2.檢查被修改的數據

　　入侵者經常會修改系統中的數據。所以建議你對web頁面文件、ftp存檔文件、用戶目錄下的文件以及其它的文件進行校驗。

3.檢查入侵者留下的工具和數據

　　入侵者通常會在系統中安裝一些工具，以便繼續監視被侵入的系統。

　　入侵者一般會在系統中留下如下種類的文件：

　　網絡嗅探器

　　網絡嗅探器就是監視和記錄網絡行動的一種工具程序。入侵者通常會使用網絡嗅探器獲得在網絡上以明文進行傳輸的用戶名和密碼。(見C.5)

　　嗅探器在UNIX系統中更為常見。

　　特洛伊木馬程序

　　特洛伊木馬程序能夠在表面上執行某種功能，而實際上執行另外的功能。因此，入侵者可以使用特洛伊木馬程序隱藏自己的行為，獲得用戶名和密碼數據，建立后門以便將來對系統在此訪問被侵入系統。

　　后門

　　后門程序將自己隱藏在被侵入的系統，入侵者通過它就能夠不通過正常的系統驗證，不必使用安全缺陷攻擊程序就可以進入系統。

　　安全缺陷攻擊程序

　　系統運行存在安全缺陷的軟件是其被侵入的一個主要原因。入侵者經常會使用一些針對已知安全缺陷的攻擊工具，以此獲得對系統的非法訪問權限。這些工具通常會留在系統中，保存在一個隱蔽的目錄中。

　　入侵者使用的其它工具

　　以上所列無法包括全部的入侵工具，攻擊者在系統中可能還會留下其它入侵工具。這些工具包括：

　　系統安全缺陷探測工具

　　對其它站點發起大規模探測的腳本

　　發起拒絕服務攻擊的工具

　　使用被侵入主機計算和網絡資源的程序

　　入侵工具的輸出

　　你可能會發現入侵工具程序留下的一些日志文件。在這些文件中可能會包含被牽扯的其它站點，攻擊者利用的安全缺陷，以及其它站點的安全缺陷。

　　因此，建議你對系統進行徹底的搜索，找出上面列出的工具及其輸出文件。一定要注意：在搜索過程中，要使用沒有被攻擊者修改過的搜索工具拷貝。

　　搜索主要可以集中于以下方向：

　　檢查UNIX系統/dev/目錄下意外的ASCII文件。一些特洛伊木馬二進制文件使用的配置文件通常在/dev目錄中。

　　仔細檢查系統中的隱藏文件和隱藏目錄。如果入侵者在系統中建立一個一個新的帳戶，那么這個新帳戶的起始目錄以及他使用的文件可能是隱藏的。

　　檢查一些名字非常奇怪的目錄和文件，例如:...(三個點)、..(兩個點)以及空白(在UNIX系統中)。入侵者通常會在這樣的目錄中隱藏文件。對于NT，應該檢查那些名字和一些系統文件名非常接近的目錄和文件。