3.检查入侵者留下的工具和数据

　　入侵者通常会在系统中安装一些工具，以便继续监视被侵入的系统。

　　入侵者一般会在系统中留下如下种类的文件：

　　嗅探器

　　网络嗅探器就是监视和记录网络行动的一种工具程序。入侵者通常会使用网络嗅探器获得在网络上以明文进行传输的用户名和密码。(见C.5)

　　嗅探器在系统中更为常见。

　　特洛伊木马程序

　　特洛伊木马程序能够在表面上执行某种功能，而实际上执行另外的功能。因此，入侵者可以使用特洛伊木马程序隐藏自己的行为，获得用户名和密码数据，建立后门以便将来对系统在此访问被侵入系统。

　　后门

　　后门程序将自己隐藏在被侵入的系统，入侵者通过它就能够不通过正常的系统验证，不必使用缺陷攻击程序就可以进入系统。

　　安全缺陷攻击程序

　　系统运行存在安全缺陷的是其被侵入的一个主要原因。入侵者经常会使用一些针对已知安全缺陷的攻击工具，以此获得对系统的非法访问权限。这些工具通常会留在系统中，保存在一个隐蔽的目录中。

　　入侵者使用的其它工具

　　以上所列无法包括全部的入侵工具，攻击者在系统中可能还会留下其它入侵工具。这些工具包括：

　　系统安全缺陷探测工具

　　对其它站点发起大规模探测的脚本

　　发起拒绝服务攻击的工具

　　使用被侵入主机计算和网络资源的程序

　　入侵工具的输出

　　你可能会发现入侵工具程序留下的一些日志文件。在这些文件中可能会包含被牵扯的其它站点，攻击者利用的安全缺陷，以及其它站点的安全缺陷。

　　因此，建议你对系统进行彻底的搜索，找出上面列出的工具及其输出文件。一定要注意：在搜索过程中，要使用没有被攻击者修改过的搜索工具拷贝。

　　搜索主要可以集中于以下方向：

　　检查UNIX系统/dev/目录下意外的ASCII文件。一些特洛伊木马二进制文件使用的配置文件通常在/dev目录中。

　　仔细检查系统中的隐藏文件和隐藏目录。如果入侵者在系统中建立一个一个新的帐户，那么这个新帐户的起始目录以及他使用的文件可能是隐藏的。

　　检查一些名字非常奇怪的目录和文件，例如:...(三个点)、..(两个点)以及空白(在UNIX系统中)。入侵者通常会在这样的目录中隐藏文件。对于NT，应该检查那些名字和一些系统文件名非常接近的目录和文件。