一、开展调查

在信息安全专业人员的工作过程中，会经常发现自己参与了不同类型的调查。在某些情况下，这些调查是由安全团队领导的，以应对可疑或实际的安全事件。在其他情况下，调查可能是由另一个小组领导的，而安全专业人员被要求提供证据和专业知识。有四种主要的调查类型，经常涉及网络安全专业人员。它们是业务或行政调查、刑事调查、民事调查和监管调查(Operational or administrative investigations, Criminal investigations, Civil investigations, and Regulatory investigations)。

业务调查是为了调查与组织的技术基础设施有关的问题。例如，一项服务可能会返回错误，一个服务器可能响应太慢，或一个网络可能拥堵。这些业务调查试图找到这些症状的根本原因并加以解决，从而恢复正常运营。业务调查对证据的要求并不高，因为不涉及法律行动；
刑事调查则是另一个极端。刑事调查是由政府机构进行的，目的是调查违反刑事法律的行为。在这种情况下，赌注非常大，因为在刑事调查结束时，个人可能被指控犯罪。在刑事案件中，检方必须提出证据，说明除了被告犯罪之外没有其他合理的结论；
民事调查也是对违法行为的调查，但它们是涉及双方纠纷的非刑事犯罪。民事案件可由政府、企业或公民个人发起。民事案件的例子包括合同纠纷、违反就业法和知识产权侵权。由于民事调查不涉及刑事法律，它们不会使任何一方去监狱，因此它们的证据标准较低；
最后，监管调查是由政府机构调查潜在的违反行政法的行为，或由独立监管机构调查违反行业标准的行为。监管调查可能是民事或刑事性质的。

面谈(Interviews) 是调查员进行任何类型调查的最重要工具之一。在面谈过程中，调查人员向合作者提出一系列问题，目的在获得对调查有价值的信息。我们需要记住的是，面谈总是在自愿的基础上进行。当调查人员在未经同意的情况下询问一个有敌意的对象时，这被称为审讯。网络安全分析师不应该发现自己处于进行审讯的位置，他们应该把这个责任留给受过训练的执法官员。

二、证据类型

在准备可能用于法律诉讼的证据时，网络安全专家必须了解所收集的证据类型，以及如何使用这些证据才能被法庭接受。证据有三种主要类型：真实证据、文件证据和证词证据(Real evidence, Documentary evidence, and Testimonial evidence)。

Real evidence包括可被带入法庭并由所有相关方检查的有形物体。在数字犯罪案件中，真实证据可能包括实际的计算机设备。文件证据包括以书面或数字形式带入法庭的信息;
Documentary evidence可用证明事实。这种证据可能包括传统文件，如争议中的合同，也可能包括数字证据，如计算机日志。目前，有一些法律规则适用于文件证据的使用。首先，文件证据在被接受之前必须经过认证。这意味着必须有人证明该文件的合法性。同时，文件证据需要遵守一个被称为Best evidence rule的法律原则。Best evidence rule指出，一份文件的原始副本总是比该文件的副本或其他复制件更有说服力。只有当原始文件不再可用时，文件副本才可被接受为证据。适用于文件证据的最后一条规则是Parol evidence rule。该规则规定，当双方达成书面协议时，法院将假定双方之间的书面合同是完整的协议，不得口头修改。对书面协议的任何修改都需要另一份书面协议；
最后一种类型的证据是Testimonial evidence。在证词证据中，证人出庭作证，向法庭提供被接受为证据的信息。证言证据可能有两种形式。首先，证人可以提供直接证据(Direct Evidence)，告诉法庭他们直接观察到的与本案有关的信息。例如，网络安全调查员可以描述他们在调查事件中的观察。具有适当资质的证人也可以向法庭提供专家意见(Expert Opinion) 证据，根据他们的专业知识解释现有事实。提供意见的专家可以从其他证据中得出结论。例如，网络安全专家可以查看日志，并提供专家意见，认为发生了入侵事件。在提供证词证据时，证人必须避免违反传闻规则，其证据才能被接受。这意味着他们不能就别人在法庭外告诉他们的事情作证。

三、什么是取证(Forensics)技术

数字取证的目标是收集、保存、分析和解释数字证据工件以支持调查。这包括从智能手机或笔记本电脑中提取数据，以及分析网络流量日志等。数字取证调查员有各种各样的工具和技术可以使用，他们在处理证据时必须遵循一些基本原则：

