What is the CHFI v10 exam format and passing criteria?

The CHFI v10 (312-49) exam consists of 150 multiple-choice questions with a 4-hour (240-minute) time limit and an approximate 70% passing score (may vary based on question difficulty). It is administered through Pearson VUE or the ECC Exam Portal. The exam fee is approximately $450 USD (often included in official training packages).

What core knowledge domains does CHFI v10 cover?

CHFI v10 covers the complete computer forensics process: Forensic Science and Investigation Procedures, Evidence Collection and Preservation (Chain of Custody), Hard Disk Forensics and Data Recovery, Operating System Forensics (Windows/Linux/Mac), Network Forensics and Traffic Analysis, Web Application Forensics, Database Forensics, Cloud Forensics, Mobile Device Forensics, IoT Forensics, Malware Forensics, Dark Web Forensics, and Email and Social Media Forensics.

What is the difference between CHFI and CEH? Which is right for me?

CEH focuses on "offense" — teaching you to think and penetrate systems like a hacker. CHFI focuses on "post-incident investigation" — teaching you to collect digital evidence after a security incident, trace attack sources, and support legal proceedings. Choose CHFI if you are interested in incident response, digital forensic investigation, or law enforcement technology; choose CEH if your goal is penetration testing. The two are often seen as complementary certifications, and many security professionals pursue both.

What are the prerequisites for CHFI certification?

Candidates trained through an EC-Council Authorized Training Center (ATC) can sit for the exam directly. Self-study candidates need at least 2 years of information security experience and must submit an Eligibility Form. Foundational knowledge of networking, operating systems (Windows/Linux), and basic information security concepts is recommended. Holding a CEH certification provides a solid knowledge foundation.

How do I maintain my CHFI certification? What are the ECE credit requirements?

CHFI certification is valid for 3 years. Holders must earn 120 ECE (EC-Council Continuing Education) credits per 3-year cycle and pay an annual fee of $80 USD. ECE credits can be earned through attending forensics-related conferences (such as SANS DFIR Summit), publishing research, completing online courses, and participating in actual forensic cases.

What are the career prospects and job roles for CHFI holders?

Common roles for CHFI holders include Digital Forensics Investigator, Incident Response Analyst, Cybercrime Investigator, Forensics Consultant, Senior SOC Analyst, and Law Enforcement Technical Specialist. With the continuous growth in cybercrime cases and the increasing importance of digital evidence in legal proceedings, demand for digital forensics talent remains strong. CHFI holders earn an average annual salary of $85,000-$125,000 USD, with particularly high demand in government, law enforcement, financial services, and consulting sectors.

其他专业级🔒 安全

EC-Council Computer Hacking Forensic Investigator v10 (312-49)

EC-Council Computer Hacking Forensic Investigator v10 (312-49) 认证备考练习，609+ 练习题附详解，助您高效通过考试。

Start Practice Browse Learning Path

$450

Exam Fee

150

Questions

120m

Exam Duration

70/1000

Passing Score

Bottom line · It depends

CHFI 是 EC-Council 旗下的数字取证证书——技术圈普遍觉得它比 SANS GCFE/GCFA 浅得多，但因为被列入 DoD 8140 IAT Level II 和 CSSP Incident Responder 两个 work role，美国 Gov Contractor 和联邦执法口依然把它写进招聘硬门槛。如果你是冲 DoD 合规岗考的，值；如果是冲技术深度考的，直接上 SANS GCFE。

MEMBERSHIP

JR Academy Membership

Unlock all certifications, courses & tools at a fraction of the cost

All certification exam prep included
Course discounts up to 50%
AI tools & Chrome extensions
Priority 1-on-1 coaching

View Membership Plans

What this certification covers

This page is structured for quick scanning first: exam format, fit, prep time, and the actual study scope.

CHFI v10（312-49，EC-Council 当前在售版本，v11 已在部分区域灰度但 v10 仍是主流考试代码）是 EC-Council 在"事后调查"方向上的旗舰证，和 CEH（攻）、ECIH（事件响应）构成 EC-Council 的安全三件套。考试形式 150 道单选/多选题 / 4 小时 / 通过分约 70%，题型和 CEH 一样没有 Performance-Based Question——也就是说你可以不碰一次 FTK Imager、Autopsy、Volatility 就通过一张"数字取证证"，这是 SANS 阵营和技术圈最主要的批评点。

价格定位在 EC-Council 的典型区间：走官方授权培训中心（ATC）报名含培训 + iLabs + 考试券约 $1,199 USD，自学走 Eligibility Form（需提交 2 年以上 infosec 工作经验证明 + $100 审核费）单独报考约 $850 USD。对比同方向的 SANS FOR500（GCFE 主机取证）学费约 $8,780 USD、SANS FOR508（GCFA 事件响应与高级取证）学费约 $8,780 USD——CHFI 的价格只是 SANS 的十分之一。这是 CHFI 最大的卖点：数字取证方向里"预算敏感但需要一张被官方清单认可的证"，CHFI 几乎是唯一选项。

