規避檢測的常見問題之一是:為什麼要應用規避和對抗檢測機制這樣一套複雜的流程?顯而易見的理由是,在使用前文描述的方法成功控制系統後,應不用為此擔憂。
隱藏蹤跡並清理痕跡的重要性至少體現在兩個方面:
首先,儘可能長時間地規避檢測非常重要,因為這樣可以贏得實施攻擊的時間。可以如此設想:如果受害者在攻擊發生之後檢查攻擊現場,卻沒有發現任何明顯表示曾經發生過攻擊的證據,他們可能不會繼續進行詳細檢查。反之,如果他們在現場發現不合適或者不太正常的跡象,就非常可能會執行進一步的檢查,從而很可能發現並阻止攻擊。
測試完成後,需要確保沒有在受害者的系統中遺留任何痕跡。記錄下所做的一切工作,並在測試完成之後州除或撤銷曾做過的更改非常重要。一切遺留都可能對客戶構成潛在危險;遺留物可能會使系統處於不安全的狀態。
單從這兩點就可以看出,遺留痕跡將不僅導致系統處於糟糕的狀態,也會削弱滲透測試的效果。刪除或更改諸如日誌檔案、配置更改、軟體以及其他任何相關專案是非常重要並且絕對不可忽視的。 當然,如果無法清除,通常還可以進行隱藏,如果希望隱藏木馬或其他類似的軟體專案,這種方法十分有效。從攻擊者的角度來看,不被發現是一件求之不得的好事,但是從防守者的角度來看,則要不惜一切代價去避免這種情況發生。
本作品採用《CC 協議》,轉載必須註明作者和本文連結