随着信息技术的发展,计算机与网络成为社会政治、经济、文化生活的重要组成部分,而与此相关的各种计算机犯罪现象也日益突出。计算机取证技术成为打击计算机犯罪的重要手段,是目前计算机界和法学界共同研究、关注的重点。本文介绍了计算机取证技术的现状和发展情况,比较了现有的计算机取证模式,分析了离线取证模式的不足,指出了在线取证模式研究的必要性。物理内存取证是在线取证的重要环节,也是当今的研究热点。本文旨在研究物理内存取证中的物理内存镜像获取技术。现有技术是在用户态打开DevicePhysicalMemory内核对象来访问物理内存,然而在Windows 2003及Vista等版本下,用户态访问此内核对象受到限制,只有通过内核态才能访问。因此,需要通过驱动程序的方法。本文开发的基于内核驱动的物理内存镜像获取工具,可以解决DD等当前取证工具在Windows高端版本下使用受限的问题。研究物理内存,首先要了解Windows操作系统内存管理机制。Windows操作系统采用请求分页的虚拟存储管理技术,通过在虚拟地址空间的页与物理地址空间的页之间建立映射,实现虚拟地址到物理地址的变换。地址变换过程由内存管理单元(MMU)自动完成,但是对取证过程中的数据比对分析,需要手工完成地址变换过程。以往的研究对地址变换的描述都是基于X86体系模型,与当前大量使用的采用物理地址扩展(PAE)模式的XP系统并不完全吻合。本文结合Windows XP SP2版本提出地址变换公式。同时,由于一直以来大量的相关文献都依赖微软所颁布的技术资料,仅以虚拟地址空间的观点来解释虚拟地址转换的过程,无法解释任意进程的虚拟地址,如何映射到物理地址空间中。本文使用进程和物理内存的观点来研究地址变换,清晰的说明了任意进程的虚拟地址空间如何在物理地址空间中定位。本文结合Windows系统结构,阐述了内核驱动程序访问物理内存的基本原理,依照驱动程序基本框架,开发了内核驱动程序和用户态调用程序,来获取物理内存镜像,并提供了程序的核心代码。然后,对实验结果进行了分析评价。虚拟内存文件镜像的获取,也是物理内存镜像获取的重要方面。目前还没有相关的软件。由于XP下pagefile.sys是隐藏文件,需要在磁盘上准确定位该文件。本文详细阐述了磁盘的文件系统原理,分别针对NTFS和FAT32两种文件系统,设计出获取该文件的实现方法。