为什么它没被 SANS 碾压？ 答案和 CEH 一样是三个字母：DoD 8140。CHFI 同时在 DoDM 8140.03 (2023 年替代 8570) 的 IAT Level II baseline 和 CSSP Incident Responder work role 清单上，意味着美国国防部、情报社区（IC）、退伍军人部（VA）、国土安全部（DHS）的合同里需要这两类岗位的人员，CHFI 都能直接满足合规要求。Lockheed Martin、Leidos、Booz Allen、ManTech、SAIC、CACI 的 SOC / DFIR 合同岗位 JD 里，"Security+ or CEH or CHFI" 是高频组合——HR 做合规筛选时看到 CHFI 和看到 GCFA 效果一样，但 CHFI 考生的筛选成本便宜近十倍。

CHFI 涵盖范围是典型的 EC-Council 广度路线：16 个模块包括取证调查流程、一次响应与现场保全、硬盘与文件系统（NTFS、FAT、ext2/3/4）、Windows/Linux/Mac 操作系统取证、网络流量取证、Web 应用与数据库取证、云取证（AWS/Azure/GCP）、Android 和 iOS 移动取证、IoT 与暗网取证、恶意软件静态/动态/内存分析、反取证技术识别，以及取证报告与专家证词。权重最大的三块是磁盘与 OS 取证、网络与 Web 取证 和恶意软件取证——这三个模块合计约占考试题量的 55-60%。

v10 相对 v9 的核心变化：扩展了云取证（AWS CloudTrail / Azure Activity Log 证据获取流程）、增加了暗网和加密货币取证基础、更新了 Volatility 3 的命令行语法、增加了针对勒索软件事件的恢复和溯源章节。认证有效期 3 年，走 ECE（EC-Council Continuing Education）120 学分续证 + $80/年年费。

You will work with

Ethical HackingPenetration TestingNetwork SecurityVulnerability AssessmentIncident Response

After preparation

获得 EC-Council CHFI v10 官方认证
掌握 312-49 考试核心知识和技能
提升专业领域竞争力

Exam details

Exam Code

312-49

Provider

其他认证机构

Duration

120 minutes

Question Count

150 questions

Passing Score

70/1000

Validity

3 years

Exam Fee

$450 USD

Question Types

Single choice, Multiple select

Languages

English

Official Page

Open AWS page

Who should take it

Good fit

希望获得 EC-Council CHFI v10 认证的 IT 专业人员
网络工程师和系统管理员
希望提升专业技能的 IT 从业者
计算机科学/网络工程专业学生

Before you start

了解基本的网络安全概念
有相关领域的工作经验
建议先通过相关入门级认证

Is it worth it? Career value

Salary ranges, target job titles, and the real career impact of holding EC-Council CHFI v10.

美国(Gov Contractor + Secret Clearance)

$105K-155KUSD

美国(商业 DFIR 市场)

$85K-135KUSD

澳洲

$95K-140KAUD

中国

¥200K-450KCNY

新加坡

$75K-120KSGD

中东(阿联酋/沙特)

$85K-140KUSD

Digital Forensics InvestigatorIncident Response Analyst (DFIR)Cybercrime InvestigatorComputer Forensics ExaminerSOC Tier 3 AnalystMalware Reverse Engineer (Junior)Forensics ConsultantLaw Enforcement Technical SpecialistCSSP Incident Responder (DoD 8140)eDiscovery Analyst数字取证调查员事件响应分析师电子取证顾问

CHFI 的变现路径和 CEH 高度重合但方向相反——CEH 给你"攻"的合规背书，CHFI 给你"守 + 事后调查"的合规背书。两者在 DoD 8140 清单上交集巨大，很多 Gov Contractor 的 DFIR 岗 JD 会写 "Must hold one of: Security+, CySA+, CHFI, CCFP, GCFA"——这行字就是 CHFI 存在的全部意义。

在美国 Gov Contractor 市场，CHFI 最直接的价值是满足 CSSP Incident Responder work role 的 baseline 要求。ClearanceJobs 和 USAJobs 2025-2026 数据显示，带 Secret Clearance + CHFI 的 Tier 3 SOC / DFIR 岗位中位薪资约 $118-138k USD，在 Northern Virginia / Maryland / Colorado Springs 这些军工集群地区尤其明显。但要注意——商业市场（硅谷、西雅图、纽约的私企 DFIR 团队）基本不看 CHFI。Mandiant、CrowdStrike、Kroll、Stroz Friedberg 这类顶级 DFIR 咨询招人时几乎只认 SANS GCFE / GCFA / GREM / GCIH，CHFI 在这些公司的简历筛选里最多算"加分项"，而不是"合规硬门槛"。

