部署收集windows日志软件evtsys 1、第一阶段部署服务器列表(要求顺序部署)
2、第二阶段部署服务器列表
3、解压缩Evtsys_4.5.1_32-Bit.zip文件,得到evtsys.exe文件。
4、32位windows系统evtsys安装(如果是64位windows系统,
请找陈涛要64位安装包)
copy evtsys.exe c:\windows\system32\
cd c:\windows\system32
evtsys.exe -i -a -h 172.30.10 -l 3
命令成功运行后会在系统增加EventLog to Syslog服务。
5、启动Evtsys服务,命令是:
net start evtsys
6、打开windows控制面板/管理工具/服务,查看“Eventlog to
syslog”服务的状态是否“正在运行”,启动类型是否“自动”。
7、回滚措施
停止Evtsys服务,命令是:
net stop evtsys
删除Evtsys服务,命令是:
cd c:\windows\system32
evtsys -u
8、evtsys参数说明
可以在下载后的安装包中查看说明文档有详细信息
evtsys.exe -i|-u|-d [-h host] [-p port]
-i Install service (安装服务)
-u Uninstall service (卸载服务)
-d Debug: run as console program (以debug模式运行)
-h host Name of log host (日志服务器IP地址)
-p port Port number of syslogd (日志服务器端口,默认是514
建立安全日志记录 为了让大家了解如何追踪计算机安全日志功能的具体方面,首先需要了解如何启动安全日志。大多数Windows计算机(除了某些域控制器版本系统)默认情况下不会向安全日志(Security Log)启动日志记录信息。这样的设置有利也有弊,弊的方面在于,除非用户强迫计算机开始日志记录安全事件,否则根本无法进行任何追踪。好的方面在于,不会发生日志信息爆满的问题以及提示日志已满的错误信息,这也是Windows Server 2003域控制器在没有任何预警下的行为。 安全日志事件跟踪可以使用组策略来建立和配置,当然你可以配置本地组策略对象,但是这样的话,你将需要对每台计算机进行单独配置。另外,你可以使用Active Directory内的组策略为多台计算机设置日志记录配置。要建立安全日志追踪,首先打开连接到域的计算机上的Group Policy Management Console (GPMC,组策略管理控制台),并以管理员权限登录。在GPMC中,你可以看到所有的组织单位(OU)(如果你事先创建了的话)以及GPO(如果你创建了两个以上),在本文中,我们将假设你有一个OU,这个OU中包含所有需要追踪相同安全日志信息的计算机,我们将使用台式计算机OU和AuditLog GPO。 编辑AuditLog GPO然后展开至以下节点: Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy 类别控制范围的简要介绍 以下是关于每种类别控制范围的简要介绍: 审计帐户登录事件–每次用户登录或者从另一台计算机注销的时候都会对该事件进行审计,计算机执行该审计是为了验证帐户,关于这一点的最好例子就是,当用户登录到他们的Windows XP Professional计算机上,总是由域控制器来进行身份验证。由于域控制器对用户进行了验证,这样就会在域控制器上生成事件。除了Windows Server 2003域控制器(配置为审计这些事件的成功与否)启动了设置外,没有操作系统启动该设置。最常见以及最佳的做法就是让所有的域控制器和服务器对这些事件进行审计。我还发现,在很多环境中,客户端也会配置为审计这些事件。 审计账户管理–这个将对所有与管理计算机(配置了审计)的用户数据库中的帐户的用户有关的事件进行审计,这些事件的示例如下: ·创建一个用户帐户 ·添加用户到一个组 ·重命名用户帐户 ·为用户帐户更改密码 对于域控制器而言,该管理政策将会对域帐户更改进行审计。对于服务器或者客户端而言,它将会审计本地安全帐户管理器(Security Accounts Manager)以及相关的帐户。除了Windows Server 2003域控制器(配置为审计这些事件的成功与否)启动了设置外,没有操作系统启动该设置。最常见以及最佳的做法就是让所有的域控制器和服务器对这些事件进行审计。对于用户帐户的审计,安全日志以及审计设置是不能捕捉的。 审计目录服务访问–这个将对与访问AD对象(已经被配置为通过系统访问控制列表SACL 追踪用户访问情况)的用户有关的事件进行审计,AD对象的SACL指明了以下三件事: ·将会被追踪的帐户(通常是用户或者组)
C. 主机、键盘与显示器 题目1 以()为核心组成的微型计算机属于集成电路计算机。选择一项: A. 晶体管 B. 机械 C. 电子管 D. 微处理器正确 题目2 ()电子计算机诞生于1946 。 A. 第一台正确 B. 第二台 C. 第三台 D. 第四台 题目3 ()电子计算机使用的主要逻辑元件是电子管。 A. 第一台正确 B. 第四台 C. 第二台 D. 第三台 题目4 一个完整的计算机系统应当包括()。 A. 计算机与外设D. 系统硬件与系统软件 题目5 ()是一种系统软件。 A. 操作系统正确 B. 数据库 C. 工资管理系统 D. 编译程序 题目6 某单位的人事档案管理程序属于()。 A. 工具软件 B. 字表处理软件 C. 应用软件正确 D. 系统软件 题目7 操作系统的作用是()。 A. 把源程序编译成目标程序 B. 控制和管理系统资源的使用正确 C. 高级语言和机器语言 D. 便于进行文件夹管理 题目8 ()构成计算机的物理实体。 A. 计算机程序 B. 硬件系统与软件系统正确 B. 计算机硬件正确
