已登入: Logged in as: 登入
搜尋:
Page last modified 13:57, 11 Feb 2010 by thx

VMDK救援

    內容表格
    沒有標頭

    版本為 12:37, 14 Nov 2024

    到這個版本。

    返回到 版本存檔.

    查閱目前版本

    原作:OSSLab thx 2010 1.20

    OSSLab windows 主機遭人裝上木馬 這台VM 主機於 2009 年底時我就有發現不對勁,因此就給與關閉 平常也懶修他,沒想到發生這樣事 有人要求給連線與掃毒記錄

    小弟自作聰明的把原有VMDK file 導入到新Win 2003 VM 內 再做掃毒
    沒想到出了二個問題

    1.原有中毒 win2003 VM disk 有快照(為了存證 2010,1,16 有做快照)   導入時 只能引用原有母VMDK file 磁碟映像檔 , 所以在另外一個VM 掃描沒用!

    2.糟糕的是 把vmdk 導入別的VM後 再想用原來中毒VM 開機 出現

     The parent virtual disk has been modified since the child was created

     只是Scan 而已 沒做任何寫入動作 卻出現如此問題
     
    這是因為vmdk file 導入新VM內 CID會被修改...檔案實質上沒被動過...

    解決方法
    http://phorum.study-area.org/index.php?topic=54707.0

    如果不止一個快照檔  這邊再說清楚一點 vmdk 快照指引導架構

    原始母 描述檔 win2003.vmdk  (後面絕不會有delta -00000數字 那會是快照檔)
    真實 Disk 映像檔為 ":win2003-flat.vmdk

    # Disk DescriptorFile
    version=1
    CID=829ab81d
    parentCID=ffffffff (母vmdk file 必為ffffffff)
    createType="vmfs"

    # Extent description
    RW 83886080 VMFS "win2003-flat.vmdk" (對應的真實磁碟映像檔)

    ------------------------------------------------------------------------

    打開 win2003-000004-delta.vmdk  (delta 為快照指引檔)
    如下

    # Disk DescriptorFile
    version=1
    CID=5d635ed0
    parentCID=5d635ed0  (母CID  從下得知要對應   win2003-000005 指引檔的CID )
    createType="vmfsSparse"
    parentFileNameHint="win2003-000005.vmdk"        
    # Extent description
    RW 83886080 VMFSSPARSE "win2003-000004-delta.vmdk"   (對應的真實磁碟映像檔)


    --------------------------------------------------------------------------------------------
    win2003-000005-delta.vmdk  內的內容

    # Disk DescriptorFile
    version=1
    CID=5d635ed0                     (注意此為此 win2003-000005-delta.vmdk CID)
    parentCID=829ab81d
    createType="vmfsSparse"
    parentFileNameHint="win2003-000003.vmdk"
    # Extent description
    RW 83886080 VMFSSPARSE "win2003-000005-delta.vmdk"
    -----------------------------------------------------------------------------------------


    從這我們可以看出這個快照述檔為 win2003-000004-delta.vmdk 但是上面快照檔為何為 win2003-000005.vmdk  這是因為快照分支問題
    像我快照檔多 會比較混亂

    win2003-000004母快照檔為 win2003-000005.vmdk    
    那win2003-000004 的parentCID就要改為 win2003-000005.vmdk的CID
     

    --------------------------------------------------------------------------------
    再來抓下vmx 檔看一下 像

    scsi0:0.fileName = "win2003-000007.vmdk"

    就要從win2003-000007.vmdk 對應回去看一下  parentCID 是否有誤

    反正最後那個快照檔就要從那個修改修改回去對應正確母快照檔 每個檔案都有關聯性 如果有錯誤都要修正

    修改工具 個人建議用 Winscp  
    http://winscp.net/eng/docs/lang:cht

    注意 先把該VM內所有vmdk 指引倒 先備份傳下來 (很小)
    再用winscsp 直接edit 修改就可 非常方便

    Powered by MindTouch Core