本发明涉及一种网络攻击技术领域，是一种终端取证溯源系统及方法，前者包括终端数据采集单元、分析处理单元和报告生成单元；终端数据采集单元，基于攻击者视角的攻击链，对目标终端进行全方位扫描取证，采集需要的所有业务数据；分析处理单元，通过识别溯源工具对采集到的所有业务数据进行检测判定及处理研判；报告生成单元，根据检测判定结果、处理结果生成取证分析报告。本发明集采集、分析、处理于一体，能自动完成终端的取证追溯过程，并形成取证分析报告，简化了终端取证追溯工作，降低了对运维人员的要求，同时能通过前端显示单元对溯源工具进行更新及添加，有效增加了恶意活动等攻击、威胁的识别及溯源。