当前网络应用技术高速发展,特别是即时通讯技术(微博、微信和MOMO等)日新月异,带来便捷通讯的同时,也带来诸多新的社会问题。在政治领域,国际分裂组织、集团性犯罪组织运用非法手段入侵各国的政府信息系统,利用各种通讯软件、电子邮箱散播反动言论、发展非法组织。在经济领域,电子商务迅猛发展的同时,个人信息泄露、网络诈骗、电商欺诈等违法犯罪行为时有发生。目前,网络黑客、病毒和流氓软件已经成为互联网的严重症结,特别是对电子政务、电子商务和网络用户安全构成严重威胁,由于网络犯罪没有固定的作案地点,一台电脑,一根网线就可以操作,犯罪成本越来越低,无纸化、反侦察能力强等特点,使得触犯法律的行为越来越多,可预见网络犯罪将成为未来犯罪的主要形式。因此,最大力度地抵制此类犯罪,需要竭尽所能获得和固化电子证据[1]。本文首先对电子信息取证的研究背景进行总结概括,分别从国家安全、人民内部安全和经济领域阐述了电子信息的数据恢复、获取和固化的重要性,并阐述了国内外电子信息数据恢复研究现状。其次,从法律实体方面全面总结电子证据的概念、特征,从法定程序解释和说明电子证据的提取方法和程序流程。再次,通过阐述INF02文件的位置和数据结构,详解怎样通过计算机操作系统的回收站恢复已丢失的电子信息,再列出Windows操作系统的日志存储数据结构规范,对日志的内容进行详细的分析,演示电子信息固化的过程。最后,借助船舶识别系统(AIS)再现船舶运行轨迹,用实际发生过的案例演示Windows回收站记录的取证和计算机取证日志分析系统在实际中被使用的可行性。本文通过回收站研究分析用户删除的文件,即通过对INF02文件的研究,从而得到文件初始的完全路径名,大小,删掉之后移动到回收站的具体时间以及其在回收站中独一无二的ID号等信息,这些信息对帮助取证人员还原案件现场,建立用户操作行为的时间线有重要意义。还原出来的数据随时都有二次销毁的风险,研究剖析出日志提取技术所需要的基本要素,实现一个基于Windows系统的方便快捷的日志提取与分析系统,有效固化电子信息,以达到质证的目的。