当前位置:文档之家 › Windows系统入侵检查主要内容

Windows系统入侵检查主要内容

  • 格式:doc
  • 大小:195.50 KB
  • 文档页数:5

下载文档原格式

  / 5

合集下载

基于Windows操作系统的入侵检测系统设计

基于Windows操作系统的入侵检测系统设计





位规则 函数,其次调用规 则函数进 行规 则的逐 上 。 [ 晓莺, 3 悸 协议分析在入侵检测系统中的应用, 匹配 , 即首先匹配规 则头 , 若匹配 则继 续匹配 Wi cp n a 使用 N F p P 部件捕获数据包 。为了 网络 安 全 技 术 与 应 用2 O O2 规则选项 , 匹配 , 匹配下 一条规则 。本 用户层 的应用程 序能利用核心驱动程序所 提供 若不 直接


4 2一
中 国新技术新产品
l 入侵检测系统主要 功能及通 羽模 型 系统采用模块化设计方 法 , 据入 侵子系统 的 的服务 , 依 还提供一个接 口。 n cp Wi a 提供了两种 P 合格的入侵检测系统能大大简化安全 功能需求和系统结构将 系统划分成如下功能模 不 同的动 态连接 库: cedl w cp l来 提 p ktl和 pa.l a . d 管理员 的工作 , 保证 网络安 全的运行。具体说 块 , 如图 3 : 供这种 服务。p c edl ak tl提供 了一个底 层的 A I . P 来, 入侵检测 系统的主要 功能有 以下几点: 监测 使用这个独 立于微 朵 作系统 的编程接 口即可 并 分析用 户和系统的活动 ;核查系统配置和漏 直接 访问核心驱 动程序提供 的功能 。w cp l pa.l d 洞; 评估系统关键资源和数据 文件 的完整性 ; 识 提供 了一个更加 强大的用于高层捕获 的函数 子 别 已知 的攻击行 为 ; 汁分 析异常行为 ; 统 操作 系 集, 它和 l p a, i ep并允许以一种独立于下层 的网 b 统 日志管理 , 并识别违反安全策略的用户 活动 。 络 硬件和操 作系统 的方式来捕获数据包 。 本 系统 就是运 用 了 w c ̄ l实现 了高 层 pa d l 个人侵检测系统( S I ) }模 型。它将 D 的通, 手 I 个入侵检测 系统分为 以下组件 : 事件产生 器 的数据包 捕获。通过调用一系列的 w cp l函 pa.l d (vn G n rt s 事 件 分析 器( vn A a z Eet ee o ) a r; E et nl — y 数, 实现数据包采集工作 。 过程如下: 首先调用函 图 3 系统 功 能模 块 数 pa idl es x获得 本机 网卡 名 , 着 cpf adv e0 n l 接 e) r ;响应 单元 (e os ns s R s neU i) p t;事件 数据库 vn aa ae) e tD tbss 各模块功能 如下: 调用 函数 pa_pn获得 网长句柄 , cpoe0 最后 调用 CD I F将 IS需 要 分 析 的数 据 称 为事 件 D 采集模块: 网络数 据采集 与包过 滤。 函数 pa_nx e0 cp et x获得 网络数据包句柄 , 接收 ( et 它可 以是网络 中的数据 包 , 町 以足 从 e n, v ) 也 分析模块 : 对数据包进行 包分析和模 式匹 网络数据包 。出丁数 据分析时 只需 要 I 包 , P 所 系统 日志等其他路径得到 的消息 。入侵检 测的 配 、 判断网络人侵。 以数 据采 集只接 收 I , P包 其它数据包则丢弃。 通 用模 型 见 】 : 响应模块 : 台屏幕报警 、 制 台警报 报 控制 控 4异常检测 与误用检测综合运 用的检测技 术 警、 发送警报 由防火墙阻断攻击。 系统 管理 模块: 控制系统 的启动和 系统 的 木 系统基于误用 检测的实现 : 事件判 决引 停止。 擎依据 协议解码器提交 的网络协议数 据进行分 系统设置模块: 配置入侵检测 策略。 析 ,并从这些 网络活动 中找 出预先 定义的攻 击 日 管理模块: 录系统 日志和记 录网络 模 式 , ・ 志 记 …旦发现其 中含有攻击 事件 的特 码 , 即 攻 击 臼志 : 日 、 析 日志 和归类综合 目志 将 此事件提交“ 读取 志 分 响应 系统” 。 内容。 