AU Plus

概念 (284)

Absolute File Path 绝对路径
Access Controls 访问控制
Active Packet Sniffing 主动数据包嗅探
Advanced Persistent Threat (APT) 高级持续性威胁
Adversarial AI 对抗性人工智能
Adware 广告软件
Algorithm 算法
Angler Phishing 社交媒体客服钓鱼
Antivirus Software 杀毒软件
API Token API 令牌
Argument 参数
ARP 地址解析协议
Asset Classification 资产分级
Asset Inventory 资产清单
Asset Management 资产管理
Asset 资产
Asymmetric Encryption 非对称加密
Attack Surface 攻击面
Attack Tree 攻击树
Attack Vectors 攻击向量
Authentication 身份认证
Authorization 授权
Availability 可用性
Baiting 诱饵攻击
Bandwidth 带宽
Baseline Configuration 基线配置
Basic Auth 基本认证
BEC 商业邮件诈骗
Biometrics 生物特征
BIOS 基本输入输出系统
Bit 比特
Bootloader 引导加载器
Botnet 僵尸网络
Brute Force Attack 暴力破解
Bug Bounty 漏洞赏金
Business Continuity 业务连续性
Chronicle Google 云原生 SIEM
CIA Triad 信息安全铁三角
Cipher 密码算法
CISSP 信息安全专业人士认证
CLI 命令行界面
Cloud Computing 云计算
Cloud Network 云网络
Cloud Security 云安全
Cloud-based Firewall 云防火墙
CNA CVE 编号机构
Command Option 命令选项
Command 命令
Compliance 合规
Computer Virus 计算机病毒
Confidentiality 保密性
Controlled Zone 受控区
CPU 中央处理器
Cryptographic Attack 密码学攻击
Cryptographic Key 加密密钥
Cryptography 密码学
Cryptojacking 加密货币劫持
CVE Common Vulnerabilities and Exposures
CVSS Common Vulnerability Scoring System
Cybersecurity 网络安全
Data at Rest 静态数据
Data Custodian 数据托管人
Data in Transit 传输中数据
Data in Use 使用中数据
Data Owner 数据所有人
Data Packet 数据包
Data Point 数据点
Database 数据库
DDoS Attack 分布式拒绝服务攻击
Defense in Depth 纵深防御
Digital Certificate 数字证书
Digital Forensics 数字取证
Directory 目录
DNS 域名系统
DoS Attack 拒绝服务攻击
Dropper 投放器
Encapsulation 封装
Encryption 加密
Exploit 漏洞利用
Exposure 暴露
External Threat 外部威胁
Fileless Malware 无文件恶意软件
Firewall 防火墙
Forward Proxy Server 正向代理
GUI 图形用户界面
Hacker 黑客
Hacktivist 黑客主义者
Hard Drive 硬盘
Hardware 硬件
Hash Collision 哈希碰撞
Hash Function 哈希函数
Hash Table 哈希表
HIPAA 美国医疗信息保护法
HTTP 超文本传输协议
HTTPS 安全超文本传输协议
Hub 集线器
IaaS Infrastructure as a Service 基础设施即服务
IAM 身份与访问管理
ICMP Flood ICMP 洪水攻击
ICMP 互联网控制消息协议
IDS 入侵检测系统
Incident Response 事件响应
Information Privacy 信息隐私
InfoSec 信息安全
Injection Attack 注入攻击
Input Validation 输入验证
Integrity 完整性
Internal Hardware 内部硬件
Internal Threat 内部威胁
IP Address IP 地址
IP Spoofing IP 地址欺骗
IP 互联网协议
Kernel 内核
LAN 局域网
Legacy Operating System 遗留操作系统
Linux
Linux Bash 默认 Shell
Linux Distros 常见发行版
Linux FHS 文件系统层次标准
Linux nano 命令行文本编辑器
Linux Permissions 文件权限
Linux Root User 超级用户
Loader 加载器恶意软件
Log 日志
MAC Address MAC 地址
Malware 恶意软件
Metrics 指标
MFA 多因素认证
MITRE
Modem 调制解调器
Network Log Analysis 网络日志分析
Network Protocol Analyzer 网络协议分析器
Network Protocols 网络协议
Network Security 网络安全(基础设施层)
Network Segmentation 网络分段
Network 网络
NIST CSF 网络安全框架
NIST RMF 风险管理框架
NIST SP 800-53 控制项目录
Non-Repudiation 不可否认性
OAuth 开放授权协议
On-path Attack 路中攻击(中间人攻击)
Operating System 操作系统
Order of Volatility 易失性顺序
OSI Model OSI 模型
OWASP 开放网络应用安全项目
