妨碍防御: 日志策略篡改

日志策略篡改（Log Policy Manipulation）是通过修改系统审计策略和日志存储机制实现防御削弱的定向攻击技术。攻击者不仅清除现有日志记录，更通过篡改日志收集策略（如Windows事件转发配置、Linux rsyslog规则）、调整日志存储阈值或重定向日志传输路径，系统性破坏安全信息与事件管理（SIEM）系统的数据完整性。典型应用包括修改Windows注册表HKLM\SOFTWARE\Policies\Microsoft\Windows\EventLog项下的保留策略，将安全日志最大尺寸设置为最小值并启用覆盖模式。

该技术的隐匿性源于对日志生态链的多层污染。攻击者采用"预防性日志消隐"策略，在攻击链早期即修改日志收集策略，使后续攻击行为根本不被记录，而非事后删除已有日志。通过劫持日志传输通道（如替换syslog-ng配置文件）、注入日志过滤器（如Windows ETW提供程序黑名单）或加密本地日志存储文件，构建起"产生-收集-存储"全链路的日志抑制体系。这种前置式策略篡改规避了传统日志完整性监控对异常删除操作的检测，使防御方难以通过日志空缺反推攻击时间线，实现"无痕化"攻击。