证据分析
Windows事件日志狩猎与横向移动溯源
Windows事件日志狩猎与横向移动溯源 在企业级应急响应中,攻击者往往会清理工具、删除文件甚至销毁内存,但**Windows事件日志(EVTX)**作为系统底 …
隐蔽 C2 流量分析与 TLS 隧道剥离
隐蔽 C2 流量分析与 TLS 隧道剥离 在现代 APT 攻击和红队演练中,明文的 HTTP/DNS 隧道已经极其少见。攻击者绝大多数都会将 …
勒索病毒与后门逆向分析基础
勒索病毒与后门逆向分析基础 在应急响应的高压环境下,当你从被感染的主机或内存中提取出一个未知的二进制样本(.exe, .dll, 或 shellcode)时,沙 …
Linux日志时间线分析与SSH入侵溯源
Linux日志时间线分析与SSH入侵溯源 在 0x02电子取证 中,我们已经把 Linux 侧常见证据源梳理出来,例如 …
自启动项、计划任务与服务持久化分析
自启动项、计划任务与服务持久化分析 在 0x02电子取证 中,启动项检查、计划任务检查、服务信息检查 已经给出了不少排查入口。但在真实应急中,攻击者不会只留一个 …
命令行历史取证与攻击者行为还原
命令行历史取证与攻击者行为还原 在很多应急现场,分析人员最想拿到的不是恶意样本,而是攻击者亲手敲下的那几行命令。因为命令行历史往往直接暴露攻击者的真实意图:他是 …
浏览器痕迹与下载执行链分析
浏览器痕迹与下载执行链分析 在 0x02电子取证 里,浏览器相关检查更多停留在“去哪里看主页、搜索引擎、TypedURLs 和缓存设置”。但在真实应急场景中,浏 …
WebShell落地与文件时间线分析
WebShell落地与文件时间线分析 在 0x02电子取证 里,web后门查杀 更多记录的是扫描工具,例如 D 盾、河马、牧云、在线扫描服务。这些工具在现场非常 …
数据库痕迹与凭据泄露分析
数据库痕迹与凭据泄露分析 很多入侵事件里,真正高价值的目标不是 Web 服务器本身,而是它背后的数据库。攻击者拿下一台业务主机后,下一步通常不是“继续留一个 …
内网横向痕迹与跳板机行为分析
内网横向痕迹与跳板机行为分析 在很多应急事件中,最危险的并不是攻击者进来,而是他进来之后开始在内网移动。一旦一台主机被拿下并被用作跳板,事件就会迅速从单点失陷升 …
邮件痕迹与钓鱼投递链分析
邮件痕迹与钓鱼投递链分析 在很多入侵事件中,真正的起点并不是漏洞、弱口令或 WebShell,而是一封看起来毫不起眼的钓鱼邮件。它可能伪装成采购通知、发票、审批 …
日志清理与反取证痕迹识别
日志清理与反取证痕迹识别 很多应急现场最棘手的情况,并不是日志太多,而是日志“不完整”。攻击者一旦拿到主机控制权,通常很快就会尝试清理登录记录、命令历史、系统日 …
系统日志检查结果证据强度分层与事件链构建分析
系统日志检查结果证据强度分层与事件链构建分析 0x02电子取证/系统日志检查 给出了 Windows 侧 wevtutil、Get-WinEvent 和 …
凭据抓取与认证材料取证分析
凭据抓取与认证材料取证分析 在很多入侵事件中,真正推动攻击从“单机失陷”升级为“全网扩散”的关键,不是某个漏洞本身,而是攻击者拿到了可复用的认证材料。它可能是明 …
异常端口检查结果与进程关联及外联目标判断分析
异常端口检查结果与进程关联及外联目标判断分析 0x02电子取证/异常端口查询 给出了 Linux 和 Windows 两侧 netstat 命令的基础取证入口。 …
页面篡改事件中的文件差异与发布链回溯
页面篡改事件中的文件差异与发布链回溯 页面篡改是应急响应中最容易被“看见”的事件类型之一。首页跳转、博彩内容、黑页挂马、SEO 污染、隐蔽 JS 跳转,往往一眼 …
远控木马落地后的代理隧道与出网链分析
远控木马落地后的代理隧道与出网链分析 很多应急事件里,攻击者真正稳定控制一台主机之后,做的第一件事并不是马上导数据,而是先把“路打通”。这条路可能是一个 FRP …
命令历史可靠性验证与反取证检测分析
命令历史可靠性验证与反取证检测分析 0x02电子取证/命令行历史记录 给出了 Linux 下 history、fc、bash_history 和 Windows …
备份文件、压缩包与数据打包外传取证分析
备份文件、压缩包与数据打包外传取证分析 在很多事件里,真正造成业务损失的不是主机被控本身,而是攻击者把数据带走了。这个过程在主机侧通常不会直接表现为“删除数据库 …
系统用户检查结果与异常账户及影子账户检测分析
系统用户检查结果与异常账户及影子账户检测分析 0x02电子取证/系统用户审查 给出了 Windows 下 net user、wmic useraccount、注 …
回收站残留与删除意图分析
