问能探测到蜜罐吗？

EN

是。

蜜罐不仅是为了吸引攻击者，也是为了获取有关他们的信息。因此，蜜罐希望记录攻击者的所有操作。

攻击者现在可能会导致日志溢出(在野外经常看到的一种技术是编写和删除某个文件)，并根据以这种方式获得的信息更改日志溢出。

恶意软件还可以尝试其他方法来检测它感染的机器是原始铁还是虚拟机。

理想情况下，不。蜜罐是一个用来定义机器用途的词，但与机器本身、配置方式或运行在机器上的任何特定软件无关。

也就是说，创建蜜罐的人通常的目标是吸引目标来消耗资源或破坏OpSec。要做到这一点，他们将提出一个目标，似乎提供了一个重要的回报和/或最低限度的努力所需的利用。如果蜜罐的主人不是一个很好的扑克玩家(知道提供多少，而不让陷阱显而易见)，人们可能会衡量机器的“太好而不是真”的价值。

然而，可悲的是，如果将这一衡量方法与大多数联网主机进行比较，一个故意的薄弱和有价值的目标在很大程度上将与偶然之间的目标难以区分。

嗯，怎么知道你是不是走进了蜜罐，让我看看.

• 这台机器看起来就像昨天刚安装的那样，除了默认目录之外，它唯一拥有的是一个名为“敏感”的文件夹，里面装满了2600个旧拷贝的页面扫描，以及错误的名字和地址列表，据称这些文件夹都是HB的雇员。
• 鼠标驱动程序将制造商标记为"Microsoft SMS解决方案“。
• 你试图与驱动器控制器或任何其他DMA设备交谈，计算机就会开始响应，就像它有肺叶切除一样。
• CPUID op代码将值0x02放置在EAX中。
• 您对指令序列执行RDTSC计时，得到的值是一些疯狂的数字。
• 您尝试将HTTP连接到cnn.com，并获得“无法连接”错误。
• 安装在机器上的打印机的名称中只有“通用”一词。
• 给出命令"net view“并返回响应”此工作组的服务器列表当前不可用“。
• 你的无线电扫描器突然在摩托罗拉的集群线上有了大量的活动，这些家伙用德州口音说着“代码10”和“就位”之类的话。

严肃地说，唯一喜欢蜜罐的人是青少年或业余爱好者使用黑洞之类的东西。通常，任何严重威胁的黑客永远不会进入蜜罐，因为他们的目标是特定的IP，他们知道提前是有效的机器。如果黑客想识别任何位于公司网络上的蜜罐，这很容易做到，因为机器要么没有出站流量，要么流量将被人为设计，而不遵循正常的使用模式。此外，一个假定的机器独自坐在非军事区外是一个死赠品。