题外话：领导支持参会，我最近又很忙就放弃投稿了。写了点垃圾放着也是占用空间扔出来娱乐一下

XX攻防之反跟踪

捕获者
时间、地点、动机、危害、痕迹分析、跳板上或目标机前端网络设备上设置蜜罐等等

攻击者
时间：每天都是后门程序都是新鲜的，不解释。不能擦除ips、ids等日志就攻击成功后间隔一段时间后大量重放掩埋。

地点：攻击的跳板多层可以打环，使用自定义动态密文加密隧道掩盖真实地点和目的。

动机：完成攻击后使用明显攻击扭曲和掩埋真正动机。(外部服务器有0day随时提权)

危害：减少窃取目标的发现几率，使用和时间匹配的分段加密分目标传送。

痕迹分析：完成一次有效攻击清理原有的程序，最小化客户端进入隐蔽状态。做明显他人标志，甚至在网上先建立有效的人肉结果和证据链祸水东移。东移方法举例：
1、内置代码 一个小毛驴 某人id等
2、程序标记版本等使用他人id或版本特征
3、连接痕迹使用别人的阉割木马连接对方服务端后进程干掉，扔出他人后门大量尸体
4、制造外部虚假id言论和行为
5、还是放个等等吧

反跟踪：跳板使用国际跳每次抛弃目标反向前三跳，每次攻击任务搽好屁股后定时启动。结果收集使用分片加密，放到公共资源上利用搜索引擎爬虫快照获取。

附说明及警告:1、干活的时候别使用任何agent客户端在纯净的机器上操作,不懂的童鞋就别问了,哪些是agent相信你懂得
2、至于内网渗透u盘上的方法，内容太多就不写了。反正戏法人人会变如何不露馅就要看功力了
3、后门程序编译不要在有明确id的用户下编译，不然被逆向后你会哭的。想祸水东移的例外:-P

根据白帽子的经验，把会令自己感到头痛的方法说一下。不太系统，反正也不想讲这个话题了就放出来。欢迎提供更猥琐的隐藏方法一起讨论，呵呵。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课