AU Plus

概念 (284)

Absolute File Path 绝对路径
Access Controls 访问控制
Active Packet Sniffing 主动数据包嗅探
Advanced Persistent Threat (APT) 高级持续性威胁
Adversarial AI 对抗性人工智能
Adware 广告软件
Algorithm 算法
Angler Phishing 社交媒体客服钓鱼
Antivirus Software 杀毒软件
API Token API 令牌
Argument 参数
ARP 地址解析协议
Asset Classification 资产分级
Asset Inventory 资产清单
Asset Management 资产管理
Asset 资产
Asymmetric Encryption 非对称加密
Attack Surface 攻击面
Attack Tree 攻击树
Attack Vectors 攻击向量
Authentication 身份认证
Authorization 授权
Availability 可用性
Baiting 诱饵攻击
Bandwidth 带宽
Baseline Configuration 基线配置
Basic Auth 基本认证
BEC 商业邮件诈骗
Biometrics 生物特征
BIOS 基本输入输出系统
Bit 比特
Bootloader 引导加载器
Botnet 僵尸网络
Brute Force Attack 暴力破解
Bug Bounty 漏洞赏金
Business Continuity 业务连续性
Chronicle Google 云原生 SIEM
CIA Triad 信息安全铁三角
Cipher 密码算法
CISSP 信息安全专业人士认证
CLI 命令行界面
Cloud Computing 云计算
Cloud Network 云网络
Cloud Security 云安全
Cloud-based Firewall 云防火墙
CNA CVE 编号机构
Command Option 命令选项
Command 命令
Compliance 合规
Computer Virus 计算机病毒
Confidentiality 保密性
Controlled Zone 受控区
CPU 中央处理器
Cryptographic Attack 密码学攻击
Cryptographic Key 加密密钥
Cryptography 密码学
Cryptojacking 加密货币劫持
CVE Common Vulnerabilities and Exposures
CVSS Common Vulnerability Scoring System
Cybersecurity 网络安全
Data at Rest 静态数据
Data Custodian 数据托管人
Data in Transit 传输中数据
Data in Use 使用中数据
Data Owner 数据所有人
Data Packet 数据包
Data Point 数据点
Database 数据库
DDoS Attack 分布式拒绝服务攻击
Defense in Depth 纵深防御
Digital Certificate 数字证书
Digital Forensics 数字取证
Directory 目录
DNS 域名系统
DoS Attack 拒绝服务攻击
Dropper 投放器
Encapsulation 封装
Encryption 加密
Exploit 漏洞利用
Exposure 暴露
External Threat 外部威胁
Fileless Malware 无文件恶意软件
Firewall 防火墙
Forward Proxy Server 正向代理
GUI 图形用户界面
Hacker 黑客
Hacktivist 黑客主义者
Hard Drive 硬盘
Hardware 硬件
Hash Collision 哈希碰撞
Hash Function 哈希函数
Hash Table 哈希表
HIPAA 美国医疗信息保护法
HTTP 超文本传输协议
HTTPS 安全超文本传输协议
Hub 集线器
IaaS Infrastructure as a Service 基础设施即服务
IAM 身份与访问管理
ICMP Flood ICMP 洪水攻击
ICMP 互联网控制消息协议
IDS 入侵检测系统
Incident Response 事件响应
Information Privacy 信息隐私
InfoSec 信息安全
Injection Attack 注入攻击
Input Validation 输入验证
Integrity 完整性
Internal Hardware 内部硬件
Internal Threat 内部威胁
IP Address IP 地址
IP Spoofing IP 地址欺骗
IP 互联网协议
Kernel 内核
LAN 局域网
Legacy Operating System 遗留操作系统
Linux
Linux Bash 默认 Shell
Linux Distros 常见发行版
Linux FHS 文件系统层次标准
Linux nano 命令行文本编辑器
Linux Permissions 文件权限
Linux Root User 超级用户
Loader 加载器恶意软件
Log 日志
MAC Address MAC 地址
Malware 恶意软件
Metrics 指标
MFA 多因素认证
MITRE
Modem 调制解调器
Network Log Analysis 网络日志分析
Network Protocol Analyzer 网络协议分析器
Network Protocols 网络协议
Network Security 网络安全(基础设施层)
Network Segmentation 网络分段
Network 网络
NIST CSF 网络安全框架
NIST RMF 风险管理框架
NIST SP 800-53 控制项目录
Non-Repudiation 不可否认性
OAuth 开放授权协议
On-path Attack 路中攻击(中间人攻击)
Operating System 操作系统
Order of Volatility 易失性顺序
OSI Model OSI 模型
OWASP 开放网络应用安全项目
