自从1988年的莫里斯蠕虫事件以来，入侵一直被视为计算机信息系统安全面临的最大威胁。近年来，一种新的计算机安全技术被广泛的关注和研究——计算机取证。计算机取证技术萌芽于九十年代初，蓬勃发展于21世纪，它是计算机安全与法律的交叉学科。目前已有的取证工具采用事后取证的方法，只能通过分析磁盘镜像的方式搜集证据，无法满足对入侵取证的需要。事后取证具有其优越性，如保证硬盘数据的真实和完整等等；但是同时具有天生的缺陷。事后取证丢弃了大量有价值的系统运行时产生的数据，利用这些信息可以确定入侵者的很多犯罪细节：攻击目标、入侵手段、入侵时间、发起入侵的机器地址等等。　　 我们研究的主要目的是提供一种有效的面向入侵攻击的计算机取证系统。本文在分析多种缓冲区溢出攻击的基础上抽象出入侵过程的一般模式，提出针对入侵攻击的取证系统应满足的要求。　　 1)实时地记录用户和进程的操作，而不局限于操作产生的结果；　　 2)具有一定程度的通用性，可以针对不同种类的入侵进行必要的定制。　　 3)实施严格的证据保护机制，防止证据被篡改或删除；　　 基于这种面向入侵的设计思路，我们在FreeBSD系统中实现了在操作系统内核中运行的取证系统KIFS(Kernel IntrusionForensics System)。在实际的入侵攻击场景中，KIFS实现了上述的对取证系统的三个要求。最后，在入侵取证实验中，根据KIFS得到的证据，我们成功记录并重构了一个针对FreeBSD4.3系统漏洞的本地提升权限攻击的完整过程；同时，我们测试了KIFS对系统增加了额外负载，对比了KIFS系统与普通操作系统的性能差别，为后继的研究奠定了基础。