黑客影藏踪迹的方式！

　　当黑客成功获取了存取权限且完成了自己的预定目标后，他还有最后一个工作要完成--隐藏攻击踪迹。这其中包括重新进入系统，将所有能够表明他曾经来过的证据隐藏起来。为达到这个目的，有四个方面的工作要做：
日志文件--大多数系统都是通过记录日志文件来检测是谁进入过系统并且停留了多长时间。根据日志文件所设置的级别不同，还可以发现他们做了些什么，对哪些文件进行了操作。
文件信息--为了获得系统的存取权限和在系统中建立后门，攻击者通常必须对某些系统文件进行修改。当他们这样做后，文件的一些信息，比如说修改时间和文件长度就会发生变化，通过这些也可以确定系统是否曾经遭受过攻击。
另外的信息--在很多情况下，黑客为了达到进入系统获取权限目的，必须另外上传或者安装一些文件。这些用来隐藏踪迹或者用来对别的站点进行新攻击的文件通常会占用一定的磁盘空间。系统管理员可以通过磁盘空余空间的检查来确定是否发生过攻击。
网络通信流量--当黑客对某个系统进行攻击时，大多数情况下是通过网络进行的。这也意味着攻击者必须对自己在网络上留下的痕迹进行清除。由于网络系统都运行着IDS（入侵检测系统），任何可疑的网络通信都会被打上标记。而要抹去IDS上的记录是非常困难的，因为它是实时监测的。
※ 日志文件
　
　　 日志文件详细记录了在系统中任何人所做的任何事情。这对于系统监测来说是非常重要的资料。在利用日志文件监测之前，必须先做两件事：第一，必须将系统的日志记录功能打开；第二，对日志文件内容进行详细阅读。很多管理员没有将记录日志文件的功能选项打开，而且即使打开了，也没有对它进行定时阅读。 所以，即使黑客没有对自己的踪迹进行任何的消隐，也有很大的可能不被发现。
　
　　 有经验的攻击者都不会冒这个险，他们会清除所有的日志文件。可以采取两种方式。最简单的一种是进入系统然后将所有的日志文件删除。当数量很大的日志文件突然之间变的很少的话，系统会自动通知系统管理员，因为每个日志文件的结束处，都有一个触发器。第二种方法是攻击者可以"医治"日志文件，首先取得日志文件然后将其中有关于攻击记录的部分删除。根据所攻击的系统不同，工作的难度有所不同，因为windows NT系统和UNIX系统处理日志文件的方法不同。
　
※ 文件信息
　
　　 对于攻击者而言，在进入系统并且植入后门程序以后再把系统还原成以前的状态是非常关键的。因此，每一个曾经被修改的文件都应该被恢复成或者假扮成原状。
　
　　 对于文件的修改日期来说，可以轻而易举做到这一点：进入系统，将系统时间修改成第一次修改文件的时间，然后对文件进行读取，因为系统并不清楚当前的日期是错误的，这样文件看起来就象是再第一次安装时修改过的一样，不会引起怀疑。然后再将原来错误的日期改变成正确的日期。
　
　　 在UNIX系统中，也有一些工具来执行修改文件属性的工作。其中一个程序名为fix.c，它能够改变文件长度和其他一些属性。并且我们前面讨论的rootkit程序内容也集成了一些修改文件属性的工具。实际上文件的属性只是一些存放在文件当中的对于本文件的特性的描述。所以攻击者可以将原本只有15MB的文件修改成只有1MB的大小。比如UNIX环境下的rootkits就可以很轻松地将修改文件信息和隐藏攻击踪迹的工作合二为一。
　
※ 附加文件
　
　　在很多情况下，当攻击者入侵了系统后，他会上传一些文件，要么是用来留下后门，要么是用来攻击其他系统。攻击者入侵系统并不仅仅是为了获取数据，更多的时候是为了获取计算机资源。
　
攻击者想隐藏他们上传的系统附加文件，他们可以使用这样的方法：
为文件设置隐藏属性：所有的文件系统都可以让文件的属主将文件设置为隐藏。当某个文件设置成为隐藏，如果用户仅仅是使用命令显示文件时，就不能够看到这个文件。
将文件重命名：在大多数系统中，都有一个系统目录，其中存放了很多重要的文件。攻击者可以将自己的文件名字改成合这些文件差不多，那么被管理员发现的可能性就非常小。这适合要隐藏的文件比较少的情况。
建立隐藏的目录或者是共享设备：如果一个硬盘空间很大的话，可以创建很多个分区。一般情况下，系统管理员只检查系统的主要分区，因此如果攻击者建立了一个另外的分区，很可能就会逃过系统管理员的检查。这适合需要隐藏大量文件的时候。
改变磁盘空间的工具：如果管理员使用某个工具来检查系统剩余空间的话，他就会发现硬盘空间的问题。而如果攻击者能够上传一个木马的话，就可以欺骗管理员有多少空间剩余。
使用steganography工具：steganography或者是信息隐藏工具都可以使攻击者将自己的信息隐藏到另外一个文件中。所以黑客客利用这种工具，将自己重要的文件隐藏到系统重要的文件中去。
※　隐藏网络上的踪迹
　
　　随着网络入侵检测系统和防火墙的广泛使用，攻击者需要注意如何隐藏网络上的踪迹。如果攻击者能够隐藏自己的攻击或者将它们假扮成网络上的合法的通信信息，使它们看起来不那么引人注目，就有可能逃脱被追捕的命运。可以利用的工具如：
Loki
Reverse www shell
CovertTCP
　
　　 前两个是将攻击者所留下的痕迹假扮成网络合法的通信信息，第三个程序是通过将这些痕迹隐藏在数据包中来躲避管理员的检测。
 

好专业啊，用杀毒软件能不能解决黑客

  把黑客都都说那么傻了，要是这样  岂不是 世界上黑客都被抓了起来？  现在黑客 一般 除了去除痕迹，现在一般更多的是 伪造痕迹~~

受教了，不过一山还有一山高啊

黑客 就是一后台 就是你看不到的地方对你的电脑做出你不清楚地处理

谢谢了  学习；了

为什么要去隐藏呢，其实照我来说藏着不如现着，做假的文件，内容真的假的放一起，除非管理员很认真去看，不然怎么会发现

系统日志在哪里？
本人是菜鸟
如何才能更好地发现黑客踪影？

现在的黑客还会让你的系统日志文件查到他的踪迹？估计那个黑客刚入门吧。