포렌식 작업을 위해서는 유명한 export
docker 명령을 사용하지 않고 docker 이미지를 얻어야 합니다.
폴더 복사 및 붙여넣기 여부/var/lib/docker/컨테이너존재하다다른 서버정보를 검색할 수 있도록 허용손상된 데이터 없음?
감사해요.
답변1
docker commit
추가 사용/복제/포렌식을 위해 컨테이너에 넣은 다음 저장소에 푸시 할 수 있습니다.
답변2
여기에는 용어상의 혼란이 있는 것 같습니다. A는 docker image
와 다릅니다 forensic image
. 아래 두 가지 정의를 참조하세요.
Docker 이미지는 애플리케이션 실행에 필요한 소스 코드, 라이브러리, 종속성, 도구 및 기타 파일을 포함하는 변경 불가능한(변경할 수 없는) 파일입니다.
포렌식 이미지는 원본 증거에서 발견된 모든 데이터를 포함하는 원본 증거의 특별한 유형의 복사본이지만 해당 데이터는 변조 방지를 위해 포렌식 파일 형식으로 캡슐화됩니다.
따라서 마운트된 도커 볼륨의 데이터는 도커 이미지의 데이터보다 포렌식 조사에 더 적합하다고 상상할 수 있습니다. 또한 컨테이너는 일반적으로 하루 미만의 수명 주기를 가지므로 포렌식 이미지와 같은 특정 사용 사례가 어떤 경우에 유용할지 궁금해야 합니다. 포렌식 조사관으로서 저는 이러한 도커 컨테이너를 실행하는 호스트의 전체 디스크에 대한 물리적(또는 논리적) 포렌식 이미지를 만든 다음 적절한 포렌식 소프트웨어를 사용하여 조사 범위를 좁힐 수 있습니다. 이것은 또한 법적으로 더 유효할 수도 있습니다.
명령을 사용하지 않으려는 이유가 무엇인지 정확히 모르겠지만 docker
명령을 사용했다면 작업이 완료된 정확한 시간을 매우 정확하게 기록할 수 있을 것입니다. 또 다른 방법은 명령을 사용하여 docker info
볼륨 위치를 찾고 이에 대한 논리적 포렌식 이미지를 만드는 것입니다. 또한 docker container export
이 명령에 관심이 있으실 수도 있지만 이는 도커 볼륨이 아니라 도커 이미지에 관한 것입니다. 어떤 경우에는 Docker를 사용하여 컨테이너 체크포인트(스냅샷)를 생성하거나 컨테이너 실행을 일시 중지/일시 중지 해제하는 것이 도움이 될 수 있다고 상상할 수 있습니다.