技术深度对比必须说清楚：CHFI vs SANS GCFE（主机取证） vs SANS GCFA（高级事件响应与取证）。SANS FOR500 / FOR508 课程的 courseware 是 DFIR 圈公认的黄金教材，考试强调动手（GIAC 认证都是开卷 + 实操场景题），考过的人几乎都能独立完成一次完整的主机事件响应调查。CHFI 是选择题 + 工具识别题模式，你可以靠刷题库 + 课件通过，考过之后不保证你真的能独立处理一次勒索软件事件。技术权威性：SANS GCFA > SANS GCFE > CHFI。但 SANS 一张证近 9 千美元，CHFI 不到 $1200，这是两个完全不同的消费层级。

澳洲市场情况：Seek.com.au 上明确提到 "CHFI" 的活跃岗位长期在 40-80 个之间，主要集中在 MSSP（CyberCX、Tesserent、Pure Security）的 DFIR 团队、四大所（Deloitte、PwC、KPMG、EY）的 Cyber IR 部门、联邦政府承包商（Leidos Australia、BAE Systems Australia Digital）以及 AUSTRAC / AFP 的技术辅助岗位。澳洲 ACSC（Australian Cyber Security Centre）的 IRAP 体系和 ASD 的外包取证评估清单都接受 CHFI 作为基础认证之一。但澳洲真正的 DFIR 精英岗（Mandiant APAC、CrowdStrike Services APAC）依然只认 GCFA。

中国市场，CHFI 是银行、保险、大型国企和公安部直属科研院所的常见关键词之一，但在国内执法系统里权威性不及中国电子学会的电子数据取证人员（CEDF）和公安部的网络安全与信息化人员认证。CHFI 在国内的价值集中在涉外业务和外企中国区安全团队（IBM、微软、埃森哲）。猎聘和 BOSS 直聘 2026 数据显示，北京/上海带 CHFI 的中级数字取证岗中位薪资 22-38 万人民币，资深 DFIR 岗（CHFI + GCFA + CISP）可以到 45-75 万。

最适合考 CHFI 的三类人：

目标 DoD 8140 CSSP Incident Responder / Gov Contractor DFIR 岗的人：你考它是因为合同要求。已经拿到 Lockheed / Leidos / Booz 的 conditional offer 让你 90 天内拿一张 CSSP baseline 证的，CHFI 是合理选择，尤其是你已经有 CEH，考 CHFI 只需要额外 4-6 周。
预算紧张但需要一张"认可度高 + 能写进简历"的数字取证证的人：SANS 一张 $9k，CHFI 不到 $1.2k，差 8 倍。企业安全团队内部需要"有人持证"来满足 ISO 27001、PCI-DSS、等保 2.0 的审计要求时，CHFI 是财务和法务最熟的名字之一。
执法口 / 警察学院 / 公安系统的网络犯罪调查岗：很多国家的执法培训体系里 CHFI 是标配——它的 courseware 对法律程序、证据链、法庭呈堂流程的覆盖比 SANS 更"广而浅"，反而适合非全职技术人员的执法调查员。

不建议考 CHFI 的人：

目标顶级 DFIR 咨询 / 红蓝对抗高级岗的人：你应该直接攻 SANS GCFE → GCFA → GREM。Mandiant、CrowdStrike Services、Kroll 招聘 JD 里 CHFI 基本不会被算作技术认证，HR 看到 CHFI 但没有 GCFA 反而会觉得"这人只通过了选择题考试"。把 $850-1199 留着，攒够了直接上 SANS FOR508。
零基础想转取证的人：CHFI 默认你已经有基础 IT + 网络 + OS 基础，不教你 TCP/IP、不教你命令行，不教你 Windows 进程和服务。直接上 CHFI 的零基础考生会被 16 个模块的广度和大量特定工具输出截图打懵。先 Security+，做 1-2 年 SOC Tier 1/2，再考 CHFI。
目标 Malware Reverse Engineering（恶意软件逆向）岗的人：CHFI 的恶意软件模块只是入门级（IDA Pro / Ghidra 基本用法、静态动态分析概念），真正做逆向你需要 SANS GREM (GIAC Reverse Engineering Malware) 或 Offensive Security OSED。CHFI 上面那点恶意软件内容不够用。

Study preparation

With hands-on AWS

6-10 weeks

From scratch

14-20 weeks

Daily pace

1.5-2 hours/day

Learning path preview

8 chapters

EC-Council CHFI v10 考试概述与备考指南

45 min

Forensic Science and Investigation Process

70 min

Disk and Operating System Forensics

70 min

Network and Web Application Forensics

70 min

Cloud, Mobile and IoT Forensics

70 min

Malware Forensics and Anti-Forensics

70 min

+ 2 more chapters inside the full path

Step-by-step preparation

A concrete week-by-week plan from past test-takers — not generic advice.

