什么是反查技术?即反侦查技术。在黑客攻击中，最重要的一部分不是成功侵入主机，而是清除痕迹，不要让管理者发现被侵入及数据被伪造。同理，社会工程学也有这样的概念，那么，我们得清除哪些痕迹以免遭网络0察(以下称之为网警)的发现?这一部分我们从网警角度来看问题，看看他们如何来能否找到社会工程师的蛛丝马迹。或者一句玩笑话：他们无法那么轻松找到一点痕迹。这里我们以案例来讲解，请注意，这是虚拟案例，不当之处，敬请指正。

　　现场

　　<<谁动了企业的数据?>>　数据存储服务部　小张

　　小张正忙着登记取出数据的客户，这时内线突然响起。

　　小张：你好，数据存储服务部。

　　小王：我是数据存储后期服务部小王，我们前台计算机出现故障，呃，我需要你们的需助。

　　小张：我可以知道你的员工id吗?

　　小王：嗯，id是97845。

　　小张：我能帮助你什么?

　　小王：我们网络出现故障，我需要你把xx企业数据复印一份，然后放在二楼客户接待柜台，我们的人会取的。

　　小张：好的，现在身旁还有一大批的事，我马上给你送去。

　　一如攻击者所想，他很如愿拿到某企业内部数据，并将其公布到网上。这使该企业受到严重经济损失，他们开始向网警报案。然而，没有一切线索，电话是企业的内线，而那个所谓的小王根本不存在，数据存储服务器更是完好无损，迫不得已，他们开始设法从网上流传的企业数据追查ip来源，然而数据是经过多重路由传输，且经过了加密，案件陷入了绝境。相信小菜们一定有三个疑点：1.攻击者如何知道内线号码?2.攻击者为何有某员工id?3.攻击者使用什么方法隐藏了ip?这很简单，如果你去医院看过病，一定会注意墙上的主治医师名单，上面标有id，联系方式，及所在楼层房号，医院的目的在于更佳完善为患者提供服务。同样，数据存储公司也设了这样的名单。然而，这个案例里的小王没有进入数据存储服务公司，而是付了一部分费用给垃圾处理公司，允许他从中寻找一些东西，而攻击者寻找的是一份旧的员工联系名单，旁边也附了内线号码。

　　ip如何隐藏的呢?我们看看四种方式传输日志：1.直接ip，2.adsl拨号，3.代理，4，随机路由传输。这里给小菜讲解下，直接ip即拥有公网ip，发表的日志也显示真实的ip，我不推荐这种做法。adsl上网，isp会记录下这个ip地址是在哪个特定时间由哪个电话号码上线，你认为这仍然安全吗?代理上网安全么?如果提供代理的主人或是代理服务商与网警妥协，关键是在于网警们有耐心与代理服务商协商。随机路由传输，每次请求传输信息都会透过随机路由进行的每一连串步骤都是经过加密的。此外，在这一连串传输线上的每部电脑都只会知道最邻近的的几台电脑地址，换言之，路由器b只知道路由器a经过它传输网页，而这个传输请求可能又经过路由器c代转。所以，你认为网警能从中找到一丝头绪么?

　　接下来我们来了解网警的在干什么?他们的技术能否对抗社会工程学师。如果读者寻找一些关于计算机取证技术方法及工具研究，我想你会找到最主要的信息，那就是他们重心在于入侵监测系统、数据恢复、加密破解、反向工程技术以及计算机取证软件工具的使用。然而，他们忽略了人为的因素，社会工程学师的奇妙之处在于从人、规章寻找致命的漏洞。且现在面对社会工程学师的攻击防护仍然是网络安全课程的一片空白，当这种攻击趋入严重的状态，这成了网络安全专家首要考虑的问题。然而更令人吃惊的是，网警偶而会发现攻击源来自于他们内部。现在有一些媒体神化了网警，比如一次行动网警现场在网吧抓获攻击者，这并没有什么特别之处，而在于那位攻击者没有隐藏ip，使用的是公用电脑，这对于网警来说更容易确定ip源。行为

　　你相信测谎仪么?不，我拒绝相信!说出这类话的只有两类人，一类是心理学家，另一类便是社会工程学师。