基于Docker容器的電子數據取證方法

李鵬超,周 凱

(1.重慶警察學院 信息安全系,重慶 401331；2.西南大學 計算機與信息科學學院,重慶 400715)

目前,虛擬化技術已廣泛應用于服務器中,Docker虛擬化技術[1-3]因其提供了輕量化的虛擬環境,與其他虛擬化工具相比更具優越性.但Docker虛擬化技術使用過程中還有諸多問題需進一步解決[4].例如,當Docker環境遭受人為破壞或攻擊時,取證人員所進行的基于Docker環境的數據調查取證問題，目前尚未見對Docker取證技術進行深入研究的報道.取證人員為了解在一個Docker主機上發生的真實情況,除利用現有的主機調查取證方法外,還需要一種基于Docker環境下的特殊化取證方法.因此,本文在對Dokcer原理及相關技術分析的基礎上,提出一種基于Docker主機的調查取證模型,并根據該取證流程各環節中Docker主機所處的不同狀態制定有針對性的數字取證方法.

1 Docker技術

1.1 傳統虛擬機與Docker對比分析

圖1為傳統虛擬機與Docker對比的示意圖.由圖1可見,傳統虛擬機宿主主機操作系統上層是管理程序,管理程序上層是客戶操作系統,最后在客戶操作系統上運行應用程序.而在Docker環境中,宿主主機操作系統上層為Docker引擎,Docker在引擎上構建一個相互隔離的容器,在容器內運行應用程序.

Docker與傳統虛擬技術的區別為Docker上不安裝客戶操作系統,只設置服務器的程序和庫,且Docker引擎共享宿主機操作系統資源[5].

1.2 鏡像和容器的原理

Docker中的鏡像可提供服務器所需的程序、可編譯執行文件等所有文件系統資源.而容器是Docker由鏡像構成的……