imei服务器清除id_【技术分享】现场/服务器远勘,你用了多少Docker技术?
随着互联网的快速发展,网民数量的急剧增加,违法犯罪人员从单一作案演化为团伙作案,有的甚至形成了产业化,为逃避打击、迷惑群众,采用的技术也越来越先进。大量违法网站生命周期变短,打一枪换个地方。如何快速获取证据挖掘线索,提高效率与应急响应速度,成为目前取证工作中急需解决的问题。本期文章主要分享在现场/服务器远程勘验取证过程中的Docker基础应用,希望对取证人员的工作有所帮助。〡技术分享:弘...
随着互联网的快速发展,网民数量的急剧增加,违法犯罪人员从单一作案演化为团伙作案,有的甚至形成了产业化,为逃避打击、迷惑群众,采用的技术也越来越先进。大量违法网站生命周期变短,打一枪换个地方。如何快速获取证据挖掘线索,提高效率与应急响应速度,成为目前取证工作中急需解决的问题。
本期文章主要分享在现场/服务器远程勘验取证过程中的Docker基础应用,希望对取证人员的工作有所帮助。
〡技术分享:弘连技术工程师 林雨森
Docker作为一个轻量级、可移植性高的虚拟容器,在目前的应用中越来越广泛,涉及网络类型的案件也不一定仅仅是传统的服务架构类型,有时候会遇到架构在docker中的网站或APP等。在此,分享一下docker的常用命令以及在取证过程中的注意事项。
在docker取证勘验过程中,大致分两种场景:
场景一:在现场勘验中碰到在docker里做网站架构的服务器。方便现场制作镜像可以制作整个服务器镜像;如果不方便制作镜像或者时间较紧需要即时数据的时候,那么对于docker中的容器节点和本地镜像库则需要打包拿出,放到本地docker环境中还原来做取证分析。
场景二:制作好的服务器镜像进行仿真,在其中的Docker容器中进行分析或者网站重构。
在这两种场景中需要使用到一些docker的常用命令,下面进行简单分享:
1
使用“docker info”命令显示Docker 系统信息,包括镜像和容器数。这一步中我们能看到docker配置的基本信息和采用的网络镜像库地址,场景一、二建议都用此命令来了解docker基本情况。
➦ docker info
Docker系统信息
模拟场景一中需要配置自己的docker环境,所以安装docker,以下为centos7的安装过程:
➦ uname –r 检查内核版本(必须linux内核3.10以上) ➦ yum install -y yum-utils device-mapper-persistent-data lvm2 安装环境 ➦ yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo ➦ yum makecache fast 清除缓存 ➦ yum -y install docker-ce 安装docker ➦ systemctl start docker 运行docker ➦ docker version 检查docker版本以及docker是否安装成功1. 新版的Docker 使用/etc/docker/daemon.json(Linux)或者%programdata%\docker\config\daemon.json(Windows)来配置Daemon。这个配置是来配置网络镜像库。
在该配置文件中加入(没有该文件的话,请先建一个):
{ "registry-mirrors": ["[http://hub-mirror.c.163.com]"]
}
2. 搭建好环境后,从涉案服务器中归档本地镜像库镜像并且计算哈希,放到本地环境中还原。
➦ docker images 可以查看本地库镜像 ➦ docker save “-o ”文件路径 将指定镜像保存成 tar 归档文件 ➦ docker load –i 归档文件路径从 tar 镜像归档中载入镜像 查看镜像创建历史(创建过程),并且导出固定到文件中 ➦ docker history -- no -trunc= true (> 文件)查看镜像创建历史➦ docker ps 列出所有运行中的容器
➦ docker ps -a 列出所有容器
3. 检查镜像或者容器的参数,默认返回 JSON 格式,-f 指定返回值的模板文件。
➦ docker ps inspect(>指定文件)4. 导入到文件中固定。可以根据该文件来看出各个容器节点之间的关系,方便网站重构。
➦ docker logs(>指定文件)查看容器日志,并且固定到文件中ps: docker logs中有几个参数可以用(-f : 跟踪日志输出 –since=“时间” :显示某个开始时间的所有日志 -t : 显示时间戳 –tail=N :仅列出最新N条容器日志)
➦ docker top(>指定文件)查看一个正在运行容器进程可以将镜像制作成归档文件计算哈希再在本机还原成镜像。
➦ docker export “-o ”将指定的容器保存成 tar 归档文件 ➦ docker import 归档文件从归档文件(支持远程文件)创建一个镜像也可以从容器创建镜像然后再使用镜像归档的方式来备份。
➦ docker commit 从容器创建一个新的镜像 ➦ docker run name/镜像ID> [COMMAND] 创建一个新的容器并运行一个命令2
在模拟场景二中,我们需要做的分析用命令同样适用于模拟场景一,同样,以上模拟场景一中除了安装命令也同样适用于场景二。
➦ docker start|stop|restart name/容器ID> 启动、停止和重启一个或多个指定容器 ➦ docker rm name/容器ID> 移除容器ps: -f 强行移除该容器,即使其正在运行;-l 移除容器间的网络连接,而非容器本身;-v 移除与容器关联的空间
➦ docker diff name/容器ID> 检查容器里文件结构的更改ps: A(添加)C(修改)D(删除)
➦ docker exec -it /bin/bash 进入docker容器1. 容器内部是一个基础的Linux系统,但是可能会有部分命令不存在并且无法安装这些命令或软件。在以上这种情况中可以使用命令来做文件修改、交互。
➦ docker cp 用于容器与主机之间的数据拷贝 ➦ docker cp :容器内文件路径 主机文件路径 将容器内数据拷贝到主机 ➦ docker cp 主机文件路径 :容器内文件路径 将主机内数据拷贝到容器最后:如果遇到使用docker技术架构的服务器,大家可以尝试使用以上常见命令,进行初步取证。
若需要弘连技术支持服务,可根据实际情况,联系弘连网络各区域销售经理或技术工程师。
完
雷电云取证V1.1更新速览1.iCloud同步数据
2.iCloud相册
3.iCloud备份
4.修复支付宝部分账号下载账单失败问题
雷电云v1.1详细功能请戳文章《雷电云取证V1.1新版发布,这几个新增的功能太棒了!》
2019/09/07
星期六
在看,点这里哟更多推荐
所有评论(0)