如何隐藏你的入侵踪迹与日至清除 (2)

* 2. 自身安全 * 

系统管理员读了你的email吗? 
你的电话被警察监听了吗? 
警察没收了你存有所有hacking数据的计算机吗? 

如果你不接收可疑的email,不在电话里谈论hacking/phreaking的话题,在 
你的硬盘 
上也没有敏感和私人数据的话,那你不必担心上面那些情景.但那样你就 
并不是一个 
hacker.每个hacker和phreaker都与其他人保持联系并把他的数据保存在 
某个地方. 

加密所有敏感数据!!! 
在线硬盘加密程序是非常重要和有用的: 
在internet上游很多好的免费硬盘加密程序,它们对你的操作系统来 
说是完全 
透明的.下面所列的几个软件都是经过测试的,是hacker’s的首选工具: 
- 如果你用MsDos,你可以使用SFS v1.17或者SecureDrive 1.4b 
- 如果你用Amiga,你可以使用EnigmaII v1.5 
- 如果你用Unix,你可以使用CFS v1.33 

>> 译者注:在win9x下可以考虑emf,iprotect... 

文件加密软件: 你可以使用任何一种加密软件,但它应该是使用一种众所 
周知的 
安全加密机制.绝对不要用那些被出口的加密程序,它们的有效密钥长度 
被缩短了! 
- Triple DES 
- IDEA 
- Blowfish (32 rounds) 
加密你的Email! 
- PGP v2.6.x 是个不错的工具. 
如果你想讨论重要的事情的话,加密你的电话. 
- Nautilus v1.5a 是迄今最好的 
当你连到一个unix系统时加密你的终端. 
一些人可能正在sniffing或者监视你的电话线: 
- SSH 是最安全的 
- DES-Login 也不错 

>> 译者注:- SSL 基于SSL的一些软件也可以一试 

用强壮的不可猜测的,不在任何字典中的密码.它应当看起来象随机的但 
又容易记 
忆.如果密码长度可以比10个字符更长,那就用更长的.可以从书中抽取一 
句话,并 
略作修改.请将你的hacker朋友的电话号码加密两遍.如果你不加密,你应 
当从公用 
电话给他打电话. 

>> 译者注:其实有个好记又难猜的密码并不难,例如考虑句子"I’m a haxor!" 
可以从 
中抽 
>> 取几个单词组成I’mhaxor,好象没有数字,呵呵,用"eleet"的hacker语 
言,haxor= 
h4x0r 
>> 所以我们的口令可以是:I’mh4x0r(我是hacker).这样的密码恐怕只能用暴 
力破解 
了. 

如果你对hacking有了深入了解,你应当加密所有的东西! 

为你的数据做个备份,当然要先加密,把它放在一个隐秘的地方,最好不要 
在家里. 
所以即使你因为失误,火灾或警察搜捕等原因丢失了数据,你还可以得到 
备份数据. 

只有当你真的需要它们时才写出来,否则将它们放在一个机密文件或加密 
分区里更 
安全.一旦你不需要它们了,烧掉那些纸.你也可以用只有你自己知道的加 
密机制将 
它们写下来,但不要告诉任何人,也别太经常的使用它.也许它很容易被分 
析和破解 

真正沉稳和谨慎的hackers应该考虑实施干扰方案.警察,间谍,其他hacker 
能监视你 
的举动.一个拥有先进设备的人可以获得他想要的任何东西: 
计算机发射的电子脉冲可以从100米以外的距离被截获,可以显示你的监 
视器屏幕, 
监听你的私人谈话,确认键盘敲击时的高频信号等等...所以各种可能性总 
是存在的. 
成本低廉的应付方法就是采用电子脉冲干扰发射机,商店里就有卖的.如 
果你不想让 

>> 译者注:不知道我们的商店里有没有卖的.;-) 

任何人监视你,我认为这些还不够... 





