随着互联网的普及,人们在工作和生活中越来越多地使用互联网,从查询资料到网上购物,从撰写博客到网络聊天,特别是电子商务的发展使得社会的经济很大程度上依赖于网络,然而,近年来,基于互联网的犯罪一直呈上升趋势,网络安全给公民个人、社会甚至国家安全都带来巨大的威胁。计算机取证是在计算机犯罪案件中对案件进行调查取证和分析的技术,是打击计算机犯罪,维护计算机系统安全的重要手段,随着新型犯罪手段的出现,现有的计算机取证技术已经无法适应新形势的要求,本文从证据分析模型入手,讨论并分析了计算机取证中的事件重建方法,基于现有事件重建方法,提出了支持假设评估的事件重建模型。该模型基于计算机系统对象关联技术。同传统方法中将计算机状态看作一个整体不同,本文所提方法将系统API函数作为事件单元,形式化地给出了计算机中事件的定义及事件关联方法,探索了基于现有证据集合对给定假设进行评估的方法。评估的结果有利于侦查人员选择下一步的取证方向。文中分析了浏览器的行为特征,定义了五种证据类型,提出了动态取证中的证据管理方法。最后,设计了面向Web浏览器入侵的动态取证系统,并实现了系统原型。经实验验证,该系统能够在入侵发生时准确的记录下入侵行为产生的相关证据,具备良好的性能。