C. 计算机系统 D. 计算机软件 题目9 微型计算机中()主要功能是进行算术和逻辑运算。选择一项: A. 总线 B. 控制器 C. 存储器 D. 运算器正确 题目10 下列设备中,()属于输出设备。 A. 扫描仪 B. 键盘 . 鼠标器 D. 显示器正确 题目11 微机的核心部件是()。 A. 微处理器正确 B. 总线 C. 内存储器 D. 硬盘 题目12 ()是微型计算机的运算器、控制器及内存储器统 选择一项:A. ALU B. CPU 正确 C. 主机 D. MPU 题目13 CD-ROM 是()。 A. 只读存储器 B. 只读大容量软盘 C. 只读光盘正确 D. 只读硬盘 题目14 下列不属于计算机应用范畴的是()。 A. 水产捕捞正确 B. 文档和网页制作 C. 信息和参考 D. 休闲娱乐 题目15 ()的特点是速度快、印字质量好,噪音低。 A. 喷墨式打印机 B. 击打式打印机 C. 激光式打印机正确 D. 点阵式打印机 C 称。
windows系统日志与入侵检测详解 -电脑教程.txt我很想知道,多少人分开了,还是深爱着?、自己哭自己笑自己看着自己闹 . 你用隐身来躲避我丶我用隐身来成全你!待到一日权在手 , 杀尽天下负我 狗 .windows 系统日志与入侵检测详解 - 电脑教程 系统日志源自航海日志:当人们出海远行地时候,总是要做好航海日志,以便为以后地工作做出依据?日志文件作为微软 Windows系列操作系统中地一个比较特殊地文件,在安全方面 具有无可替代地价值 . 日志每天为我们忠实地记录着系统所发生一切,利用系统日志文件,可以使系统管理员快速对潜在地系统入侵作出记录和预测,但遗憾地是目前绝大多数地人都忽略了它地存在?反而是因为黑客们光临才会使我们想起这个重要地系统日志文件? 7.1日志文件地特殊性 要了解日志文件,首先就要从它地特殊性讲起,说它特殊是因为这个文件由系统管理,并加以保护,一般情况下普通用户不能随意更改?我们不能用针对普通 TXT文件地编辑方法来编辑它 例如 WPS系列、Word系列、写字板、Edit等等,都奈何它不得.我们甚至不能对它进行“重命名”或“删除”、“移动”操作 , 否则系统就会很不客气告诉你:访问被拒绝? 当然 , 在纯DOS地状态下,可以对它进行一些常规操作(例如 Win98状态下 >,但是你很快就会发现,你地 修改根本就无济于事 , 当重新启动 Windows 98 时 , 系统将会自动检查这个特殊地文本文件 , 若不存在就会自动产生一个;若存在地话,将向该文本追加日志记录? b5E2RGbCAP 7.1.1黑客为什么会对日志文件感兴趣 黑客们在获得服务器地系统管理员权限之后就可以随意破坏系统上地文件了,包括日志文件?但是这一切都将被系统日志所记录下来,所以黑客们想要隐藏自己地入侵踪迹,就必须对日志进行修改 . 最简单地方法就是删除系统日志文件,但这样做一般都是初级黑客所为,真正地高级黑客们总是用修改日志地方法来防止系统管理员追踪到自己,网络上有很多专门进行此类 功能地程序,例如Zap、Wipe等.p1EanqFDPw 7.1.2Windows 系列日志系统简介 1.Windows 98 地日志文件 因目前绝大多数地用户还是使用地操作系统是 Windows 98,所以本节先从 Windows 98 地日志文件讲起 .Windows 98 下地普通用户无需使用系统日志,除非有特殊用途,例如,利用 Windows 98建立个人 Web服务器时,就会需要启用系统日志来作为服务器安全方面地参考,当已利用 Windows 98 建立个人 Web 服务器地用户,可以进行下列操作来启用日志功能 . DXDiTa9E3d (1>在“控制面板”中双击“个人Web服务器”图标;(必须已经在配置好相关地网络协议,并添加“个人 Web服务器”地情况下>.RTCrpUDGiT (2> 在“管理”选项卡中单击“管理”按钮; (3>在“In ternet 服务管理员”页中单击“ WW管理”;
系统安全防范之Windows日志与入侵检测 一、日志文件的特殊性 要了解日志文件,首先就要从它的特殊性讲起,说它特殊是因为这个文件由系统管理,并加以保护,一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如WPS系列、Word系列、写字板、Edit等等,都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作,否则系统就会很不客气告诉你:访问被拒绝。当然,在纯DOS的状态下,可以对它进行一些常规操作(例如Win98状态下),但是你很快就会发现,你的修改根本就无济于事,当重新启动Windows 98时,系统将会自动检查这个特殊的文本文件,若不存在就会自动产生一个;若存在的话,将向该文本追加日志记录。 二、黑客为什么会对日志文件感兴趣 黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了,包括日志文件。