本系统基于异 常检测 的实现 : 攻击规则 对 帮助模块 : 提供入侵检 测系统 的…些 帮助 进 行初始化存储 的同时也根据 配置初始化相应 文档 。 的计数器 、 定时器 , 用来记录特征包 的到达 。特 3基 于 Wi  ̄p 克 利开 发包 的 网络 数 征包到达速度判决器对 每一种要检测 的初始化 n 伯 Pa 据包截获 个“ 先进 先 出” 队列 , 录一 定数 量 的包 到达 记 Wi cp 面 向 Wi 2 台 的进 行数 据 的时间戳 ,对符合条件 的包 的到达时问进行登 n a是 P n 平 3 包 捕获和网络分析 的一个架构 。它 包括一个核 记, 对一段时间 内到达包进行 计数 , 超 出 并 一旦 心层的数据包过滤器 ,一个底层 的动态连接库 预先设置 的门限值 ,即将此 事件提交 “ 响应 系 图 l入 侵 捡 测 的 通 用 模 型 pcedl) akt 1 . 和—个高层并且系统独立的动态连 统” 。 2入侵检测的系统数据流程及模 块划分 接库(p a . 数据包捕获是 一 w cp d 个面向底层的 误 用检测 以网络 协议 数据 为检测数 据源 , 入侵检测 系统 的主要功 能就 是通过采集网 机制 , 它需 要与 网络适 配器 、 操作 系统 、 别是 异常 检测 以特 征包 的到 达速 度 为检 测数 据样 特 络数据对数据进行分析 ,发现 入侵则进 行实时 网络应 用程序进行严格 的交互 。 本。 通过这种方式综合运用丁两种检测 技术 , 实 报警 且进行 日 记录 , 志 并且能够动 态配 置检测 N F ( tru ak tFh  ̄是 WiP a 现误用 、 P Nego p P c e ie n cp 异常技术 的互补 , 限度地 阻断 网络 最大 规则 , 将配置 息 录在数据库 巾。 记 数据流 图如 的核心 部分。 它的主要功 能就是捕获数据包 , 还 入侵行 为 , 决 D 检测效 率低 的问题 , 解 I S : 提高 图 2所示 可以发送数据包 、存储数据包 以及对 网络进行 D 的综合检测能力 , 好 的控制 了检测系统 S 彳 艮 漏报现 象。 统计分析。 P N F工作在 内核层 , 有一个 网络转发 产生的误报 、 部 件 , 网卡驱动程序收集 网络数据包 , 从 即可以 检测引擎通过循 环捕获数据包 ,对 网络流 发送给过滤部件, 对网络数据包进行过滤, 也可 量进行实时监控 的过程 从程 序设 的角度看是 以发给统计部件 , 网络进行统计 分析 , 对 还可以 个无限循环 的过程 , 个过程必将耗尽 系统 这 发送 给存储部件 ,把网络数据包直接存储 到磁 资源 , 系统 无法响应其它 事件 。 使 为了能够主动 图 2入 侵 检 测 系统 数 据 流 程 图 盘。数据包在 N F中使用 了缓存机制 , P 主要是 挎 制过 程 的开 始 和 中止 , I S系统 采用 了 WND 预处理 实现 数据 分析 中的一 个预 处理 功 为了提高效率 和速度 。 v+提供 的线程技术 ,采用主线程 响应用户输 c+ 能, 即根据 目标主机 的 I 地 址将检测 的规则分 P NP F和 NDI ( t ok ie Itr c 入 , 个检测线程分别控制误 用 、 常榆测 的技 S New r Dr r nef e v a 两 异 i f i  ̄密切 的关 系。 D S N I 是一个标准 , 术 。 组, 并将采集到 的网络数据包分发 为所属分组 。 S eiet n p c a o) 系统的数据 、 预处理 、 检测规则等 的初始化 都是 它定 义了网络 适配器( 确切地 说 , 管理 网络适 是 参 考 文 献 在捕获数据包 前进行 的。 旦初始化完毕 , 一 ‘ 那么 配器的驱 动程 序1 议驱动程序之 间的通信规 【 1 1薛静 锋 ,入侵检测技 术 ,机械 土业出版社 , 和协 () ( 就开始捕获数据包 , 每收到一个数 据包 都会首 范。 D S N I 的主要 目的是使协 议驱动程序独立于 2 ) 4 先调用预处理程序 中的函数进行 处理后 ,再调 网络适 配器的特殊 陛和 Wi 2 n 操作 系统 的特殊 f韩东海等著 ,入侵检 测 系统 实例剖析》 , 3 2 J 《 清 20 用规则 函数 。即首先根据数 据包 的协议类型定 性来接收 网络上 的数据 包或发送数据包到 网络 华 大学出版社 ,0 2