PaaS Platform as a Service 平台即服务
Package Manager 包管理器
Package 软件包
Packet Sniffing 数据包嗅探
Passive Packet Sniffing 被动数据包嗅探
Password Attack 密码攻击
PASTA 攻击模拟与威胁分析流程
Patch Update 补丁更新
PCI DSS 支付卡行业数据安全标准
Penetration Testing 渗透测试
Peripheral Devices 外设
PHI 受保护健康信息
Phishing Kit 钓鱼套件
Phishing 网络钓鱼
Physical Attack 物理攻击
Physical Social Engineering 物理社会工程
PII 个人可识别信息
Ping of Death 死亡之 ping
PKI 公钥基础设施
Playbook 操作手册
Policy 安全策略
Port Filtering 端口过滤
Port 端口
Prepared Statement 预编译语句
Principle of Least Privilege 最小特权原则
Privacy Protection 隐私保护
Procedures 操作步骤
Programming 编程
Protecting and Preserving Evidence 保护和保存证据
Proxy Server 代理服务器
PUA 潜在不需要的应用
Quid Pro Quo 等价交换骗局
Rainbow Table 彩虹表
RAM 随机存取内存
Ransomware 勒索软件
Regulations 法规
Relative File Path 相对路径
Replay Attack 重放攻击
Reverse Proxy Server 反向代理
Risk Mitigation 风险缓解
Risk 风险
Root Directory 根目录
Rootkit 根套件
Router 路由器
SaaS Software as a Service 软件即服务
Salting 加盐
Scareware 恐吓软件
Security Architecture 安全架构
Security Assessment 安全评估
Security Audit 安全审计
Security Controls 安全控制
Security Ethics 安全伦理
Security Frameworks 安全框架
Security Governance 安全治理
Security Hardening 安全加固
Security Posture 安全态势
Security Zone 安全区
Separation of Duties 职责分离
Session Cookie 会话 Cookie
Session Hijacking 会话劫持
Session ID 会话 ID
Session 会话
SFTP 安全文件传输协议
Shared Responsibility 共担责任
Shell 命令行解释器
SIEM 安全信息和事件管理
Smishing 短信钓鱼
Smurf Attack 蓝精灵攻击
SNMP 简单网络管理协议
SOAR 安全编排自动化与响应
Social Engineering 社会工程
Social Media Phishing 社交媒体钓鱼
Spear Phishing 鱼叉式钓鱼
Speed 网速
SPII 敏感个人可识别信息
Splunk Cloud 云托管 SIEM
Splunk Enterprise 自建 SIEM
Spyware 间谍软件
SQL Date and Time Data 日期时间数据
SQL Exclusive Operator 排除运算符
SQL Filtering 过滤
SQL Foreign Key 外键
SQL Inclusive Operator 包含运算符
SQL Injection SQL 注入
SQL Numeric Data 数值数据
SQL Operator 运算符
SQL Primary Key 主键
SQL Query 查询
SQL Relational Database 关系型数据库
SQL String Data 字符串数据
SQL Syntax SQL 语法
SQL Wildcard 通配符
SQL 结构化查询语言
SSH 安全外壳协议
SSO 单点登录
Standard Error 标准错误
Standard Input 标准输入
Standard Output 标准输出
Standards 标准
Stateful Firewall 有状态防火墙
Stateless Firewall 无状态防火墙
Subnetting 子网划分
Supply-chain Attack 供应链攻击
Switch 交换机
Symmetric Encryption 对称加密
SYN Flood Attack SYN 洪水攻击
Tailgating 尾随
TCP 传输控制协议
TCP/IP Model TCP/IP 模型
Technical Skills 技术技能
Threat Actor 威胁主体
Threat Modeling 威胁建模
Threat 威胁
Transferable Skills 可迁移技能
Trojan Horse 木马
UDP 用户数据报协议
UEFI 统一可扩展固件接口
Uncontrolled Zone 不可控区
USB Baiting U 盘诱饵攻击
User Interface 用户界面
User Provisioning 用户配置
Vishing 语音钓鱼
VM 虚拟机
VPN 虚拟专用网络
Vulnerability Assessment 漏洞评估
Vulnerability Management 漏洞管理
Vulnerability Scanner 漏洞扫描器
Vulnerability 漏洞
WAN 广域网
Watering Hole Attack 水坑攻击
Web-based Exploits Web 应用利用
Whaling 捕鲸攻击
Wi-Fi 无线局域网
World-writable File 全局可写文件
Worm 蠕虫
WPA Wi-Fi 安全协议
XSS Cross-Site Scripting 跨站脚本
Zero-day 零日漏洞

