8、初始分类与实时响应：数据分析

初始分类与实时响应：数据分析

1. 引言

在收集完目标系统的所有易失性信息并关闭系统后，如何将看似无关的数据转化为有意义的信息，以帮助我们了解发生了什么呢？虽然从易失性数据中获取的信息因案例而异，但解析信息的方法应保持一致。每次调查时，我们应大致以相同的方式寻找线索，让数据引导我们的调查方向。

就像树木一样，尽管它们的树枝形态各异，但都有根、树干和树枝，本质上都是树。在法医分析中也是如此，每个案例都涉及计算机系统、网络、事件和攻击者，虽然具体情况不同，但核心问题大多相似。

每个人进行调查的方式可能不同，有人喜欢从日志文件入手，有人从用户信息开始，还有人从网络连接查起。这些信息对调查都很重要，分析顺序可根据个人习惯调整。以下是一份易失性数据分析的个人大纲，可作为参考，你可以根据自己的风格和舒适度进行修改。

2. 初始分类

在深入分析主机之前，需要确定事件的基线参数。要了解客户认为发生了什么、是否有大致的时间线以及涉及哪些系统等。在这个阶段，关键是多问问题、记录信息并明确事件的参数。由于事件带来的压力和上级的要求，客户在初始分类阶段提供的信息可能很模糊，所以调查人员要保持冷静和理智，让客户感受到你能提供帮助。

客户讲述事件经过后，要进一步追问，填补客户认知与实际情况之间的差距。为了有效开展调查，需要明确以下几个方面：
- 时间线 ：尽可能将事件限定在一个特定的时间窗口内。根据事件的性质，这可能有难度，但应尽力尝试。有些事件可以精确到某一天或某几个小时，而有些可能涉及数年。确保调查尽可能全面，否则会严重影响后续的调查工作。
- 网络拓扑