Docker勘查取证思路
2022-9-9 08:47:39 Author: 网络安全与取证研究(查看原文) 阅读量:25 收藏

      Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的Linux或Windows操作系统的机器上。

      Docker三要素:镜像、容器、仓库。镜像是一个只读模板,使用部署完毕的操作系统和应用程序制作;容器是运行起来镜像实例,类似vmware虚拟机;仓库用来保存镜像,分为公开仓库和私有仓库两种形式,你可以上传自己的服务器镜像到私有仓库,然后从其他地方下载,运行为容器,对外开放服务。

Docker的勘验

Centos 7.9系统

以Centos 7.9系统为例,Docker的勘验思路如下:

查看服务器中是否安装有Docker软件

输入命令:docker version

查看Docker运行状态

输入命令:systemctl status docker.service

查看Docker镜像

输入命令:docker images

查看Docker容器状态

输入命令docker ps

(1)容器未启动

以本机为例,输入命令:docker run -i -t centos:lastet /bin/bash

(2)容器已启动

以本机为例,输入命令docker exec -it 37cf /bin/bash

容器端口映射

以本机为例,输入命令:docker run -itd -p 8022:22 centos

由于Docker公开仓库中的镜像是用来提供服务的,会缺少一些系统操控命令,无法直接当作完整的Linux发行版来进行勘验,如下图Mysql容器所示:

所以如何固定容器内部的电子数据就成了比较棘手的问题,虽然可以使用Docker cp命令,但是对于某些小伙伴来说不够那么便捷,以MySQL容器为例,给大家介绍一种新的数据固定思路:

(1)查看Docker运行状态

(2)在MySQL容器中使用MySQLdump命令备份数据库

(3)使用备份数据库名称进行文件搜索并下载到本地,电子数据固定完成

     以上就是大睿分享给大家的关于Docker勘验的全部内容,小伙伴们如果有什么疑问或者有感兴趣的课题,欢迎来信询问,大睿是您忠诚的战友,漫漫取证路,我们并肩前行。


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg3NTU3NTY0Nw==&mid=2247485012&idx=1&sn=4f110a3ae53ec8af789f84b2236361b9&chksm=cf3e2664f849af72dd166fe836c43ad5c8a8da09a5a7c2c45630d3a62a939db3f9dc65f3b8cc#rd
如有侵权请联系:admin#unsafe.sh