阅读有助于我们了解Mandiant是如何对APT1组织进行追踪和分析的。这些分析手段综合了多种技术手段，包括专业的数字取证、恶意代码分析、恶意代码追踪，可能还有蜜网，当然，还有Google Hack，语言学分析。透过这篇报告及其附件，我们也能了解到为什么他们这么言之凿凿的列出如此详细的***单位和地址，还有参与者的姓名、工作职位，等等。

我在想，我们是不是有什么方法去识别新型威胁和***？从这个报告中我们可以了解到什么样的追踪分析技术？

这又让我想到了美军的情报分析理论。情报分析（Intelligence Analysis）是指对有用的信息进行分解、合成，通过逻辑推理得出有价值的结论。借助信息化的手段，当前的情报分析手段和工具被美国军方归纳出了14种，例如“相关性分析”，“风格分析”、“文化分析”、“群聚分析”，等等。【建议看看这本书——，美国陆军协会丛书之一】

在报告中，Mandiant还简要阐述了他们是如何区分这20多个不同的***组织的，他们是如何判定某个***行动是来自个人的还是来自某个组织的。

【参考】