1.4. 痕迹清理

1.4.1. Windows

• 操作日志：3389登录列表、文件访问日志、浏览器日志、系统事件
• 登录日志：系统安全日志

1.4.2. Linux

• 清除历史* <span class="pre">unset</span><span> </span><span class="pre">HISTORY</span><span> </span><span class="pre">HISTFILE</span><span> </span><span class="pre">HISTSAVE</span><span> </span><span class="pre">HISTZONE</span><span> </span><span class="pre">HISTORY</span><span> </span><span class="pre">HISTLOG;</span><span> </span><span class="pre">export</span><span> </span><span class="pre">HISTFILE=/dev/null;</span>
• 删除 <span class="pre">~/.ssh/known_hosts</span> 中记录
• 修改文件时间戳* <span class="pre">touch</span><span> </span><span class="pre">–r</span>
• 删除tmp目录临时文件

1.4.3. 难点

• 攻击和入侵很难完全删除痕迹，没有日志记录也是一种特征
• 即使删除本地日志，在网络设备、安全设备、集中化日志系统中仍有记录
• 留存的后门包含攻击者的信息
• 使用的代理或跳板可能会被反向入侵

1.4.4. 注意

• 在操作前检查是否有用户在线
• 删除文件使用磁盘覆写的功能删除
• 尽量和攻击前状态保持一致