网络安全(黑客攻防)_攻击检测与响应

网络安全(黑客攻防)_攻击检测与响应

(2)系统日志文件:%Systemroot%\System32\Config\SysEvent. evt。 (3)应用程序日志文件:%Systemroot%\System32\Config\AppEvent. evt。 (4)在Internet信息服务环境中FTP站点日志文件的默认存储位置是
%Systemroot%\System32\Logfiles\Ms\,默认每天产生一个日志文件。 (5)在Internet信息服务环境中WWW站点日志文件的默认存储位置是
三、实验步骤
1、在Windows 2K Server PC机上建立审核。 在Windows中默认情况下没有建立安全审核, 需要配置想要记录的事件。开始->程序-> 管理工具->本地安全策略->本地策略-> 审核策略->审核帐号登录事件。
(1)选中“成功”复选框。 (2)选中“失败”复选框并选择“确定”钮,关闭本
0324 127.0.0.1 [1]PASS – 230 (表示登录成功) 0321 127.0.0.1 [1]MKD nt 550 (表示新建目录失败)
0325 127.0.0.1 [1]QUIT – 550 (表示退出FTP程序)
从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了 四次用户名和密码才成功,管理员立即就可以得知黑客的入侵时间、 IP地址以及探测的用户名。如:上例入侵者最终是用administrator用
第十五页,共50页。
实验8-2:使用基于主机的入侵检测 系统Blackice
入侵检测系统(Intrusion Detection System,简称IDS),
是对入侵行为进行检测的软件与硬件的组合。它通过收集和分析计 算机网络或计算机系统中的信息流,检查网络或主机系统中是否存 在违反安全策略的行为和被攻击的迹象。入侵检测系统位于防火墙 之后,可对网络活动进行实时检测。它可以记录和禁止网络活动,

入侵检测技术

入侵检测技术
–安装在被保护的网段(通常是共享网络,交换环境中交 换机需支持端口映射)中 –混杂模式监听 –分析网段中所有的数据包 –实时检测和响应
10
7.2 入侵检测的原理与技术
网络数据
读取网络数据 网络报文数据
协议分析
比较数据
事件数据库
上报事件
图7-1 网络IDS工作模型
11
7.2 入侵检测的原理与技术
网络IDS优势
22
7.2 入侵检测的原理与技术
7.2.3 IDS采用的技术
2、异常检测技术 通过对系统审计数据的分析建立起系统主体(单个用户、 一组用户、主机,甚至是系统中的某个关键的程序和文件等) 的正常行为特征轮廓;检测时,如果系统中的审计数据与已建 立的主体的正常行为特征有较大出入就认为是一个入侵行为。 这一检测方法称“异常检测技术”。 一般采用统计或基于规则描述的方法建立系统主体的行 为特征轮廓,即统计性特征轮廓和基于规则描述的特征轮廓。
事件数据库
图7-4 控制中心的工作流程
21
7.2 入侵检测的原理与技术
7.2.3 IDS采用的技术
入侵检测主要通过专家系统、模式匹配、协议分析 或状态转换等方法来确定入侵行为。入侵检测技术有:
➢静态配置分析技术 ➢异常检测技术 ➢误用检测技术
1.静态配置分析技术 静态配置分析是通过检查系统的当前系统配置,诸 如系统文件的内容或系统表,来检查系统是否已经或者 可能会遭到破坏。静态是指检查系统的静态特征(系统配 置信息),而不是系统中的活动。
6
7.1 入侵检测系统概述
7
7.1 入侵检测系统概述
7.1.4 入侵检测的发展历程
1980年,概念的诞生 1984~1986年,模型的发展 1990年,形成网络IDS和主机IDS两大阵营 九十年代后至今,百家争鸣、繁荣昌盛

