随着计算机网络技术的快速发展，网络犯罪日益增多，犯罪手段也日益多元化。这时计算机离线取证存在的许多不足就逐渐显露出来，比如:很多易失数据如内存映射文件等将会丢失，内核级别的病毒或木马有可能为运行于用户态的取证工具提供虚假信息，因此离线取证已经不再满足需求，基于这些不足动态取证应运而生。越来越多的网络安全问题需要使用动态取证去解决，如浏览器隐私模式，在这种模式下用户的浏览行为将会被浏览器自动擦除，而不在本地磁盘中留下任何痕迹，传统的磁盘取证就不再适用。基于此，本文针对浏览器隐私模式这一典型应用进行了内存取证的研究工作，主要包括以下几点:　　 (1)随着网络技术的迅猛发展，互联网应用产品也不断推陈出新。作为使用最广泛的互联网入口的web浏览器也不断升级，现在就出现了一种应用可以消除用户的浏览痕迹，即隐私浏览模式。本文对多个主流浏览器的隐私模式进行了测试，检测隐私模式是否真能消除浏览痕迹。　　 (2)通过上述实验发现，浏览器的隐私模式使得用户的浏览痕迹无法存留于本地硬盘中，为了解决由此引发的取证难题，这里提出了一种新的内存数据获取方法。传统的内存取证方式主要是先获取整个物理内存的镜像文件，再通过KPCR结构的分析，从镜像文件中获取指定进程中的内存数据。但是这种方法存在明显的不足:针对性不强，运行速度慢。为了克服这些不足，本文提出一种方法，通过对进程的CR3寄存器内容的替换实现对指定进程内存空间的提取。　　 (3)为了验证上述数据获取方法的正确性，本文首先设计了一个网页并用浏览器打开，然后根据上述提出的新算法获取浏览器进程的内存数据，再根据HTML的开头和结尾的结构进一步从内存数据中获取HTML，最后根据该HTML恢复网页。本文通过网页的正确恢复，证明了内存数据获取算法的正确性。　　 (4)为了进一步简化取证人员的分析工作，提供更加完整的电子证据，这里从浏览行为取证的角度建立了一个目标数据集，再从获取到的内存数据中搜索目标数据，最后用这些数据构成完整的电子证据。