计算机技术的飞速发展为人类文明开启一扇新大门,它在创造巨大财富的同时,也必然伴随毁坏的发生,计算机犯罪便是其中最常见也最屡禁不止的网络犯罪行为。计算机取证技术正是在这种情况下产生并发展起来的,它的目的便是充分搜寻电子证据,恢复网络犯罪现场,实现打击并破获计算机犯罪。计算机日志作为取证工作的关键证据,其安全性、完整性等都有着至关重要的作用。文章以Windows日志为基础,主要研究设计了如下内容:1.研究设计了一个计算机日志完整性检测模型。本模型主要利用Hash函数,为计算机系统日志生成一系列连续排列的日志唯一标识符,该标识符可以快速准确检测出日志是否被篡改,且能查到被篡改日志位置,同时利用数字签名技术为标识符确认身份,防止其中途被篡改。模型也引入了可信第三方,一方面可以提高存储性能,另一方面可以提高其存储安全性。性能分析结果表明模型能够实现计算机日志快速高效的完整性检测。2.建立一个计算机取证动态模型。该模型基于改进的Aprior算法,改进后的算法可以有效减少频繁项目集的生成数量,从而增加搜索效率,同时在Apriori算法中新增加了一个目标日志标识位,它对取证人员发现“感兴趣”日志非常有用,尤其在计算机日志量大且更新快的情况下效果更佳。通过对不同最小支持度和不同日志量两种情况下的性能进行分析,结果表明基于改进的Apriori算法计算机取证更快速、更准确、更有目的性。