WINDOWS系统的入侵方法1

WINDOWS系统的入侵方法1

IIS的安全性防护
不使用缺省安装目录名:C:\inetpub 删除IIS例子程序的所在目录,如
C:\inetpub\iissamples,C:\inetpub\scripts 从ISM(Internet Service Manager)中删除如下
目录:IISSamples、Scripts、IISAdmin、 IISHelp、IISADMPWD
流程介绍
信息收集 网络拓扑探测 常用工具软件 安装后门 清除痕迹
安装后门
攻击者在获得系统的权限以后,会千方百计 的保持这个权限,这样即使管理员安装了安 全补丁程序,攻击者仍然可以轻松的进出系 统。为了达到目的,一般采用的方式是在系 统中安装后门。
在Windows下有大量的后门程序,最有名的 可能就是BO了,这个程序曾经造成了很大的 危害,其实BO不是最好用的程序,原因是它 太有名,几乎所以的杀毒软件都能发现它。
攻击层次
Comms
Router
The World
第二层
操作系统层
- UNIX - Windows 95 - Windows NT - Macintosh
- MVS - OS/2 - DOS - VMS
Modem Access
The World
第三层
应用程序层
- Databases - Web Server - Internet Browser - Maintenance - Office Automation
ASPACK的用法
ASPACK压缩一个病毒或者木马程序,压缩 以后的程序功能没有任何变化,有的时候自己 编写木马太麻烦,如果有现成的满足要求的 程序,就可以采用这种办法。
SNAKE代理跳板的用法

windows入侵排查思路

windows入侵排查思路

windows入侵排查思路随着互联网的快速发展,网络安全问题也日益突出。

作为最广泛使用的操作系统之一,Windows系统的安全性备受关注。

然而,即使是最安全的系统也无法完全避免入侵的风险。

因此,对于Windows系统的入侵排查思路显得尤为重要。

首先,了解常见的入侵方式是非常必要的。

黑客常常利用漏洞、弱密码、恶意软件等手段来入侵系统。

因此,及时了解最新的安全漏洞信息,及时更新系统补丁,加强密码策略,安装可靠的杀毒软件和防火墙是防范入侵的基本措施。

其次,建立完善的日志监控系统也是非常重要的。

Windows系统提供了丰富的日志功能,可以记录系统的各种操作和事件。

通过对日志的监控和分析,可以及时发现异常行为和潜在的入侵行为。

例如,登录失败、异常进程、异常网络连接等都可能是入侵的迹象。

因此,定期检查和分析系统日志,及时发现并处理异常情况,是防范入侵的重要手段。

此外,加强对系统的访问控制也是必不可少的。

合理设置用户权限,限制用户的访问范围,可以有效防止未经授权的访问。

同时,定期审查和更新用户账号和密码,禁用不必要的账号,及时删除离职员工的账号,也是防范入侵的重要措施。

另外,定期进行系统漏洞扫描和安全评估也是非常重要的。

通过使用专业的漏洞扫描工具,可以及时发现系统中存在的安全漏洞,并及时修补。

同时,定期进行安全评估,检查系统的安全性,发现潜在的安全风险,并采取相应的措施加以解决。

最后,建立应急响应机制也是非常关键的。

即使做了充分的防护措施,也无法保证系统百分之百安全。

因此,建立应急响应机制,及时发现和处理入侵事件,可以最大程度地减少损失。

应急响应包括及时备份重要数据、隔离受感染的系统、追踪入侵者的行踪等。

总之,Windows系统的入侵排查思路需要综合运用多种手段和方法。

只有全面、系统地进行安全防护和入侵排查,才能有效地保护系统的安全。

因此,加强安全意识教育,定期进行安全培训,提高用户的安全意识和技能,也是非常重要的。

主机入侵检测实验报告(3篇)