但是这一切都将被系统日志所记录下来,所以黑客们想要隐藏自己的入侵踪迹,就必须对日志进行修改。最简单的方法就是删除系统日志文件,但这样做一般都是初级黑客所为,真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己,网络上有很多专门进行此类功能的程序,例如Zap、Wipe等。 三、Windows系列日志系统简介 1.Windows 98的日志文件 因目前绝大多数的用户还是使用的操作系统是Windows 98,所以本节先从Windows 98的日志文件讲起。Windows 98下的普通用户无需使用系统日志,除非有特殊用途,例如,利用Windows 98建立个人Web服务器时,就会需要启用系统日志来作为服务器安全方面的参考,当已利用Windows 98建立个人Web服务器的用户,可以进行下列操作来启用日志功能。(1)在“控制面板”中双击“个人Web服务器”图标;(必须已经在配置好相关的网络协议,并添加“个人Web服务器”的情况下)。 (2)在“管理”选项卡中单击“管理”按钮; (3)在“Internet服务管理员”页中单击“WWW管理”; (4)在“WWW管理”页中单击“日志”选项卡; (5)选中“启用日志”复选框,并根据需要进行更改。将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录,则文件将被保存在Windows文件夹中。 普通用户可以在Windows 98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它,或是启动“任务计划程序”,在“高级”菜单中单击“查看日志”来查看到它。Windows 98的普通用户的日志文件很简单,只是记录了一些预先设定的任务运行过程,相对于作为服务器的NT操作系统,真正的黑客们很少对Windows 98发生兴趣。所以Windows 98下的日志不为人们所重视。 2.Windows NT下的日志系统 Windows NT是目前受到攻击较多的操作系统,在Windows NT中,日志文件几乎对系统中的每一项事务都要做一定程度上的审计。Windows NT的日志文件一般分为三类: 系统日志:跟踪各种各样的系统事件,记录由Windows NT 的系统组件产生的事件。例如,在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。 应用程序日志:记录由应用程序或系统程序产生的事件,比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。 安全日志:记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件,安全日志的默认状态是关闭的。
以(微处理器)为核心组成的微型计算机属于集成电路计算机。 (第一台)电子计算机诞生于1946。 (第一台)电子计算机使用的主要逻辑元件是电子管。 一个完整的计算机系统应当包括(硬件系统与软件系统)。 (操作系统)是一种系统软件。 某单位的人事档案管理程序属于(应用软件)。 操作系统的作用是(控制和管理系统资源的使用)。 (计算机硬件)构成计算机的物理实体。 微型计算机中(运算器)主要功能是进行算术和逻辑运算。 下列设备中,(显示器)属于输出设备。 微机的核心部件是(微处理器)。 (CPU )是微型计算机的运算器、控制器及内存储器统称。 CD-ROM是(只读光盘)。 下列不属于计算机应用范畴的是(水产捕捞)。 (激光式打印机)的特点是速度快、印字质量好,噪音低。 目前使用的防杀病毒软件的作用是(检查计算机是否感染病毒,消除部分已感染病毒)。1MB =(1024KB )。 下列数中最小的数是((75)8)。 云计算是(将网络资源集中管理和调度,并以虚拟化方式为用户提供服务的)。 简单地说,物联网是(通过信息传感设备将物品与互联网相连接,以实现对物品进行智能化管理的网络)。 世界上第(一)台电子计算机名为ENIAC 世界上第一台电子计算机采用的主要(逻辑元件)是电子管。 简单地说,计算机是一种不需人为干预,由能自动完成各种种算术和逻辑运算的(工具)。(计算机辅助教学)的英文缩写是CAI。 运算器和(控制器)的集合体称为CPU。 能接收和保存数据及程序的装置称为(存储器)。 (所有指令)的有序集合叫程序。 将2个以上的(CPU)整合在一起称为多核处理器。 内存储器相对于外存储器的特点是容量小、速度(快)。 2009年,Tilera公司发布了全球第一款(100)核微处理器。 计算机最基本的(输入设备)是键盘。 微机系统最基本的输出设备是(显示器)。 在(系统软件)中,必须首先配置操作系统。 多媒体计算机技术,是指使用计算机综合处理(多种媒体信息),使多种信息建立逻辑连接,集成为一个系统并具有交互性的技术。 对网络系统而言,(信息)安全主要包括信息的存储安全和信息的传输安全。 计算机(病毒)一般包括引导、传染和表现3个部分。 在汉字系统中,由键盘输入的汉字拼音码属于(音)码。 (基本)ASCII码是7位字符编码。 字节与字长的关系是字长为字节的整(倍数)。 (二进制)的计数方式是逢二进一。 Windows 7 是一种(单用户/多任务)的操作系统。 在Windows 7中,若要运行一个指定程序,应使用(开始)菜单中的“运行”命令。
