基于Docker容器的電子取證系統

王星博 阮強 張瑞霞

摘要：該系統設計了一個面向docker容器的電子取證系統。在該系統中，以對docker的文件管理系統Overlay2的特點和作用原理的研究為基礎，編程實現文件哈希值的提取、已刪除文件的恢復、容器歷史進程的記錄、關鍵字搜索等功能。

關鍵詞：docker;電子取證;文件系統

中圖分類號：TP311? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）27-0143-02

1 背景

在當今社會的網絡犯罪中，調查員在收集網絡證據時面臨著很多挑戰，如大量的工作重點放在事后獲取，調查員使用工具復雜繁多等等。這些無疑增加了調查網絡犯罪的難度。而Docker提供得靈活快速的部署模型 （Datadog 公司， 2016） 以及基于大型生態系統的快速軟件開發能力，Docker 具有能比肩Linux、Windows等常見操作系統的快速執行的特點和輕量且虛擬化的特點。這使它在特定軟件開發過程中已經起到了非常廣泛的作用，作為能支持分布式計算環境下的主要容器虛擬化的技術之一，Docker已經被大部分提供計算服務的系統平臺所采用。在Docker和云計算技術緊密結合并高速發展的今天，基于Docker環境下的電子取證研究更需要人們深入關注、探索、開發。

但它依舊是一種相對較新的技術。虛擬環境下取證的困難和docker取證的研究工作較少，這使得docker在事件分析和調查取證方面的系統開發尚未被考慮到，而且隨著現在的docker在生產環境的不斷部署，這一現象正變得越來越嚴重。

2 系統的總體設計

系統整體模塊層次圖，如圖1 所示。通過指向容器路徑，獲取容器ID，對容器的各個組件和文件系統進行取證分析。系統運行結束后會生成一個以容器ID命名的目錄，目錄下會存放log文件，文件hash值表格文件，生成輔助文件恢復模塊、查找模塊工作的輔助文件，拷貝容器中記錄歷史操作、快速索引等含有重要信息的容器文件。

3 系統的詳細設計與實現

3.1 Hash值提取模塊

在收集數字證據時（如對機械硬盤或者固態硬盤做鏡像），全部內容（換句話說，每一個比特都被收集）組合在一起生成一個唯一的單項哈希值。一旦掃描過程完成，就可以重新計算每個文件的單項哈希值。如果新的計算結果與原始結果相匹配，就能證明證據沒有被修改。并能通過這個哈希值與我們的哈希值庫相比較，檢測木馬文件。該功能工作流程如圖2所示。

3.2 文件恢復模塊

文件雕刻技術是文件恢復的常用手段，此方法可以恢復尚未被覆蓋的、已被覆蓋和被刪除的文件。但碎片文件只能不完全的重建。此外，對于文件的任何元信息（如文件名，路徑，時間戳或類內容）都會丟失。因此文件雕刻獲得的信息是非常含糊的，甚至是不準確的。索然在事件分析時可能有用，但因不確定性太強而不能用在取證調查中。與文件雕刻相比，文件系統分析技術使用存儲在文件系統中的管理結構，根據docker特有的文件系統Overlay2的結構能更全面地進行取證調查。

還可在/var/lib/docker/containers/[ContainerID]下對子diff子文件夾和merge子文件夾進行更進一步的取證分析。Diff文件夾中包含了所有在r/w層中創建且還未被刪除的文件。而merge文件夾包含了overlay2文件系統提供的所有文件系統層。當用戶刪除了較低層的r/w層中的文件時，系統會分配一個將其標記為Linux字符設備的inode，從而指引Overlay2文件系統忽略被inode標識的文件以讓用戶查看全局的視圖。而本身即在r/w層中創建并在隨后即刪除的文件將使用和正常情況形同的操作系統/文件系統功能刪除。在這種情況下，刪除應用存儲在r/w層，但文件本身仍在鏡像層。依此，即可找到原文件。

3.3 關鍵字搜索模塊

關鍵字上下文搜索具有對像磁盤鏡像或者內存快照這樣的數據對象進行搜索的能力，以發現與特定上下文和類別相關聯的關鍵字或者短語。例如想在一個磁盤鏡像中搜索“毒品”關鍵字的出現等等。該功能主要采用BMH算法，其工作流程如圖3所示。

4 系統測試

部署系統源碼和環境后，輸入容器的絕對路徑，開始取證。取證后得到文件hash值表。如圖4所示。

除了記錄Hash值，還整理了其相應的時間戳、標簽等重要信息。

容器的歷史操作記錄。如圖5所示。

5 總結

本篇文章討論并指出了docker環境下電子取證的研究意義，對docker文件系統Overlay2系統做了詳細的闡述，并提出利用此文件系統進行取證的方法和實現原理，并且對軟件的功能和應用技術進行了展開分析。同時，又在系統的Hash值提取和關鍵字搜索功能實現時也結合了計算每個文件的單項哈希值的算法、BMH算法。功能實現和程序測試的過程中達到了預期的效果。如用戶與程序的界面交互方面、系統功能的實用性方面。同時，本系統也將會針對在網絡取證、優化算法方面進行改進。

參考文獻：

[1] 劉品新.電子證據的基礎理論[J].國家檢察官學院學報，2017，25（1）：151-159.

[2] 王長杰.網絡犯罪中電子證據取證的規范化管理路徑[J].河北公安警察職業學院學報，2016，16（3）：15-19.

[3] 樊崇義，李思遠.論電子證據時代的到來[J].蘇州大學學報（哲學社會科學版），2016，37（2）：99-106.

[4] （美）Chet Hosmer.電子數據取證與Python方法[M].張俊，譯.北京：電子工業出版社，2017.

【通聯編輯：代影】