按照一般的理解,流量分析应该是直接放在Misc里面的,电子取证只涉及对内存数据和磁盘数据的取证分析。但是,电子取证其本身就是对电子设备的数据进行取证分析,而流量数据其分析重要性和内存、磁盘数据是不相上下的,三者往往相互辅助,共同辅助构建目标设备的时间线痕迹的分析结果。 建议查看:[[Wireshark]]