计算机取证(computer forensics)是数字取证学科的一个分支，其通过相关的手段对计算机系统或者数字存储介质进行识别、保存、恢复和分析，获取到计算机犯罪罪行的直接证据或者间接证据，在司法取证过程中有着重要的作用。　　Windows操作系统的用户众多，目前的取证大多是针对于Windows操作系统，而随着计算机的发展，Linux操作系统的用户也在逐渐上升，对于Linux操作系统的取证研究也应当受到重视，本文所提出的Linux内存取证也正是在此基础上建立。　　Linux是一个开源的操作系统，其拥有众多的发行商，不同的发行商之间的内核编译也会存在差异，本文通过对传统Windows操作系统取证技术的研究并结合Linux操作系统的自身特点，采用ELF文件调试信息定位内核结构体偏移信息，能够动态获取到内核关键结构体的数据，有效的解决了通用性的问题。为了对实时的系统进行内存取证，本文中使用了内核驱动模块实现对内存数据的读取，同时也支持对内存数据映像文件进行离线取证分析。通过对内存数据信息进行分析，获取到当前操作系统中打开的进程、进程占用的文件、进程模块的调用、进程启动参数以及网络连接等信息，从而实现对操作系统的内存取证分析。通过实验测试，本文中所使用的方法能够有效的进行Linux内存取证工作。