黑客必知:黑客攻击的取证和追踪
有两项证据可以显示被黑客攻击1.系统日志
2.备份文件
3.进程,服务内存
4.用户账号
5.临时文件\
6.硬盘空间
7.系统缓存区
8.打印机及其他设备的内存
来自网络的取证
1.防火墙日志
2.IDS日志
3/其他安全设备所产生的日志
校验工具MD5
任何文件都有一个独一无二的MD5码,前期记录该文件的数值如果和后期相同,则该文件并未被修改,若不一致则被黑客修改
镜像工具
ghost大家都会用,这里不给大家介绍了
追踪黑客
1.IP和用户的关联性
黑客不管是否使用代理,在经过路由器的时候IP地址将会被记录,跳板越多,被查到的可能行越小
2.网站日志
web服务器上IIS或Apache都会记录日志
正常访问情况下也会被记录日志,一般大型网站日志非常庞大,在加上日志可读性差,一般需要数据过滤技术提取
下面介绍一下系统登陆情况的审计
开始 运行gpedit.msc弹出"组策略编辑窗口"
计算机配置windows设置安全设置 本地策略 策略审核
然后你将会看到审核日志
我每次都把那个日志删了,痕迹清理两遍之后在走
页:
[1]