Bom primeiramente...

O Havij ele envia várias requisições ao ALVO.

essas requisções enviam seu IP de momento, e também o tipo de requisição!

Ficam sim gravadas no servidor, sendo que são milhares de requisições, entre elas de visualização de página, e entre outras que os sites hospedados nela tenham solicitado ao servidor!

Você corre risco a partir do momento em que o ADM do servidor, conheça as tecnicas de SQLi que o Havij Explora e saiba identificar/filtrar nos logs as requisições deste tipo! e referente ao Hide IP não posso te falar de ceerteza, pois nunca utilizei ele!, já utilizei o Add-On do TOR para firefox! e pra DesktopLinux! #ficadica!

boas
Sim, o seu ip e os requests ficam registados no log do servidor.
e possível configurar o havij para que ele funcione com proxy, mas o Hide Ip Ng e apenas direccionado para Web browsers, ou seja não tem grande efeito com o havij.
Aconselho que utilize o tor pois e um proxy que permite direccionar todo o tipo de tráfego, pode usar um programa externo como proxifier (windows) ou o proxychains (linux).
caso pretenda usar o tor com o havij e só configurar o proxy havij e por a funcionar na porta 8118 (proxy http do tor)
Outro conselho aprenda a fazer a injecção manualmente e muito mais difícil de encontrar nos logs.

Até onde eu estou informado (se alguém souber uma lei contraria me corrija) a tentativa de invasão não é crime e nem a invasão em si própria é crime. Só passa a ser crime quando vc expõem algum dado sigiloso ou faz alguma modificação ou alteraçao no sistema, ou sequestra banco de dados ou qualquer coisa que não mantenha o sistema integro e de modo original.

Resumindo.. vc pode usar o Havj sem proxy para a obter a senha do painel porque isso não caracteriza nada, e na hora de entrar no painel administrativo vc pode usar o Tor. E também não conseguem um mandato para o IP que não acessou o painel administrativo, mesmo que ele tenha tentado obter a senha ou obtido (obs: sem logar no sistema)

Procure usar Hotspot Shield ele funciona bem para não revelar seu IP real nos logs do servidor porém se chegarem com um mandato judicial eles passam seus dados, por isso é melhor usar o Tor. Uma outra dica é vc usar tradutores como o proxy final, digo para logar nos sistemas, se vc usar um tradutor da Google por exemplo e logar no sistema, o IP que ficara registrado é o do tradutor e não do seu proxy, isso é pouco usado e desconfiam muito menos quando aparece um IP da Google nos logs, a primeira coisa que um administrador faz quando ve que um IP da Google nos logs de seu painel é pensar que o diretório de administrador está aberto para web e o Google Bot (Scan de sites da Google) apenas indexou em seu buscador e por isso gerou o log. Claro que se vc fizer milhares de alterações extramente perseptíveis o cara vai acabar se ligando no que aconteceu.

Outra coisa é vc usar algum sistema de criptografia de disco e uma senha forte (64 caracteres), assim mesmo se provarem que partiu do seu IP, se vc alegar que vc não fez nada cabe a eles provarem algo contra vc, e não vc de provar que é inocente. Se vc não passar a senha do disco eles não conseguem provar nada contra vc, e segundo a lei nenhuma pessoa é obrigada a produzir provas contra si própria. [Programas para cryptografia de disco forte, TrueCrypt (fora a criptografia utiliza Keyfile e desabilita o USB) e PGP (Symantec)].

Penso que não vá usar nada disso para o mal, apenas conhecimento.

Aqui a palavra de um profissional da área e uma advogada especializada:
Fonte:

Muito obrigado mesmo, aprendi bastante nesse post. Não, não irei usar nada disso para o mal. Uma regra minha é nunca modificar, excluir nem criar nada mesmo.
Mas muito obrigado