核心判断:取证不是找一句结论,而是建立可回看的事实链
事件现场里最容易犯的错,是把一条告警、一张截图或一次登录直接升级成完整结论。取证页面必须让事实、推断和未知边界同时可见。
- 证据先保全,动作后执行
- 时间线先统一,影响面后扩大
- 报告保留不能确认项
数字取证
取证方法
先确认事实,再扩大判断
澄安会优先保全关键证据,避免在不确定状态下过度处置;再通过多源交叉验证,逐步收敛影响面。
证据组合
不同证据源各自有盲区,交叉验证是为了降低误判,而不是制造更多噪声。
- 主机:进程、服务、文件、计划任务、登录会话
- 身份:账号、来源、权限变化、异常访问
- 业务:访问日志、数据库审计、关键操作记录
处置节奏
从证据保全到复核报告
- Phase 01保全关键证据锁定时间窗口、主机范围、账号范围和日志源。
- Phase 02交叉验证事实用不同证据源互相印证,标记确定、可疑和待确认结论。
- Phase 03形成复核材料输出证据索引、影响判断、处置建议和复测依据。
需要把事件事实先说清楚?
可以从时间窗口、资产范围和已有日志开始,我们一起确认取证优先级。