【Docker勘查取证思路】
2022-11-11 08:31:30 Author: 电子物证(查看原文) 阅读量:22 收藏

Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的Linux或Windows操作系统的机器上。

      Docker三要素:镜像、容器、仓库。镜像是一个只读模板,使用部署完毕的操作系统和应用程序制作;容器是运行起来镜像实例,类似vmware虚拟机;仓库用来保存镜像,分为公开仓库和私有仓库两种形式,你可以上传自己的服务器镜像到私有仓库,然后从其他地方下载,运行为容器,对外开放服务。

Docker的勘验

Centos 7.9系统

以Centos 7.9系统为例,Docker的勘验思路如下:

查看服务器中是否安装有Docker软件

输入命令:docker version

查看Docker运行状态

输入命令:systemctl status docker.service

查看Docker镜像

输入命令:docker images

查看Docker容器状态

输入命令docker ps

(1)容器未启动

以本机为例,输入命令:docker run -i -t centos:lastet /bin/bash

(2)容器已启动

以本机为例,输入命令docker exec -it 37cf /bin/bash

容器端口映射

以本机为例,输入命令:docker run -itd -p 8022:22 centos

由于Docker公开仓库中的镜像是用来提供服务的,会缺少一些系统操控命令,无法直接当作完整的Linux发行版来进行勘验,如下图Mysql容器所示:

所以如何固定容器内部的电子数据就成了比较棘手的问题,虽然可以使用Docker cp命令,但是对于某些小伙伴来说不够那么便捷,以MySQL容器为例,给大家介绍一种新的数据固定思路:

(1)查看Docker运行状态

(2)在MySQL容器中使用MySQLdump命令备份数据库

(3)使用备份数据库名称进行文件搜索并下载到本地,电子数据固定完成

转自:网络安全与取证研究

镜像挂载工具——Arsenal Image Mounter


文章来源: http://mp.weixin.qq.com/s?__biz=MzAwNDcwMDgzMA==&mid=2651044543&idx=3&sn=7e247bd58e477bf9c923bb25577c5216&chksm=80d0f54eb7a77c585797531d19fc9d6aaec14d350fbea1f1d9f624ee9ae8350e9e9d1212a856#rd
如有侵权请联系:admin#unsafe.sh