课程
书籍
概念
博客
提示词
教程
标签
关于我

❯

❯

Order of Volatility 易失性顺序

Order of Volatility 易失性顺序

2026年5月17日3分钟阅读

cybersecurity
source-type/course
source/coursera-foundations-of-cybersecurity

Order of Volatility 易失性顺序

数字取证(Digital Forensics)的核心原则之一 —— 越容易消失的数据,越要先采集。

标准顺序(从最易失到最不易失)

CPU 寄存器 / 缓存 —— 微秒级消失,几乎抓不到
路由表 / ARP 缓存 / 进程列表 / 内核统计 —— 几秒到几分钟
内存(RAM) —— 重启就没,关键证据多在这里(密钥、解密数据、注入的 malware)
临时文件 / Swap —— 一段时间后被覆盖
磁盘文件 —— 长期保存,但可被覆盖
远程日志、监控数据 —— 通常更安全(取决于保留策略)
物理介质(打印输出、纸面、归档磁带) —— 最不易失

取证操作的实操含义

如果你怀疑一台机器被攻陷:

错的做法: 立刻重启 / 关机 —— 内存数据全没了
错的做法: 立刻拔网线 —— 网络状态(连接、ARP)丢了
对的做法: 按 Order of Volatility 顺序逐层捕获:
1. 先做内存 dump(用 dumpit / LiME / Magnet RAM Capture)
2. 再抓网络状态(netstat, ss -tunap, arp -a)
3. 再做磁盘镜像(dd / dc3dd / FTK Imager)
4. 最后才考虑关机

相关概念

保护和保存证据 —— 取证的完整流程,Order of Volatility 是其中一个原则
Chain of Custody(证据保管链) —— 谁在什么时候动过证据,法庭要求严
Write Blocker —— 防止取证过程中改动原始磁盘

为什么这事在 Security 行业越来越重要

现代 malware 越来越多只在内存里运行(fileless malware),关机就证据全无
内存里有解密的 ransomware 密钥、攻击者凭据、C2 配置
没按 Order of Volatility 操作 = 调查丢一半线索

关系图谱

Order of Volatility 易失性顺序
标准顺序(从最易失到最不易失)
取证操作的实操含义
相关概念
为什么这事在 Security 行业越来越重要

反向链接

Digital Forensics 数字取证
Hard Drive 硬盘
Protecting and Preserving Evidence 保护和保存证据
RAM 随机存取内存

Created with Quartz v4.5.2 © 2026

Fordexa（企业版）
GitHub
LinkedIn
小红书