Windows日志文件完全解读 日志文件,它记录着Windows系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着非常重要的作用。但许多用户不注意对它保护,一些“不速之客”很轻易就将日志文件清空,给系统带来严重的安全隐患。 一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件,它记录着Windows系统中所发生的一切,如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分,它的存放路径是“%systemroot%system32config”,应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log(事件记录)”服务的保护不能被删除,但可以被清空。 二、如何查看日志文件 在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”,在事件查看器窗口左栏中列出本机包含的日志类型,如应用程序、安全、系统等。查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确的掌握系统中到底发生了什么事情,是否影响Windows 的正常运行,一旦出现问题,即时查找排除。 三、Windows日志文件的保护 日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。 1.修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。 点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例,将其转移到“d:cce”目录下。选中Application子项,在右栏中找到File键,其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”,将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作。 2.设置文件访问权限 修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是Windows系统要采用NTFS文件系统格式。 右键点击D盘的CCE目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号,只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列表框中,赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框。 四、Windows日志实例分析 在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。 1.查看正常开关机记录
windows全系列操作系统下载 请使用迅雷下载(将URL地址复制到迅雷中) Windows 98 se第二版 http://218.56.97.97/downloads/Win98se.zip windows 98 简体中文零售版+第三版 https://www.doczj.com/doc/7a1571454.html,/download/system/pwin98.rar Windows 98 SE OEM 简体中文原版光盘 https://www.doczj.com/doc/7a1571454.html,/uploadsoft/win98.rar 序列号:Q99JQ-HVJYX-PGYCY-68GM3-WXT68 序列号:Q4G74-6RX2W-MWJVB-HPXHX-HBBXJ 序列号:QY7TT-VJ7VG-7QPHY-QXHD3-B838Q Windows 98 第三版(联想OEM版) 13M微型版本 https://www.doczj.com/doc/7a1571454.html,/uploadsoft/win98thOEM.rar ghost版win98(适合各种主板) https://www.doczj.com/doc/7a1571454.html,/software/xt/ghost版win98(适合各种主板).gho Win98 精简版极品39MB 第一版https://www.doczj.com/doc/7a1571454.html,/KV9AvIPg/W98plus1.rar 第二版https://www.doczj.com/doc/7a1571454.html,/KV9AvIPg/W98plus2.rar Windows ME 简体中文最终版 https://www.doczj.com/doc/7a1571454.html,/down/soft/Favorite/microsoft/winme.rar 序列号B6BYC-6T7C3-4PXRW-2XKWB-GYV33 Windows 2000(集成SP4)&98 4合1中文版 http://218.56.36.54/down/system/Windows2KSP4&98_4IN1.rar https://www.doczj.com/doc/7a1571454.html,/software/xt/WIN2KSP4_98SE.rar