连接到实例并挂载卷

连接到您的实例

现在我们应该在AWS平台中至少有一个用于获取证据的分析系统。我们需要使用密钥文件连接到此系统，以便配置额外存储和一些分析工具。

如果您尚未配置密钥对，可以从EC2的“网络和安全”菜单中访问这些密钥。不言而喻，一旦创建，您应该像保护生命一样保护您的密钥文件。

获得SSL密钥文件后，我们可以按照标准的AWS流程连接到实例。

对于通过SSH连接的Linux实例：

1

ssh -i /path/to/key.pem ubuntu@ec2-xx-xx-xx-xx.compute-1.amazonaws.com

对于通过RDP连接的Windows实例：

1

mstsc /v:ec2-xx-xx-xx-xx.compute-1.amazonaws.com

挂载卷

如前所述，我们可以在配置实例时附加用于证据的存储卷，或者事后通过EC2中的“卷”菜单创建这些卷。我们也可以使用此方法将快照作为卷附加到我们的分析实例以进行映像。

与创建新实例一样，您需要记录卷名称并为其分配一些标签以跟踪存储卷。您可能还希望在使用AWS获取证据时使用此功能进行证据命名。

创建卷后，您可以选择要附加到的实例。这是通过从EC2中的“实例”菜单中选择“操作”按钮来完成的。

需要注意的是，需要根据系统是Windows还是Linux来定义物理设备名称。

现在我们的块设备应该已附加到Ubuntu实例，我们可以通过列出实例中的块设备来查询。

1

lsblk

由于我们的实例在AWS中是虚拟的，因此使用了Xen存储设备格式（这第一次让我感到困惑）。我们的最后任务是在块设备上创建文件系统。

1

sudo mkfs -t ext4 /dev/xvdf

附加新的证据存储卷后，我们可以创建挂载点并挂载块设备。

1
2

sudo mkdir /mnt/evidence
sudo mount /dev/xvdf /mnt/evidence

就是这样，我们现在配置了一个带有辅助EXT4存储卷的Ubuntu实例，该卷可用作取证映像的目标磁盘或用于存储其他文件/取证工具进行分析。

接下来，我们将介绍对现有卷进行快照以及附加AWS卷进行取证映像。

参考：

• https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html
• https://tools.ietf.org/html/rfc1421
• https://tools.ietf.org/html/rfc1424
• https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-snapshot.html
• https://askubuntu.com/questions/166083/what-is-the-dev-xvda1-device#166087