本文提出 WEBRR，一个针对现代 Web 攻击的取证回放与调查系统。当前 Web 应用广泛采用动态内容加载、跨域请求、JavaScript 异步交互等特性，导致传统基于静态页面或简单重放的取证工具难以准确捕获和复现攻击场景。WEBRR 通过浏览器内核级别的监控和注入技术，完整记录攻击过程中的所有网络请求、DOM 变化、JavaScript 执行上下文以及浏览器状态，并支持精确回放，包括用户交互事件的时间序。系统设计包括三个模块：捕获模块（轻量级浏览器代理，记录所有请求-响应及渲染事件）、存储模块（压缩存储以确保取证完整性）、回放模块（基于 Chromium 的定制回放引擎，可重现攻击期间的全部视觉效果和网络交互）。实验在多个真实攻击样本（含 XSS、CSRF、点击劫持、钓鱼等）和 80 余种流行网站上进行，结果表明 WEBRR 能成功回放所有攻击，且回放保真度（通过视觉相似度度量）超过 95%，性能开销在可接受范围内。相比现有工具如 Reticle、Hindsight 等，WEBRR 克服了对现代 Web 框架（如 React、Angular）的依赖和动态脚本重放难题。该工作为安全分析师提供了高效、准确的攻击场景重现手段，有助于深入理解攻击原理、验证检测规则和开展事后调查。

本文提出了一种针对深度神经网络数据投毒攻击的取证溯源工具。在对抗性机器学习领域，新的防御措施常常被更强大的攻击迅速攻破，因此取证工具可以作为现有防御的有益补充，通过追溯成功攻击的根本原因，为未来防范类似攻击提供缓解路径。作者提出了一种新颖的迭代聚类与剪枝解决方案，该方法逐步剔除“无辜”的训练样本，直至剩余样本全部为导致攻击的投毒数据。具体而言，该方法基于训练样本对模型参数的影响进行聚类，然后利用高效的数据遗忘机制剪除无辜簇。作者在计算机视觉和恶意软件分类领域，针对三种脏标签（后门）投毒攻击和三种干净标签投毒攻击进行了实证评估，系统在所有攻击上实现了超过98.4%的精确率和96.8%的召回率。此外，该系统对四种专门设计用于攻击它的反取证措施表现出鲁棒性。该工作为安全从业者提供了一种事后分析工具，可用于定位训练数据中的恶意样本，辅助模型修复和攻击溯源。

该论文提出了一种新型僵尸网络清除方法，核心思路是劫持恶意软件自身的更新机制，通过远程代码部署复用来分发修复载荷，从而在感染设备上隐蔽且及时地移除前端僵尸程序。与传统的DNS沉洞或C&C基础设施查封相比，该方法无需数月准备，且能绕过攻击者恢复控制的漏洞。作者研发了ECHO自动化取证管道，该管道能从Android恶意软件样本中提取载荷部署例程，并自动生成修复载荷，实现从隐蔽警告用户到彻底卸载恶意软件等多种清除目标。通过对702个Android恶意软件样本的评估，ECHO成功修复了其中523个（约74.5%），证明该方法在现实场景中具有很高的可行性和覆盖率。该研究为执法机构和安全厂商提供了一种在获得法律授权后可立即实施的、高效的僵尸网络根除辅助手段。

本文介绍了 DeepFake Forensics AI，一个统一的多模态深度伪造检测与区块链锚定证据管理平台。随着 AI 生成合成媒体的激增，数字证据在法证和法律场景中的完整性面临严重威胁。现有的深度伪造检测系统通常仅针对单一模态，且缺乏防篡改的证据保存机制。该平台从零训练了四个独立的神经网络：基于 EfficientNet-B4 的图像检测器（AUC=0.9868）、基于双向 LSTM 的视频检测器（AUC=0.9628）、基于 ECAPA-TDNN 的音频检测器（EER=18.63%），以及一个新颖的 GAN 指纹识别模块（准确率 99.88%），用于识别伪造图像背后的生成架构。证据文件经 SHA-256 哈希后，通过 Pinata 存储在 IPFS 上，并经由基于 Solidity 的智能合约在以太坊区块链上注册，实现了基于角色的访问控制。平台提供 React 前端和 FastAPI 后端，适用于法证和法律工作流程。据作者所知，这是首个将多模态深度伪造检测与基于区块链的链上证据管理相结合的系统。

该论文研究了在技术促进虐待（TFA）背景下，账户盗用幸存者如何利用数据导出（Data Export）功能补充内置安全接口（ASI）进行账户盗用调查。研究背景是：当TFA幸存者怀疑他人访问其在线账户时，通常依赖ASI（如受信任设备列表）来评估账户是否被盗，但ASI通常提供有限或模糊的过往访问和安全事件信息。根据数据保护法的知情权条款，用户可以请求结构化数据导出。本研究在六个主流平台（包括社交媒体、电子邮件等）上模拟了四种类型的账户盗用攻击（例如密码重置、会话劫持等），然后分析平台提供的数据导出和ASI内容。结果显示，数据导出始终包含比ASI更细粒度的登录历史记录、更丰富的设备/网络标识符（如IP地址、用户代理等）。某些数据导出甚至能将安全相关操作（如密码更改）和其他身份验证后活动链接到特定设备，为识别盗用提供了取证价值。论文还讨论了在TFA干预中使用数据导出的可用性挑战（如用户理解难度、格式不统一）和实际障碍（如请求处理延迟）。主要贡献：首次系统评估数据导出在账户盗用调查中的潜力，提出其作为ASI补充的实用建议。适合关注账户安全、用户隐私和TFA干预的网络安全研究者和产品安全团队阅读。