Windows2000 Professional 简体中文专业原版 http://218.56.97.97/downloads/win2000.zip Windows 2000 5in1 SP4 简体中文版 https://www.doczj.com/doc/7a1571454.html,/ruanjian/softload/ISO/5he1.ISO Windows 2000 Advanced Server 简体中文正式版 ftp://https://www.doczj.com/doc/7a1571454.html,/download/Windows2000Ad_Server.iso ftp://https://www.doczj.com/doc/7a1571454.html,:2121/https://www.doczj.com/doc/7a1571454.html,... _SERVER_CHS.ISO.rar 雨薇WIN2000 SP4 6IN1 CN2.2a [ISO]
一、什么是日志文件 日志文件是Windows系统中一个比较特殊的文件,它记录着Windows系统中所发生的一切,如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分,它的存放路径是“%systemroot%system32config”,应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log(事件记录)”服务的保护不能被删除,但可以被清空。 二、如何查看日志文件 在Windows系统中查看日志文件很简单。点击“开始→设置→控制面板→管理工具→事件查看器”,在事件查看器窗口左栏中列出本机包含的日志类型,如应用程序、安全、系统等。查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确的掌握系统中到底发生了什么事情,是否影响Windows的正常运行,一旦出现问题,即时查找排除。 三、Windows日志文件的保护 日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。 1. 修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。 点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 笔者以应用程序日志为例,将其转移到“d:\cce”目录下。选中Application子项
如果你是基于Windows操作系统做系统集成的,你可能希望你的最终产品独占系统资源。你希望规范用户行为,比如你不希望用户通过按Ctrl+Alt+Del终止某个进程,或者按下Win键弹出开始菜单, 或者按下Alt+Tab组合键切换到别的应用程序。笔者已有相关一篇文章《Win2K/NT下屏蔽Ctrl+Alt+Del 的响应》,介绍了如何通过GINA编程接口屏蔽Ctrl+Alt+Del的响应。作为续篇,本文将继续介绍屏蔽Win 键和Alt+Tab组合键的方法。 由于这些按键的响应是系统级的,我们不可能简单地通过某个程序来控制它们。因此,我们需要使用微软提供的另外一种编程接口——钩子(Hook)。大家可能已经对钩子很了解了(网上有很多介绍钩子技术和应用的文章)。简单来说,钩子是一种通过替换系统提供的标准接口来截获特定的事件(消息),最终达到改变或增强系统默认行为目的的技术。我们现在的任务,就是要在用户按下Win键或Alt+Tab组合键、但系统还没有响应之前截获它们,然后改变系统的默认行为。很显然,我们要做一个全局钩子(钩子函数放在独立的DLL中实现),而且是个低级键盘钩子(Low Level Keyboard hook)。 第一步,钩子DLL的实现。我们首先要定义一个全局数据区(记住这是一个全局钩子),如下(放在cpp文件的上头): #pragma data_seg("mydata") HHOOK glhHook = NULL; // 安装的鼠标钩子句柄 HINSTANCE glhInstance = NULL; // DLL实例句柄 #pragma data_seg() 然后在.def文件中声明这个数据区,如下: SECTIONS mydata READ WRITE SHARED 当这个DLL被某个进程载入时,程序从WinMain进入,此时我们需要把模块句柄保存下来,如下:glhInstance = (HINSTANCE) hModule; 接下去,我们就要定义两个导出函数,以及钩子的处理函数。我们重点看一下这个钩子处理函数(另外两个导出函数比较简单,只是通过调用SetWindowsHookEx和UnhookWindowsHookEx实现安装/卸载钩子函数;只需注意SetWindowsHookEx第一个参数为WH_KEYBOARD_LL,第四个参数为0)。 // 低级键盘钩子处理函数 LRESULT CALLBACK LowLevelKeyboardProc(int nCode, WPARAM wParam, LPARAM lParam) { BOOL fEatKeystroke = FALSE; PKBDLLHOOKSTRUCT p = NULL; if (nCode == HC_ACTION) { p = (PKBDLLHOOKSTRUCT) lParam; switch (wParam) { case WM_KEYDOWN: case WM_SYSKEYDOWN: case WM_KEYUP: case WM_SYSKEYUP: fEatKeystroke = (p->vkCode == VK_LWIN) ¦ ¦ (p->vkCode == VK_RWIN) ¦ ¦ // 屏蔽Win // 屏蔽Alt+Tab ((p->vkCode == VK_TAB) && ((p->flags & LLKHF_ALTDOWN) != 0)) ¦ ¦
