还有就是去找他的什么office文件也很重要，大家想想一个做红队的，你总得有些什么要求通知，或领导发的一些文件，如果说你能能够拿到他的机器，拿到office也很重要，好，然后这是一个。接着继续说溯源的途径。从痕迹出发找到一个能识别的网络资产。找到一个我能识别的网络资产，也是说不管它是用TCP连接，udt连接，还是用什么其他的方式连接，你得能够找到一个 IP地址，或者说是一个域名，然后你再去做一些识别，来看一下他这个域名有没有做cdn，有没有说做什么nginx的转发，是不是一个云函数等等。

能识别一个网络资产，从资产中去找联系，什么叫从资产中去找联系？比如说吧它是用的HTTP，而且简单一点，假设它是一个https，Https大家想一想有什么有一个什么东西是必要的，是一是必须要的，是不是一个SSL证书，SsL证书，这东西是不是可以去通过这个证书去找到这个人，是有这种可能性的。

那么IP地址也是一样如果说你能够知道这个资产就是说假设这是一台VPS，假设大家这个 IP地址对应到你能够找到对应的一个云服务的提供商，假设你能够找得到，那么你是不是可以通过云服务商这边，比如说是去找一些客服等等之类的一些东西，能不能够去做到一些关联性的一些东西，这是从溯源的一个途径出发，就是说从这个溯源的途径给大家就做一个简单的一个讲解。

第二就是说关于这样一个信息收集的话，我们该做些什么东西，我们如果说在第一步的时候，就是说做能够识别到这个网络资产的时候，我们该如何去做这样一些信息收集，因为来想一想，如果说现在假设这样一个场景，你现在知道别人在攻击，或者说知道有人对你正在做一些什么坏事的时候，但是现在暂时只能够做一些，就是说暂时你只能找到它的IP地址，没办法找到下一步，大家想一想这个时候该怎么办。

我就直接讲了吧，我们是不是应该就让他诱敌深入。大家想想诱敌深入，方便我们那个下一步的行动，因为我们第一步，如果说第一时间我们发现了。这个攻击的痕迹或者说是怎么样，我们拿到的证据也不多，反思的手段我们也还没准备好，这个时候我们就需要去做什么，诱敌深入时候我们是不是要对方发过来的这样一个攻击的一些东西，比如说它的IP地址。我们可以拿map扫一下对方的IP地址，它是开了哪些端口那个这个东西nmap随便扫一下，所以我随便什么端口扫描工具随便乱扫一下大概的去判断一下它大概是个什么样的机器。可能它上面它有怎样的一些服务，那如果说服务比较简单，那么就也没啥特别好说的

但是基本上你能够通过一些服务的一些识别，尽可能的去判断一下他可能使用的一些工具，或者说他用的一些手段方式方法，比如说它如果说是50050如果说它没有改默认端口，你发现了你map一扫它50050端口就知道是C2。