前言
看了盘古石大神公众号分享的文章,于是打算自己操作一下。检材就是21MY个人赛的FTP,试着用该可视化工具对其操作一下。由于技术有限,学习阶段,大家多多指点。
关于Docker取证
在写这篇blog的同时参考了大牛的文章。【安全译文】Docker环境下的事件分析和取证 - SecPulse.COM | 安全脉搏
Docker取证是一个曾经困扰我很久的问题,甚至那个时候理解不了Docker容器。大家可以参考上面这篇文章。
所以,很多人为了方便快捷,选择使用docker搭建服务器等,暂时还没有一个取证软件能对这样的Linux系统进行取证。大多数时候都得xshell连上进行手动取证。
因为缺乏参考,所以我大多数时候采用x-ways进行取证,但有些信息仍然不好获取,所以利用Portainer进行补充取证。
废话不多说了。
利用x-ways进行docker取证
以21年美亚杯镜像为例。打开var\lib\docker ,我们重点关注overlay2、containers,因为我的经验里只有这两个地方会存放我们取证需要的信息(可能只是我遇到的题目太少。)