收稿日期:2008208220 基金项目:山东省自然科学基金(Y 2006G 20) 作者简介:宁兴旺(1984-),男,硕士研究生,主要研究方向为网络信息安全。 文章编号:100224026(2009)0120040206基于Windows 日志的安全审计技术研究 宁兴旺,刘培玉,孔祥霞 (山东师范大学信息科学与工程学院,山东济南250014) 摘要:事件日志记录着操作系统或应用程序中重要的事件。通过对日志进行分析,发现所需事件信息和规律 是安全审计的根本目的。文章讨论了对Windows 系统日志文件进行集中式统一管理,采用API 钩子技术实现 Windows 下的审计数据的获取,并通过对Windows 日志的分析给出了一种基于主机日志分析的安全审计通用 模型。 关键词:主机日志;安全审计;计算机安全 中图分类号:TP393 文献标识码:A R esearch on Windows Log B ased Security Audit Technology Ning X ing 2wang ,LI U Pei 2yu ,K ONG X iang 2xia (School o f Information Science and Engineering ,Shandong Normal Univer sity ,Jinan 250014,China ) Abstract :An event log records s ome im portant events of an operating system or an application procedure. It is the primary purpose of a security audit to discover the required information and rules of an event by the analysis of a log.This paper discusses the central and global managment of windows system log files , em ploys such a techanology as API hook to acquire the audit data of windows system ,and presents a host log analysis based security audit universal m odel by the analysis of a windows log. K ey w ords :host log ;security audit ;com puter security 近几年来,随着开放系统Internet 的飞速发展和电子商务的日益普及,网络信息安全问题日益突出,各类黑客攻击事件更是层出不穷。而相应发展起来的安全防护措施也日益增多,特别是防火墙技术以及I DS (入侵检测技术)更是成为大家关注的焦点。但是这两者都有自己的局限性。在这种情况下,安全审计系统应运而生。安全审计系统作为一个完整安全框架中的一个必要环节,一般处在入侵检测系统之后,作为对防火墙系统和入侵检测系统的一个补充。 根据安全审计系统的一般要求[1],参照美国国家标准《可信计算机系统评估标准》 (T rusted C om puter System Evaluation Criteria ),安全审计可以理解为: 定义1:一个安全的系统中的安全审计系统,是对系统中任一或所有安全相关事件进行记录、分析和再现的处理系统。 衡量一个安全审计系统好坏的标准主要有以下几个方面: (1)采集信息是否全面、安全和有效:一个好的安全审计系统能够审计出问题来,它必定要有足够多的信息去审计才可以保证系统能审计出问题来。采集到的信息是否足够全面,并且原始(没有被破坏或篡改)、第22卷 第1期 2009年2月 山东科学SH ANDONG SCIE NCE V ol.22 N o.1Feb.2009
Windows操作系统发展史 1、windows1.0诞生背景 微软公司刚开始开发的时候,这个软件还不叫Windows,而是叫做:“Interface Manager(界面管理员)”;是时为1981年的9月。当时微软公司正在与IBM公司合作开发OS/2,大家认为这个才是MS-DOS的正统继任者。不过比尔盖茨不这么想,从一开始他就留了一手,因此自己的图形界面操作系统一直就是比尔盖茨的秘密武器。 当然,Windows 1.0的能力还很弱的,例如在层叠窗体的时候,太多了就比较困难了,另外也没有改变层叠的可选项。微软公司公开宣布Windows开发计划的消息是在1983年,可是直至1985年九月才正式发布了第一版的Windows 1.0,这个版本的Windows基于MS-DOS 2.0的,由于当时的硬件限制,与MS-DOS 2.0功能限制,Windows 1.0不应该拿来与之后的Windows 3.1来比较;不管怎样,这是一个非常好的开端,目标用户是IBM兼容机的高端 2、windows95诞生背景 Windows 95是一个混合的16位/32位Windows系统,其版本号为4.0,开发代号为Chicago。