这是我无意间在“中国信息安全研究小组(CISRG) ”提出的问题,7all给了我解答。我有时间会一一补充。
为什么我用“隐藏”而不用“擦除”,因为我觉得入侵的痕迹只能无限隐藏而不可能完全清除。一下是7all给我的回复。再次表达一下感谢。
---------------------------------------------------------------------------------------------------------------------------------
回答:
对于擦除自己的攻击痕迹,一般的做法为擦除日志文件,隐藏自己上传的shell程序,建立更加隐蔽的访问方式以备自己以后的访问。
对于擦除日志文件而言,可以google下日志清除软件,当然这些软件应该都需要自己进行实际测试,从而定位那款软件更好用。
隐藏shell程序的办法很多,也可以使用google进行搜索。
对于更高级的隐藏攻击痕迹,需要视对OS的了解程度而定。例如,很多入侵者会使用自己写的backdoor或者rootkit进行预留的远程访问控制。高级的隐藏攻击痕迹,还需要隐藏自己的攻击途径等,例如:你从china跳板到USA,再跳到德国,再跳到法国,然后实施攻击,在该过程中是否能够确定自己的数据未被监视?如若有一个环节被监视,则很有可能被对方反向追踪到。
使用代理时,尽量保证代理的安全性,否则相当于跳入了一个大的蜜罐系统。
擦除痕迹,躲避反向查询的方法很多,得视具体情况而定。以上内容写的有些凌乱,希望有时间的朋友补充:)
最后修改: 7all (2007-04-01 00:51:21)
--------------------------------------------------------------------------------------------------------------------------------
接下来的内容我会补充下去。