溯源取证

收到安全通报后，如何划分责任做存证溯源？某单位收到监管通报：存在未授权访问风险，限期7日整改并提交佐证。安全负责人连夜拉群——开发说早就修了，测试说测的时候没问题，甲方问：怎么证明测试时只读、没动生产？最后凑了一份 Word 加几张截图，回复被退回：缺少可验证的过程留痕与整改前后对比。

溯源取证-WEB流量分析-简单话不多说直接干：开发团队在公司的一个 Web 服务器上发现了异常文件，开发团队怀疑该服务器上存在潜在的恶意活动，网络团队准备了一个包含关键网络流量的 pcap 文件，供安全团队分析，而你的任务是分析 pcap，并从中发现问题

Ubuntu18.04磁盘取证-中难度篇sdb.vhd uac.tar ubuntu.20211208.memvolatility3 volatility2.6.1 FTK/Autopsy Strings

网络取证-Tomcat-简单我们的 SOC 团队在公司内部网的一台 Web 服务器上检测到可疑活动。为了更深入地了解情况，团队捕获了网络流量进行分析。此 pcap 文件可能包含一系列恶意活动，这些活动已导致 Apache Tomcat Web 服务器遭到破坏。我们需要进一步调查这一事件。

windows内存取证-中等难度-下篇上文我们对第一台Target机器进行内存取证，今天我们继续往下学习，内存镜像请从上篇获取，这里不再进行赘述

我是有底线的