1995年8月24日发行。Windows 95是微软之前独立的操作系统MS-DOS和Microsoft Windows的直接后续版本。第一次抛弃了对前一代16位x86的支持,因此它要求英特尔的80386处理器或者在保护模式下运行于一个兼容的速度更快的处理器。它以对图形用户界面的重要的改进和底层工作(underlying workings)为特征。同时也是第一个特别捆绑了一个版本的DOS的视窗版本(MS-DOS 7.0)。这样,微软就可以保持由Windows 3.x创建起来的GUI市场的统治地位,同时使得没有非微软的产品可以提供对系统的底层操作服务。也就是说,Windows 95具有双重的角色。它带来了更强大的、更稳定、更实用的桌面图形用户界面,同时也结束了桌面操作系统间的竞争。在市场上,Windows 95绝对是成功的:在它发行的一两年内,它成为有史以来最成功的操作系统。 3、windows98介绍,有哪些重要版本 Windows 98全面集成了Internet标准,以Internet技术统一并简化桌面,使用户能够更快捷简易地查找及浏览存储在个人电脑及网上的信息;其次,速度更快,稳定性更佳。通过提供全新自我维护和更新功能,Windows98可以免去用户的许多系统管理工作,使用户专注于工作或游戏。 Windows 98相对于Windows 95有较大的改进。 1.安装简便:安装Windows 98时,系统会自动引导你完成安装过程,自动检测所有常用硬件,如调制解调器、CD-ROM驱动器、声卡和打印机等。 2.与现有软硬件配合得更协调:Windows 98为1900多种现有硬件设备提供内部支持,并通过了与3500多种当前流行软件兼容性的测试。内部支持包括为当前提供32位的设备驱动程序,这意味着被支持的硬件在Windows 98环境下将运行得更快,效率更高。 3.具有“即插即用”功能:当你在计算机上使用“即插即用”设备时,Windows 98会自动对它进行设置并启用该设备。 4.改进了用户界面:Windows 98中的桌面,可以帮助你把注意力集中在手头的任务上。它只将少数几个图形对象放在桌面上,显示得比以前更简洁。“开始”按钮引导你开始在计算机上做大多数日常工作。如果你希望能快速启用一个常用的程序或文档,只须将其拖到“开始”按钮上即可。它将与其它功能(如启动程序、打开文档、获取帮助、更改系统设置、查找文件等)一起位于“开始”菜单中。“我的电脑”使得浏览计算机上的内容(各种文件、文件夹以及程序)更方便。“网上邻居”使得查看和使用网络更简单。“回收站”为你提供放
一、Windows登录类型 如果你留意Windows系统的安全日志,在那些事件描述中你将会发现里面的“登录类型”并非全部相同,难道除了在键盘上进行交互式登录(登录类型1)之外还有其它类型吗?不错,Windows为了让你从日志中获得更多有价值的信息,它细分了很多种登录类型,以便让你区分登录者到底是从本地登录,还是从网络登录,以及其它更多的登录方式。因为了解了这些登录方式,将有助于你从事件日志中发现可疑的黑客行为,并能够判断其攻击方式。下面我们就来详细地看看Windows的登录类型。 登录类型2:交互式登录(Interactive) 这应该是你最先想到的登录方式吧,所谓交互式登录就是指用户在计算机的控制台上进行的登录,也就是在本地键盘上进行的登录,但不要忘记通过KVM登录仍然属于交互式登录,虽然它是基于网络的。 登录类型3:网络(Network) 当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8,下面将讲述。 登录类型4:批处理(Batch) 当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4,对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件,类型4登录通常表明某计划任务启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划
详述Windows 2000 系统日志及删除方法.txt两个人吵架,先说对不起的人,并不是认输了,并不是原谅了。他只是比对方更珍惜这份感情。Windows 2000的日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所开启的服务不同。当我们用流光探测时,比如说IPC探测,就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等,用FTP探测后,也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至连流影启动时需要msvcp60.dll这个动库链接库,如果服务器没有这个文件都会在日志里记录下来,这就是为什么不要拿国内主机探测的原因了,他们记下你的IP后会很容易地找到你,只要他想找你!!还有Scheduler日志这也是个重要的LOG,你应该知道经常使用的srv.exe就是通过这个服务来启动的,其记录着所有由Scheduler服务启动的所有行为,如服务的启动和停止。 