近几年来,以欺诈、篡改、盗窃电子数据为表现形式的高科技犯罪手段与日俱增,计算机取证技术已经逐渐成为当前的研究热点。但是目前计算机取证技术研究,主要集中在电子数据的恢复和海量信息的关联分析和数据的挖掘,针对特定的主机行为操作分析研究相对较少。根据主机取证的特点,本文提出一个基于主机的行为分析取证框架,并对其中的关键技术进行研究,尤其是对用户浏览器上网活动、USB设备插拔复制、以及文件操作等主机操作行为的遗留痕迹进行分析和研究。在分析犯罪嫌疑人在目标机器的操作过程中留的痕迹基础上,通过恢复、汇集、格式化、排序以及多粒度、多层次的分析,重构犯罪嫌疑人在主机上的行为过程,进而为法庭提供直观可靠具有司法效力的电子证据。在相关研究的基础上,研发了基于主机的取证系统“Forensics_Host”,并通过测试表明,框架是可行的,能够较好地重构用户在主机上进行的特定的操作行为。