1、計算機科學以及信息技術的發(fā)展，使人們從信息技術的應用中享受到了諸多好處，但同時也面臨著越來越多的計算機犯罪活動。目前全世界范圍內大多數(shù)服務器都運行著Linux系統(tǒng)，隨著計算機犯罪的技術水平不斷提高，有必要研究基于Linux系統(tǒng)的計算機取證方法與關鍵技術，以滿足打擊計算機犯罪，保證信息安全的需要。
　　首先，介紹了取證基本模型，提出了計算機系統(tǒng)取證的總體框架結構圖，并將取證體系結構劃分為證據(jù)收集模塊、數(shù)據(jù)保全模塊、證據(jù)分析模塊、取證

2、監(jiān)督模塊和證據(jù)提交模塊，本文重點研究的是證據(jù)收集模塊。
　　在動態(tài)證據(jù)收集方面，本文首先研究了如何查找收集Rootkit證據(jù)。從分析內核Rootkit的實現(xiàn)原理入手，進行內核Rootkit的檢測和收集方法設計，再給出具體實現(xiàn)過程。通過特征文件匹配、特征字符串查找、用戶登錄日志、隱藏進程、隱藏端口和網(wǎng)卡混雜模式檢測，實現(xiàn)了用戶級Rootkit的檢測與收集，最后，本文給出了內核和用戶級Rootkit檢測與收集的實驗結果。
　　再

3、次，從入侵軌跡、痕跡，攻擊目標、手段和隱藏入侵的角度出發(fā)，研究了靜態(tài)證據(jù)的收集，靜態(tài)證據(jù)重點收集可疑文件、日志文件、用戶權限敏感文件、隱藏文件和部分配置文件信息。
　　最后，本文設計與實現(xiàn)了靜態(tài)證據(jù)收集系統(tǒng)，采用分層設計開發(fā)的思想，將系統(tǒng)劃分為四個層次：鏡像層、文件系統(tǒng)層、應用層和界面層，提高了開發(fā)的效率，也減少了系統(tǒng)測試的難度。鏡像層獲取被入侵計算機上的Linux分區(qū)數(shù)據(jù)，并以文件的形式保存在取證計算機上。文件系統(tǒng)層實現(xiàn)數(shù)字證據(jù)