随着利用计算机犯罪的事件越来越多,计算机取证技术(Computer Forensics)逐渐成为人们研究与关注的焦点。作为计算机领域和法学领域的一门交叉科学,计算机取证常被用来解决大量的计算机犯罪案件和安全事故,包括网络入侵、盗用知识产权和网络诈骗等。本文开篇对计算机取证、移动存储技术的研究现状进行介绍,给出本课题的研究目的和意义。认真学习计算机取证技术,包括计算机取证的定义、计算机取证的原则、计算机取证的流程及计算机取证常用的工具。在现有的计算机取证技术基础上,分析出现有工具的不足之处。接着介绍了移动存储设备的相关技术,包括U3技术,Windows如何管理USB设备,移动设备的安全问题等技术知识。在前面的理论基础上,提出一种新的计算机取证方法。该方法以移动存储设备作为硬件载体,结合开发的计算机取证软件,形成一种新的计算机取证工具。硬件载体以U3为原型,该工具可以对Windows系统中常用的文档进行搜索,如PDF文档,Word文档,Excel文档。本文采用Lucene搜索工具,给出搜索文档的关键技术。可以实现对国内常用的软件的使用痕迹进行获取,如Foxmail邮箱、QQ的聊天记录等。由于现阶段的计算机取证,大部分是将嫌疑硬盘取下带回实验室,由法政人员进行全盘拷贝。罪犯的电脑关机将会失去不少珍贵的临时数据,例如联网情况、储存在记忆体里的数据等,电脑关机也可能导致硬盘被加密,增加取证人员采集数据的难度。本课题就是在分析这种现状的基础上,提出一种新的基于移动存储介质的计算机取证系统,系统可以在计算机系统运行或待机的情形下按照事先定制进行信息提取,且系统运行后不在嫌疑机的系统内留下任何痕迹,系统运行时不引起用户的注意。本课题是在山东省计算中心网络重点实验室数字证据保全与取证系统的基础上,研究开发一种基于U盘的快速隐形数字取证系统,系统集成移动存储、信息采集、数据加密等技术。本文从理论研究和系统实现两个方面对这种新的计算机取证方法进行探讨,并对Hash算法进行详细介绍。