11.1. 认识规避动机

未匹配的标注

认识规避动机

规避检测的常见问题之一是:为什么要应用规避和对抗检测机制这样一套复杂的流程?显而易见的理由是,在使用前文描述的方法成功控制系统后,应不用为此担忧。

隐藏踪迹并清理痕迹的重要性至少体现在两个方面:

  • 首先,尽可能长时间地规避检测非常重要,因为这样可以赢得实施攻击的时间。可以如此设想:如果受害者在攻击发生之后检查攻击现场,却没有发现任何明显表示曾经发生过攻击的证据,他们可能不会继续进行详细检查。反之,如果他们在现场发现不合适或者不太正常的迹象,就非常可能会执行进一步的检查,从而很可能发现并阻止攻击。

  • 测试完成后,需要确保没有在受害者的系统中遗留任何痕迹。记录下所做的一切工作,并在测试完成之后州除或撤销曾做过的更改非常重要。一切遗留都可能对客户构成潜在危险;遗留物可能会使系统处于不安全的状态。

单从这两点就可以看出,遗留痕迹将不仅导致系统处于糟糕的状态,也会削弱滲透测试的效果。删除或更改诸如日志文件、配置更改、软件以及其他任何相关项目是非常重要并且绝对不可忽视的。 当然,如果无法清除,通常还可以进行隐藏,如果希望隐藏木马或其他类似的软件项目,这种方法十分有效。从攻击者的角度来看,不被发现是一件求之不得的好事,但是从防守者的角度来看,则要不惜一切代价去避免这种情况发生。

本文章首发在 LearnKu.com 网站上。

上一篇 下一篇
讨论数量: 0
发起讨论 只看当前版本


暂无话题~