الخطوة الهجومية الأخيرة (إذا كانت ضمن النطاق)

في هجوم حقيقي خبيث، سيحاول المهاجم مسح كل الأدلة على وجوده لتأخير الاكتشاف، وتعقيد التحقيق الجنائي، وضمان الاستمرارية.

ملاحظة: في الهكر الأخلاقي، غالباً ما تكون هذه المرحلة محظورة تماماً ما لم تنص قواعد الاشتباك صراحةً على السماح باختبار التلاعب بالسجلات.

تقنيات التلاعب بالسجلات

1. تعديل السجلات: فتح السجلات النصية يدوياً (مثلاً /var/log/auth.log في Linux) وإزالة المدخلات المقابلة لوقت تسجيل الدخول أو الأوامر المنفذة.
2. استخدام الأدوات المساعدة: أدوات مثل wtmp أو utmp تمسح ملفات تاريخ تسجيل الدخول.
3. وحدات Metasploit: يحتوي Meterpreter على وحدات مصممة خصيصاً لمسح أنواع محددة من سجلات أحداث Windows (الأمن، النظام، التطبيقات) من جهاز مخترق.

التلاعب بالطوابع الزمنية (Time Stamp Manipulation)

يستخدم المهاجمون غالباً أدوات مثل touch أو أدوات متخصصة لتغيير طوابع وقت الإنشاء والتعديل والوصول للملفات الخبيثة لتتطابق مع ملفات سليمة وموجودة مسبقاً، مما يجعل التحقيق الجنائي أصعب (تقنية Timestomp).