主机入侵检测实验报告(3篇)

第1篇一、实验目的1. 理解主机入侵检测系统的基本原理和组成。

2. 掌握主机入侵检测系统的搭建过程。

3. 学习如何使用主机入侵检测系统进行入侵检测。

4. 提高网络安全意识和防护能力。

二、实验环境1. 操作系统:Windows 102. 主机入侵检测系统:OSSEC3. 实验网络拓扑:单主机局域网三、实验步骤1. 系统环境准备(1)安装操作系统:在实验主机上安装Windows 10操作系统。

(2)安装OSSEC:从OSSEC官网下载最新版本的OSSEC安装包,按照安装向导完成安装。

2. 配置OSSEC(1)配置OSSEC服务器:- 编辑`/etc/ossec.conf`文件,设置OSSEC服务器的基本参数,如服务器地址、日志路径等。

- 配置OSSEC服务器与客户端的通信方式,如SSH、SSL等。

- 配置OSSEC服务器接收客户端发送的日志数据。

(2)配置OSSEC客户端:- 在客户端主机上安装OSSEC客户端。

- 编辑`/etc/ossec.conf`文件,设置客户端的基本参数,如服务器地址、日志路径等。

- 配置客户端与服务器之间的通信方式。

3. 启动OSSEC服务(1)在服务器端,启动OSSEC守护进程:```bashsudo ossec-control start```(2)在客户端,启动OSSEC守护进程:```bashsudo ossec-control start```4. 模拟入侵行为(1)在客户端主机上,执行以下命令模拟入侵行为:```bashecho "test" >> /etc/passwd```(2)在客户端主机上,修改系统配置文件:```bashecho "test" >> /etc/hosts```5. 检查OSSEC日志(1)在服务器端,查看OSSEC日志文件:```bashcat /var/log/ossec/logs/alerts.log```(2)分析日志文件,查找与入侵行为相关的报警信息。

五大最著名入侵检测系统全面分析


1.Snort:这是一个几乎人人都喜爱的开源IDS,它采用灵活的基于规则的语言来描述通信,将签名、协议和不正常行为的检测方法结合起来。其更新速度极快,成为全球部署最为广泛的入侵检测技术,并成为防御技术的标准。通过协议分析、内容查找和各种各样的预处理程序,Snort可以检测成千上万的蠕虫、漏洞利用企图、端口扫描和各种可疑行为。在这里要注意,用户需要检查免费的BASE来分析Snort的警告。
4.BASE:又称基本的分析和安全引擎,BASE是一个基于PHP的分析引擎,它可以搜索、处理由各种各样的IDS、防火墙、网络监视工具所生成的安全事件数据。其特性包括一个查询生成器并查找接口,这种接口能够发现不同匹配模式的警告,还包括一个数据包查看器/解码器,基于时间、签名、协议、IP地址的统计图表等。
2.OSSEC HIDS:这一个基于主机的开源入侵检测系统,它可以执行日志分析、完整性检查、Windows注册表监视、rootkit检测、实时警告以及动态的适时响应。除了其IDS的功能之外,它通常还可以被用作一个SEM/SIM解决方案。因为其强大的日志分析引擎,互联网供应商、大学和数据中心都乐意运行OSSEC HIDS,以监视和分析其防火墙、IDS、Web服务器和身份验证日志。
5.Sguil:这是一款被称为网络安全专家监视网络活动的控制台工具,它可以用于网络安全分析。其主要部件是一个直观的GUI界面,可以从Snort/barnyard提供实时的事件活动。还可借助于其它的部件,实现网络安全监视活动和IDS警告的事件驱动分析。
3.Fragroute/Fragrouter:是一个能够逃避网络入侵检测的工具箱,这是一个自分段的路由程序,它能够截获、修改并重写发往一台特定主机的通信,可以实施多种攻击,如插入、逃避、拒绝服务攻击等。它拥有一套简单的规则集,可以对发往某一台特定主机的数据包延迟发送,或复制、丢弃、分段、重叠、打印、记录、源路由跟踪等。严格来讲,这个工具是用于协助测试网络入侵检测系统的,也可以协助测试防火墙,基本的TCP/IP堆栈行为。可不要滥用这个软件呵。

