imei服务器清除id_【技术分享】现场/服务器远勘,你用了多少Docker技术?

随着互联网的快速发展,网民数量的急剧增加,违法犯罪人员从单一作案演化为团伙作案,有的甚至形成了产业化,为逃避打击、迷惑群众,采用的技术也越来越先进。大量违法网站生命周期变短,打一枪换个地方。如何快速获取证据挖掘线索,提高效率与应急响应速度,成为目前取证工作中急需解决的问题。

本期文章主要分享在现场/服务器远程勘验取证过程中的Docker基础应用,希望对取证人员的工作有所帮助。

技术分享:弘连技术工程师 林雨森


c6c994c279567889e7155cc13f930102.gif

Docker作为一个轻量级、可移植性高的虚拟容器,在目前的应用中越来越广泛,涉及网络类型的案件也不一定仅仅是传统的服务架构类型,有时候会遇到架构在docker中的网站或APP等。在此,分享一下docker的常用命令以及在取证过程中的注意事项。

在docker取证勘验过程中,大致分两种场景:

f8e5e191a0293a80f2370b5fa0665443.png

场景一:在现场勘验中碰到在docker里做网站架构的服务器。方便现场制作镜像可以制作整个服务器镜像;如果不方便制作镜像或者时间较紧需要即时数据的时候,那么对于docker中的容器节点和本地镜像库则需要打包拿出,放到本地docker环境中还原来做取证分析。

场景二:制作好的服务器镜像进行仿真,在其中的Docker容器中进行分析或者网站重构。

66a5a776f0d56490546d16f3f4b1fde4.png

在这两种场景中需要使用到一些docker的常用命令,下面进行简单分享:

1

使用“docker info”命令显示Docker 系统信息,包括镜像和容器数。这一步中我们能看到docker配置的基本信息和采用的网络镜像库地址,场景一、二建议都用此命令来了解docker基本情况。

    ➦ docker info

6ce3f101efc26c11be20936b4bd613cd.png

Docker系统信息

模拟场景一中需要配置自己的docker环境,所以安装docker,以下为centos7的安装过程:

     ➦ uname –r  检查内核版本(必须linux内核3.10以上)       ➦ yum install -y yum-utils device-mapper-persistent-data lvm2  安装环境       ➦ yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo        ➦ yum makecache fast  清除缓存       ➦ yum -y install docker-ce  安装docker       ➦ systemctl start docker  运行docker       ➦ docker version 检查docker版本以及docker是否安装成功

1. 新版的Docker 使用/etc/docker/daemon.json(Linux)或者%programdata%\docker\config\daemon.json(Windows)来配置Daemon。这个配置是来配置网络镜像库。

在该配置文件中加入(没有该文件的话,请先建一个):

{  "registry-mirrors": ["[http://hub-mirror.c.163.com]"]
}

2. 搭建好环境后,从涉案服务器中归档本地镜像库镜像并且计算哈希,放到本地环境中还原。

     docker images  可以查看本地库镜像      ➦ docker save “-o ”文件路径 将指定镜像保存成 tar 归档文件      ➦ docker load –i  归档文件路径从 tar 镜像归档中载入镜像 查看镜像创建历史(创建过程),并且导出固定到文件中      ➦  docker history -- no -trunc= true (> 文件)查看镜像创建历史

a094fa3c92ec923e57c63048e592bb48.png

    ➦ docker ps  列出所有运行中的容器

e549d842481fc507ad065d2c4d9ee93b.png

    ➦ docker ps -a  列出所有容器

bf18c9f500fbd3fdf8f9083f5617fa4c.png

3. 检查镜像或者容器的参数,默认返回 JSON 格式,-f 指定返回值的模板文件。

    ➦ docker ps inspect(>指定文件)

4. 导入到文件中固定。可以根据该文件来看出各个容器节点之间的关系,方便网站重构。

    ➦ docker logs(>指定文件)查看容器日志,并且固定到文件中

ps: docker logs中有几个参数可以用(-f : 跟踪日志输出 –since=“时间” :显示某个开始时间的所有日志 -t : 显示时间戳 –tail=N :仅列出最新N条容器日志)

     ➦ docker top(>指定文件)查看一个正在运行容器进程

 可以将镜像制作成归档文件计算哈希再在本机还原成镜像。

     ➦ docker export “-o ”将指定的容器保存成 tar 归档文件      ➦ docker import  归档文件从归档文件(支持远程文件)创建一个镜像

也可以从容器创建镜像然后再使用镜像归档的方式来备份。

     ➦ docker commit  从容器创建一个新的镜像      ➦ docker run name/镜像ID> [COMMAND] 创建一个新的容器并运行一个命令

2

在模拟场景二中,我们需要做的分析用命令同样适用于模拟场景一,同样,以上模拟场景一中除了安装命令也同样适用于场景二。

     ➦ docker start|stop|restart name/容器ID> 启动、停止和重启一个或多个指定容器      ➦ docker rm name/容器ID> 移除容器 

ps: -f 强行移除该容器,即使其正在运行;-l 移除容器间的网络连接,而非容器本身;-v 移除与容器关联的空间

     ➦ docker diff name/容器ID>  检查容器里文件结构的更改

fc484e21d4bc9b0d723f8038f8c0b963.pngps: A(添加)C(修改)D(删除)

      ➦ docker exec -it /bin/bash 进入docker容器

1. 容器内部是一个基础的Linux系统,但是可能会有部分命令不存在并且无法安装这些命令或软件。在以上这种情况中可以使用命令来做文件修改、交互。

      ➦ docker cp  用于容器与主机之间的数据拷贝        ➦ docker cp :容器内文件路径 主机文件路径   将容器内数据拷贝到主机       ➦ docker cp 主机文件路径 :容器内文件路径   将主机内数据拷贝到容器

最后:如果遇到使用docker技术架构的服务器,大家可以尝试使用以上常见命令,进行初步取证。

若需要弘连技术支持服务,可根据实际情况,联系弘连网络各区域销售经理或技术工程师。

雷电云取证V1.1更新速览

1.iCloud同步数据

2.iCloud相册

3.iCloud备份

4.修复支付宝部分账号下载账单失败问题

雷电云v1.1详细功能请戳文章《雷电云取证V1.1新版发布,这几个新增的功能太棒了!》


db0d2e5808c021c281dc4e82c27661d7.png

2019/09/07

  星期六

07648333f056babda3ba4063da04a385.png

e8b1aae1762086ba2b2e8b26ebef774e.png在看,点这里哟 eb9e5b9a94b4290486a1761c6df6b81b.gif
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值