* 3. 你自己的帐户 * 
下面让我们谈谈你自己的帐户.它就是你在学校/公司/ISP那里得到的帐 
户,它 
总是与你的真实姓名联系在一起,所以在使用它时绝对不要违背下面的原 
则: 

永远不要用你的真实帐户做任何非法或者惹人怀疑的事! 
永远不要试图从你的真实帐户telnet到任何被hacked主机去! 
当然可以用这个帐号订阅安全mailing lists. 
但任何与hacking有关的东西都必须加密或者立刻销毁. 
决不要在你帐号下保存hacking或security工具. 
尽量用POP3连到你的mailserver下载或者删除你的邮件(如果你对unix 
比较熟悉, 
还可以直接telnet到POP3端口执行下载或者删除命令). 
决不要泄漏你的真实email给你不信任的人,只把它给你信任的人,他们也 
应当是比较 
注意安全问题的人,否则如果他们被捕,下一个就是你了(或许他们根本就 
是警察,而不 
是hacker.). 
与其他的hacker用email交流时必须要用PGP加密,因为系统管理员经 
常偷看用户目录, 
甚至读区别人的email!!其他的hacker也可能hack你们的站点并试图得 
到你的数据. 

绝不要用你的帐号表明你对hacking感兴趣! 
对安全感兴趣可以,但不要再进一步了. 

>> 译者注:与别人交流时可以申请免费信箱,最好是国外的,比如hotmail之 
类,登陆 
时注意最好 
>> 通过proxy.自己的真实信箱应当只用来进行一般的正常通信,与朋友/老 
师/同事 
... 



* 4. LOG文件 * 

有三个重要的log文件: 
WTMP - 记录每次登录的信息,包括登陆/退出的时间,终端,登录主 
机ip 
UTMP - 在线用户记录 
LASTLOG - 记录用户上次是从哪里登录的 
当然还有其他的log,它们将在"高级技巧"一节种讨论.每次通过 
telnet,ftp,rlogin,rs 
h 
的登录都会被记录到这些文件中.如果你正在hacking,把自己从这些记录 
中删除就是很 

重要的了.否则他们会: 
a) 准确的发现你什么时候在搞hacking活动 
b) 发现你从那个站点过来 
c) 知道你在线的时间有多长,以便计算你给他们造成的损失 

绝对不要删除这些log文件!!!那等于通知管理员:"嗨,你的机器上有个 
hacker!".找一个 

好程序来修改这些log.ZAP(或ZAP2)经常被认为是最好的但事实上它并 
不是.它只是简单 

的用0来填充用户上次登陆的数据段.CERT已经发布了一个简单的程序 
用来检查这些全零 

数据项.所以这样也会很容易就让人知道现在有个hacker在活动,这样你 
所有的工作就没 

有意义了.ZAP的另外一个缺陷是当它找不到那些log文件时,它并不报 
告.所以在编译之 
前 
必须先检查一下路径!你应该使用能改变记录内容的程序(象cloark2.c)或 
者能真正删掉 

记录的程序(象clear) 

>> 译者注: THC提供的cleara.c ,clearb.c是非常好用的清除工具.可以 
清除 
>> utmp/utmpx,wtmp/wtmpx,修复lastlog让其仍然显示该用户的上次登录信 
息(而不 

>> 是你登录的信息).如果你发现你登录后没有显示上次登录信息,那很可能 
你的机 
器 
>> 可能已经被人hack了,当然,即使显示正确的信息也未必就没有被hack.;-) 

一般来说要修改log你必须是root(有些老版本系统例外,它们将 
utmp/wtmp设成允许所有 
人可写)但 
如果你不能得到root权限---你该怎么做呢? 
你应该rlogin到你现在所处的主机,以便在lastlog种增加一个不是那么 
惹人怀疑的数据 
项,它将在 
该用户下次登录时被显示,如果他看到"上次从localhost登录"的信息时也 
许不会怀疑.