PaaS Platform as a Service 平台即服务
Package Manager 包管理器
Package 软件包
Packet Sniffing 数据包嗅探
Passive Packet Sniffing 被动数据包嗅探
Password Attack 密码攻击
PASTA 攻击模拟与威胁分析流程
Patch Update 补丁更新
PCI DSS 支付卡行业数据安全标准
Penetration Testing 渗透测试
Peripheral Devices 外设
PHI 受保护健康信息
Phishing Kit 钓鱼套件
Phishing 网络钓鱼
Physical Attack 物理攻击
Physical Social Engineering 物理社会工程
PII 个人可识别信息
Ping of Death 死亡之 ping
PKI 公钥基础设施
Playbook 操作手册
Policy 安全策略
Port Filtering 端口过滤
Port 端口
Prepared Statement 预编译语句
Principle of Least Privilege 最小特权原则
Privacy Protection 隐私保护
Procedures 操作步骤
Programming 编程
Protecting and Preserving Evidence 保护和保存证据
Proxy Server 代理服务器
PUA 潜在不需要的应用
Quid Pro Quo 等价交换骗局
Rainbow Table 彩虹表
RAM 随机存取内存
Ransomware 勒索软件
Regulations 法规
Relative File Path 相对路径
Replay Attack 重放攻击
Reverse Proxy Server 反向代理
Risk Mitigation 风险缓解
Risk 风险
Root Directory 根目录
Rootkit 根套件
Router 路由器
SaaS Software as a Service 软件即服务
Salting 加盐
Scareware 恐吓软件
Security Architecture 安全架构
Security Assessment 安全评估
Security Audit 安全审计
Security Controls 安全控制
Security Ethics 安全伦理
Security Frameworks 安全框架
Security Governance 安全治理
Security Hardening 安全加固
Security Posture 安全态势
Security Zone 安全区
Separation of Duties 职责分离
Session Cookie 会话 Cookie
Session Hijacking 会话劫持
Session ID 会话 ID
Session 会话
SFTP 安全文件传输协议
Shared Responsibility 共担责任
Shell 命令行解释器
SIEM 安全信息和事件管理
Smishing 短信钓鱼
Smurf Attack 蓝精灵攻击
SNMP 简单网络管理协议
SOAR 安全编排自动化与响应
Social Engineering 社会工程
Social Media Phishing 社交媒体钓鱼
Spear Phishing 鱼叉式钓鱼
Speed 网速
SPII 敏感个人可识别信息
Splunk Cloud 云托管 SIEM
Splunk Enterprise 自建 SIEM
Spyware 间谍软件
SQL Date and Time Data 日期时间数据
SQL Exclusive Operator 排除运算符
SQL Filtering 过滤
SQL Foreign Key 外键
SQL Inclusive Operator 包含运算符
SQL Injection SQL 注入
SQL Numeric Data 数值数据
SQL Operator 运算符
SQL Primary Key 主键
SQL Query 查询
SQL Relational Database 关系型数据库
SQL String Data 字符串数据
SQL Syntax SQL 语法
SQL Wildcard 通配符
SQL 结构化查询语言
SSH 安全外壳协议
SSO 单点登录
Standard Error 标准错误
Standard Input 标准输入
Standard Output 标准输出
Standards 标准
Stateful Firewall 有状态防火墙
Stateless Firewall 无状态防火墙
Subnetting 子网划分
Supply-chain Attack 供应链攻击
Switch 交换机
Symmetric Encryption 对称加密
SYN Flood Attack SYN 洪水攻击
Tailgating 尾随
TCP 传输控制协议
TCP/IP Model TCP/IP 模型
Technical Skills 技术技能
Threat Actor 威胁主体
Threat Modeling 威胁建模
Threat 威胁
Transferable Skills 可迁移技能
Trojan Horse 木马
UDP 用户数据报协议
UEFI 统一可扩展固件接口
Uncontrolled Zone 不可控区
USB Baiting U 盘诱饵攻击
User Interface 用户界面
User Provisioning 用户配置
Vishing 语音钓鱼
VM 虚拟机
VPN 虚拟专用网络
Vulnerability Assessment 漏洞评估
Vulnerability Management 漏洞管理
Vulnerability Scanner 漏洞扫描器
Vulnerability 漏洞
WAN 广域网
Watering Hole Attack 水坑攻击
Web-based Exploits Web 应用利用
Whaling 捕鲸攻击
Wi-Fi 无线局域网
World-writable File 全局可写文件
Worm 蠕虫
WPA Wi-Fi 安全协议
XSS Cross-Site Scripting 跨站脚本
Zero-day 零日漏洞

