计算机取证是打击计算机犯罪的有力工具及手段。传统的计算机取证大多采用事后分析的静态取证技术，该取证技术存在的问题是，证据的采集不够及时、全面，经恢复的数据可能是已经被篡改的数据，因而证据的法律效力低；同时证据的分析和提取工作效率较低。 本文提出一种基于多Agent的分布式计算机动态取证模型，将入侵检测技术引入计算机取证。系统采用基于多Agent的分布式数据采集策略，取证范围广，且取证信息的种类可以通过证据收集Agent的增加而动态扩展，系统扩展性好。由于将入侵检测技术引入计算机取证，在被保护子网中对系统中的用户行为及网络流量进行实时监控，通过主动对系统环境进行记录，尤其对易丢失数据进行同步记录，实时获取入侵证据，解决了事后证据收集中的许多困难，提高了证据的证明能力。由于系统采用分布式策略，数据的采集及入侵检测任务分配至各个代理，从而有效地提高了系统的处理速度和能力，系统效率高。通过采用身认证、数据加密，VPN、数据签名等多种安全措施，确保证据的完整性。采用证据融合的数据分析技术，通过多源联合信息降低了误警率，增加了证据的可信度，提高了证据的有效性。 本文的研究成果为进一步探讨计算机取证基本方法，从而构建实用有效的计算机取证系统建立了基础。