为了取证任务的目的,我们必须在不使用著名的exportdocker 命令的情况下获取 docker 镜像。
是否复制并粘贴文件夹/var/lib/docker/容器在另一台服务器允许我们检索信息没有任何损坏的数据?
谢谢。
答案1
您可以docker commit容器,然后将其推送到存储库以供进一步使用/复制/取证
答案2
我认为这里存在一些术语混乱。 Adocker image与 a 不同forensic image。请参阅以下两个定义。
Docker 映像是一个不可变(不可更改)的文件,其中包含源代码、库、依赖项、工具以及应用程序运行所需的其他文件。
取证图像是原始证据的一种特殊类型的副本,它包含原始证据中找到的所有数据,但该数据被封装在取证文件格式中,这使其防篡改。
因此,我可以想象,来自已安装的 docker 卷的数据比来自 docker 映像的数据更适合取证调查。此外,容器的生命周期通常不到一天,因此人们应该想知道此类取证图像在哪些特定用例中有用。作为一名取证调查员,我可能会为运行这些 docker 容器的主机的整个磁盘制作一个物理(或逻辑)取证映像,然后使用适当的取证软件缩小调查范围。这在法律上可能也更有效。
我不确定您到底为什么要避免使用docker命令,但如果使用命令,我会相当精确地记录执行某些操作的确切时间。另一种方法是使用该docker info命令查找卷位置并为其制作逻辑取证图像。另外,您可能对该docker container export命令感兴趣,但同样,这是关于 docker 映像,而不是 docker 卷。我可以想象在某些情况下使用 docker 创建容器检查点(快照)或暂停/取消暂停正在运行的容器可能会有所帮助。