云计算环境下的取证相对于传统的数字取证,具有其独特的性质,调查过程中涉及的对象更多,交互也更加复杂,由云服务提供商提供的证据信息也并不完全可靠,这些特性使得传统的数字取证框架以及取证工具不太适用,因而研究专门针对云计算环境的取证技术十分必要。随着容器技术的迅速发展,云服务与Docker容器技术相结合的方式逐渐流行。相应地,其安全问题也应该引起关注。因此,探讨Docker环境下部署应用的安全性,研究针对Docker容器中应用的取证方法,并对获取到的证据信息进行分析,能够帮助取证调查员及时获取可靠的证据信息,提高取证的效率。本文的主要研究内容如下:1.分析了传统数字取证方法,对云计算环境、虚拟机环境以及Web服务器现有的数字取证方法和工具进行了总结和探讨。根据传统的网站服务器及云环境下的取证技术,提出了一种针对Docker容器中网站应用的取证方法。在服务器端,主要对Docker重要命令进行解析,通过导出镜像的命令获取部署应用的容器快照,分析镜像文件并从中获取关键信息。另外,通过数据库可视化工具导出应用后台数据库表并从中获取有价值的信息。在客户端,主要通过分析浏览器缓存及历史记录提取出登录该应用的信息。2.从服务器端与客户端分别提取出应用的相关证据信息,将两端证据信息进行相似性分析,通过分析计算得出服务器端与客户端证据之间的相似度,再利用相似度证明获取到信息的真实性与可靠性。3.本文实现了一个取证原型工具。该工具可自动提取出服务器端和客户端有关该应用的证据信息,并实现证据之间的相似度计算。最后在Docker环境下部署一个信息管理系统网站,利用该网站模拟非法网站进行实验,验证本文提出的取证方法,实验结果表明该取证方法具有可行性。