网络攻击与防御培训材料.pptVIP

* 最简单的办法就是直接删除日志文件，但这样明确告诉了系统管理员系统被入侵过，最有效的方法就是修改日志，可以利用zap、wipe等工具，主要是清除Utmp、Wtmp、Lastlog和Pacct等日志文件中某一用户的信息，使得当使用who、last等命令查看日志文件是，隐藏此用户的信息。 安装了后门程序，运行后很有可能 被管理员发现，所以黑客一般通过替换系统程序来进一步隐藏踪迹，可以采用rootkit工具。 * 四、木马、病毒与蠕虫 4.1 木马 木马(Trojan Horse)，是从希腊神话里面的《木马屠城记》得名的 ，指那些表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序 。 它是具有欺骗性的文件(宣称是良性的，但事实上是恶意的)，是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。 * 所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，也难以确定其具体位置;所谓非授权性是指一旦控制端与服务端连接后，控制端将窃取到服务端的很多操作权限，如修改文件，修改注册表，控制鼠标，键盘，窃取信息等等。一旦中了木马，你的系统可能就会门户大开，毫无秘密可言。 * 特洛伊木马与病毒的重大区别是特洛伊木马不具传染性，它并不能像病毒那样复制自身，也并不“刻意”地去感染其他文件，它主要通过将自身伪装起来，吸引用户下载执行