随着计算机技术的飞速发展,计算机犯罪率也以惊人的速度增长,逐渐成为人们普遍关心的国际性问题。从公安部获悉,目前我国计算机犯罪大多是罪犯对涉案计算机的现场直接操作,而非远程操作。犯罪现场安装的闭路电视监控系统只能证明罪犯在某一时段来过犯罪现场,并对计算机进行了某种操作,但无法证明罪犯对计算机具体进行了何种操作。如果能取得罪犯在此时间段内对主机操作所产生的日志,并当作有效证据提交给法庭,便能将犯罪者绳之以法。传统计算机取证技术所分析的信息是案发后从涉案计算机中提取的,而这些信息,很有可能是已被作案者破坏过的。本文提出了一种基于Windows日志安全保护的计算机取证模型,可以克服传统计算机取证技术的滞后性。本模型采用分布式结构,驻留在被取证机上的进程将事件日志在产生的同时提取出来,并使用MD5和RSA算法生成日志信息的数字签名和能证明日志相互关联关系的消息摘要,通过SSL协议将日志信息安全传输到另一台用于保存日志的取证机上,使用数据库实现日志的保存,并能够通过验证算法证明日志证据的原始性和真实性,从而保证了日志证据的安全性和抗否认性。通过原型系统的试验,证明本模型能够及时地获取日志信息,并通过多种安全加密技术保证了日志的准确性、可信性和有效性。