5.4. 痕跡清理?

5.4.1. Windows?

• 操作日志：3389登錄列表、文件訪問日志、瀏覽器日志、系統事件
• 登錄日志：系統安全日志

5.4.2. Linux?

• 清除歷史
  • unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null;
  • kill -9 $$ kill history
  • history -c
• 刪除 ~/.ssh/known_hosts 中記錄
• 修改文件時間戳
  • touch –r
• 刪除tmp目錄臨時文件

5.4.3. 難點?

• 攻擊和入侵很難完全刪除痕跡，沒有日志記錄也是一種特征
• 即使刪除本地日志，在網絡設備、安全設備、集中化日志系統中仍有記錄
• 留存的后門包含攻擊者的信息
• 使用的代理或跳板可能會被反向入侵

5.4.4. 注意?

• 在操作前檢查是否有用戶在線
• 刪除文件使用磁盤覆寫的功能刪除
• 盡量和攻擊前狀態保持一致

總結

以上是生活随笔為你收集整理的痕迹清理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。