计算机犯罪的高技术特性使取证科学产生了一个新的分支，即计算机取证。与传统取证不同的是，计算机取证收集、分析的数据是计算机运行过程中所产生的数据。事件重建是计算机取证分析的一个重要部分，它是一项调查安全事件中所发生具体事件的重要任务。在入侵事件发生后，如何有效地进行计算机犯罪事件重建是计算机取证领域当前急需解决的重要问题。一种使事件重建更加严谨、可信的途径是采用标准模型对事件重建进行形式化定义。在此基础上，事件重建的自动分析才有可能实现。 为了实现上述目标，本文主要做了如下两个方面的研究工作： (1) 根据计算机证据的特征及相关性，探讨了事件重建的基本模型，把事件重建过程划分为四个阶段：证据鉴别、因果关联、事件重建、假设验证。我们的目标是希望根据这一模型能使事件重建更具通用性。 (2) 为使事件重建具有较好的理论支持，文本以Petri网为基本推理模型，提出了一个基于 Petri 网的事件重建逆向推理算法。该算法有以下特征：将被调查的系统模拟为一个 Petri 网；运用专门的形式化定义来描述证据；根据被调查系统的最终状态进行逆向推理，重建出整个事件发展的全貌，从而达到澄清事实、消除矛盾的目的。 (3) 对基于 Petri 网的事件重建逆向推理算法编程实现，开发了一个基于 Petri 网的事件重建系统 PN-ERS。 经过实际相关案例的实验，结果表明本文模型和方法是有效、可行的，能够对计算机犯罪事件重建起到较好的辅助作用。