AI取证分析指南
AI取证分析指南#
本指南详细介绍如何使用 unJaena AI 的核心功能——AI取证分析,快速、准确地分析已采集的证据。通过自然语言查询,您可以从数以万计的痕迹数据中发现关键证据,完整还原事件全貌。
什么是AI取证分析?#
AI取证分析能够自动检查已采集的数字证据(注册表、Prefetch、EventLog、浏览器历史记录、USB记录等),识别关键证据,并执行时间线重建、威胁分类和关联分析。
核心功能#
- 自然语言查询:无需专业查询语法,用日常语言即可提问
- 语义搜索:基于语义自动查找相关证据,而非简单的关键词匹配
- MITRE ATT&CK 映射:自动将检测到的威胁按攻击杀伤链阶段分类
- 证据引用:每条分析结论均附带具体的证据来源引用
- 多语言支持:支持中文、韩语、英语和日语进行分析
开始分析#
步骤一:选择案件#
- 在仪表板中选择需要分析的案件。
- 确认案件状态显示为可分析。
- 数据上传和索引完成后,才能使用AI分析功能。
- 点击 AI分析 标签页,进入分析页面。
步骤二:选择分析方式#
unJaena AI 提供三种分析方式,请根据您的分析目标选择合适的方式。
三种分析方式#
AI分析#
最强大的分析方式。通过自然语言查询,AI自动搜索证据并生成综合分析报告。
适用场景:
- 调查特定可疑活动
- 获取事件整体概览
- 分析多种痕迹类型之间的关联
- 执行杀伤链分析
使用方法:
- 在AI分析标签页中输入您的问题。
- AI自动搜索并分析相关证据。
- 分析结果实时流式呈现。
- 通过追问进行更深入的分析。
人工审查#
直接浏览和审查已采集的痕迹数据。
适用场景:
- 需要亲自查看特定痕迹原始数据
- 手动审查特定时间段的数据
- 验证AI分析结论背后的原始证据
使用方法:
- 进入人工审查标签页。
- 按痕迹类型筛选(注册表、Prefetch、EventLog等)。
- 设置时间范围,查看特定时段的数据。
- 查看各条痕迹的详细信息。
时间线分析#
按时间顺序可视化展示全部系统活动,便于发现异常。
适用场景:
- 理解事件的时间脉络
- 检测异常时段的活动(深夜、周末)
- 分析多个事件之间的时间关联
使用方法:
- 进入时间线分析标签页。
- 设置分析时段。
- 在可视化时间线上查看活动模式。
- 点击检测到异常活动的区段查看详细信息。
自然语言查询#
AI分析的核心在于自然语言查询。无需了解专业术语,用日常语言即可提问。
查询示例#
基础查询:
- "该系统上是否有可疑活动?"
- "显示USB设备连接记录"
- "列出过去7天内所有已执行的程序"
定向调查查询:
- "2026年3月15日14:00之后是否有文件被复制到外部存储设备?"
- "PowerShell是否在异常时间被执行过?"
- "查找已删除文件的痕迹"
威胁分析查询:
- "对该系统执行杀伤链分析"
- "查找可能存在恶意软件感染的证据"
- "是否有与C2服务器通信的痕迹?"
- "分析与内部威胁相关的证据"
交叉分析查询:
- "分析USB连接后是否有文件被下载"
- "显示新账户创建后发生的可疑活动"
- "按时间顺序列出远程连接后被访问的文件"
使用追问功能#
AI会保留之前的对话上下文。您可以根据初次分析结果进行追问,逐步深入调查。
第一个问题:"显示USB连接记录"
-> AI:发现3次USB连接事件(3/15 14:32、3/16 09:15、3/18 22:47)
追问:"分析3月15日USB连接前后30分钟内的文件活动"
-> AI:USB连接后立即访问了5个文档文件,其中3个被复制到USB设备
追问:"显示3个被复制文件的详细信息及相关用户活动"
-> AI:提供详细分析结果
理解AI分析报告#
AI分析结果按以下结构呈现。
发现摘要#
分析中识别出的关键发现按优先级整理。每项发现均附带相关证据及其重要性说明。
证据引用#
所有分析结果均包含 [证据 #N] 格式的引用。通过引用可以验证每条AI结论所依据的实际证据。
示例:
2026-03-15 14:32:18 检测到USB设备(SanDisk Extreme,序列号:4C530001)
连接 [证据 #1]。连接后随即于 14:35:42 检测到对 'ProjectX_Final.docx'
的访问 [证据 #2]。该文件于 14:37:05 被复制到外部驱动器 [证据 #3]。
点击各 [证据 #N] 即可查看原始痕迹数据,具体作用如下:
- 直接验证AI分析的准确性。
- 查看原始痕迹的完整内容。
- 识别需要进一步调查的证据。
时间线#
已发现的事件按时间顺序重建,帮助您理解事件经过。异常时段(深夜、周末)的活动会被单独标注。
置信度指标#
