随着计算机技术的发展，计算机安全事件频繁发生。虽然网络安全技术不断发展，但计算机犯罪的手段也越来越高明。计算机取证正是在这种形势下产生和发展的，它可以对犯罪分子产生威慑作用。计算机取证技术的研究对于打击计算机犯罪、追踪入侵、修补安全漏洞具有重要意义。数字证据的收集技术是计算机取证过程的基础。作为免费操作系统的Linux，以其优异的性能，逐渐引起人们的广泛关注。所以，对于Linux系统数字证据的收集也逐渐成为计算机取证工作中重要的组成部分。 本文首先介绍了计算机取证的一些主要概念、原则、步骤和技术，接下来介绍了Ext2和Ext3文件系统的结构，并讨论了Ext3文件系统中的数据恢复和文件系统日志对于计算机取证的作用。然后针对Linux主机，重点讨论了数字证据的主要来源、收集方法。最后，根据这些数字证据的主要来源，实现了一个运行在Windows系统下，针对Linux系统硬盘映像文件进行取证的数字证据收集系统。本系统采用分层设计开发的思想，将所有模块化分为三个层次，各个层次实现相互独立的功能。这种开发思想有效地提高开发的效率，减少了系统测试的难度。