攻擊者清除攻擊痕跡的方法有哪些

日志是攻擊者獲得系統權限后首先要清除的對象，通常清除的方式是刪除日志。由于刪除日志會導致日志的缺少，在審計時會被發現，因此部分高明的攻擊者可能會偽造日志，以避免被審計發現。例如，篡改日志文件中的審計信息、改變系統時間造成日志文件數據紊亂、刪除或停止審計服務進程、修改完整性檢測標簽等。

一般攻擊者需要清除操作系統、安全防護設備（如防火墻、IDS等），以及重要系統服務（如WWW服務等）中記錄的日志文件。以UNIX操作系統為例，它包含wtmp/wtmpx、utmp/utmpx和lastlog三個主要日志文件，攻擊者何時進行攻擊、從哪個站點進入、在線時長等信息都會記錄在上述文件中。這些日志文件在不同UNIX操作系統中存放在不同的缺省目錄下，通常只有root權限用戶才有權修改。攻擊者往往先定位攻擊活動相關記錄，再進行修改或刪除，也可以利用特定工具來完成。

防火墻、入侵檢測等安全防護設備都具有審計功能，攻擊者采用欺騙、干擾等手段影響日志審計系統的正常工作，以達到無法記錄攻擊行為的目的。例如，攻擊者可以利用防火墻中的漏洞，暫停其審計功能的運行。對于IDS，攻擊者要避免IDS的發現，通常采用的方法有：偽裝IP地址發起攻擊；改變攻擊方法，使得IDS缺少新的攻擊模式特征，無法發現新的攻擊行為；干擾IDS的運行，使IDS無法辨認真實的攻擊，比如對IDS進行DoS攻擊，使其處于報警狀態，無法判斷真正的攻擊行為。

攻擊者對于攻擊時產生的臨時文件通常也是采取刪除的做法，刪除的臨時文件在系統上標識其硬盤空間已經被釋放，可以用于存儲其他數據，但在其他數據未覆蓋前，這部分數據始終存在硬盤上，可被數據恢復軟件恢復。部分攻擊者會采取向硬盤上反復寫入、擦除數據來確保臨時文件無法被恢復出來。

回答所涉及的環境：聯想天逸510S、Windows 10。