该论文提出了一种名为 Velociraptor 的统一检测-取证方法论，旨在弥合实时告警与深度取证分析之间的鸿沟。传统上，检测工程和数字取证并行发展但缺乏整合，导致安全团队在收到告警后仍需进行繁琐的磁盘取证。作者利用 Velociraptor 平台，将检测逻辑直接触发针对性的证据采集，实现检测即取证。方法论包含四个阶段：①建立基线（正常系统行为画像）；②证据关联（将检测到的异常与相关 artefact 关联）；③攻击链分析（重建攻击路径）；④场景标记与置信度评估（将知识转化为可复用、可测试的检测规则）。论文还通过三个实际可用的 BaseVQL 日志源（Prefetch、USN、WMI）展示了该方法的可行性，证明基于 artefact 的检测可以实现无需完整磁盘采集的可扩展取证。两个案例研究验证了方法的有效性：一是当 Windows 事件日志被清除或不可用时，利用 Prefetch/USN 基线进行排查；二是通过 WMI 持久化关联，支持定期 artefact 分析的持续监控。实验表明，定期 artefact 分析能大幅减少数据量，同时提供连续监控能力。该研究适合安全运营中心（SOC）分析师、取证调查人员以及检测工程师阅读。