课程
书籍
概念
博客
提示词
教程
标签
关于我

❯

❯

Protecting and Preserving Evidence 保护和保存证据

Protecting and Preserving Evidence 保护和保存证据

2026年5月17日3分钟阅读

cybersecurity
source-type/course
source/coursera-foundations-of-cybersecurity

Protecting and Preserving Evidence 保护和保存证据

数字取证(Digital Forensics)的核心实践 —— 在调查事件时,正确处理脆弱且易失的数字证据,让证据可信、可追溯、法庭可用。

为什么这件事这么严肃

错一步证据就污染了 —— 即使你知道发生了什么,法庭可能不认
证据采集顺序错就丢了 —— 见 Order of Volatility
没保管链就无人信 —— 中间被人动过证据就废

核心原则

1. 最小干扰(Minimal Impact)

取证操作本身不能改变原始系统
用 Write Blocker(写阻断器)读磁盘,确保只读不写
内存抓取用专门工具,不要随便跑程序污染内存

2. 完整性证明(Integrity)

采集时计算原始数据的哈希值(SHA-256)
任何后续操作都基于副本,原始数据封存
任何时候能证明副本跟原始一致(再算一次哈希对比)

3. 保管链(Chain of Custody)

每个动过证据的人、什么时候动的、做了什么 —— 全部记录
物理证据用证物袋 + 签名封条
数字证据用专门的取证管理系统

4. 易失性顺序

先采集最易消失的(内存、网络状态)
再采集稳定的(磁盘、日志)

5. 法律授权

在动证据之前确保有合法依据(搜查令、内部调查授权)
越权取证证据无效 + 自己可能违法

实操工具

EnCase / FTK —— 商业取证套件,法庭最认
The Sleuth Kit / Autopsy —— 开源
Volatility —— 内存取证
Magnet AXIOM —— 移动+电脑全平台

跟事件响应的关系

事件响应(Incident Response)的早期阶段就要考虑取证 —— 如果只想”赶紧恢复业务”,可能直接销毁了未来法律行动的证据。“恢复”和”取证”经常是矛盾目标,要提前定好优先级。

关系图谱

Protecting and Preserving Evidence 保护和保存证据
为什么这件事这么严肃
核心原则
1. 最小干扰(Minimal Impact)
2. 完整性证明(Integrity)
3. 保管链(Chain of Custody)
4. 易失性顺序
5. 法律授权
实操工具
跟事件响应的关系

反向链接

Digital Forensics 数字取证
Order of Volatility 易失性顺序

Created with Quartz v4.5.2 © 2026

Fordexa（企业版）
GitHub
LinkedIn
小红书