任何法取证最重要的指导原则之一是，调查人员决不能采取任何改变证据本身的行动，也就是处理数字数据时需要要采取措施，确保他们不会污染证据。
当涉及到数字证据时，易变性(Volatility) 是一个重要的考虑因素。每种形式的数字证据都有不同程度的持久性，需要调查人员及时收集证据。例如，写在硬盘上的数据会比存储在RAM中的信息更持久。因此，硬盘的易变性比内存要低。易变性的顺序影响了调查员应该如何收集证据。在调查过程中，他们应该更紧迫地收集更易变的证据，因为时间是关键。一般来说，我们应该按照这个顺序收集证据。从网络流量开始，转到内存内容，然后再查看系统配置和进程信息。
另外，每当我们收集任何数字证据时，时间往往是一个关键因素。许多调查想确定事件发生的准确时间，或至少确定事件序列的时间线。我们还需要记住时间戳(Timestamp)的来源。仅仅因为一个系统在文件或日志条目上记录了一个时间戳，并不意味着时间是准确的。在进行任何取证数据采集时，调查人员应该从一个可靠的来源记下当前时间，并将其与设备上的时间进行比较。这个过程被称为记录时间偏移(Recording the time offse)，在以后分析这些数据时非常有用。

四、系统和文件取证(System and file forensics)

数字证据往往来自于储存调查人员所需信息的计算机、移动设备和数字媒体。当取证调查员创建一个硬盘或其他媒体的图像时，他们必须将设备连接到硬盘上，然后使用该设备复制存储在硬盘上的数据。但是，每当驱动器被连接到一个系统时，总是存在分析过程中无意中向设备写入数据的风险。取证调查员使用被称为 “Write blockers” 或 “Forensic disk controllers” 的设备来防止这种情况的发生。

Write blockers位于取证系统和证据之间，并拦截发送到证据的任何请求，删除那些可能篡改设备内容的请求。我们可以看到这里显示的一个Write blockers的实物。

HASH是一个使用数学算法生成的文件的唯一签名。如果我们在一段时间内对同一个文件进行多次HASH，将得到相同的结果。如果文件发生变化，即使是轻微的变化，HASH值也会完全改变。HASH值为取证调查员提供了证明证据没有被改变的能力。如果他们在收集证据时计算了HASH值，调查人员就可以在分析和提交证据时重新计算HASH值，以证明他们正在处理的文件是最初收集的同一文件。HASH值可以应用于任何类型的文件，从简单段落文本，到包含整个硬盘图像的文件。数字签名可以添加到HASH之上，为证据提供不可抵赖性。

当调查员检查一个文件时，他们不仅文件的基本内容，检查文件各种信息。例如有关文件、创建、存储和修改历史的细节。调查人员也可以从目标系统中收集其他细节。这可能包括使用特殊的取证软件进行屏幕截图，或简单地对屏幕进行拍照。如果遇到处于运行状态的系统，调查人员还可以收集有关系统内存内容、进程表和系统配置的信息。

五、File carving

我们知道，操作系统命令删除一个文件并不能真正从我们的设备上删除该文件的数据，它只是删除了对该文件的引用，将数据留在未分配的磁盘空间中，在那里它可以使用数据恢复技术(Data recovery techniques)。File carving技术能使我们能探测硬盘镜像的未分配空间，恢复可能存在的文件和其他数据。

File carving是一种非常有用的取证技术，因为它可以找到在安全事件中临时存储在磁盘上的信息。 Bulk extractor是一个File carving工具。它可以读取磁盘图像，并捕捉有各种信息供以后分析。

当我们执行数据恢复任务时，可能会发现自己需要执行底层的数据编辑工作，直接访问文件、驱动器或文件片段的二进制内容。WinHex是一个windows工具，允许我们快速加载、读取和修改数据，用于取证和其他数据恢复操作。

六、创建取证镜像(Creating forensic images)

一旦你把我们拷贝镜像的驱动器连接到write-blocker上，可以使用磁盘采集工具来创建该驱动器的快照以进行取证分析。在Linux上可以使用DD工具来创建驱动器的镜像，具体操作请参考：https://blog.51cto.com/u_5033330/2368957

在Windows系统上则是使用FTK Imager来完成这件事情。FTK Imager是一个Windows的图形化工具，允许我们创建镜像。具体操作请参考：https://www.cnblogs.com/ndash/p/suy.html

七、数字取证工具箱(Digital forensics toolkit)

