5.4. 痕迹清理¶

5.4.1. Windows¶

操作日志：3389登录列表、文件访问日志、浏览器日志、系统事件登录日志：系统安全日志

5.4.2. Linux¶

清除历史 unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null;kill -9 $$ kill historyhistory -c 删除 ~/.ssh/known_hosts 中记录 修改文件时间戳 touch –r 删除tmp目录临时文件

5.4.3. 难点¶

攻击和入侵很难完全删除痕迹，没有日志记录也是一种特征即使删除本地日志，在网络设备、安全设备、集中化日志系统中仍有记录留存的后门包含攻击者的信息使用的代理或跳板可能会被反向入侵

5.4.4. 注意¶

在操作前检查是否有用户在线删除文件使用磁盘覆写的功能删除尽量和攻击前状态保持一致