标签：链路证据

1. 到场第一步：保护现场与记录到场时不要重启或登录被扣服务器；先拍照（外观、连线、标签、机柜位置）。记录时间、在场人员、网络连线（标注端口、MAC、IP）。为后续链路保全准备纸质或电子的《证据交接单》，记录设备序列号、硬盘编号和电源状态。 2. 易失性数据优先采集（RAM 与运行态信息）在不重启系统前采集内存与运行态信息：推荐使用 LiME