第一阶段：吃透 EC-Council 官方 courseware + iLabs（3-5 周）

CHFI 的考点 100% 跟着 EC-Council 官方 16 个模块 courseware 走，不像 SANS 可以靠 DFIR 实战博客和 GitHub 自由学习。**强制要求**：拿到 v10 官方 courseware（16 个模块 PDF + iLabs 账号），按顺序过一遍。重点模块：Module 03 Understanding Hard Disks and File Systems（NTFS MFT 结构、$LogFile vs $UsnJrnl、FAT 文件分配表、ext2/3/4 inode）、Module 04 Data Acquisition and Duplication（dd / dcfldd / FTK Imager 命令行 + hash 验证流程）、Module 05 Defeating Anti-Forensics Techniques、Module 06 Windows Forensics（注册表五大 hive：SAM/SECURITY/SOFTWARE/SYSTEM/NTUSER.DAT 里各自存什么；Prefetch、ShimCache、AmCache、LNK 文件、Jump Lists、Shellbags 分别记录什么痕迹）、Module 08 Network Forensics（Wireshark 抓包 + Zeek/Bro 日志读法）、Module 13 Investigating Web Attacks、Module 14 Dark Web Forensics、Module 15 Database Forensics、Module 16 Cloud Forensics（AWS CloudTrail / S3 Access Log / Azure Activity Log 证据完整性验证）。每个模块做对应 iLabs（v10 约 50+ lab），不要跳——考试工具识别题直接来自这些 lab 截图。

第二阶段：Windows 取证工件 + Volatility 内存取证肌肉记忆（3-4 周）

CHFI 不考 PBQ 但大量考工具识别和"工件在哪里能找到"。Windows 取证工件这一块是**考试占比最大也最容易失分的**——必须在虚拟机里用真实 Windows 10/11 环境把这些工件全部定位过：**注册表 hive 位置**（`C:\Windows\System32\config\` 里的 SAM/SECURITY/SOFTWARE/SYSTEM + 每个用户目录下的 NTUSER.DAT 和 UsrClass.dat）、**Prefetch** (`C:\Windows\Prefetch\*.pf`) 记录程序运行次数和最后运行时间、**ShimCache/AmCache** 记录执行过的 PE 文件路径、**LNK 快捷方式** 记录文件打开来源（含 MAC 地址和卷序列号）、**Jump Lists** (`%AppData%\Microsoft\Windows\Recent\AutomaticDestinations\`) 记录最近打开的文档、**Shellbags** (NTUSER.DAT 里) 记录用户浏览过的文件夹、**Event Log** (`C:\Windows\System32\winevt\Logs\*.evtx`) 的 Security / System / Application 三大主日志。NTFS 特有的 **$MFT**（Master File Table，每个文件对应一个 entry，含 Standard Information $SI 和 File Name $FN 两套时间戳，考试经常考 $SI vs $FN timestamp 差别如何检测 timestomping）、**$LogFile**（NTFS 事务日志）、**$UsnJrnl**（Update Sequence Number Journal，记录文件变更）这三个元文件的差别是高频考点。内存取证必须把 **Volatility 3** 跑熟：`vol -f mem.dump windows.info`、`windows.pslist`、`windows.pstree`、`windows.netstat`、`windows.malfind`、`windows.cmdline`、`windows.dlllist`——每个插件至少跑过一次真实的 memory dump。

第三阶段：网络 / 云 / 移动 / 恶意软件广度覆盖 + 法律合规（3-5 周）

CHFI 是广度证——16 个模块全覆盖，任何一个都可能出题。不能只刷重点。**网络取证**：Wireshark 读 PCAP（识别 ARP spoofing、DNS tunneling、SMB 枚举、HTTP / HTTPS 差别、Kerberos 认证流程）、Zeek 日志 conn.log / http.log / dns.log 字段含义、Snort 规则语法。**云取证**：AWS CloudTrail 事件结构（eventName / eventSource / userIdentity / sourceIPAddress）、S3 Server Access Logging 格式、Azure Activity Log 获取流程、GCP Cloud Audit Logs 三类（Admin Activity / Data Access / System Event）。**移动取证**：Android APK 静态分析（apktool / jadx）、Android 的 /data/data 应用数据位置、iOS backup 结构（Manifest.db、iBackupBot）、iOS jailbreak 之后的 AFC2 访问。**恶意软件取证**：静态分析（PEiD 识别加壳、strings、IDA Pro 入门）、动态分析（Process Monitor / RegShot / Wireshark in sandbox）、YARA 规则基础。**法律合规必考**：Chain of Custody 标准流程（谁采集 → 谁封存 → 谁转运 → 谁分析 → 谁出庭作证，每一步都必须有时间、签字、hash 验证）、Federal Rules of Evidence（尤其是 Rule 702 专家证词要求）、美国 ECPA / CFAA、第四修正案在数字取证中的适用（"搜查令的范围"在云证据里怎么界定）、HIPAA / GLBA / PCI-DSS 的证据保存要求、欧洲 GDPR 的跨境证据传输限制。这部分没法靠技术直觉答，必须考前过一遍对照表。

