【Docker勘查取证思路】
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的Linux或Windows操作系统的机器上。
Docker三要素:镜像、容器、仓库。镜像是一个只读模板,使用部署完毕的操作系统和应用程序制作;容器是运行起来镜像实例,类似vmware虚拟机;仓库用来保存镜像,分为公开仓库和私有仓库两种形式,你可以上传自己的服务器镜像到私有仓库,然后从其他地方下载,运行为容器,对外开放服务。
Docker的勘验
Centos 7.9系统
以Centos 7.9系统为例,Docker的勘验思路如下:
查看服务器中是否安装有Docker软件
输入命令:docker version
查看Docker运行状态
输入命令:systemctl status docker.service
查看Docker镜像
输入命令:docker images
查看Docker容器状态
输入命令docker ps
(1)容器未启动
以本机为例,输入命令:docker run -i -t centos:lastet /bin/bash
(2)容器已启动
以本机为例,输入命令docker exec -it 37cf /bin/bash
容器端口映射
以本机为例,输入命令:docker run -itd -p 8022:22 centos
由于Docker公开仓库中的镜像是用来提供服务的,会缺少一些系统操控命令,无法直接当作完整的Linux发行版来进行勘验,如下图Mysql容器所示:
所以如何固定容器内部的电子数据就成了比较棘手的问题,虽然可以使用Docker cp命令,但是对于某些小伙伴来说不够那么便捷,以MySQL容器为例,给大家介绍一种新的数据固定思路:
(1)查看Docker运行状态
(2)在MySQL容器中使用MySQLdump命令备份数据库
(3)使用备份数据库名称进行文件搜索并下载到本地,电子数据固定完成
转自:网络安全与取证研究