随着信息安全和计算机取证技术的迅猛发展,计算机犯罪的手段和使用的技术也日新月异,犯罪份子使用的技术更加隐蔽、恶意程序更加深入底层、恶意程序驻留的位置也更加多样化,计算机犯罪的定罪也越来越困难。传统的计算机取证技术更多关注的是计算机系统中静态数据,如硬盘、光盘等,而忽略了很多驻留在内存中的潜在证据；而且新型的恶意程序经常隐藏在Bios、Firmware、PCI controller等地方,无法在文件系统中找到；再者,由于硬盘容量的不断增长,导致传统文件系统分析的难度也越来越大；但是不管恶意程序隐藏在哪里,在当前的计算机体系结构中,内存是所有可执行程序运行的地方,当然就会留下曾经运行过的痕迹和证据,加上内存的容量相对于硬盘等磁介质存储器来说还比较小,分析的速度相对来说比较快。因此研究内存取证技术就显得十分重要,可以更有效地打击计算机犯罪行为。本文的研究基于Windows NT系列操作系统,研究了在该系列平台下,计算机中的物理内存镜像的获取和分析技术,目的是为了建立从镜像获取到取证分析的内存取证的框架,为了达到这个目的,本文深入研究了Windows NT系列操作系统的核心运行机理和虚拟内存管理机制,重点研究了PAE模式下虚拟地址到物理地址的转译过程、内核对象访问技术以及系统的核心数据结构KPCR、KDBG、 EPROCESS的作用和相互之间的联系等；通过理论和实践验证的方式研究了地址转译过程、DevicePhysicalMemory对象的访问、在映像文件中扫描特定证据的方法；提出了通过内核驱动程序获取系统物理内存镜像和内存镜像取证分析的基本框架；实现了该系统,详细介绍了系统主要模块的设计,最后对系统进行了功能测试和性能测试。