取证工作的计算量很大，它需要获得一个强大的数字取证工具。我们需要从一个数字取证工作站(Digital forensics workstation)开始。数字取证工作站有如下要求：

当我们选择用于取证的硬件时，一定要选择一个有相当多的内存和强大的CPU的系统。在执行处理证据和计算哈希值的计算密集型过程时，这两点都将是非常重要的；
我们还需要一个有大量硬盘空间的系统来存储中间分析结果；
此外，我们的取证工作站应该装上选择的取证软件。首选需要一个取证分析工具，如EnCase、FTK或Autopsy。这些都是强大的取证工具套件，大大加快了分析过程；
一套密码学工具也是需要的。这些工具包括散列(HASH)工具，如md5sum和shasum，以及加密工具，我们可以用它们来保护敏感的证据或以安全的方式与其他事件响应团队成员沟通；
我们需要能够处理来自我们的企业基础设施的所有不同组件的日志文件的日志查看器(Log viewer)。
除了在我们的取证工作站上的存储，还需要获得良好的大型可移动媒体驱动器的供应，以存储驱动器镜像和其他取证证据。

我们需要确保每次使用这些驱动器存储证据之前，都要将其擦拭干净。不要忘记携带Write blockers，以防止我们在处理证据时意外损坏，以及收集各种类型的驱动器适配器、连接器和电缆等。有必要的话，我们还有应该携带有关于的取证和事件响应过程一部分的文件。这包括我们的事件响应计划的副本、监管链表格、事件表格，以及我们可能需要联系的其他团队成员的呼叫列表。最后，在收集证据时，我们要准备一些其他的杂物。这些物品包括标准办公用品、用于收集照片和视频证据的相机、犯罪现场胶带、证据袋和防伪封条。

八、操作系统分析(Operating system analysis)

取证检查员经常会发现自己需要进一步探索学习目标系统的操作系统的内部工作原理，这个过程被称为实时分析(Live Analysis)，它与其他类型的离线分析不同，因为我们正在与一个实时系统互动，并从它那里收集高度不稳定的信息。如果我们不迅速收集这些信息，它可能会永远消失。数字取证证据中最不稳定的来源之一是运行中的系统中的内存内容。你可以使用一种叫做内存转储(Memory dump)的技术，将RAM的当前内容写到一个文件中，然后可以存储起来进行离线分析。 创建内存转储实际上是一项相当简单的任务。你将需要一个内存转储工具，例如FTK Imager，转存完成后，我们可以将转存的文件加载到一个取证分析工具中。FTK是一个允许我们检索内存内容的RAM采集工具，但也有其他工具，如Linux的mem dump工具。

当系统的可用内存耗尽时，操作系统往往不得不将数据从内存写入磁盘。这个过程会在磁盘上创建被称为Swap files and page的文件，这些文件可能包含某个时间点上的部分内存，这些文件也可能被证明对取证分析有用。

Sysinternals是另一个专门针对Windows的操作系统分析工具集合。我们可以从微软的网站免费下载Systinternals套件。

在整个Systinternals套件中，有几个我们可以了解一下。

第一个工具是AccessEnum。这是一个有用的工具，允许我们看到分配给用户和组的不同权限。
Autoruns是一个显示系统启动时自动启动的程序的工具。我们可以看到所有不同的脚本和程序在我们每次登录系统时执行。
另一个Sysinternals的工具，叫做 “Process Explorer”。它可以显示我们的系统上有哪些进程在运行，并以分层的方式显示它们，因此我们可以看到哪些进程调用了其他进程。
最后，让我们来看一个叫做TCPView的工具。TCPView是一个网络工具，当我们加载它时，它会显示所有进入或来自我们系统的活动网络连接。我们可以看到哪个进程开始了连接，该进程的想法，正在使用的协议，以及我们系统上参与连接的本地地址和端口，还有目标系统上的远程地址和端口。它还向我们显示连接的状态，无论它是开放的还是只是一个正在监听新连接的服务，以及通过该连接来回发送的数据量的摘要。
在Systinternals套件中还有许多其他工具，允许我们安全地删除文件、监控进程活动、转储内存和分析错误。这些都是重要的工具，可以提供对Windows系统的巨大洞察力。在进行取证分析时，

九、密码取证(Password forensics)

密码破解(Password cracking)是攻击者的一个有价值的工具，它也在取证分析工具箱中发挥着作用。网络安全分析师在进行取证分析时，可能会发现存储在光盘上的密码文件，并可以使用密码破解工具试图从这些文件中检索出密码。