入侵检测系统


格式 “” 由identd返回的该用户信息 UserID [DD/MMM/YYYY:HH:MM:SS+TimeZone] “GET ” NNN,如果没有则以“-”表示 NNNNN,如果没有则以“-”表示 /dir/page “browser/version”(操作系统)
日期
时间
主体标识
事件标号
事件来源
事件等级
计算机名 事件类别
事件描述区的内容取决于具体的事件,可以是事件的名称、详 细说明、产生该事件的原因、建议的解决方案等信息。
附加数据
可选数据区,通常包含可以以16进制方式显示的二进制数据。 具体内容由产生事件记录的应用程序决定。
2021/2/4
1
33
33
系统日志
2021/2/4
1
15
15
审计记录的问题
• 过于细节化的问题 • 缺乏足够细节的问题 • 缺乏说明文档 • 不同系统审计记录的不兼容
– 最让入侵检测系统头疼的问题!
2021/2/4
1
16
16
审计记录内容
• 响应事件的主题和涉及事件的目标信息
– 主体
– 对象
– 进程
– 用户id
– 系统调用的参数
– 返回值
– 基于主机的监测收集通常在操作系统层的来自计算机内 部的数据,包括操作系统审计跟踪信息和系统日志
• 来自网络的 – 检测收集网络的数据
• 来自应用程序的
– 监测收集来自运行着的应用程序的数据,包括应用程序 事件日志和其它存储在应用程序内部的数据
• 来自目标机的 – 使用散列函数来检测对系统对象的修改。
2021/2/4
1
5
(2)信息分析

第五章 入侵检测流程

分出哪些是入侵,哪些不是入侵。
分析器的构建方法依赖于入侵检测的分析方法。 分析方法的讲解见后面。
5.3
分析数据
分析器对输入的事件进行分析,识别出入侵行 为。
5.3
反馈和更新
反馈和更新是IDS非常重要的一个过程。 对于误用检测,反馈和更新体现在攻击行为模
式库的更新,能及时地将新攻击的特征反映在 行为模式库中。 对于异常检测,反馈和更新体现在正常行为特 征轮廓库的更新。
功的次数、企图访问文件的次数、某一特定服 务的网络连接数等,均以数值来表示; 采用这种方法给出阈值。
5.3
统计度量
体现在用户特征轮廓的更新上。 使得特征轮廓适合反映用户行为在时间上的变
化。
5.3
非参数统计度量
早期的统计分析均采用参数方法,即假定审计 数据服从一些固定的分布。
缺点:如果假定不正确,IDS的性能大受影响; 非参数统计度量:据用户行为特征,将用户活
自动终止攻击; 终止用户连接; 禁止用户帐号; 重新配置防火墙阻塞攻击的源地址; 向管理控制台发出警告指出事件的发生; 向网络管理平台发出SNMP trap; 记录事件的日志,包括日期、时间、源地址、目的
地址、描述与事件相关的原始数据; 向安全管理人员发出提示性的电子邮件; 执行一个用户自定义的程序。
日志文件中记录了各种行为类型,每种 类型又包含不同的信息,例如记录“用 户活动”类型的日志,就包含登录、用 户ID改变、用户对文件的访问、授权和 认证信息等内容。
5.1
系统目录和文件的异常变化
网络环境中的重要信息文件和私有数据文 件是黑客经常修改或破坏的目标。
目录和文件中的不期望的改变(包括修改、 创建和删除),可能是入侵产生的指示和 信号。

