技能库 1312 个

使用Wireshark等工具抓取并分析网络流量，识别恶意通信模式

按照法律规范对电子设备进行现场取证、镜像制作及链式保管，确保数字证据的完整性、可追溯性和法律可采性。

对恶意软件样本进行静态和动态分析，提取IoC（入侵指标）及行为特征，辅助网络犯罪调查与溯源。

将技术发现转化为清晰的法律及管理层报告，支持诉讼

基于基线建立流量模型，识别DDoS、C2通信等异常

从系统、应用及安全设备日志中提取证据，关联攻击链，支持网络犯罪调查与溯源。

分析CVE漏洞的利用代码，理解攻击原理并复现攻击流程，以支持网络犯罪调查与防御决策。

使用Volatility等工具从内存转储中提取进程、网络连接及加密密钥

基于PCAP文件识别恶意流量、数据泄露和攻击模式，为安全事件调查提供取证依据

使用 Volatility 等工具对内存转储进行深度分析，提取进程、网络连接、注册表等关键证据，以还原攻击路径、识别恶意行为

基于文件时间戳、系统日志、网络日志等证据，构建事件时间线以还原攻击过程，支持安全取证调查

使用IDA Pro、Ghidra等工具对恶意样本进行静态和动态分析，提取IoC、还原攻击链、判定恶意行为

使用 FTK Imager、dd 等工具获取磁盘镜像，并计算哈希值验证数据完整性，适用于网络安全取证调查。

提取和分析Windows注册表项，追踪用户活动、系统配置变更及恶意软件痕迹。

自动生成符合司法标准的取证报告，包含证据链和发现摘要，适用于网络安全攻防场景

解析NTFS、ext4等文件系统，提取删除文件、日志等证据，支持安全取证调查。

依据时间戳和日志事件，重建攻击过程的时间线，还原攻击路径与关键节点

从多源日志中提取关联事件，还原攻击链路，适用于安全事件调查与溯源场景

从网络安全事件证据（如日志、邮件、文件）中提取IP、域名、哈希等IOC，并输出标准格式（如JSON、CSV、STIX）

对恶意软件样本进行静态与动态分析，提取入侵指标（IOC）及行为特征，支持安全事件调查与溯源。

基于PCAP分析异常流量，识别C2通信与数据外泄

将IOC（折衷指标）与威胁情报关联，识别攻击者背景与TTPs（战术、技术与流程），支持安全事件调查与溯源分析

对内存镜像进行取证分析，提取进程、网络连接与隐藏模块，支持安全事件调查与威胁狩猎。

撰写包含发现、分析、建议的网络安全事件调查报告