近年，计算机技术的迅速发展和广泛普及，改变了人们传统的生产、生活和管理方式，同时也为违法犯罪分子提供了新的犯罪手段和空间。以计算机信息系统为犯罪对象和工具的新型犯罪活动越来越多，面对大量的计算机犯罪活动，传统取证模式已不能满足办案需求，司法或相关取证部门需要运用先进的计算机取证技术，以便顺利提取存在于计算机系统中的电子证据，包括已被删除、加密或破坏的文件等。　　 本文研究的主题是基于多层次数据恢复的计算机取证技术。针对数据恢复的层面，笔者提出了两种恢复技术的研究，一是基于应用软件层的数据恢复研究，二是基于文件系统层的数据恢复研究。所谓应用软件层的数据恢复，即是对某些特殊的文件做分析，解读文件内蕴含的重要信息，恢复出被犯罪嫌疑人删除的作案痕迹、证据等。文件系统层的数据恢复，顾名思义，即是从文件系统结构入手，研究文件系统删除文件的机制，从而找到恢复已删除文件的方法。结合这两个层次的数据恢复技术，能够从多个角度更全面的挖掘并恢复被删除的数据。针对应用软件层的数据恢复研究，笔者以研究Thumbs.db文件格式为例，研究出了怎样在应用软件层，恢复已删除图片的缩略图。并开发出Thumbs.db文件分析软件，通过分析隐藏的系统文件Thumbs.db，可以浏览并保存该文件中记录的包括已删除图片在内的所有图片的缩略图信息。针对文件系统层的数据恢复研究，主要以NTFS文件系统为基础，研究怎样在文件系统层恢复被用户删除的文件。特别将物理上离散存储的MFT文件记录的完整扫描以及如何恢复文件目录关系作为研究重点，并根据研究成果开发出了NTFS文件恢复软件。经过周密的测试和总结，软件的功能和性能都达到了设计的要求。