第6章 基于主机的入侵检测技术

c:\systemroot\system32\logfiles\msftpsvc1\。 • Internet信息服务WWW日志默认位置:
c:\systemroot\system32\logfiles\w3svc1\。 • Scheduler服务器日志默认位置:c:\systemroot\schedlgu.txt 。该日志
这种格式的文件可以被事件查看器读取,事件查看器可 以在“控制面板”中找到,系统管理员可以使用事件查 看器选择要查看的日志条目,查看条件包括类别、用户 和消息类型。
版权所有,盗版必纠
6.1.1 Windows下的审计数据获取
3.Windows 2000的日志系统 • 与Windows NT一样,Windows 2000中也一样使用“事件
记录了访问者的IP,访问的时间及请求访问的内容。
版权所有,盗版必纠
6.1.1 Windows下的审计数据获取
因Windows2000延续了NT的日志文件,并在其基础上又增加了FTP 和WWW日志,故本节对FTP日志和WWW日志作一个简单的讲述。 FTP日志以文本形式的文件详细地记录了以FTP方式上传文件的文件、 来源、文件名等等。不过由于该日志太明显,所以高级黑客们根本 不会用这种方法来传文件,取而代之的是使用RCP。FTP日志文件和 WWW日志文件产生的日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目录下,默认是每天一个日志文 件, • FTP和WWW日志可以删除,但是FTP日志所记录的一切还是会在系统 日志和安全日志里记录下来,如果用户需要尝试删除这些文件,通 过一些并不算太复杂的方法,例如首先停止某些服务,然后就可以 将该日志文件删除。具体方法本节略。
版权所有,盗版必纠
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Windows系统检查主要事项
Windows系统的入侵检测方法主要包括:检查所有相关的日志,检查相关文件,鉴定未授权的用户账号或组,寻找异常或隐藏文件,检查系统的运行的进程,检查系统开放的端口等。

可以采用手工和工具检查相结合的方式进行。

一、手工检查与审计
下面就各种检查项目做一下详细说明。

1、检查端口与网络连接
Netstat.exe 是一种命令行实用工具,可以显示TCP 和UDP 的所有打开的端口。

如果发现的已打开的端口无法识别,则应对它们进行调查以确定在该计算机上是否需要对应的服务。

如果不需要该服务,则应禁用或删除相关的服务以防止计算机在该端口上监听。

也可以通过该命令检查有哪些相关的连接,也许恶意的连接就在这里。

方法:
Netstat –an(系统命令)(windows2003使用命令Netstat –ano可检测出端口对应的进程)Netstat –a(系统命令)(windows2003使用命令Netstat –ao可检测出端口对应的进程)Fport(第三方工具)
木马端口列表:
/main.htm
/threat/threat-ports.htm
http://www.chebucto.ns.ca/~rakerman/port-table.html
2、检查账户安全
服务器被入侵之后,通常会表现在系统的用户账户上,我们可以在系统日志上察看相关的信息。

除了察看事件日志外,也应该检查所有账户的信息,包括他们所属的组。

有些黑客入侵后常常将添加他们自己的账号,或者将那些偏僻的用户修改了权限,从而方便他们以后再次入侵。

方法:
可以在“计算机管理”—“用户管理”中查看系统帐号。

可以使用命令查看:net user ;net localgroup administrators;
可以cca.exe(第三方工具)检查是否有克隆帐号的存在。

3、查找恶意进程
可以通过以下工具和方法检查系统运行的进程,找出异常的进程。

方法:
任务管理器(系统工具)
Psinfo.exe(第三方工具)
Windows2000基本的系统进程如下:
smss.exe Session Manager 会话管理
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理IP 安全策略以及启动ISAKMP/Oakley (IKE) 和IP 安全驱动程序。

(系统服务)
svchost.exe 包含很多系统服务
spoolsv.exe 将文件加载到内存中以便迟后打印。

(系统服务)
explorer.exe 资源管理器
internat.exe 输入法
4、监视已安装的服务和驱动程序
许多针对计算机的攻击都是这样实现的:攻击安装在目标计算机上的服务,或者将有效的驱动程序替换为包含特洛伊木马的驱动程序版本,以给予攻击者访问目标计算机的权限。

