计算机犯罪的高技术特性使取证科学产生了一个新的分支即计算机取证。与传统取证不同的是，计算机取证收集、分析的数据是计算机运行过程中所产生的数据。事件重建是计算机取证分析的一个重要部分，它是一项调查安全事件中所发生具体事件的重要任务。在入侵事件发生后，如何有效地进行计算机犯罪事件重建是计算机取证领域当前急需解决的重要问题。一种使事件重建更加严谨的途径是采用数学的方法，一旦事件重建被形式化，那么事件重建的自动分析就有可能实现。 为了达到上述目标，本文主要做了两个方面的研究工作： (1)根据计算机证据的特征及相关性，引入了一个基于角色划分的事件重建模型，把事件重建过程划分为五个阶段：证据鉴别、角色划分、事件重建、事件排序、假设验证，我们的目标便是希望能够根据这一模型来设计一个软件工具以实现事件重建。 (2)为了通过已知的证据来解释整个犯罪过程，又进而提出了一个基于有限状态机的事件重建算法和系统，通过这个算法和系统可以进行事件重建。这个被形式化了的事件重建算法和系统具有以下特征：被调查的系统被模拟为一个有限状态机；运用专门的形式化定义来描述证据；根据被调查系统的有限状态机模型，事件重建的结果被给出了准确的数学含义。 实验结果表明，以上模型和方法是可行和有效的，能够对计算机犯罪事件重建起到较好的辅助作用。