随着信息技术的发展和广泛应用,计算机犯罪和入侵事件时常发生,计算机取证技术作为对抗计算机犯罪的关键技术应运而生,对电子证据的保护和恢复越来越受到人们的关注,文件雕复技术作为一种不依赖于文件系统元信息的数据恢复技术,有效地弥补了计算机取证中的不足,并成为计算机取证领域的研究热点。本文首先介绍了计算机取证中关于日志取证的步骤和研究现状,接着分析了日志取证中面临的困难,指出在计算机取证过程中对文件恢复的要求日益增强,取证人员急需有效的办法解决在取证过程中遇到的文件被删除、破坏等极端情况。然后全面介绍了现有的文件雕复技术,讨论了各种雕复方法的原理性能和适用场合,并对计算机日志文件取证的最新研究成果进行了阐述,分析了其局限性和不足。通过总结现有文件雕复技术的局限性及面临的挑战,提出了文件雕复技术今后的发展方向应当是结合多种文件雕复方法、充分利用文件特有的内部结构和内容特征来雕复文件,重视处理分片文件和破损文件。日志文件用来描述操作系统、应用程序和用户的行为、监控用户对系统的使用情况、记录系统中的异常事件,同时也能反映入侵者的痕迹,因此它可以为调查取证提供很多关键的信息。但是,在计算机犯罪案件中,入侵者往往会故意销毁与其入侵行为有关的系统痕迹如系统日志文件和注册表信息等。因此在取证过程中,经常需要从已被删除或破坏的日志文件中恢复数据作为呈堂证据。本文在深入研究日志文件类型的内部结构和内容特征的基础上,运用信息统计学、数据结构、语义等相关领域的知识,将基于内容特征的理论思想应用于文件雕复过程,以弥补现今文件恢复工具的不足,改善文件雕复的效果。文中以Windows NT系统下的日志文件(EVT文件)为研究对象,提出了一种基于内容特征的EVT文件雕复方法,该雕复方法结合运用了文件头/文件尾/文件尾偏移验证、文件重叠验证、熵差验证、基于记录ID号或时间戳的分片重组验证和语义验证等多种验证算法,它们分别用于确认EVT文件是否分片、分片点检测、匹配并重聚分片等。基于内容特征的EVT文件雕复方法与其他雕复方法被应用于三个具有普遍意义的系统镜像中,实验结果表明该雕复方法无需任何人工干预,能够自动重聚EVT分片文件(包括无序分片)并加以准确恢复,雕复效果优于其他雕复方法。最后,在进行EVT文件雕复方法的理论知识研究和实验效果测试的基础上,本文进一步深入研究了一种全新的日志文件格式—Windows Vista系统下的日志文件EVTX,通过深入剖析其结构特征,提出了基于内容特征的EVTX文件雕复方法。该方法采用Evtx文件的文件头、文件块数目验证来识别文件是否分片,确认完整文件的实际尾部;利用文件块特征来搜索和匹配分片文件的数据块Chunk;从数据块Chunk中提取单条日志文件记录并解析其内容为文本形式。实验以一个Windows Visa分区镜像为数据集,实验表明本雕复方法可以自动且准确地雕复在原始磁盘镜像中连续和分片存储的Evtx文件。