日志文件默认位置: 应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config, 默认文件大小512KB,管理员都会改变这个默认大小。 安全日志文件:%systemroot%\system32\config\SecEvent.EVT 系统日志文件:%systemroot%\system32\config\SysEvent.EVT 应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT Internet信息服务FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志 Internet信息服务WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志 Scheduler服务日志默认位置:%systemroot%\schedlgu.txt 以上日志在注册表里的键: 应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog 有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。 Schedluler服务日志在注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
认识Windows操作系统教学设计教材分析: 认识windows操作系统是贵州科技出版社小学三年级实验教材第二单元活动2。这节课的主要内容是让学生知道windows操作系统的界面,鼠标的操作。 学生分析: 1.本节课是在学生学习了身边的信息和计算机的组成的基础上进行的教学活动,学生已有学习windows操作系统的基础。 2.学生对计算机的各种设备只有初步的认识,对操作实践还需老师的讲解、演示加学生亲手练习。 3.学生要想进一步学习计算机,必须得从操作系统的认识开始。 教学目标: 1.初步认识Windows操作系统桌面、桌面图标和任务栏。 2.掌握启动和退出Windows的方法。 3.认识Windows菜单,掌握菜单的基本操作。 4.认识鼠标的基本操作 教学重点: Windows界面 教学难点: 鼠标和菜单的基本操作。 课型: 新授课 教学方法: 讲解法、示范法、练习法。
课时安排: 一课时 教学过程: 一、导入 师:同学们,上节课我们学习了“揭开神秘机器的面纱”这一课,我们认识了计算机,你们还记得计算机的分类吗? 生:台式计算机和笔记本 师:随着信息技术的发展,计算机经历了许多次变革,功能越来越强大,成为人们生活中必不可少的工具,因此人们习惯地称它为“电脑”) 师:从外观上看,计算机包含那些设备 生:鼠标、键盘、主机、显示器。 那你们想不想学会使用计算机呢?今天老师就和同学们一起走 进神奇的Windows操作系统。 板书课题:认识Windows操作系统 二、学习新课 活动1:启动Windows系统 师:你知道怎样启动Windows吗? (教师讲解启动Windows的方法:先开显示器,后开主机。因我们计算机室的电脑是一体机,所谓一体机电脑是指将传统分体台式机的主机集成在显示器的底座上,形成一体台式机,通俗一点来说,就是将电脑主机与显示器集成到了一起,形成了一个整体,只要将键盘和鼠标连接到显示器上,电脑就能正常使用。)
CENTRAL SOUTH UNIVERSITY 操作系统安全实验报告 学生姓名 班级学号 指导教师 设计时间
《操作系统安全》实验一 ……Windows系统安全设置实验 一、实验目的 1、了解Windows操作系统的安全性 2、熟悉Windows操作系统的安全设置 3、熟悉MBSA的使用 二、实验要求 1、根据实验中的安全设置要求,详细观察并记录设置前后系统的变化,给出分析报告。 2、采用MBSA测试系统的安全性,并分析原因。 3、比较Windows系统的安全设置和Linux系统安全设置的异同。 三、实验内容人 1、配置本地安全设置,完成以下内容: (1)账户策略:包括密码策略(最小密码长度、密码最长存留期、密码最短存留期、强制密码历史等)和账户锁定策略(锁定阈值、锁定时间、锁定计数等) A.账户锁定策略: 账户锁定阈值:指用户输入几次错误的密码后将用户账户锁定,默认为0,代表不锁定 账户锁定时间:指当用户账户被锁定后经过多长时间会自动解锁,0表示只有管理员才能受控解锁 复位账户锁定计数器:指用户由于输入密码错误开始计数时,计数器保持的时间,当时间过后,计数器复位为0. B.密码策略
(2)账户和口令的安全设置:检查和删除不必要的账户(User用户、Duplicate User用户、测试用户、共享用户等)、禁用guest账户、禁止枚举帐号、创建两个管理员帐号、创建陷阱用户(用户名为Administrator、权限设置为最低)、不让系统显示上次登录的用户名。 A.创建用户: 控制面板----管理工具----计算机管理-----本地用户和组-----用户---创建用户B.修改用户权限: 控制面板---用户账户---管理其他账户---更改账户类型 C.禁止枚举账号: 禁止原因:枚举账号指某些具有黑客行为的蠕虫病毒可以通过扫描WindowsXP系统的指定端口,然后通过共享会话猜测管理员系统密码,因此需要禁止枚举账号 方法:本地安全设置-“安全设置”-“本地策略”-“安全选项”-双击对匿名连接的额外限制-不允许枚举SAM账号和共享”