查看: 9485|回复: 1

黑客必知:黑客攻击的取证和追踪

[复制链接]
  • TA的每日心情
    奋斗
    2019-5-22 23:11
  • 签到天数: 14 天

    [LV.3]偶尔看看II

    发表于 2013-1-1 20:16:56 | 显示全部楼层 |阅读模式
    有两项证据可以显示被黑客攻击
    1.系统日志
    2.备份文件
    3.进程,服务内存
    4.用户账号
    5.临时文件\
    6.硬盘空间
    7.系统缓存区
    8.打印机及其他设备的内存
    来自网络的取证
    1.防火墙日志
    2.IDS日志
    3/其他安全设备所产生的日志
    校验工具MD5
    任何文件都有一个独一无二的MD5码,前期记录该文件的数值如果和后期相同,则该文件并未被修改,若不一致则被黑客修改

    镜像工具
    ghost大家都会用,这里不给大家介绍了

    追踪黑客
    1.IP和用户的关联性
    黑客不管是否使用代理,在经过路由器的时候IP地址将会被记录,跳板越多,被查到的可能行越小
    2.网站日志
    web服务器上IIS或Apache都会记录日志
    正常访问情况下也会被记录日志,一般大型网站日志非常庞大,在加上日志可读性差,一般需要数据过滤技术提取


    下面介绍一下系统登陆情况的审计
    开始    运行  gpedit.msc  弹出"组策略编辑窗口"
    计算机配置  windows设置  安全设置   本地策略 策略审核
    然后你将会看到审核日志
                               
    回复

    使用道具 举报

  • TA的每日心情

    2015-11-16 10:12
  • 签到天数: 26 天

    [LV.4]偶尔看看III

    发表于 2014-1-6 10:02:46 | 显示全部楼层
    我每次都把那个日志删了,痕迹清理两遍之后在走
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-1 13:30 , Processed in 0.030406 second(s), 13 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部