当前越来越多涉及计算机与网络技术的新型犯罪问题引起了计算机科学界和法学界高度重视，传统的计算机取证技术更多的是关注一些非易失性存储介质的证据来源，如硬盘、光盘和U盘等等，而忽略了计算机内存这样的易失性存储介质。传统的计算机取证方法不能应对Rootkit技术、DKOM技术和内存恶意代码等新技术带来的挑战，但是内存取证技术可以很好的解决上述问题。因为Ms-Winodws7中的一些内核对象不再存储在固定的地址，所以传统的基于固定地址以及特征字符串的方法对内存镜像进行取证已经不再适用，本文利用MS-Windows7内核对象相互链接的特点，开展对MS-Windows7内存取证技术展开了研究。首先，基于内核对象数据结构相互链接的特征，本文提出了一种利用内核调试器获取内核对象链接关系的方法。在Ms-Windows7系统中大部分运行时信息存储在一些内核对象数据结构中，在介绍和分析了常用的内核对象数据结构的基础上，可以利用Windows内核调试器Windbg获取MS-Windows7内核对象的数据结构之间的链接关系。同时利用内核对象数据结构存在互信息的特征，提出了一种利用互信息来提高识别内核对象准确率的方法。其次，本文提出了一种系统运行时信息取证的方法。在得到内核对象的链接关系、特征串和互信息的基础上，通过对内核对象链接关系图的运用对系统运行时信息取证，其中系统运行时信息主要包括，运行着的进程和线程、进程的加载模块、注册表文件进行良好的取证。最后通过对Notepad单一进程的地址空间重构，成功的从内存镜像中还原出Notepad打开的文本信息。最后，实现了一个基于内核对象链接关系内存取证的演示系统。该系统实现了进程信息、线程信息、加载模块和地址转换模块等计算内存取证常用功能，该系统可以帮助取证人员高效的获取系统运行时信息。本文以Ms-Windows7内存镜像为研究对象，提出了一种基于内核对象链接关系来进行计算内存取证的方法，解决了大部分内存取证工具对Ms-Windows7不支持的特性，成功地通过对特殊进程进行内存数据区的取证而还原NotePad打开的文本信息，并研发了一个针对Windows7内存取证演示系统。