6.6.1.4. 時間軸
6.6.2. linux
6.6.3. 難點
6.6.4. 注意
登入日誌
6.6.1.3.1. prefetch
預讀取資料夾,用來存放系統已訪問過的檔案的預讀資訊,擴充套件名為pf。位置在c:\windows\prefetch。
6.6.1.3.2. jumplists
6.6.1.3.3. amcache / recentfilecache.bcf
windows中的使用這兩個檔案來跟蹤具有不同可執行檔案的應用程式相容性問題,它可用於確定可執行檔案首次執行的時間和最後修改時間。
刪除~/.ssh/known_hosts中記錄
修改檔案時間戳
刪除tmp目錄臨時檔案
刪除檔案使用磁碟覆寫的功能刪除
盡量和攻擊前狀態保持一致
日誌分析與痕跡清理
auth.log secure 使用者登入日誌以及其許可權 btmp wtmp 登入失敗記錄 使用者登入記錄 lastlog faillog 最後一次登入記錄 登入失敗記錄 var log messages 包括整體系統資訊,其中也包含系統啟動期間的日誌。此外,mail,cron,daemon,ke...
Linux 入侵痕跡清理技巧
vim bash history 編輯history記錄檔案,刪除部分不想被儲存的歷史命令 history c 清除當前使用者的history命令記錄 histsize 0 通過修改配置檔案 etc profile,使系統不再儲存命令記錄 var log btmp 記錄所有登入失敗資訊,使用last...
Linux 痕跡清理 隱藏程序
1.偷換系統二進位制檔案 ps top 等 防範 比對hash 系統完整性檢查工具,比如tripwrie aide等 2.修改hook呼叫函式 修改命令返回結果,原函式getdents 防範 sysdig 開源 檢測ld preload環境變數是否有異常,ld.so.preload檔案異常 時間,大...