imei服务器清除id_【技术分享】现场/服务器远勘，你用了多少Docker技术？

随着互联网的快速发展，网民数量的急剧增加，违法犯罪人员从单一作案演化为团伙作案，有的甚至形成了产业化，为逃避打击、迷惑群众，采用的技术也越来越先进。大量违法网站生命周期变短，打一枪换个地方。如何快速获取证据挖掘线索，提高效率与应急响应速度，成为目前取证工作中急需解决的问题。

本期文章主要分享在现场/服务器远程勘验取证过程中的Docker基础应用，希望对取证人员的工作有所帮助。

〡技术分享：弘连技术工程师 林雨森

---

Docker作为一个轻量级、可移植性高的虚拟容器，在目前的应用中越来越广泛，涉及网络类型的案件也不一定仅仅是传统的服务架构类型，有时候会遇到架构在docker中的网站或APP等。在此，分享一下docker的常用命令以及在取证过程中的注意事项。

在docker取证勘验过程中，大致分两种场景：

场景一：在现场勘验中碰到在docker里做网站架构的服务器。方便现场制作镜像可以制作整个服务器镜像；如果不方便制作镜像或者时间较紧需要即时数据的时候，那么对于docker中的容器节点和本地镜像库则需要打包拿出，放到本地docker环境中还原来做取证分析。

场景二：制作好的服务器镜像进行仿真，在其中的Docker容器中进行分析或者网站重构。

在这两种场景中需要使用到一些docker的常用命令，下面进行简单分享：

1

使用“docker info”命令显示Docker 系统信息，包括镜像和容器数。这一步中我们能看到docker配置的基本信息和采用的网络镜像库地址，场景一、二建议都用此命令来了解docker基本情况。

    ➦ docker info

Docker系统信息

模拟场景一中需要配置自己的docker环境，所以安装docker，以下为centos7的安装过程：

     ➦ uname –r  检查内核版本(必须linux内核3.10以上)       ➦ yum install -y yum-utils device-mapper-persistent-data lvm2  安装环境       ➦ yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo        ➦ yum makecache fast  清除缓存       ➦ yum -y install docker-ce  安装docker       ➦ systemctl start docker  运行docker       ➦ docker version 检查docker版本以及docker是否安装成功

1. 新版的Docker 使用/etc/docker/daemon.json(Linux)或者%programdata%\docker\config\daemon.json(Windows)来配置Daemon。这个配置是来配置网络镜像库。

在该配置文件中加入(没有该文件的话，请先建一个)：

{  "registry-mirrors": ["[http://hub-mirror.c.163.com]"]
}

2. 搭建好环境后，从涉案服务器中归档本地镜像库镜像并且计算哈希，放到本地环境中还原。

    ➦ docker images  可以查看本地库镜像      ➦ docker save “-o ”文件路径 将指定镜像保存成 tar 归档文件      ➦ docker load –i  归档文件路径从 tar 镜像归档中载入镜像 查看镜像创建历史(创建过程)，并且导出固定到文件中      ➦  docker history -- no -trunc= true (> 文件)查看镜像创建历史

    ➦ docker ps  列出所有运行中的容器

    ➦ docker ps -a  列出所有容器

3. 检查镜像或者容器的参数，默认返回 JSON 格式，-f 指定返回值的模板文件。

    ➦ docker ps inspect(>指定文件)

4. 导入到文件中固定。可以根据该文件来看出各个容器节点之间的关系，方便网站重构。

    ➦ docker logs(>指定文件)查看容器日志，并且固定到文件中

ps: docker logs中有几个参数可以用(-f : 跟踪日志输出 –since=“时间” :显示某个开始时间的所有日志 -t : 显示时间戳 –tail=N :仅列出最新N条容器日志)

     ➦ docker top(>指定文件)查看一个正在运行容器进程

 可以将镜像制作成归档文件计算哈希再在本机还原成镜像。

     ➦ docker export “-o ”将指定的容器保存成 tar 归档文件      ➦ docker import  归档文件从归档文件(支持远程文件)创建一个镜像

也可以从容器创建镜像然后再使用镜像归档的方式来备份。

     ➦ docker commit  从容器创建一个新的镜像      ➦ docker run name/镜像ID> [COMMAND] 创建一个新的容器并运行一个命令

2

在模拟场景二中，我们需要做的分析用命令同样适用于模拟场景一，同样，以上模拟场景一中除了安装命令也同样适用于场景二。

     ➦ docker start|stop|restart name/容器ID> 启动、停止和重启一个或多个指定容器      ➦ docker rm name/容器ID> 移除容器 

ps: -f 强行移除该容器，即使其正在运行；-l 移除容器间的网络连接，而非容器本身；-v 移除与容器关联的空间

     ➦ docker diff name/容器ID>  检查容器里文件结构的更改

ps: A(添加)C(修改)D(删除)

      ➦ docker exec -it /bin/bash 进入docker容器

1. 容器内部是一个基础的Linux系统，但是可能会有部分命令不存在并且无法安装这些命令或软件。在以上这种情况中可以使用命令来做文件修改、交互。

      ➦ docker cp  用于容器与主机之间的数据拷贝        ➦ docker cp :容器内文件路径 主机文件路径   将容器内数据拷贝到主机       ➦ docker cp 主机文件路径 :容器内文件路径   将主机内数据拷贝到容器

最后：如果遇到使用docker技术架构的服务器，大家可以尝试使用以上常见命令，进行初步取证。

若需要弘连技术支持服务，可根据实际情况，联系弘连网络各区域销售经理或技术工程师。

完

雷电云取证V1.1更新速览

1.iCloud同步数据

2.iCloud相册

3.iCloud备份

4.修复支付宝部分账号下载账单失败问题

雷电云v1.1详细功能请戳文章《雷电云取证V1.1新版发布，这几个新增的功能太棒了！》

---

2019/09/07

  星期六

在看，点这里哟