder machst die VCP-Prüfung, da gibts eine Workstation-Lizenz als "Belohnung" fürs bestehen).
Die Netzwerkarchitekturen lassen sich auch auf der Workstation nachbilden, aber das ist dann schon ein ziemliches Gefrickel. Das geht mit dem ESX auf jeden einfacher und schöner (solange die physik. Netzwerkkarten unterstützt werden!)
viele grüße,
jörg
(Oder machst die VCP-Prüfung, da gibts eine Workstation-Lizenz als "Belohnung" fürs bestehen).
Die Netzwerkarchitekturen lassen sich auch auf der Workstation nachbilden, aber das ist dann schon ein ziemliches Gefrickel. Das geht mit dem ESX auf jeden einfacher und schöner (solange die physik. Netzwerkkarten unterstützt werden!)
viele grüße,
jörg
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 17 Gäste