以计算机和网络为基础的各种应用引起的社会纠纷不断出现，针对计算机和网络的犯罪活动层出不穷。计算机取证技术可以有效打击计算机犯罪行为，是解决争议和打击计算机犯罪的重要手段，是实施信息保障的一个重要方式，在保持社会稳定和维护法律秩序方面起到重要作用。　　 传统的计算机取证是基于文件系统的，可以获取到磁盘上的临时文件、windows注册表、未删除和已删除的文件、休眠文件、各种移动介质和浏览器缓存等证据信息。但是随着反取证技术及隐私模式的运用，传统的电子痕迹提取技术往往无法获取相关证据。通过内存取证可以获取如进程信息、线程信息、网络连接信息、账户密码信息等用传统的基于文件系统的取证方式难以获取的证据信息。内存取证是计算机取证的补充和辅助，在很多情况下能够为计算机犯罪案件的侦破提供一种重要的线索。数字图像作为一种有利的信息载体，被广泛应用到社交网络及新闻报道等网络环境中，在我们的日常生活中扮演了越来越重要的角色。本文研究的内容主要是内存镜像中图像证据的获取。　　 为了快速定位目标活动进程，提取对应的物理内存数据，分析了Windows内存管理技术，分析了Windows系统中进程运行时其EPROCESS结构的特性及作用，提出了基于EPROCESS特征的物理内存查找方法。该方法利用EPROCESS结构的特性，定位出活动进程的EPROCESS结构，找出进程页目录基地址，并根据虚拟地址描述符的功能，提取活动进程物理内存。为了定位内存中的图像数据，分析了JPEG图像的特征，提出了适用于内存取证领域的图像数据提取方法。实验结果表明，本方法可以有效定位活动进程，提取出活动进程物理内存及图像数据。