回收站残留与删除意图分析 在很多应急事件里,攻击者做完操作后并不会马上安全擦除所有痕迹,反而会留下大量“半清理”证据:文件被拖进回收站、资料从桌面消失但 …
云主机与对象存储访问痕迹分析
云主机与对象存储访问痕迹分析 传统主机取证习惯围绕磁盘、进程、网络和日志展开,但一旦事件进入云环境,真正高价值的证据往往藏在 IAM、对象存储、云审计日志和快照 …
已删除文件恢复结果与覆盖程度分析
已删除文件恢复结果与覆盖程度分析 0x02电子取证 里的 3文件恢复 解决的是“能不能把删掉的东西捞出来”。到了 0x03取证分析,重点就不再是工具按钮怎么点, …
系统共享检查结果与横向投送及权限暴露判断分析
系统共享检查结果与横向投送及权限暴露判断分析 0x02电子取证/系统共享检查 给出了 Windows 下 net share、wmic …
磁盘镜像完整性校验与采信边界分析
磁盘镜像完整性校验与采信边界分析 0x02电子取证/1磁盘镜像 解决的是“怎样把源盘做成一份镜像”。到了 0x03取证分析,更关键的问题变成:
这份镜像到底能不 …
可疑进程树与父子进程异常取证分析
可疑进程树与父子进程异常取证分析 很多现场最容易看漏的,不是恶意文件,而是“看起来合法”的进程。攻击者越来越少直接跑一个明显叫 trojan.exe 的程序,而 …
系统进程检查结果与伪装及LOLBin执行链分析
系统进程检查结果与伪装及LOLBin执行链分析 0x02电子取证 里的 系统进程检查 解决的是“机器上现在跑着什么”。到了 0x03取证分析,更关键的问题变成: …
磁盘挂载结果与分区文件系统异常分析
磁盘挂载结果与分区文件系统异常分析 0x02电子取证/2磁盘挂载 解决的是“怎样把镜像挂上来看”。到了 0x03取证分析,真正关键的不是 mount 命令本身, …
服务信息检查结果与ImagePath及ServiceDLL驻留分析
服务信息检查结果与ImagePath及ServiceDLL驻留分析 0x02电子取证 里的 服务信息检查 已经告诉我们应该去哪里看服务、怎么把服务列表导出来。但 …
安全策略检查结果与防护绕过及策略篡改判断分析
安全策略检查结果与防护绕过及策略篡改判断分析 0x02电子取证/安全策略检测 给出了 Windows 下 LGPO.exe、PolicyAnalyzer 和 …
重点目录异常文件与落地载荷关联分析
重点目录异常文件与落地载荷关联分析 0x02电子取证/重点文件目录检查 解决的是“去哪些目录看、用什么命令列出来”。到了 0x03取证分析,真正需要沉淀的是:
映像劫持与IFEO持久化取证分析
映像劫持与IFEO持久化取证分析 在 Windows 持久化手法里,IFEO 不是最吵的那一种,但往往是最容易被漏掉的一种。攻击者不需要新建服务、不需要计划任务 …
重点文件时间线检查结果与攻击者操作节律分析
重点文件时间线检查结果与攻击者操作节律分析 0x02电子取证/重点文件目录检查 给出了 stat、find、forfiles 等文件时间查询命令。到了 0x03 …
电子证据链记录与分析结论可信度评估
电子证据链记录与分析结论可信度评估 0x02电子取证/国标中电子取证相关要求及综述 解决的是“规范要求有哪些、取证过程应该记录什么”。到了 0x03取证分析,更 …
hosts文件检查结果与DNS劫持及内网重定向判断分析
hosts文件检查结果与DNS劫持及内网重定向判断分析 0x02电子取证/hosts文件检查 给出了 Windows 下 type hosts 和 Linux …
Recent与Prefetch和Amcache执行痕迹交叉分析
Recent与Prefetch和Amcache执行痕迹交叉分析 在 Windows 事件调查里,最容易被误解的一类证据,就是“程序执行痕迹”。很多现场会把:
看 …
用户态内核态钩子与API劫持痕迹分析
用户态内核态钩子与API劫持痕迹分析 钩子、Patch、Inline Hook、IAT 劫持这些词,在恶意代码分析里很常见,但到了应急现场,经常会被误解成“必须 …
管理共享访问与横向投送执行链分析
管理共享访问与横向投送执行链分析 0x02电子取证/系统共享检查 解决的是“系统开了哪些共享、怎么枚举共享、怎么查共享配置”。到了 0x03取证分析,真正重要的 …
映像劫持检查结果与IFEO及Winlogon持久化判断分析
映像劫持检查结果与IFEO及Winlogon持久化判断分析 0x02电子取证/映像劫持检查 给出了 Windows 下 IFEO(Image File …
时间偏移与时钟篡改对事件时间线分析的影响
时间偏移与时钟篡改对事件时间线分析的影响 0x02电子取证/系统日志检查 解决的是“日志怎么导、日志在哪、怎么查事件”。到了 0x03取证分析,更难也更容易被忽 …
