发觉出事了，千万冷静，深呼吸三次后，⼀定要保护好有关现场。有⼏个经验供参考： 

针对电脑、服务器这类联⽹设备，⼀旦这些是事故主场，⽴即断⽹，但不关机（电源供电持续）。有⼈说如果是破坏性病毒，不关机的话，本地系统的⽂件就都被病毒破坏了。你说的没错，如果你的反应能快过病毒的话...

除⾮你⾃⼰有能⼒，否则等待专业安全⼈员介⼊取证分析。

这点很关键，我们遇到不少情况是：当我们介⼊做分析时，现场已经乱七⼋糟了，甚⾄关键证据（如⽇志、病毒⽂件）都出现被清理⼲净的情况。没有保存良好的案发现场，会对后续的分析与追踪溯源产⽣极⼤的⼲扰。

分析原因的⽬的是了解对⼿，输出⿊客画像。这个时候事故报告就⾮常重要，也叫验⼫报告(Post Mortem Report)，当然国内把 Post Mortem Report 翻译为验⼫报告怪怪的，我们喊事故报告就⾏。

我们遇到许多⼈被盗币后，来咨询我们怎么办，很纠结的是，许多⼈难以表达清晰，更别说出具清晰的事故报告了。但我觉得表达是可以练习或依葫芦画瓢出来的。⽐如⾄少把以下⼏点说明下：

概要 1：什么⼈、什么时间、发⽣了什么事、总损失多少？

概要 2：损失有关的钱包地址、⿊客钱包地址、币种类型、数量，⼀个表格就⽐较清晰了。

过程描述：这点才是最难的，这⾥需要把这个事故过程的⽅⽅⾯⾯细节点描述出来，这甚⾄会分析出⿊客有关的各种痕迹，最终输出⿊客画像（其中包括了作恶动机）

我们具体在对接时，模板会复杂的多，循序渐进的。有时候⼈的记忆也是有问题，甚⾄出现刻意隐瞒关键信息导致浪费时间或耽误了绝佳时机。所以在实际对接中，消耗是真⼤，我们需要⽤我们的经验去做好引导⼯作。最终和丢币的⼈或项⽬⽅⼀起出具事故报告，并不断更新这份事故报告。

返回目录     下一篇

#区块链个人安全黑手册 #比特币 #区块链安全