第四阶段：模考冲刺 + 312-49 题库精刷（2-3 周）

最后阶段刷三类东西：**(1) 官方 EC-Council Aspen 平台 mock exam**（和实考题型、题干风格最接近）；**(2) Boson ExSim-Max for CHFI**（目前没有 Boson 版本——CHFI 第三方模考最靠谱的是 **Kaplan IT Training / MeasureUp CHFI** 约 $99-139，题型接近实考）；**(3) JR Academy 609+ 题库 + 各平台 312-49 真题**（CHFI 题库流通量比 CEH 小，但 ExamTopics 和 Spoto 上都有；注意：纯刷题库不学 courseware 风险比 CEH 更大，因为 CHFI 的工具识别题会直接贴 FTK Imager、Autopsy、Volatility 的界面截图，没跑过工具的人会彻底懵）。模考稳定 80%+ 再约考。最后一周不碰新题，专门回顾：(a) Windows 工件位置速查表；(b) NTFS $MFT / $LogFile / $UsnJrnl 差别；(c) Volatility 常用插件；(d) Chain of Custody 五步法；(e) 云服务三大日志类型。考前一晚只看这五张表。

Real test-taker experiences

What it actually took for real candidates to pass — prep time, scores, and lessons learned.

我在 Fort Meade 附近的一家 DoD Contractor 做 SOC Tier 3，我们合同要求 DFIR 岗位必须持有 CSSP Incident Responder baseline 之一（CEH、CHFI、CySA+、GCIH、GCFA）。我已经有 CEH 和 Security+，合同新增了需要 "at least one forensics-specific cert" 的条款，HR 给了我 120 天——CHFI 或 GCFA 选一个。GCFA 要 $8780，公司报销上限 $4500；CHFI $1199 完全覆盖。所以就是 CHFI。备考最大的痛点是 Windows 工件部分——我之前做 SOC 主要看 SIEM 告警，没有真正动手跑过 NTFS $MFT 解析、没看过 Prefetch 文件长什么样。CHFI courseware 这部分内容挺扎实的，iLabs 里有几个 NTFS 解析和 Volatility 内存分析的实验帮我建立了感性认识。考试题型很 EC-Council——大量"给你一段 FTK Imager / Autopsy 截图问哪个选项是正确解释"。考完之后，我的岗位等级从 SOC Tier 3 升到 CSSP IR（年薪 +$11k），合同续签也因为这张证顺利通过。技术上 CHFI 没教我 SANS GCFA 那种深度的东西，但商业上它达成了目标：满足合规 + 保住岗位 + 涨薪。这就够了。

R. MartinezPass (108/150)

DoD Contractor SOC Tier 3 → CSSP Incident Responder (Fort Meade, MD, Top Secret Clearance) · 7 weeks prep

我所在的单位是省公安厅网安总队技术处，日常工作是协助地市分局做电子数据取证——笔记本、手机、云账号。CHFI 是我们处长明确要求每个技术岗"两年内必须拿下的国际证"之一（另一个是 CISP-F）。主要原因是涉外案件越来越多，法庭上对方律师经常质疑证据链的"国际规范性"，持有 CHFI 能在法庭质证时作为专业能力背书——这是非常实际的法庭价值。备考过程我发现 CHFI 的 courseware 对法律程序和 Chain of Custody 的覆盖比我想象中完整，虽然是美国法律体系，但很多原则（证据保全、完整性、可追溯、不可篡改）和国内《电子数据取证规则》是相通的。技术部分对我来说不难，因为日常工作就是做这些，但英语题干有时候会卡——特别是移动取证和云取证部分大量专有名词的英文。最终考了 115/150。这张证在国内直接的薪资涨幅有限，但部门把我的涉外案件优先级调到了 T1，两个月内参与了 3 起跨境电信诈骗的技术支援工作，这对职业发展和后续调动的帮助远远超过证书本身。

