计算机取证[1-3]就是对计算机证据的提取、存储、鉴定和归档的过程，它是为了帮助因计算机、犯罪的受害者采集作为起诉犯罪嫌疑人的证据。 

　　计算机、网络犯罪手法的复杂化给计算机取证带来很大的挑战。连接到互联网的用户一次不经意的鼠标点击就有可能为黑客入侵用户计算机埋下伏笔。当黑客用反取证[4]技术把自己在计算机里留下的痕迹擦除后取证工作难上加难。 

　　1 基于键盘事件的取证过程模型 

　　近年来， ，键盘记录器盗取用户账户密码事件频有发生， ，键盘事件取证刻不容缓。 

　　1.1 理论依据 

　　模型指的是所研究的系统、过程、事物或概念的一种表达形式。这里的取证模型主要是指可以概述整个事件的全过程，以便于人们理解的一种表达形式。 

　　法律模型主要包括了：准备阶段、收集阶段（保护与评估现场、对现场记录归档、证据提取）、检验、分析、报告。法律执行过程模型特别强调了法律在电子证据收集过程中的严格规范，进而保证了电子证据的合法性。 

　　计算机取证根据取证时刻潜在证据的特性被分为静态取证和动态取证。当前的取证过程多数基于静态取证，且不论提取证据比较费时，取证人员很难获取到关于案发现场的充分的、真实的、原始的证据。而动态取证恰恰是与静态取证时机相反，它是一种在攻击发生前就已经做好取证准备，当攻击发生时就开始收集证据的过程。 

　　基于键盘事件的取证过程模型选择了较有效法律执行过程模型，结合动态和静态取证技术与常规物证的收集技术，即保证了获取的电子证据的合法性又克服了基于传统的事后取证模型中取证技术的不足。同时使用监督链确保整个取证过程的规范性、合理性、全面性、合法性，为打击计算机犯罪提供准确、有效、合法的电子证据[1-8]。 

　　1.2 基于键盘事件的计算机取证过程模型的实现 

　　模型中含三方：被取证端、取证端、证据服务器。被取证端受取证端监控；证据服务器接受被取证端传来的事件，证据服务器获得键盘事件发送到取证端。 

　　根据前文陈述的理论依据，画出了提取键盘事件的流程图。流程图中对原法律执行过程模型的简化点有一个：证据的检验和分析这两个步骤。在原始的法律执行过程模型中这两个步骤是分步进行，该模型中将它们简化为一步，使得整个过程简洁明了，这样做并没有对获取键盘事件造成影响，整个过程有监督链进行记录，能保证整个取证过程的有效性；该模型中的增加点有一个：借鉴了基本过程取证模型中的监督链的用法，在取证全程使用监督链用以保证简化后的法律执行过程模型的实用性、有效性和普适性。 

　　2 结语 

　　通过阅读文献，笔者选择法律执行过程模型保证了证据收集过程的严格性、规范性。在该取证模型中利用简化修改过的法律执行过程模型添加了动态及静态取证技术，结合传统证据的过程，完整地实现了获取键盘事件的过程流程图，并已将本流程图转化为实践。