AI分析结果对每项判断附带置信度等级:
| 置信度 | 含义 | 建议操作 |
|---|---|---|
| 已确认 | 有明确的痕迹证据支撑 | 纳入报告 |
| 高度可能 | 有多项间接证据支撑 | 建议进一步确认 |
| 需进一步调查 | 仅部分证据得到验证 | 开展深入调查 |
MITRE ATT&CK 杀伤链映射#
AI分析会自动将检测到的威胁活动映射到 MITRE ATT&CK 框架。MITRE ATT&CK 是一套国际标准框架,用于系统化分类网络攻击的战术和技术。
杀伤链阶段#
分析中识别出的主要攻击阶段:
| 阶段 | 说明 | 检测示例 |
|---|---|---|
| 初始访问 | 初始入侵点 | 钓鱼邮件、恶意下载 |
| 执行 | 恶意代码执行 | 可疑进程执行记录 |
| 持久化 | 维持据点 | 注册表自启动项注册 |
| 权限提升 | 提升权限 | 管理员账户获取尝试 |
| 防御规避 | 躲避检测 | 日志删除、时间戳篡改 |
| 凭据访问 | 获取凭据 | 浏览器保存数据访问 |
| 环境侦察 | 信息收集 | 系统信息收集命令 |
| 横向移动 | 内网扩散 | 远程桌面连接记录 |
| 数据收集 | 数据汇聚 | 对特定文件夹的大量访问 |
| 命令与控制 | C2通信 | 可疑外部连接 |
| 数据渗出 | 数据窃取 | 大量USB/云端复制活动 |
| 影响 | 造成破坏 | 文件加密、系统篡改 |
使用杀伤链分析#
杀伤链映射结果可帮助您:
- 识别攻击的当前阶段。
- 预测尚未执行的阶段,实现主动防御。
- 串联各阶段的证据,还原完整攻击路径。
多语言分析#
unJaena AI 支持4种语言。AI响应将以案件创建时设置的分析语言输出。
支持的语言#
| 语言 | 查询 | AI响应 | 痕迹搜索 |
|---|---|---|---|
| 中文 | 支持 | 支持 | 支持 |
| 韩语 | 支持 | 支持 | 支持 |
| 英语 | 支持 | 支持 | 支持 |
| 日语 | 支持 | 支持 | 支持 |
跨语言搜索#
无论使用哪种语言查询,AI都会跨语言搜索所有痕迹数据。例如:
- 用中文查询"查找恶意软件痕迹",系统会同时搜索英语事件日志和其他语言的用户活动数据。
- 使用日语或韩语查询同样适用相同的搜索范围。
高效查询技巧#
描述尽量具体#
不推荐:"有什么异常吗?"
推荐: "显示过去7天内深夜(22:00-06:00)发生的可疑活动"
指定时间范围#
指定时间段可获得更精确的分析结果。
"分析2026年3月15日至3月20日的USB活动"
"查找过去48小时内执行的可疑进程"
指定痕迹类型#
指定分析对象可实现更有针对性的分析。
"显示EventLog中的登录失败记录"
"从Prefetch中查找在异常时间执行的程序"
"检查注册表中的自启动项"
请求交叉分析#
分析多种痕迹类型之间的关联,可获得更深入的洞察。
"将USB连接时间与文件下载记录进行交叉分析"
"显示新服务安装前后的网络活动"
渐进式深入分析#
从宏观入手,逐步缩小范围。
步骤1:"评估该系统的整体安全状况"
步骤2:"详细分析发现的可疑Prefetch文件"
步骤3:"是否有与该可执行文件相关的网络连接记录?"
常见问题(FAQ)#
Q:AI分析结果能否作为法律证据使用?#
AI分析结果是一种辅助工具,用于确定调查方向和识别关键证据。如需作为法律证据使用,须经专业取证分析师验证和确认。您可以通过AI提供的证据引用([证据 #N])直接查验原始痕迹。
Q:AI分析是否可能出错?#
AI分析仅基于实际采集的证据,但解读的准确性无法达到100%。为此,系统提供了以下保障:
- 每项结论均附带证据引用。
- 提供置信度指标(已确认 / 高度可能 / 需进一步调查)。
- 用户可直接查验原始证据。
Q:分析需要多长时间?#
取决于查询的复杂度,通常情况下:
- 简单查询:30秒至1分钟
- 复杂分析:1至2分钟
- 完整杀伤链分析:2至3分钟
分析结果实时流式输出,您可以在完整分析完成前先行查看部分结果。
Q:能否查看之前的分析记录?#
可以。所有分析对话均按案件保存。您可以随时回顾之前分析会话中的问题和结果。
Q:如何保障数据安全?#
- 所有数据按用户隔离存储。
- 传输和存储均采用 AES-256-GCM 加密。
- 套餐保留期限到期后,数据将自动删除。
- 无法访问其他用户的案件数据。
Q:能否仅分析特定类型的痕迹?#
可以。在查询中指定特定痕迹类型,分析将聚焦于该类型。您也可以在人工审查标签页中按痕迹类型筛选,直接查看原始数据。
Q:分析结果能否导出?#
可以将分析结果导出为PDF,或与团队成员共享。导出的报告包含AI分析结论、证据引用和时间线。