随着计算机的发展和网络的普及,计算机犯罪呈现日趋严重的趋势,给国民经济带来了严重的破坏。打击和防范计算机犯罪已成为一个重大的难题。计算机取证技术正是在这种形势下产生和迅速发展的。计算机取证是一门结合计算机领域和法学领域的交叉学科,它主要研究如何将犯罪者留在计算机及其相关的设备中的电子证据作为有效的诉讼证据提供给法庭的技术。Windows系统是国内外使用最广泛的操作系统之一,同时Windows系统的安全性也经受着各个方面的考验。注册表是Windows操作系统、各种硬件设备以及应用程序得以正常运行的核心“数据库”,注册表还记录着犯罪者进行犯罪的大量证据,成为打击计算机犯罪非常重要的线索和证据来源。Windows注册表取证分析技术面临的关键问题是如何把注册表Hive文件从磁盘镜像中恢复出来,以及如何存储和分析大量的注册表数据。本论文结合国内外计算机取证的基本模型,提出了针对Windows注册表的取证分析过程模型。Windows注册表取证分析过程分为三个阶段:证据收集、证据分析和证据表示。本文还着重对取证过程中涉及的关键技术进行阐述。本文的主要贡献在于:(1)提出了一种Windows注册表取证分析的过程模型。该模型帮助取证人员有条理的进行注册表的获取和分析,并在很大程度上减少人工操作。(2)对Hive文件进行恢复。由于Hive文件在磁盘中存在着分片,而传统的恢复软件很难对分片文件进行有效的恢复。本文对Hive文件的内部结构进行分析,具体探讨Hive文件在磁盘中的各种分片情况,并利用内部结构和N-Gram算法来帮助取证人员恢复这些文件,具有较高的实用性和准确性。(3)利用注册表数据之间的相关性特征对其进行压缩存储。由于注册表数据冗余性,有必要对这些数据进行压缩。压缩后的数据的查询的效率不会受到影响。(4)建立注册表数据库,进行关键字查询和关联分析,提高证据分析的效率。基于Windows注册表取证分析技术研究,不仅能够为注册表取证过程提供系统化的取证模型,减少传统取证过程中的人工干预,而且可以通过不同证据之间的关联分析,增强证据的说服力。最重要的是,本文针对不同取证阶段中可能涉及的关键技术进行详细讨论,从而增强了Windows注册表取证分析模型的实用性和扩展性。