随着Internet爆炸式的增长,网络上出现的攻击现象越来越多,而且攻击的技术手段也是随着安全防御措施的加固而千变万化,黑客们采用的攻击技术已不仅仅是ARP欺骗、脚本攻击、木马注入等,如超级蠕虫、隐蔽攻击等高级攻击技术也开始涌现,这使得网络安全问题日益凸显。在网络安全问题的研究过程中,出现了一系列的安防产品,如防火墙、入侵检测系统、VPN等,但这些产品的应用大多只是一种被动的防御,无法真正有效地打击恶意攻击者。因而计算机取证技术的研究就显得十分重要,通过电子取证技术主动获取非法黑客的攻击行为并完整重建,可以准确有效地打击非法黑客。计算机取证技术分为系统取证与网络取证。本文主要论述系统取证技术,结合当前的各种取证技术热点及其中英文相关文献,提出了一个系统取证总体框架模型。本文重点分析了三个子模块分别为:数据恢复技术模块、注册表取证分析模块和网络事件行为模块。在数据恢复模块中,设计出了基于FAT文件系统的连续与离散数据恢复算法,NTFS文件系统的数据恢复算法、已删除目录完整重构算法;针对注册表取证分析中,本文结合注册表的特点,给出了所有可能隐含证据的注册表键值,准确获取这些键值中存在的所有电子数据;在网络事件行为分析模块中,本文重点论述了受系统保护的缓存文件Index.dat,深入的分析此文件的结构,挖掘出了此文件包含的所有网络事件活动记录。测试表明,本系统是可行的,能够准确地再现发生在目标机中的各种行为。