随着计算机的发展和Internet的普及应用,各种各样的网络犯罪层出不穷。由于网络环境的特殊性,与传统的取证方法相比,网络环境下的计算机取证面临着涉案人员的身份难以确定、犯罪行为难以认定、技术对抗性较强等难题,传统的取证方法已不再适应信息化发展的要求,着手建立和完善网络环境下电子证据的取证理论与方法具有重要的现实意义,已成为当务之急。针对上述问题,分析国内外关于计算机取证方面的研究进展,指出现有计算机取证技术、方法和工具存在的不足,围绕在开放的Internet环境下的如何进行动态的计算机取证进行了研究。在分析Rootkit技术原理的基础上,给出一种借助木马原理的分布式动态计算机取证系统(TBDFS),借助Rootkit木马原理,实时地对开放网络环境中的机器进行监控,分布式地收集和组织证据,并在发现非法行为时根据策略灵活的选用不同的应对方式,增强电子证据获取能力和保障证据的安全性。针对系统所涉及的关键技术,如系统实时监控、取证Agent的自我隐藏、分布式数据收集、基于规则的误用检测、灵活的策略控制、证据的安全保护、证据处理和分析等方面进行了较深入的研究。完成TBDFS系统的设计,详细说明各模块的组成及实现方法,并通过灵活的分层和插件体系结构,提供“即插即用”的方式对系统现有功能灵活地进行升级或扩展。C、C++作为原型系统的编程语言,Visual C++ 6.0和Windows Driver Development Kit 2003作为编译工具,实现了TBDFS系统原型,并在开放Internet环境中两台使用Windows XP操作系统的PC机上进行了现场测试,测试结果表明:该原型系统可以实现匿名举报、电子证据的侦察和收集与分析功能,实现了开放网络环境下电子证据的秘密收集与刑事侦察,为法官全面审查证据和做出公正判决提供一种新的思路。