让我们来看看密码是如何存储的，以及我们如何使用密码破解工具来访问存储的密码。在Linux系统中，密码文件(/etc/password)包含了用户凭证。当用户试图登录一个系统时，登录过程会检查密码文件，以确定密码是否有效。密码文件包含一个密码哈希值，如图所示，它是用一个单向函数计算出来的。当用户登录时，登录程序会获取用户提供的密码，计算出该密码的哈希值，然后将该哈希值与存储在密码文件中的哈希值进行比较。如果这两个哈希值匹配，用户就能成功登录。
现在有四种常见的密码攻击类型。暴力破解(Brute Force Attack) 只是猜测所有可能的组合，它们只对短密码有效。字典攻击(Dictionary attacks) 假定人们在他们的密码中使用单词，并首先尝试英语中的所有单词。混合攻击(Hybrid Attack) 也考虑到了这些词的常见变化，例如在一个词的末尾加上年份，用数字0替换字母O和类似的扭曲。彩虹表攻击(Rainbow Table Attack) 预先计算常见密码的哈希值，节省了一个计算步骤。

十、网络取证(Network forensics)

取证调查员也经常对目标系统所发送和接收的通信感兴趣。调查人员可能无法进入系统本身，或者他们可能只是想获得一个嫌疑人通信的完整资料。这就是网络取证发挥作用的地方。网络传输是数字化的，由通过某种形式的网络媒体发送的1和0组成。以太网络通过铜线发送电脉冲，而光纤网络使用光脉冲在玻璃股上传输。无线网络使用无线电波在空气中发送其数字比特。现在，无论使用什么媒体，任何能接触到该媒体的人都能在其传播过程中捕获这些比特。铜和光纤电缆可以被窃听。无线电信号可以被截获。交换机和路由器可以被破坏。攻击者可能使用这些技术中的任何一种来偷偷窃听通信。取证调查员可能使用同样的工具来监测可疑的网络通信。

捕获这种网络信息的最全面的方法是通过使用协议分析器，如Wireshark。这些工具进行全面的数据包捕获，抓取它们在网络上看到的每一个比特，然后将这些比特重构为用于在系统之间交换数据的数据包。
NetFlow同样能够将网络通信信息提取出来，我们会发现每个网络通信的源和目的IP地址，以及网络端口、时间戳和每个通信中交换的数据量。这可以提供关于网络通信的有价值的信息。NetFlow数据通常由路由器、防火墙和其他部署在网络中的网络设备捕获。sFlow和IPFIX标准提供的数据与NetFlow捕获的数据相似，我们需要使用你的网络设备所支持的格式。

带宽监视器(Bandwidth monitors) 也提供了对网络利用率的洞察力。我们可以使用这些工具来了解有多少网络流量正在通过不同的链接。

十一、软件取证(Software forensics)

在调查中，软件代码可能被用作证据，而软件取证技术可能被用来分析该软件，以提供专家意见。在今天的网络安全环境中，软件取证有两个主要用途：

首先，软件取证经常被用来帮助解决各方之间的知识产权(intellectual property)纠纷。这是民事纠纷中非常常见的情况，软件取证专家经常被用来在法庭上为软件代码的来源作证。例如，假设一个关键的开发人员离开公司，接受了竞争对手的职位。竞争对手后来可能会发布一个新的产品版本，其中包括与第一家公司的产品非常相似的功能。第一家公司可能会指责竞争对手利用雇佣的软件开发人员窃取代码。竞争对手可能会回应说，他们独立开发了新功能，没有得到新雇员的任何帮助。然后，软件取证专家可能会分析这两种产品的代码，并得出结论，即一家公司是否使用了另一家公司的源代码来增加新功能。
软件取证技术的第二个主要用途是确定恶意软件的来源(Malware Origins)。软件取证专家可以分析在系统中发现的恶意代码，并将其与其他已知的恶意软件对象进行比较，以确定它们是否是由同一作者编写。

一些应用程序还提供对取证分析有用的记录。例如，电子邮件标题元数据经常包含对分析人员有用的信息。我们可以在Gmail中，找到一封邮件，然后显示原始文件：
如果向下滚动，可以看到这些邮件标题的完整文本，显示所有关于DKIM和SPF被检查的信息，然后还显示这个邮件从对应服务器到我自己的电子邮件服务器的路径。现在，这个记录非常复杂，这里有很多技术细节。

