如何制作网吧无盘系统的镜像文件

方法：

使用 Ghost软件：

1首先打开Ghost工具，进入界面后，选择“Local”→“Disk”→“To Image”。

2我们需要选择源数据硬盘，并点击“OK”确认。

3我们需要选择源数据硬盘的所有分区，即Part1-4一共4个分区，选中后分区选项呈蓝色，点击“OK”确认。

用户可以自由选择一个分区或者多个分区，进行镜像备份。我们所说的 *** 作系统镜像备份，实际它是Part1，Primary主分区的 *** 作系统镜像文件。

4我们需要为备份镜像文件命名，文件名后缀为GHO，完成后并点击“Save”确认。

5我们遇到三个选项，1、取消镜像备份；2、选择镜像备份的两种速度模式。点击“NO”选项即取消一切 *** 作，“Fast”选项为默认速度，“High”选项为高速压缩镜像。用户选择默认“Fast”选项即可。

6接下来是我们的等待时间，我们看到Ghost软件完成镜像备份后会有提示。

总结：

Ghost镜像备份功能非常实用，它可以全盘或者用户选择任何分区以镜像文件的形式进行备份，安全性能好，一般用户难以直接查看，并且备份速度快。

在 Linux 上安装完 Xen 服务器后
接下来的工作就是如何创建和启动一个虚拟机。这个看似很简单的问题难住了不少人，VPSee
收到不少邮件关于如何快速创建和部署虚拟机镜像的。创建虚拟机的工具有很多，比如 virt-manager, virt-install,
virsh, xen-create-image
等等，不过这些工具都要每次重头安装虚拟机的 *** 作系统，需要人机交互、速度慢、不自动，不利于写成脚本。有什么快速的创建/部署/克隆虚拟机的办法呢？可
以先做一个模版，然后通过拷贝模版的办法。我们只需要两个步骤：1、创建一个空白文件镜像；2、然后把一个打包好的 Linux
系统模版拷贝过去。通常一个打包好的最小 Linux 系统只要200MB
左右，拷贝基本可以在服务器上瞬间完成，速度还是很快的，比起拷贝整个虚拟机镜像文件（比如 10GB）要快得多。具体来说如下：
1、创建一个磁盘镜像文件：
# dd if=/dev/zero of=vpseeimg bs=1 count=1 seek=10G
2、格式化磁盘：
# mkfsext3 vpseeimg
3、挂载刚刚创建的磁盘镜像文件：
# mount -o loop vpseeimg /mnt
4、找个现有 Linux 的文件系统拷贝过去：
# tar -zxSf centostargz -C /mnt/
需要说明的是，这里的 centostargz 是提前制作好的，可以在一个干净的虚拟机上手动安装好一个最小的 CentOS 系统，然后配置和优化好，这样就是一个模板，以后如果创建新的 CentOS 虚拟机就可以从这个模板直接拷贝。
5、卸载 /mnt：
# umount mnt
6、创建一个交换分区：
# dd if=/dev/zero of=vpsee-swapimg bs=1M count=256
7、创建和编辑一个 Xen 虚拟机的启动文件：
# vi /etc/xen/vpseeconfname = ‘vpsee’vcpus = 1memory = ’256′disk = [ 'tap:aio:/home/vpsee/vpseeimg,sda1,w','tap:aio:/home/vpsee/vpseeswapimg,sda2,w',]vif = [ 'bridge=eth0' ]root = '/dev/sda1 ro'on_reboot = 'restart'on_crash = 'restart'kernel = “/boot/vmlinuz-2618-194321el5xen”ramdisk = “/boot/initrd-2618-194321el5xenimg”
8、启动 Xen 虚拟机：
# xm create vpsee
如果把上面的步骤综合起来写在一个脚本里并配上 Xen Shell 控制面板就可以完成 VPS 客户自己快速重装系统的功能。如果把这个脚本加到客户的账单管理系统（比如 WHMCS）里就可以完成客户付款自动开通 VPS 的功能。不过我们的 VPS 不提供客户自助重装功能和自动开通功能，损失了一点方便性，但是换来了稳定和性能还是值得的。如果用 LVM, iSCSI 之类的存储方式的话原理也是一样的。

