基于实时取证的思想,提出了一种支持犯罪重现的按需取证技术-DFR2　(on-demand　forensic　technology　support　for　rollback　recovery).基于按需取证概念,DFR2缩小了处理范围、缩短了取证时间,基于对象依赖技术的多源证据推理融合算法,提取出完整的攻击流程,提高了证据关联性.此外,还将犯罪重现引入计算机取证领域,有效地解决了电子证据证明力不足的问题.实验分析结果表明:与当前主流的取证方法Snare相比,DFR2不仅支持按需取证、犯罪重现等功能,且在进行系统调用劫持过程中的平均性能开销降低约5％左右.