作为打击计算机犯罪的有力武器计算机取证受到人们广泛的关注。由于硬盘存储容量的增加传统的离线取证显现出一些不足。由于内核级木马的流行也使得在线取证受到挑战,因为这样获得的在线证据可能是不真实的。当我们仅有一份犯罪机器的内存镜像其他证据都被破坏时,内存镜像分析的结果将对案件审理起决定性作用,因此通过获取算机完整内存镜像的计算机在线取证以及证据分析已经成为研究的热点。在线证据分析指是对获得计算机在线证据进行数据分析推理的过程。通常在线证据的分析推理是由取证专家通过分析计算机在线证据的数据得到最终结论的过程,然而取证专家分析推理过程复杂不够清晰不易理解,而且推理过程往往包含专家的个人偏见,因此得到的推论可能会受到质疑。由于没有证据分析推理模型,证据分析推理过程不清晰,会受到挑战。因此本文提出了基于模糊认知图的计算机在线证据分析方法。本文主要工作以及创新：(1)本文提出使用模糊认知图表示计算机在线证据间的关系并使用模糊认知图的数值推理模拟证据推理的过程并得出结论。以模糊认知图的计算机在线证据木马检测为例说明使用模糊认知图对计算机在线证据进行智能分析的过程。(2)本文提出了计算机在线证据木马检测的方法,通过构建物理内存镜像的模糊认知图,使用概率测度代替通常确定的因果关系测度,使因果关系的表达更加合理,最终使用该模糊认知图进行推理判断。因为尽可能多的使用从物理内存镜像中获取的信息,综合这些异常的信息分析可以提高物理内存镜像木马检测的准确性。