黑客追踪系统是怎么回事？

序号 功能模块 技术要求
1 分析引擎支持的操作平台类型 Windows2000/NT、Linux、Unix、BSD。
2 入侵痕迹分析的数据范围 包括系统日志、网络服务日志、email邮件、文件版本、磁盘扇区、进程、注册表、网络连接、网络通信、访问历史记录、用户帐号、共享资源、垃圾箱和已安装程序等。
3 特征模板的范围 包括1800多种攻击手法的特征，并支持用户自定义模式。
4 实时监控的范围 包括HTTP、FTP、SMTP、POP3、IMAP、TELNET等通用服务。
5 网络监听范围 基于TCP/IP协议的网络通信。
6 隐蔽性 支持进程注入、端口反弹和流量控制等技术，保证追踪的隐蔽性。
7 扩展能力 支持自定义插件和二次载入技术。
8 自动侦查分析功能 主机基本入侵痕迹分析：提取分析被入侵主机的系统日志、注册表、进程、网络连接、访问记录、用户账号、共享资源等数据中黑客入侵留下的痕迹。
应用服务
日志分析：分析WWW、FTP、SMTP、POP3、NNTP、PROXY等网络服务的日志信息，
提取攻击痕迹和入侵痕迹数据。
进程深层分析：为防止黑客用同名、进程注入等方式进行隐藏、欺骗，本系统对进程相关联的信息进行深层分析，包括进程占用的内存、CPU资源、端口、调用的动态链接库和其它模块文件等。
电子邮件分析：分析电子邮件的邮件头、内容、附件，特别是eml格式的邮件，找出该邮件是否有大量转发、欺骗来源、植入木马或攻击等入侵行为。
通信实时监控分析：实时分析网络通迅数据，从中发现异常的请求和内容。
9 实时监控报警功能 日志实时监控：监控网络对如WWW、FTP、POP3、SMTP等服务的访问请求和日志系统的变化，如新的日志记录或日志系统被篡改和破坏。
日志在线备份：对指定网络服务的日志系统进行实时备份，以防因入侵者破坏日志文件而丢失日志信息。
网络通信实时监控：监控网络对如WWW、FTP、POP3、SMTP等服务的网络通信数据包，或其他基于TCP/UDP协议的网络通信数据包。
网络陷阱：模拟WWW、FTP、TELNET等网络服务，记录对模拟服务的访问信息。
10 远程追踪功能 获取目标主机动态信息：可远程获取目标主机的动态信息包括进程、网络连接、用户操作等。
监听目标主机网络通信：远程监听目标主机的指定协议和指定端口的网络通信数据包，并对其进行包重组和协议还原。
主机类型分析：通过分析捕获的目标主机信息，获取目标主机的类型（肉机/控制机）。
入侵痕迹提取、分析：在捕获的目标主机信息中寻找入侵行为留下的痕迹并对其进行分析，从而获取入侵者的真实地址和入侵手法。
远程控制：在远程目标主机上隐蔽地执行命令和程序，并对目标主机进行有效控制。