1、点击桌面左下角开始按钮，找到控制面板将其打开。

2、在“系统和安全”下方有一个“备份您的计算机”，点击进入。

3、接着击左侧的“创建系统映像”，等待系统响应，进入设置。

4、d出创建系统映像窗口，现在已经启动备份程序，等待一会儿查找系统的备份设置。

5、出现这个界面时我们就选择一个非系统盘的盘符就可以了，点击下一步。

6、查看一下备份设置，确认无误后单击“开始备份”。

7、等待备份文件。

8、备份完成，提示是否要创建一个系统修复光盘，根据自己需要进行选择就好。

9、现在系统镜像制作完成，关闭程序。

10、刚才将文件保存在了E盘，在E盘根目录就找到了刚才的系统镜像文件。

1、保护目标计算机系统
计算机取证时，第一件要做的事是冻结计算机系统，不给犯罪分子破坏证据提供机会。在这方面，计算机取证与普通警察封锁犯罪现场、搜索证物没有区别。避免发生任何的更改系统设置、硬件损坏、数据破坏或病毒感染的情况。
2、电子证据的确定
现在存储介质容量越来越大，必须在海量的数据中区分哪些是电子证据，相对计算机取证来说哪些是垃圾数据。因此，根据系统的破坏程度，应确定哪些由犯罪者留下的活动记录作为主要的电子证据，确定这些记录存在哪里、是怎样存储的。
3、电子证据的收集
1)调查员要记录系统的硬件配置，把各硬件之间的连接情况记录在案，以便计算机系统移到安全的地方保存和分析的时候能重新恢复到初始的状态。
2)用磁盘镜像工具(如Safe back、SnapBack DatArret 和DIBS RAID等)对目标系统磁盘驱动中的所有数据进行字符流的镜像备份。镜像备份后就可对计算机证据进行处理，万一对收集来的电子证据产生疑问时，可用镜像备份的数据恢复到系统的原始状态，作为分析数据的原始参考数据，使得分析的结果具有可信性。
3)用取证工具(如EnCase，详见取证工具的Encase例子)收集相关的电子证据，对系统的日期和时间进行记录归档，对可能作为证据的数据通过加密手段发送给取证服务器进行分析。对UNIX系统可能还需要一些命令做辅助，收集有关信息，对 *** 作情况要做记录归档。对关键的证据数据用光盘备份，有条件的可以直接将电子证据打印成文件证据。
根据我们目前的研究，在缺乏自主知识产权的计算机取证工具的前提下，收集电子证据上传到取证服务器统一保护和分析，采用基于代理(Agent)的C/S结构(见图一)。client端即目标系统端程序采用主动搜索和被动接受两种相结合的方式将电子证据上传给取证服务器。定义已知常见的电子证据来源如系统名称、时期时间、系统日志、应用软件日志、邮件数据、临时文件信息、Email数据等，利用程序的自动搜索功能，将可疑为电子证据的文件或数据罗列出来，由调查员确认发送给取证服务器。对数据量特别大的电子证据文件如网络防火墙和NIDS的日志，可由调查员先对其光盘备份进行原始数据保全，然后将可疑为入侵者IP的相关信息挖掘出来发送给取证服务器。由受害方提供的其它相关信息也可通过client端程序上传。
Server端的取证服务器采用LDAP目录形式组织上传的电子证据，由控制台对电子证据进行管理。各类电子证据上传时，将相关的文件证据存入取证服务器特定目录并将存放目录、文件类型(是系统日志，应用日志，还是邮件文件或是其它临时文件等)、来源(IP)等信息存入取证服务器的数据库中。
控制台主要用于电子证据加密上传的密钥分配，电子证据的审计与分析、产生报告并打印，结案后管理员对电子证据的处理等。
4、电子证据的保护
由于电子证据可能被不留痕迹的修改或破坏，应用适当的储存介质(如Mess storage或CD-ROM)进行原始的镜像备份。考虑到在计算机取证中有些案例可能要花上两三年时间来解决，取证调查时可将镜像备份的介质打上封条放在安全的地方。对获取的电子证据采用安全措施进行保护，非相关人员不准 *** 作存放电子证据的计算机。不轻易删除或修改与证据无关的文件以免引起有价值的证据文件的永久丢失
5、电子证据的分析
由于原始的电子证据是存放在磁盘等介质里，具有不可见性，需要借助计算机的辅助程序来查看。同时，没有相当IT知识的人也很难理解电子证据的信息。因此，对电子证据的分析并得出结果报告是电子证据能否在法庭上展示，作为起诉计算机犯罪者的犯罪证据的重要过程。分析需要很深的专业知识，应由专业的取证专家来分析电子证据。
1)做一系列的关键字搜索获取最重要的信息。因为目前的硬盘容量非常大，取证专家不可能手动查看和评估每一个文件。因此需要一些自动取证的文本搜索工具来帮助发现相关的信息。
2)对文件属性、文件的数字摘要和日志进行分析，根据已经获得的文件或数据的用词、语法和写作(编程)风格，推断出其可能的作者。如果政策允许可利用数据解密技术和密码破译技术，对电子介质中的被保护信息进行强行访问以获取重要信息。
3)评估windows交换文件，file slack，未分配的空间。因为这些地方往往存放着犯罪者容易忽视的证据。在这方面，专业的取证公司NTI的IPFilter和Guidance Software公司的EnCase都可以帮助取证专家获取重要的信息。用恢复工具如EasyRecovery恢复被删除的文件，尤其是被犯罪者删除的日志文件，以发现其踪迹。
4)对电子证据做一些智能相关性的分析，即发掘同一事件的不同证据间的联系。随着计算机分步式技术的发展，犯罪者往往在同一时间段内对目标系统做分步式的攻击以分散管理员的注意力。在分析电子证据时，应对其进行关联分析。如在某一时间段内，来自攻击者的IP在不同系统中留下的痕迹按一定的顺序将其罗列出来，并评估它们的相关性。
5)取证专家完成电子证据的分析后应给出专家证明，这与侦查普通犯罪时法医的角色没有区别。
6、归档
在计算机取证的最后阶段，应整理取证分析的结果供法庭做为诉公证据。主要对涉及计算机犯罪的日期和时间、硬盘的分区情况、 *** 作系统和版本、运行取证工具时数据和 *** 作系统的完整性、计算机病毒评估情况、文件种类、软件许可证以及取证专家对电子证据的分析结果和评估报告等进行归档处理。尤其值得注意的是，在处理电子证据的过程中，为保证证据的可信度，必须对各个步骤的情况进行归档以使证据经的起法庭的质询。

---