计算机取证的理想状态是在犯罪分子作案的同时捕获证据。对这一理想状态的追求导致实时取证(Real Time Forensic)的研究成了目前计算机取证领域研究的热点和难点之一。实时取证就是要对于需要获取的进程、文件等数据源在规定的时间内进行捕获并加以分析、提取和出示。实时取证的研究离不开对操作系统的研究，把取证机制做到操作系统中开发实时可取证操作系统成了必然。另一方面，电子证据的特殊安全需求使得可取证操作系统具有较高的安全要求。因此，本文基于实时取证的思想提出了一种专用操作系统一实时可取证操作系统(Real-time Forensics Operating System，RFOS)的研究，论述了这一操作系统的总体结构和实现思路。主要研究工作包括：　　 (1)对于计算机取证的相关研究进行了全面概括和分析。　　 本文对计算机取证的相关法律、技术工具和理论研究进行了总结。指出了法律研究和技术研究脱节的问题。对目前基于操作系统的计算机取证技术和形式化方法在计算机取证中的应用进行了特别的分析研究。并展望了今后计算机取证技术发展的趋势。　　 (2)提出一个计算机取证的优化模型。　　 本文建立了一个计算机取证的多目标优化模型，旨在对于当前众多的计算机取证过程模型进行高层抽象，为今后取证过程模型的建立确定目标。该模型追求的目标是获取的证据数据最多、对于目标主机的改变最少和从事件发生到获取证据之间的时间间隔最短。这些目标的实现要受到的约束条件包括计算机取证的总成本要低于最高可容忍值；法律技术约束表明计算机取证过程和结果应该符合法律的规定并且在技术上是可行的。　　 (3)提出一个计算机取证的多维过程模型并进行了形式化描述。　　 为了实现计算机取证过程的合理性和自动化，本文在总结了目前众多的计算机取证过程模型的基础上，提出了一个计算机取证的多维过程模型。该模型同时满足了时间约束、需求约束、策略约束和对取证过程的全程监控。本文在给出了该模型的非形式化描述之后，用Petri网表示了此模型，为取证过程的自动化奠定了基础。　　 (4)对于可取证操作系统的行为模型进行了构建并进行了详细的分析。　　 为了说明可取证操作系统的整体需求和这些需求之间的相互关系，本文基于操作系统的一般行为模型构建了可取证操作系统的取证行为模型。该模型由取证目标、取证主体、取证行为、取证服务和取证资源构成。按照自上而下和自下而上的原则，对于该模型进行了分析，提出了可取证操作系统应该具备的取证服务和取证机制。最后，用形式化方法B方法对于取证系统用若干抽象机进行了描述。　　 (5)提出一个基于kNN算法的取证策略确定方法。　　 由于计算机取证需求存在不确定性而又有一定的规律性，即不同种类的案件具有不同的取证需求而同种类别案件的取证需求具有类似的特点。本文以既往案件组成的案例库为样本空间，基于取证策略规则库和kNN算法，提出了确定计算机取证策略的方法。同时，由于取证策略之间可能存在并列、从属等关系，还可能存在冲突，本文提出了基于优先级标记的取证策略组合算法。这些方法的提出为取证策略的进一步研究奠定了基础。　　 (6)提出可取证操作系统电子证据安全保护机制。　　 电子证据的脆弱性决定了其完整性、保密性等方面的安全需求。本文认为实时取证系统的电子证据安全保护应该包括取证进程的安全保护和对于获取的电子证据的安全保护。通过分析现有的进程保护技术和文件保护技术，本文提出对可取证操作系统的取证进程进行监控和保护的方法，对于获取的电子证据用MD5算法进行逐条加密以保证证据的完整性和真实性。同时，基于操作系统对于取证进程和电子证据文件实施强制访问控制(MAC)。　　 (7)基于FreeBSD6.0开发了一个可取证操作系统的原型系统。　　 为了验证本文提出的方法，开发了一个基于FreeBSD6.0的可取证操作系统的原型系统RFOS，实现了计算机取证的按需定制、电子证据的实时获取、电子证据的安全存储和保护等功能。RFOS在用户态和核心态分别设置了两个守护进程，通过这两个守护进程的运行和通信以及一个配置文件的动态配置实现了电子证据的按需定制、核内外证据数据的全面实时获取、记录的逐条加密和安全存储。该系统目前还只是一个很粗糙的原型，需要今后随着对可取证操作系统和计算机取证技术的研究作进一步完善。