1、通过服务控制台查看服务。

服务MMC 控制台用于监视本地计算机或远程计算机的服务,并允许管理员配置、暂停、停止、启动和重新启动所有已安装的服务。

可使用此控制台确定是否存在已配置为自动启动的服务当前未启动的情况。

2、通过注册表项查看服务和驱动程序:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
5、检查注册表的关键项:
一般来说,木马或者后门都会利用注册表来再次运行自己,所以,校验注册表来发现入侵也是常用的手法之一。

使用REGEDIT注册表编辑器可以查看注册表。

在注册表里,我们着重要查看
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\、HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\下面的子树。

特别是要查看Run, RunOnce, RunOnceEx, RunServices, 和RunServicesOnce 文件夹,查找是否存在异常的条目。

HKEY_LOCAL_MACHINE\SOFTWAREMicrosoft\Windows NT\CurrentVersion\WinLogon也是需要检查的地方。

主要检查内容:Shell项内容正常情况应该为Explorer.exe;Userinit项内容应该为C:\WINNT\system32\userinit.exe;检查是否有增加的项目其内容包括.exe .sys .dll
等各种可执行文件。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify是否有异常的项。

正常的项目主要有:crypt32chain, cryptnet, cscdll, sclgntfy, SensLogn, wzcnotif.可能还会包括显卡、防病毒等项。

检查类似txt等文本或其它后缀映射是否正常。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,映像劫持主要是用来调试程序。

通常此项下不应设置任何子项、值。

6、检查所有相关的日志
windows日志对于系统安全的作用是很重要的,网络管理员应该非常重视日志。

Windows 的系统日志文件有应用程序日志,安全日志、系统日志等等。

可以通过“事件管理器”查看。

建议日志的文件大小不小于100M。

安全日志文件:%systemroot%\system32\config\SecEvent.EVT
系统日志文件:%systemroot%\system32\config\SysEvent.EVT
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT
7、检查用户目录:
检查C:\Documents and Settings\目录各用户的目录。

主要检查内容:用户最近一次的登陆时间;检查用户目录下的文件内容;检查Local Settings目录下的历史文件(History)、临时文件(Temp)、访问网页的临时文件(Temporary Internet Files)、应用数据文件(Application Data)等内容。

8、检查文件系统
检查C: \、C: \winnt、C: \winnt\System 、C: \winnt\System32、C: \winnt\\System32\dllcache、C: \winnt\\System32\drivers、各个Program Files目录下的内容,检查他们目录及文件的属性,若无版本说明,多为可疑文件;若某文件的建立时间异常,也可能是可疑的文件。

维护一份文件和目录的完整列表,定期地进行更新和对比,这可能会加重过度操劳的管理员的负担,但是,如果系统的状态不是经常变动的话,这是发现很多恶意行为踪迹最有效的方法。

9、环境变量
右键点击“我的电脑”-属性-选择“高级”-“环境变量”
检查内容:temp变量的所在位置的内容;
后缀映射PATHEXT是否包含有非windows的后缀;
有没有增加其他的路径到PATH变量中;
(对用户变量和系统变量都要进行检查)
10、检查防病毒
检查防病毒系统是否正常工作、病毒库是否正常更新、是否有异常的报警。

11、检查应用
检查相关应用的日志信息:
Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\
Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\w3svc1\
DNS日志文件:%systemroot%\system32\config
Scheduler服务日志默认位置:%sys temroot%\schedlgu.txt
Sqlserver的日志。

通过sqlserver控制台来查看。

有的管理员很可能将这些日志重定位。

其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。

Schedluler服务日志在注册表中的位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
12、文件签名
以上工作完成后,运行sigverif对%systemroot%\system32\下的*.exe、*.dll、*.sys等文件进行校验。

二、工具检查
1、IceSword:综合的入侵检测工具。

可检测进程、端口、网络连接、服务等项。

2、procexp.exe 检查进程以及所调用的相关文件。

3、Autoruns列出所有随系统自动运行的程序、文件和映像劫持项目。