安全策略被修改与防护绕过取证分析
安全策略被修改与防护绕过取证分析 很多蓝队现场会把注意力放在“恶意程序是什么”,但在真实入侵中,攻击者往往在样本运行之前就先做了一件更关键的事:让安全产品别管它 …
监听端口与出入站连接角色分析
监听端口与出入站连接角色分析 0x02电子取证/异常端口查询 解决的是“当前有哪些端口在监听、有哪些连接建立着”。到了 0x03取证分析,真正关键的问题不是端口 …
web后门检查结果与查杀工具判定差异及误报漏报分析
web后门检查结果与查杀工具判定差异及误报漏报分析 0x02电子取证/web后门检查 给出了 Windows 下 D盾和 Linux 下河马的基础取证入口。到了 …
浏览器下载与LNK和JumpList用户操作链分析
浏览器下载与LNK和JumpList用户操作链分析 0x02电子取证/浏览器相关检查 解决的是“历史、下载、缓存、相关目录在哪,怎么取出来”。到了 0x03取证 …
环境变量劫持与执行链污染分析
环境变量劫持与执行链污染分析 环境变量在开发和运维中太常见,以至于很多人默认把它们当成“配置细节”。但在攻击者眼里,环境变量既可以是凭据仓库,也可以是执行入口, …
病毒查杀检查结果与多引擎判定差异及Rootkit残留分析
病毒查杀检查结果与多引擎判定差异及Rootkit残留分析 0x02电子取证/病毒查杀检查 给出了 Linux 下 …
浏览器配置异常与痕迹清理结果判断分析
浏览器配置异常与痕迹清理结果判断分析 0x02电子取证/浏览器相关检查 中给出了 IE 注册表配置查询、TypedURLs 历史记录查询、以及 …
Hosts劫持与内网重定向痕迹分析
Hosts劫持与内网重定向痕迹分析 相比 DNS 服务器投毒、网关劫持、代理劫持,Hosts 修改是一种非常“土”但仍然有效的手法。它不需要控制网络设备,也不需 …
流量检查结果基础解读与异常模式识别
流量检查结果基础解读与异常模式识别 0x02电子取证/流量检查 给出了使用 PowerShell 的 netsh trace 命令抓取网络流量的基础取证入口。到 …
防火墙规则篡改与放行链路取证分析
防火墙规则篡改与放行链路取证分析 很多人把防火墙看成“网络边界设备”的问题,但在真实入侵里,主机本地防火墙规则同样是攻击链里的关键节点。攻击者一旦拿到权限,常见 …
启动项检查结果异常判断与入侵关联分析
启动项检查结果异常判断与入侵关联分析 0x02电子取证/启动项检查 给出了 Windows 下 Autoruns 和 Linux 下 …
Linux软件包投毒与异常安装痕迹分析
Linux软件包投毒与异常安装痕迹分析 Linux 主机里,很多人习惯把恶意样本理解成:
/tmp 里的 ELF cron 里的脚本 systemd 里的假服务 …
计划任务检查结果与持久化意图及隐藏任务检测分析
计划任务检查结果与持久化意图及隐藏任务检测分析 0x02电子取证/计划任务检查 给出了 Windows 下 schtasks 命令行和 Autoruns 计划任 …
Windows注册表取证深度分析与入侵痕迹识别
Windows注册表取证深度分析与入侵痕迹识别 Windows 注册表是操作系统中信息密度最高的单一数据源。它不仅存储系统配置和用户偏好,更是一个隐式的行为历史 …
文件系统时间戳取证与Timestomp检测分析
文件系统时间戳取证与Timestomp检测分析 在应急响应中,时间线分析是还原攻击者行为链的核心方法。而时间线分析的基础,是文件系统的 MACE 时间戳。如果时 …
内存取证与Volatility深度分析
内存取证与Volatility深度分析 在 2026 年的威胁环境中,无文件恶意软件和进程注入攻击已成为主流。Picus Red Report 2026 显示 …
网络流量取证深度分析
网络流量取证深度分析 网络流量取证是数字取证中最强大的分析手段之一。与主机取证不同,网络取证提供了攻击者与目标系统之间通信的完整视图,包括数据传输的内容、时间、 …
NTFS交错数据流与高级文件系统取证分析
NTFS交错数据流与高级文件系统取证分析 NTFS(New Technology File System)是 Windows 操作系统的核心文件系统,它不仅负责 …
邮件系统取证分析
邮件系统取证分析 邮件系统是企业环境中最核心的通信基础设施之一,也是高级持续性威胁(APT)、勒索软件和商业电子邮件欺诈(BEC)攻击中最常被利用的攻击面。根据 …
浏览器取证深度分析
浏览器取证深度分析 浏览器是现代数字取证中信息密度最高的用户行为数据源之一。每一次 URL 访问、每一次文件下载、每一次登录认证、每一个 Cookie 的设置与 …