我们可以自己解析并阅读所有这些字段，但好消息是，网上有一些工具可以帮助我们解析这些头文件，做成更容易阅读的视图。

十二、移动设备取证(Mobile device forensics)

移动设备对取证检查员来说是一个独特的挑战。它们往往包含了我们的整个生活的内容。如果我们能接触到移动设备的全部内容，往往就能接触到某人的电子邮件信息、短信、语音邮件、存储在云服务中的文件，甚至是他们的GPS追踪数据历史。由移动设备产生的元数据可以很好地说明问题。

但是对移动设备进行取证分析并不容易，然而，因为这些产品的制造商使用强大的加密技术来保护设备中的私人数据，这就无法破解。

十三、嵌入式设备取证(Embedded device forensics)

嵌入式设备无处不在。它们帮助我们提供医疗服务，监控我们的家庭安全，协助我们驾驶车辆，并参与许多其他的日常生活任务。在这些作用中，嵌入式设备收集大量的信息，这些信息在取证调查中可能是有价值的。例如，调查人员通过分析GPS装置，可以确定一辆车在一段时间内的位置，将司机排除在调查的嫌疑人之外。

在我们的家庭中也有许多嵌入式设备，包含计算设备的安全监控系统。我们的恒温器可能是由云服务驱动的智能设备。甚至我们的灯也可能由智能应用程序控制。这些设备中的每一个都可以收集在取证调查中有用的信息。它们可以告诉我们谁在一栋楼里出现过，以及他们去了哪里。甚至恒温器也可以向调查人员提供关于房间内温度随时间变化的宝贵信息，帮助确定在监测区域发现的个人的准确死亡时间。

随着这些设备在越来越多的地方被使用，在嵌入式设备中取证这种趋势可能会在未来继续下去。

十四、证据链(Chain of custody)

当证据被用于法庭或其他正式场合时，参与争议的双方都有权确保所提交的证据在收集、分析或存储过程中没有被篡改。我们知道可以用HASH法来验证数字证据没有改变。证据链在确保证据的真实性方面也发挥着重要作用。

证据链(Chain of custody)，也被称为Chain of evidence，提供了一个文件线索，跟踪每次有人处理一件实物证据的情况。在数字取证的情况下，这可能包括原始硬盘或其他由调查员收集并用于后期分析的主要证据。在收集实物证据时，应始终将其置于证据储存袋中，并标明收集的日期、时间和地点、收集证据者的姓名以及袋子中的内容。然后，应使用防篡改的封条将其密封，以显示是否有人打开了袋子。
这就是证据链的开始。每件证据都应附有一份证据日志，记录证据生命周期中发生的重要事件。这些事件包括最初收集证据，在调查员之间转移证据，储存证据，打开和重新密封证据容器，以及任何其他重要事件。每次调查员在日志中记录条目时，日志条目应包括执行行动的人的姓名、日期和时间、行动的目的以及他们执行的行动的性质。证据日志是非常重要的，必须在法庭上出示。如果对方律师能够证明没有适当地维护证据日志，这就是所谓的违反证据链(Breach of the chain of custody)的情况。在提出证据的一方不能证明有令人满意的证据链的情况下，该证据可能不会被法庭接受。

十五、电子数据展示和证据提供(Ediscovery and evidence production)

网络安全专业人员经常发现自己被要求参与涉及其公司的法律诉讼所产生的电子取证工作。当组织涉及法律纠纷时，他们有义务保存与该纠纷有关的证据，并根据合法的法律命令提供这些证据。如下电子数据展示过程中的三个主要步骤。保存、收集和提供( Preservation, collection, and production)。

当一个组织收到一个可能都诉讼通知时，应该采取的第一个步骤是向可能拥有与争议相关的电子或纸质记录的个人和部门发出法律保留的要求。这通常采取向这些人发送信息，告知他们可能会有诉讼的情况，并指示他们必须保存与争议有关的任何记录。最重要的是，保存不仅仅包括不故意破坏信息。一旦组织有理由认为会有诉讼，他们必须暂停任何会销毁相关数据的自动化程序。这对IT团队影响最大，如果有与纠纷相关的日志，IT人员必须确保这些日志被保留下来，而不是在一定时间后或日志记录达到一定大小后被系统自动清除。
如果法律纠纷有了进展，在这个过程中的某个时间点，法律团队会决定开始收集保存的电子记录法。这将由律师来决定何时需要进行这种收集。但是，网络安全团队经常被要求支持许多系统的收集工作。这些收集工作可能包括的一些记录来源包括文件服务器上的文件、存储在个人电脑上的文件、存储在服务器或云端的电子邮件信息、在企业内部或云端管理的企业系统中的记录，以及其他与争议相关的数据。
纠纷再进一步，也就是到了提供阶段，记录将实际呈现给另一方。如果发生这种情况，电子数据展示的真正重任就开始了。律师将仔细研究所有收集到的记录，并决定哪些是与争议有关的，并且不受法律特权的保护。完成这一审查后，他们将创建一个包含所有相关记录的电子文件，并与对方分享。目前，在大多数组织中，绝大多数的诉讼记录从未超过保存和收集的阶段。除非企业发现自己经常出现在法庭上，否则很少会真正向对方提供证据。

