Cada material forense que lea, le dice que obtenga una imagen del disco y trabaje con esta imagen. Sin embargo, parece que siempre se refieren a una sola computadora.
¿Qué sucede si el compromiso se encuentra en una instalación de VMWare donde hay varios discos que configuran LUN y grupos de LUN? ¿Cómo debo obtener la imagen?
No debería obtener la imagen, ya están allí en sus repositorios vmware. Solo necesitas investigarlas.
Lo mejor es posible si configura (o utiliza una máquina virtual creada pronto). Entonces:
Luns no tiene nada que hacer con ellos, son solo una parte de la emulación SCSI virtual del vmware. Realmente no importan, lo que realmente importa son las imágenes de disco en su sistema.
También existe la posibilidad, si necesita investigar un sistema vmware completo. En este caso, las cosas son un poco más complejas, aunque no creo que un servidor vmware pueda estar realmente dañado.
En este caso, manejé los discos físicos vmware como discos normales (por lo que copié una imagen de ellos), extraí las imágenes .vmdk de ellos y las utilicé. Por lo tanto, la creación de imágenes tiene un proceso de dos etapas:
Aquí puede aparecer un pequeño problema en la imagen, y es que vmware usa el sistema de archivos vmfs para las imágenes vmdk. Pero este vmfs puede ser procesado por herramientas que se pueden descargar libremente desde vmware.com.
Lea otras preguntas en las etiquetas forensics