W. ZhangPass (115/150)

电子数据取证分析师 (某省级公安厅技术处, 杭州) · 13 weeks prep

I work at a federal forensics lab in Abu Dhabi specializing in mobile device and cloud evidence extraction for criminal investigations. 在我的单位，CHFI 是每个新入职分析师"必须在入职第一年拿下"的证——这是部门的内部规定，不是个人选择。我在入职前已经完成了 EC-Council ATC 的 5 天官方培训（这是我们部门统一报销的），然后自己额外花了 12 周过 courseware 和 iLabs。最难的部分是 Module 06 Windows Forensics 的 NTFS artefacts——我之前本科学的是计算机科学，没深入研究过文件系统内核级别的东西。$MFT 的 $SI vs $FN timestamp 差别、$LogFile 事务日志的结构、$UsnJrnl USN 记录的解析——这些考试每次都会考 3-5 题。我的方法是在 Windows 10 VM 里用 FTK Imager 导出 $MFT 然后用 mft2csv 解析，亲手看一遍每个字段。云取证部分 v10 大幅扩展，考试出了好几道 AWS CloudTrail 事件字段和 Azure Activity Log 获取流程的题。考完之后部门给我分配了跨境加密货币追踪项目的 2 号分析师角色，起薪 18,000 AED/月 + 住房补贴，对一个应届取证分析师来说在中东已经非常可观。给同行的建议：CHFI 在中东和海湾国家的执法体系里权威性远超过硅谷技术圈的评价，如果你目标是这个区域，这张证的 ROI 比 SANS 高得多。

S. AbdullahPass (122/150)

Digital Forensics Examiner (阿联酋某联邦执法机构下属取证实验室, Abu Dhabi) · 16 weeks prep

Certification comparison

	EC-Council CHFI v10	EC-Council CEH v13	CompTIA Security+
Provider	其他	其他	CompTIA
Level	专业级	专业级	助理级
Fee	$450	$450	$392
Duration	120 min	120 min	90 min
Question count	150	125	90
Validity	3 yrs	3 yrs	3 yrs

Study tips and common mistakes

💡

**通过分不固定在 70%**：EC-Council 官方说明 CHFI 的通过分数根据题目难度在 60-85% 之间动态浮动，**绝大多数版本约 70%（150 题中约 105 题）**。不要只追求 70%——目标定在 85%+ 的模考成绩才有把握过实考。

💡

**全是单选/多选没有 PBQ**：和 CEH 一样，CHFI 没有 Performance-Based Question。这意味着你不会被要求在真实的 FTK Imager 或 Autopsy 里操作，但**这不是好事**——考试会贴大量工具界面截图问"这个 Autopsy 视图显示的是什么""这个 Volatility 输出代表什么进程关系"。如果你从没在真实工具里点过一次，面对截图题会完全懵。建议至少在虚拟机里把 **FTK Imager Lite、Autopsy、Volatility 3、Wireshark、RegRipper、Plaso/log2timeline** 这 6 个工具各操作 3-5 个小时。

💡

**时间管理：150 题 / 240 分钟 = 平均 1.6 分钟/题**。CHFI 的题干比 CEH 更长（工具输出截图题经常需要逐行读 Volatility 或 Wireshark 输出），不要在单题超过 3 分钟。先快速过一遍答完"秒选"题（约 80-90 题），第二轮处理需要思考的题，第三轮处理 flag 题。善用 mark for review。

💡

**Eligibility Form 路线 vs ATC 路线**：自学考生需要走 Eligibility Form——提交 **2 年以上信息安全工作经验证明** + 雇主签字 + $100 USD 审核费。审核周期 5-10 个工作日。如果你没有 2 年工作经验或拿不到雇主证明，只能走 ATC 培训路线（$1199 含官方培训 + iLabs + 考试券）。**报名前先确认自己走哪条路**，不要拖到最后才发现资格不够。

💡

**CHFI v10 vs v11**：2026 年 v10 仍是全球主流在售版本，部分区域（北美）已经开始出现 v11 但还没全面铺开。**报名前确认你的考试代码是 312-49（v10）还是 v11 的新代码**——v11 扩展了 AI 辅助取证和深度学习异常检测内容，如果考 v11 必须补充这部分新内容。绝大多数 JR Academy 题库和第三方模考目前仍针对 v10。

💡

**Volatility 版本混乱问题**：v10 courseware 主要基于 Volatility 2.6，但末期更新引入了 Volatility 3 语法。考试两版都会出题。**Vol 2 语法**：`vol.py -f mem.raw --profile=Win10x64_19041 pslist`；**Vol 3 语法**：`vol -f mem.raw windows.pslist`。**两版命令都必须背**，Vol 3 去掉了 --profile 参数（自动识别），插件名从 `pslist` 变成 `windows.pslist`。

💡

**DoD 8140 baseline 对照表值得背**：CHFI 在 DoD 8140.03 里对应 **IAT Level II 和 CSSP Incident Responder**。考试不直接考"CHFI 对应哪个 DoD 位置"，但会出"某 Gov Contractor 招聘要求 CSSP IR baseline，下列哪个证书满足要求？"——答案列表里 CHFI、GCIH、CySA+、CFR、Cloud+ 都符合 CSSP IR，CEH 不符合 CSSP IR（CEH 对应 CSSP Auditor 和 IAT II/III）。

💡

**Federal Rules of Evidence 704 和 Daubert 标准**：CHFI 在"专家证词"模块必考 **Daubert Standard**（1993 年美国最高法院判例，确立科学证据可采性的四项标准：理论是否可被测试、是否经过同行评审、已知错误率、在相关科学领域内的普遍接受度）和 **Federal Rules of Evidence Rule 702**（专家证人资格）。这是非技术题，但出现频率稳定——建议考前背一遍这两个法律概念的中英文定义。

