日志清除,电子取证浅谈

作者: 康康 分类: Web安全,安全运维,流量分析 发布时间: 2018-04-18 07:28

日至清除在清理入侵痕迹时有重要意义,普通的日至清除在专业的电子取证人员面前是不值一提的。专业的电子取证可以从硬盘里恢复删除的日志数据!

但是不是真的没有办法了呢?我们不妨多覆盖清除几次,我最常用的是恢复工具是diskgenuiens,日志清除工具是无影无踪5.0版本,但是这个版本太老了,对于win7和xp会有支持。

除了专业的日至清除工具,最能体现我们黑客技术的还是要明白手动清除日志的步骤以及位置:

  1. 清除网站(搭建平台)日志,以apache在对应的access.log,而IIS在C:/windows/system32/logfiles里面可以看到IIS里对应网站的标识号文件夹W3SVCXXXXX,这里面是网站的访问日志,包括访问位置和UA\IP,这里还有专业的日志处理工具平台ELK
  2. 清除系统日志,在windows的事件查看器里面会有安全性、系统、应用程序等日志,对应的记录功能有:记录登陆日志、用户账号变更日志等等,这些以防万一,需要在入侵提权之后手动删除这些日志(虽然没有擦除工具的话还是会被电子取证)
  3. 数据库日志,对应安装板的数据库会有日志

 

应对措施:异地实时备份,这个措施可以有效阻止黑客擦除日志,擦除没有用,我在另外一个服务器实时备份了日志,供调查取证用

发表评论

电子邮件地址不会被公开。 必填项已用*标注