渗透测试学习之隐藏踪迹与规避检测一

认识规避动机

规避检测的常见问题之一是:为什么要应用规避和对抗检测机制这样一套复杂的流程?显而易见的理由是,在使用前文描述的方法成功控制系统后,应不用为此担忧。

隐藏踪迹并清理痕迹的重要性至少体现在两个方面:

  • 首先,尽可能长时间地规避检测非常重要,因为这样可以赢得实施攻击的时间。可以如此设想:如果受害者在攻击发生之后检查攻击现场,却没有发现任何明显表示曾经发生过攻击的证据,他们可能不会继续进行详细检查。反之,如果他们在现场发现不合适或者不太正常的迹象,就非常可能会执行进一步的检查,从而很可能发现并阻止攻击。

  • 测试完成后,需要确保没有在受害者的系统中遗留任何痕迹。记录下所做的一切工作,并在测试完成之后州除或撤销曾做过的更改非常重要。一切遗留都可能对客户构成潜在危险;遗留物可能会使系统处于不安全的状态。

单从这两点就可以看出,遗留痕迹将不仅导致系统处于糟糕的状态,也会削弱滲透测试的效果。删除或更改诸如日志文件、配置更改、软件以及其他任何相关项目是非常重要并且绝对不可忽视的。 当然,如果无法清除,通常还可以进行隐藏,如果希望隐藏木马或其他类似的软件项目,这种方法十分有效。从攻击者的角度来看,不被发现是一件求之不得的好事,但是从防守者的角度来看,则要不惜一切代价去避免这种情况发生。

本作品采用《CC 协议》,转载必须注明作者和本文链接
理想的光照不到现实的黑暗,明灯是黑夜中的奢侈品。如果你接受不了真实生活千疮百孔的消极,那么,请移步儿童区...
本帖由系统于 1年前 自动加精
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!