⚠️

**Chain of Custody 五步法答错顺序或漏记录环节** — Chain of Custody 是 CHFI 必考的核心考点，基本每场都出 5-8 题。很多考生凭直觉答但经常错在"顺序"或"责任人"上。**标准五步**：**Collection（采集）→ Preservation（保全）→ Transportation（转运）→ Analysis（分析）→ Presentation（呈堂）**。每一个环节必须记录：**who**（经手人签字）、**what**（物品描述 + 序列号/编号）、**when**（日期时间 + 时区）、**where**（地理位置）、**why**（环节目的）、**how**（使用的方法/工具 + hash 验证）。考试经常出陷阱："调查员在现场拆机前**忘记拍照记录原始状态**，接下来最严重的后果是什么？"——正确答案是**证据在法庭上可能被判定不可采信**（inadmissible），而不是"调查员需要重新拆一次"。**任何"事后补填 Chain of Custody 表格"的选项一律是错的**，因为连续性一旦中断就无法修复。

⚠️

**混淆 NTFS 的 $MFT entry、$LogFile、$UsnJrnl 三个元文件** — 这三个是 NTFS 取证最高频考点，但很多考生只背了名字没理解作用差别。**$MFT (Master File Table)**：NTFS 的"文件目录"，每个文件/目录对应一个 1024 字节的 entry，包含 **$Standard_Information ($SI)** 和 **$File_Name ($FN)** 两套独立时间戳——**Timestomping 攻击只能修改 $SI 的时间戳，但通常无法同步修改 $FN 的时间戳**，所以取证时比较 $SI 和 $FN 的差异是识别时间戳篡改的经典方法（考试必考这一点）。**$LogFile**：NTFS 的事务日志，记录所有对 $MFT 和元数据的修改操作，用于崩溃恢复，存活时间短（几分钟到几小时，取决于活动量），包含 **undo/redo 记录**。**$UsnJrnl (Update Sequence Number Journal)**：记录文件系统变更事件（创建、修改、删除、重命名），存活时间较长（几天到几周），**不记录实际内容变更只记录变更类型**——$UsnJrnl 是追溯"哪些文件最近被删了"的主要来源。考试陷阱："要判断一个 5 天前被删除的文件曾经存在过，哪个元文件最有可能还有记录？"答案是 **$UsnJrnl**，不是 $LogFile（太短）也不是 $MFT（entry 可能已被重用）。

⚠️

**Volatility 内存取证工具命令和插件选错** — CHFI 考内存取证时几乎只考 Volatility。v10 课件基于 Volatility 2.6 但 v10 末期开始引入 Volatility 3 语法（`vol -f mem.raw windows.pslist` 代替 `vol.py -f mem.raw --profile=Win10x64 pslist`）。考试会混出两版题目，必须两版都熟。**高频插件**：`pslist`（进程列表，只列出还在进程链表里的进程）vs `psscan`（扫描 _EPROCESS 结构体，能找到被 rootkit 隐藏或已终止的进程——**考试陷阱：要发现 rootkit 隐藏的进程用 psscan 不是 pslist**）、`pstree`（进程父子关系树，发现异常父进程）、`netstat`/`netscan`（网络连接）、`cmdline`（进程启动命令行）、`dlllist`（加载的 DLL）、`malfind`（检测注入代码和隐藏模块，必考）、`handles`（进程句柄）、`hivelist` + `hashdump`（从内存提取注册表和 NTLM 哈希）、`filescan`（内存中的文件对象）。**不要混淆 `pslist` 和 `psscan`**——这是最高频陷阱题。

⚠️

**注册表 hives 的位置和作用记错** — Windows 注册表取证考试权重很高。**必背五大 hive**：**SAM** (`C:\Windows\System32\config\SAM`) 存本地用户账号和 NTLM 哈希；**SECURITY** (`...\config\SECURITY`) 存本地安全策略、LSA secrets、cached credentials；**SOFTWARE** (`...\config\SOFTWARE`) 存已安装软件列表、Windows 版本、自启动项（Run/RunOnce）；**SYSTEM** (`...\config\SYSTEM`) 存设备驱动、服务配置、USB 设备历史（`ControlSet001\Enum\USBSTOR` 是必考点，记录了所有插过的 USB 存储设备的品牌、型号、序列号、首次/最后连接时间）；**NTUSER.DAT** (`C:\Users\[user]\NTUSER.DAT`) 存该用户的个性化配置、Recent Documents、Shellbags、TypedURLs（IE 历史）、UserAssist（**UserAssist key 记录了用户通过 Windows Explorer 启动的程序次数和最后运行时间，ROT13 编码，考试必考怎么解码**）。**考试陷阱**：问 "要调查一个用户最近通过图形界面运行过哪些程序，应该分析哪个 hive 的哪个 key？" 答案是 **NTUSER.DAT 的 UserAssist**，不是 SOFTWARE 的 Run，也不是 SAM 的用户列表。

