计算机在线取证技术是打击计算机犯罪的有效手段,在线取证工具的优劣会直接影响到证据的有效性,对案件的侦破产生极大的影响。针对这种情况,本文对现阶段流行的计算机在线取证工具进行了测试和分析。本文首先介绍了计算机取证的发展现状和现阶段流行的四款在线取证工具的基本情况,指出了在线取证调查面临的困难和测试计算机在线取证工具的必要性。由于基于内核态木马(Rootkit)或病毒的出现以及其他数据隐藏技术的发展,目前在线取证工具获取的数据有可能是经过木马等恶意程序篡改过的,本文详细分析了Rootkit木马的各种隐藏技术,为测试工作的进行和测试结果的分析奠定了基础。同时在线取证调查中的取证流程将会对取证结果产生很大的影响。在调查过程中很可能会由于不同的设计逻辑和取证操作,导致取证结果出现很大的偏差。本文总结了在线取证调查过程中应该遵守的基本原则和调查人员应该具备的良好职业习惯,在结合电子证据易失性的基础上提出了计算机在线取证调查的一般流程,以此作为衡量取证工具执行顺序正确与否的标准。取证工具执行前后是否对内存产生了影响是必须要进行测试的部分,然而现在流行的基于字符串分析的方法在很多情况下存在问题。本文设计和开发了基于KPCR的内存分析工具,它可以从Windows系统的内存镜像文件中获取进程信息、线程信息、进程调用的DLL、打开的文件信息、驱动信息等。同时为了验证EnCase的硬盘字符串搜索功能的正确性,本文设计和开发了硬盘字符串搜索工具,它可以在NTFS和FAT32文件系统下对硬盘进行任意字符串的搜索工作,支持Unicode、GB2312、Big5三种字符集,同时还可以进行简单的数据恢复工作。在计算机在线取证调查的基本原则和一般流程的基础上,本文提出了在线取证工具的测试指标,从工具的执行顺序、自定义性、时间要求、全面性、完整性、冗余性和正确性、对内存的保护程度、对网络状态的保护程度、易用性、可移植性、各种操作的记录情况十个方面对FRED、IRCR和WFT三款在线取证工具进行了测试。测试是在VMware-workstation虚拟机的Windows 2000 SP4、Windows XP SP2、Windows Server 2003 SP2、Windows vista SP1四个版本的操作系统上进行。测试中使用了6种公开可用的Rootkit木马来检验取证工具获取结果的正确性;用内存分析工具分析了取证工具对内存状态的影响。对各指标所得的结果进行了对比研究,指出了各个工具的优缺点,形成了测试结论。同时也对EnCase工具的硬盘字符串搜索功能进行了测试,验证了它在不同文件系统和不同字符集下的字符串搜索的正确性。本文最后分析了造成在线取证工具出现一系列问题的原因,提出了一种新的在线取证的思路。