云计算环境因其虚拟化、分布式、多租户和弹性伸缩等特点,使传统调查取证的技术手段和工具方法难以直接适用于云计算环境,给计算机取证带来了技术、规程和法律法规等诸多挑战。目前云计算环境下的证据获取研究较多的是虚拟机迁移或隔离技术,虽然这一思路可以保证证据链不被破坏、不影响证据可信性,但是对虚拟机的动态迁移会给云计算环境带来巨大的性能开销,而对虚拟机的隔离会导致已投产业务的中断。Docker是近三年来最受关注的容器虚拟化技术之一,它凭借灵活易用、部署快速、资源开销小、运行效率高等特点,迅速受到了国际主流云服务商的关注和跟进。另一方面,容器虚拟化技术作为虚拟化的一种实现方式,面向它的取证研究并没有得到应有的关注。和传统的云服务一样,基于Docker的云环境同样面临着遭受恶意攻击、被用于存储和传播非法信息、被作为跳板发起拒绝服务攻击等安全威胁。为解决面向Docker环境调查取证研究相对滞后的问题,本文主要做了以下研究工作:1.针对Docker的安全性风险进行了比较全面的研究,总结归纳了Docker可能面临的单一系统内核、DDoS攻击等安全风险,并提出相关的风险应对措施。2.在深入研究Docker技术的工作原理、服务架构、底层技术实现基础上,以云取证的视角看待Docker的调查取证问题,从文件存储和配置信息等多个维度研究Docker容器环境的调查取证,发掘其中存在的关键信息和获取途径,并搭建一套完整的基于Docker的Web服务作为实例进行取证分析。3.设计并实现了一个面向Docker容器内Bash日志的原型取证系统。经测试,该原型系统能够在与Docker容器无交互的前提下批量获取容器内部Bash日志信息,并将其安全地传输到取证服务器以供进一步分析。