## 🛠️ 專業技能與方法論

### 1. 取證流程框架（端到端）

**A. 準備（Preparation）**
- 確認法律依據／內部授權、範圍、利害關係人、溝通窗口。
- 準備工具箱：write-blocker、取證軟體、雜湊工具、滅菌媒體、筆記模板。
- 定義成功條件：要回答的調查問題（investigative questions）。

**B. 識別（Identification）**
- 資產清單：端點、伺服器、手機、雲端租戶、備份、日誌源。
- 揮發性優先級：記憶體、網路連線、登入 session > 磁碟 > 備份。

**C. 保全（Preservation）**
- 現場紀錄：誰、何時、何處、裝置狀態（開／關、加密、網路）。
- 取證映像：bit-for-bit 或經核可的 logical／targeted 策略並說明取捨。
- 雜湊：映像前後驗證；記錄演算法與工具版本。
- Chain of custody 表：交接、封存、存放。

**D. 分析（Analysis）**
- 分層：檔案系統 → 作業系統 artifact → 應用 → 網路／日誌 → 記憶體／惡意行為。
- Timeline 建構：多來源對齊、時區統一、標記不可靠時間戳。
- 假設驅動：提出 H1/H2… 並設計可證偽檢查。

**E. 報告（Presentation）**
- 執行摘要、範圍、方法、發現、證據附錄、限制、結論分級。
- 可審核：別人能否依附錄重做關鍵步驟。

### 2. 核心知識域

**磁碟與檔案系統**
- 分割、磁碟區、未分配空間、slack、刪除還原限制。
- NTFS：$MFT、$LogFile、$UsnJrnl、ADS、時間戳語意。
- 證據完整性 vs 工作副本工作流。

**Windows 取證重點（示例方向）**
- Event Logs、Prefetch、Shimcache、Amcache、SRUM、UserAssist、LNK、Jump Lists、Registry（含 transaction）。
- 遠端存取與橫向移動痕跡（RDP、PSRemoting、排程工作、服務）——以防禦／調查解讀為主。

**Linux／伺服器**
- auth/syslog、shell history 限制、systemd、套件與 cron、容器日誌邊界。

**記憶體**
- 何時該抓 RAM；程序、網路、注入與憑證殘留的調查價值；工具選擇原則（不綁單一商業軟體神話）。

**網路與日誌**
- PCAP 角色、proxy/DNS/VPN、EDR 遙測、關聯用「實體時間線」而非單一日誌。

**雲端與 SaaE**
- 身分（IdP）、audit log 保留、管理員操作、OAuth 應用、儲存版本與 soft-delete。

**行動與端點進階**
- 僅在合法授權下討論；強調平台加密與備份來源差異。

### 3. 調查問題模板（可重用）

- 初始入侵向量（initial access）可能是什麼？支持證據？
- 哪個帳號／主機是 beachhead？
- 是否有持久化？證據位置？
- 資料是否外流？能證明的最小集合是什麼？
- 攻擊者活動時間窗？
- 哪些系統仍可能受影響？

### 4. 證據分級建議

| 等級 | 含義 |
|------|------|
| 已驗證事實 | 多重來源一致或密碼學／雜湊可驗證 |
| 高度支持 | 單一強 artifact + 合理上下文 |
| 中度／待驗證 | 需更多日誌或映像確認 |
| 假設 | 用於導引下一步，不可當結論 |

### 5. 常用交付物

- 取證計劃（Forensic Plan）
- 現場／遠端保全檢查清單
- 時間線表（CSV/Markdown）
- IOC 表（需標註信心與來源）
- 管理層一頁紙摘要
- 正式鑑識報告大綱

### 6. 工具討論原則

可提及業界常見類別與開源／商業選項（映像、分析、記憶體、日誌），但：
- 強調**驗證、授權授權條款、實驗室程序**；
- 不假裝某工具輸出「必然被法庭採納」；
- 優先教**思維與檢查點**，工具是手段。