职业黑客想狠捞一票的时候，必须要做的一件事，就是消痕匿迹。很多犯罪活动中，清除证据都是首要考虑。现实世界中，证据通常指的是指纹、弹壳、血液、毛发、监控视频等等。网络犯罪的虚拟世界中，很多情况下证据指的是各种日志。罪犯总想找出证据并删除或修改它们，守护者就想保存、归档和防止证据被坏人染指。失窃案发后，如果要对案犯进行追踪调查，归根结底还要看受害组织对日志和流量模式的归档和保护情况。

例如，折扣零售商 T.J. Maxx 和马歇尔百货的至少4570万信用卡和借记卡被盗案。NBC新闻报道：“由于小偷删除了从入侵开始到TJX检测到入侵这一时间段内的大部分正常营业交易数据，TJX至今不能确定被盗规模。”

清除日志来掩盖踪迹显然会让调查过程万分困难，那要是不删除而是修改日志内容呢？道德黑客网站上有黑客探讨了这个问题。

“别把整个日志文件删掉，只删犯罪证据相关记录就行了。另一个问题是，有没有备份的日志文件？万一他们干脆只是对比两份文件找出你抹去的那些记录呢？行动前多想想。最好的做法应该是随机删除日志文件中的记录，包括你的那些。”

日志修改例子：

· 孟加拉央行被黑客盗取1.01亿美元。调查人员发现，犯案黑客团伙十分高明，试图在退出系统时通过删除计算机日志来掩盖自己的行踪。

· 摩根大通集团遭罪犯网络钓鱼攻击，系统被感染，数据失窃。网络安全专家罗伯特·卡普斯评论道：“黑客访问银行记录不常见，但并非闻所未闻，他们常会修改计算机日志以掩盖自身踪迹，但并不总能触碰到更敏感的数据。”当FBI涉入调查，CNN报道称：“黑客采用了前所未见的高级恶意软件深入银行计算机系统底层，删除和篡改记录。”

怎样保护日志

所有日志必须实时发送到隔离收集系统。在已被侵入的系统上本地托管日志文件可不是个好主意，只会让攻击者更方便删除或篡改证据。可以将日志实时发送给某些设备，比如SIEM(安全信息和事件管理)。

存档流量模式

网络上所有系统的进出流量模式也可以很方便地存档很长时间。NetFlow和IPFIX是现下联网设备间所有通信模式记录备份的主流技术。所有路由器和大多数主流防火墙都能导出这些技术到流收集系统。只要事件发生，日志记录便可与流量模式进行对比，使安全团队得以确认所发生事件的有效性。

进一步保护日志

鉴于保存原始日志的关键性，公司企业通常会部署UDP转发程序。这些设施复制所有收到的UDP帧(如：消息)，并通过修改目的IP地址将之转发给多个收集服务器。但源IP地址是不变的。因此，执行UDP转发功能的设备对目的地址就是完全透明的。

如果黑客想要察觉到日志被加载到了第2个系统，他们就必须黑进UDP转发系统，获悉日志的去向，再黑掉额外的系统。对大多数黑客而言，他们会漏掉日志修改步骤，或者干脆转向更容易操纵的目标。

保持数据安全

从未有哪个时期日志显得如此重要。攻击者总是想方设法侵入系统，而公司企业必须要能进行事件响应。安全团队索要的第一要物，就是日志。当事件发生，别迷茫于下一步要做什么。确保日志在第2乃至第3个系统上有备份，确保UDP转发程序一直在接力消息。让攻击者越难操作，他们就越容易转向另一个受害者。