随着计算机的广泛应用,计算机取证技术为司法机关在办案中提供了宝贵的电子证据的支持,并在打击计算机相关犯罪、维护社会公平正义中起到了基石的作用。然而,随着信息技术的革新与发展,计算机取证技术也需要与时俱进。目前,虚拟计算技术已经广泛地融入我们的生活,用户不需要了解技术的细节就可以方便地使用虚拟化产品。虚拟机在企业、政府、组织、研究机构等中有广泛的部署,并在教学、科研、生产、办公等诸多领域得到应用。虚拟计算技术和产品的不断发展,也给计算机取证带来了新的机遇和挑战:一方面,虚拟计算技术作为一种新技术可以给计算机取证带来新的变革,从而推动和促进计算机取证技术自身的发展;另一方面,相关的虚拟机产品可能变成犯罪分子利用的工具或者攻击的受害者,如何在虚拟计算的环境下进行计算机取证是一个全新的课题。本文围绕以上的机遇和挑战,进行了两方面的研究:1)针对目前计算机取证实践中的需求,研究提出了对现有的虚拟机动态取证技术应用改进的方法。分析EWF-E01系列的电子证据格式,并开发相关工具ewf2dd,从而扩展虚拟机动态启动取证技术的应用范围;2)研究和提出了以虚拟机为取证目标的取证分析方法,包括对常见的虚拟磁盘文件以及虚拟机内存镜像文件的取证分析,并开展实践操作,总结相关经验。本文的研究一方面依赖于现有的一些文档资料和相关工具,但另一方面更多的是采用一些逆向分析和推理论证方法,不仅对EWF-E01系列格式,还对虚拟机磁盘文件和内存镜像文件等进行分析取证。相关实验表明,本文中开发的ewf2dd格式转换工具的工作结果是完全正确的,能满足实践中的需求。同时,本文所提出的虚拟机动态启动取证技术的应用改进在实际案例分析中进行了成功应用。此外,本文对虚拟机内存镜像的取证研究在国内外尚未见到类似公开报道。