Docker Forensics
Kubadilisha Kontena
Kuna mashaka kwamba kontena fulani la docker limeingiliwa:
Unaweza kwa urahisi kupata marekebisho yaliyofanywa kwenye kontena hili kuhusiana na picha na:
Katika amri ya awali C inamaanisha Kilichobadilika na A, Ongeza.
Ikiwa utagundua kwamba faili fulani ya kuvutia kama vile /etc/shadow
ilibadilishwa unaweza kuipakua kutoka kwenye kontena ili uchunguze shughuli za uovu kwa:
Unaweza pia kulilinganisha na ile ya asili kwa kukimbia kontena mpya na kutoa faili kutoka humo:
Ikiwa unagundua kwamba faili fulani ya shaka imeongezwa unaweza kupata ufikivu wa chombo na kuichunguza:
Kubadilisha Picha
Unapopewa picha ya docker iliyohamishiwa (labda katika muundo wa .tar
) unaweza kutumia container-diff kuchambua muhtasari wa mabadiliko:
Kisha, unaweza kupunguza ukubwa wa picha na kufikia blobs ili kutafuta faili za shaka ambazo unaweza kuzipata katika historia ya mabadiliko:
Uchambuzi wa Msingi
Unaweza kupata taarifa za msingi kutoka kwa picha inayoendeshwa:
Unaweza pia kupata muhtasari wa historia ya mabadiliko kwa:
Unaweza pia kuzalisha dockerfile kutoka kwa picha na:
Zama
Ili kupata faili zilizoongezwa/kubadilishwa kwenye picha za docker unaweza kutumia dive (pakua kutoka releases) kama chombo:
Hii inakuwezesha kuvinjari kupitia blobs tofauti za picha za docker na kuangalia ni faili zipi zilizobadilishwa/kuongezwa. Nyekundu inamaanisha imeongezwa na manjano inamaanisha imebadilishwa. Tumia tab kuhamia kwenye maoni mengine na nafasi kufunga/kufungua folda.
Kwa die hutaweza kupata maudhui ya hatua tofauti za picha. Ili kufanya hivyo utahitaji kudecompress kila safu na kufikia. Unaweza kudecompress safu zote kutoka kwenye picha kutoka kwenye saraka ambapo picha ilikuwa imekudecompress kwa kutekeleza:
Vitambulisho kutoka kumbukumbu
Tafadhali kumbuka kwamba unapotekeleza chombo cha docker ndani ya mwenyeji unaweza kuona michakato inayoendeshwa kwenye chombo kutoka kwa mwenyeji kwa kutekeleza tu ps -ef
Kwa hivyo (kama mtumiaji wa mizizi) unaweza kudump kumbukumbu ya michakato kutoka kwa mwenyeji na kutafuta vitambulisho kama kwenye mfano ufuatao.
Last updated