⚠️

**内存取证 vs 磁盘取证的采集顺序原则弄反** — CHFI 反复强调 **Order of Volatility（挥发性顺序）**：事件发生后采集证据必须按**从最易失到最持久**的顺序——**(1) CPU 寄存器和缓存 → (2) 进程内存、路由表、ARP 缓存、网络连接 → (3) 临时文件系统 → (4) 磁盘 → (5) 远程日志 → (6) 物理配置和网络拓扑 → (7) 归档介质**。**"先抓内存后关机镜像磁盘"是铁律**，因为一旦关机内存里的证据（running malware、加密密钥、cleartext credentials、网络连接）全部丢失。考试经常出陷阱："First Responder 到达现场发现一台运行中的 Windows 主机疑似感染勒索软件，下一步应该？" **错误答案**：立即拔电源保全磁盘 / 立即 shutdown / 立即拔网线。**正确答案**：先用 FTK Imager Lite 或 Belkasoft RAM Capturer 抓取物理内存 dump，然后再考虑关机镜像磁盘。**拔电源这个选项在 CHFI 考试里永远是错的**（除非题目明确说勒索软件正在加密磁盘且没有其他选项——但即使这样先抓内存依然是正确答案）。

⚠️

**轻视 Dark Web、加密货币、暗网取证 v10 新增内容** — 很多用老版 CHFI v9 教材备考的考生忽略了 v10 新增的 **Module 14 Dark Web Forensics**——每场考试稳定出 4-6 题。必须掌握：**Tor 网络的基本原理**（三跳路由、.onion 地址结构、Entry/Middle/Exit Relay 的作用）、**Tor 浏览器留下的痕迹**（没有标准磁盘历史但会在内存和少量配置文件里留下访问记录）、**I2P 和 Freenet 的差别**、**暗网市场取证常见证据类型**（比特币地址、PGP 通讯、tor2web 网关日志）、**加密货币追踪基础**（比特币区块链 explorer、address clustering、Chainalysis 概念）。v9 教材完全没有这块内容，纯用 v9 备考 v10 的人这部分会裸考。

⚠️

**Linux / Mac 取证 artefacts 和 Windows 全部混在一起记** — CHFI 考试 Linux 和 Mac 取证的题量不多（两者加起来约 10-15 题），但也不会不考。**Linux 必背路径**：`/var/log/auth.log`（SSH 登录和 sudo 使用）、`/var/log/syslog` 或 `/var/log/messages`（系统事件）、`/var/log/wtmp` + `last` 命令（登录历史）、`/var/log/btmp` + `lastb`（登录失败）、`/var/log/lastlog`（每个用户最后登录时间）、`~/.bash_history`（shell 命令历史）、`/etc/passwd` + `/etc/shadow`（用户账号和密码哈希）、`/tmp` 和 `/var/tmp`（常见恶意软件投放位置）。**Mac 必背**：**Spotlight metadata** (`.metadata_never_index` 和 Core Data store)、**FSEvents** (`/.fseventsd/` 记录文件系统事件)、**plist 文件**（LaunchAgents / LaunchDaemons 是常见持久化位置）、**Unified Log** (`log show` 命令读取)、**Time Machine 备份**作为关键证据来源。考试陷阱："要在 Linux 主机上查找攻击者曾经执行过的 shell 命令，优先检查哪个文件？" 答案是 **`~/.bash_history`**，不是 auth.log（只记录 sudo）也不是 syslog（不记录用户命令）。

FAQ

Frequently Asked Questions

If you plan to take EC-Council CHFI v10, start with real practice.

609+ questions, chapter-by-chapter learning, mock exams, wrong-question review, and AI tutor support live in the exam page.

Go to exam prep

From $39 · 2 free chapters

EC-Council Computer Hacking Forensic Investigator v10 (312-49)

JR Academy Membership

What this certification covers

You will work with

After preparation

Exam details

Who should take it

Good fit

Before you start

Is it worth it? Career value

Study preparation

With hands-on AWS

From scratch

Daily pace

Learning path preview

Step-by-step preparation

第一阶段：吃透 EC-Council 官方 courseware + iLabs（3-5 周）

第二阶段：Windows 取证工件 + Volatility 内存取证肌肉记忆（3-4 周）

第三阶段：网络 / 云 / 移动 / 恶意软件广度覆盖 + 法律合规（3-5 周）

第四阶段：模考冲刺 + 312-49 题库精刷（2-3 周）

Real test-taker experiences

Certification comparison

Study tips and common mistakes

FAQ

Frequently Asked Questions

If you plan to take EC-Council CHFI v10, start with real practice.

Related certifications

EC-Council CEH v13

CompTIA Security+

CISSP