“Windows 临时文件、Windows 或 Mac 的剪贴板、从一个 Telnet 或 FTP 应用程序中未加密的登录数据，和 web 浏览器缓存等都是非静态数据目标，”Sremack 说。

一旦黑客获得暂时存储在明文中的用户 ID 和密码，他们就可以进入下一个等级的访问，进一步获取资源，如内部网站、文档管理系统和 SharePoint 站点，Sremack 解释道。

“这基本上是一个黑客必须使用键盘记录器才能够检索到的信息的途径，但没有键盘记录器，”Sremack 说。

这对于黑客来说极为重要，因为反病毒和反恶意软件工具可以检测并移除键盘记录。黑客们则运行其他的各种工具，比如查看剪贴板、注册表或者电脑用明文存储这些数据的任何工具。

这些工具，为黑客实时进行这些进攻时成为一件免费的福利，并且极容易接入互联网。虽然 Linux 上有工具，但是通常犯这种典型错误(以明文将密码储存在剪贴板)的人使在工作站的终端使用者进行攻击取证成为可能，而这些使用者通常运行 Windows 和 Mac 操作系统。

一些黑客使用特定的工具包括脚本工具作为取证的利器。

“还有大范围用于此用途的各样其他工具，包括免费的和高价的，比如 FTK 成像仪、RedLine、Volatility、CAINE 和 HELIX3 ”，Hazdra 说。

企业响应

“进攻取证很难计数，因为攻击目标机器中的文件可能是安全的，而且传统标准也将宣布系统是安全的，但是入侵者却能够访问机器并能捕捉内存，”Sremack 说。

对付进攻取证的方法包括运行能够掩藏和保护内存数据的安全功能。这些类型的应用程序包括 KeePass 和 KeeScrambler。KeePass 是一个加密的剪贴板工具，能够自动清除剪贴板历史，KeeScrambler 则加密浏览历史。

“每当用户将字母键入浏览器，系统就会加密以防止黑客读取储存在内存中的数据，”Sremack 解释道。目前有免费版的 KeeScrambler，同样能对付键盘记录程序的还有付费版本。

最佳实践要求一个企业网络用户必须在一个特定的机器上登陆进行系统活动，这样一来，黑客就更难以消除自己的行踪。此外，企业应该使用文件系统可仅标记文件为“附录”的特性(不会删除或覆盖现有的数据)，这样即使是那台特定机器的系统管理员都无权删除所写，除非机器进入离线维护模式，Lancope 的首席技术官 TK Keanini 这样解释道。

(责任编辑：)