内存取证作为计算机取证领域的一个分支，已经成为打击网络犯罪的手段之一。对上层应用程序的内存数据进行分析可以得到用户的历史数据等信息，然而现有的研究工作大都集中在对底层系统级内存数据的分析，缺乏对应用程序内存数据的分析工作。Web浏览器是互联网上最常用的网络应用软件之一，各主流浏览器提供的隐身模式浏览功能可以提高用户的隐私保护能力，但是该功能却给计算机取证人员带来了巨大的挑战。因此，本文对隐身模式下的用户浏览数据恢复方法进行了研究。　　 首先，本文研究了Windows操作系统的内存管理机制。作者分别研究了物理地址扩展与非扩展模式下的虚拟地址转换机制以及Windows操作系统对进程用户空间使用的虚拟内存地址的管理问题，并设计了两种提取进程内存空间数据的方法。　　 其次，论文研究了谷歌浏览器的多进程框架的工作原理，并对其源码进行了分析，设计了一种从内存中恢复谷歌浏览器在隐身模式下的浏览数据的方法。该方法将分析范围限定在浏览器进程空间中，通过将进程数据与目标数据的模板进行匹配，从而恢复出用户的浏览数据，并依据HTML文档头部指定的编码格式进行解码和显示。　　 最后，作者实现了用户浏览数据恢复方案的原型系统，并通过实验对该系统进行了功能性测试和性能分析。实验结果表明，该方案能够有效地从内存镜像中恢复出隐身模式下谷歌浏览器用户的浏览数据。