十六、开发框架(Exploitation frameworks)

安全专业人员需要能够使用与攻击者相同的工具，而Exploitation frameworks提供了一种有效的方法。Metasploit是最常见的开发框架。它基本上是一把黑客的瑞士军刀，提供了一种可扩展的方式来使用模块化插件测试漏洞。但是，Metasploit和许多安全工具一样，可以被用来做善事或做恶事。使Metasploit成为优秀的安全测试工具的同样的灵活性也使它成为攻击者的强大武器。Metasploit开始是一个开源项目，但后来被安全公司Rapid Seven收购。因为这个情况，现在有两个版本的Metasploit。Metasploit framework edition仍然是免费的，而Metasploit Pro是带有一些额外功能的商业产品。Metasploit在Windows和Linux系统上都可以使用。例如，如下是一个Windows版本：

整理资料来源：
https://www.linkedin.com/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601

Security+ 学习笔记50 取证技术相关推荐

PE病毒学习笔记——初识感染技术（转自看雪学院）
[分享]PE病毒学习笔记--初识感染技术 <script type="text/javascript"></script> 标题: [分享]PE病毒学 ...
Security+ 学习笔记44 网络攻击
一.拒绝服务攻击(Denial of service attacks) CIA三要素描述了信息安全的三个目标,即保密性.完整性和可用性.攻击者使用的大多数攻击技术都集中在破坏数据的保密性或完整性上. ...
Flash/Flex学习笔记(50)：3D线条与填充
3D线条:把上一篇中的3D坐标旋转示例稍做修改,用线把各个小球连接起来即可. var balls:Array; var numBalls:uint=30;var fl:Number=250; var ...
spring security——学习笔记（day05）-实现自定义 AuthenticationProvider身份认证-手机号码认证登录
目录 5.2 自定义 Provider 身份认证 5.2.1 编码思路和疑问 5.2.2 创建用户信息配置类 PhonePasswordAuthenticationToken 5.2.2 修改自定义的 ...
TensorFlow学习笔记——《TensorFlow技术解析与实战》
著名历史学家斯塔夫里阿诺斯在<全球通史>中,曾以15世纪的航海在"物理上"连通"各大洲"作为标志将人类历史划分为两个阶段.在我正在写作的<互联 ...
学习笔记10--CAN总线技术
本系列博客包括6个专栏,分别为:<自动驾驶技术概览>.<自动驾驶汽车平台技术基础>.<自动驾驶汽车定位技术>.<自动驾驶汽车环境感知>.<自动驾驶 ...
Java编程思想学习笔记4 - 序列化技术
今天来学习下Java序列化和反序列化技术,笔者对<Java编程思想>中的内容,结合网上各位前辈的帖子进行了整理和补充,包括: 序列化概述 Java原生序列化技术 Hessian序列化技术 ...
LTE-5G学习笔记18--5G关键技术（想学更多快进群）
一.研究的背景及意义自2009年5月27日瑞典电信运营商Telia宣布启用世界上第一个4G (LTE: Long Term Evolution)试商用网络以来,4G网络的部署已在全球全面开花.根据G ...
LTE-5G学习笔记15--Volte关键技术TTI Bundling讲解
TTI:transmission time interval传输时间间隔,MAC层的概念,它说明了一个MAC传输块时间上的长度在LTE中TTI=1ms TTI Bundling:TTI绑定,一般LT ...
学习笔记：从技术到管理，在蜕变中成长
大家好,我是阿飞云怕什么真理无穷,进一步有近一步的欢喜前几天分享了一篇有关于:从程序员到管理团队,分享一些职场管理的心得,相关内容也可点击下面卡片跳转查看. 本文分享一个看到过的视频内容,视频分享 ...

Security+ 学习笔记50 取证技术