現在你可以審查日志文件和系統配置文件了，檢查入侵的蛛絲馬跡，入侵者對系統的修改，和系統配置的脆弱性。

1.檢查入侵者對系統軟件和配置文件的修改

　　a.校驗系統中所有的二進制文件

　　在檢查入侵者對系統軟件和配置文件的修改時，一定要記住:你使用的校驗工具本身可能已經被修改過，操作系統的內核也有可能被修改了，這非常普遍。因此，建議你使用一個可信任的內核啟動系統，而且你使用的所有分析工具都應該是干凈的。對于UNIX系統，你可以通過建立一個啟動盤，然后對其寫保護來獲得一個可以信賴的操作系統內核。

　　你應該徹底檢查所有的系統二進制文件，把它們與原始發布介質(例如光盤)做比較。因為現在已經發現了大量的特洛伊木馬二進制文件，攻擊者可以安裝到系統中。

　　在UNIX系統上，通常有如下的二進制文件會被特洛伊木馬代替：telnet、in.telnetd、login、su、ftp、ls、ps、netstat、ifconfig、find、du、df、libc、sync、inetd和syslogd。除此之外，你還需要檢查所有被/etc/inetd.conf文件引用的文件，重要的網絡和系統程序以及共享庫文件。

　　在NT系統上。特洛伊木馬通常會傳播病毒，或者所謂的"遠程管理程序"，例如Back Orifice和NetBus。特洛伊木馬會取代處理網絡連接的一些系統文件。

　　一些木馬程序具有和原始二進制文件相同的時間戳和sum校驗值，通過校驗和無法判斷文件是否被修改。因此，對于UNIX系統，我們建議你使用cmp程序直接把系統中的二進制文件和原始發布介質上對應的文件進行比較。

　　你還可以選擇另一種方法檢查可疑的二進制文件。向供應商索取其發布的二進制文件的MD5校驗值，然后使用MD5校驗值對可疑的二進制文件進行檢查。這種方法適用于UNIX和NT。

　　b.校驗系統配置文件

　　在UNIX系統中，你應該進行如下檢查：

　　檢查/etc/passwd文件中是否有可疑的用戶

　　檢查/etc/inet.conf文件是否被修改過

　　如果你的系統允許使用r命令,例如rlogin、rsh、rexec，你需要檢查/etc/hosts.equiv或者.rhosts文件。

　　檢查新的SUID和SGID文件。下面命令會打印出系統中的所有SUID和SGID文件：

#find / ( -perm -004000 -o -perm -002000 ) -type f -print

　　對于NT，你需要進行如下檢查：

　　檢查不成對的用戶和組成員

　　檢查啟動登錄或者服務的程序的注冊表入口是否被修改

　　檢查"net share"命令和服務器管理工具共有的非驗證隱藏文件

　　檢查pulist.ext程序無法識別的進程