Windows系統(tǒng)入侵檢查主要內(nèi)容.doc

Windows系統(tǒng)檢查主要事項Windows系統(tǒng)的入侵檢測方法主要包括：檢查所有相關的日志，檢查相關文件，鑒定未授權的用戶賬號或組，尋找異?；螂[藏文件，檢查系統(tǒng)的運行的進程，檢查系統(tǒng)開放的端口等?？梢圆捎檬止ず凸ぞ邫z查相結合的方式進行。一、手工檢查與審計下面就各種檢查項目做一下詳細說明。1、檢查端口與網(wǎng)絡連接 Netstat.exe 是一種命令行實用工具，可以顯示 TCP 和 UDP 的所有打開的端口。 如果發(fā)現(xiàn)的已打開的端口無法識別，則應對它們進行調查以確定在該計算機上是否需要對應的服務。如果不需要該服務，則應禁用或刪除相關的服務以防止計算機在該端口上監(jiān)聽。 也可以通過該命令檢查有哪些相關的連接，也許惡意的連接就在這里。方法：Netstat an（系統(tǒng)命令）（windows2003使用命令Netstat ano可檢測出端口對應的進程）Netstat a（系統(tǒng)命令）（windows2003使用命令Netstat ao可檢測出端口對應的進程）Fport（第三方工具）木馬端口列表：/main.htm /threat/threat-ports.htm http:/www.chebucto.ns.ca/rakerman/port-table.html2、檢查賬戶安全服務器被入侵之后，通常會表現(xiàn)在系統(tǒng)的用戶賬戶上，我們可以在系統(tǒng)日志上察看相關的信息。除了察看事件日志外，也應該檢查所有賬戶的信息，包括他們所屬的組。有些黑客入侵后常常將添加他們自己的賬號，或者將那些偏僻的用戶修改了權限，從而方便他們以后再次入侵。方法：可以在“計算機管理”“用戶管理”中查看系統(tǒng)帳號。可以使用命令查看：net user ；net localgroup administrators；可以cca.exe（第三方工具）檢查是否有克隆帳號的存在。3、查找惡意進程可以通過以下工具和方法檢查系統(tǒng)運行的進程，找出異常的進程。方法：任務管理器（系統(tǒng)工具）Psinfo.exe（第三方工具） Windows2000基本的系統(tǒng)進程如下：smss.exe Session Manager 會話管理csrss.exe 子系統(tǒng)服務器進程 winlogon.exe 管理用戶登錄 services.exe 包含很多系統(tǒng)服務 lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。(系統(tǒng)服務) svchost.exe 包含很多系統(tǒng)服務 spoolsv.exe 將文件加載到內(nèi)存中以便遲后打印。(系統(tǒng)服務) explorer.exe 資源管理器 internat.exe 輸入法 4、監(jiān)視已安裝的服務和驅動程序許多針對計算機的攻擊都是這樣實現(xiàn)的：攻擊安裝在目標計算機上的服務，或者將有效的驅動程序替換為包含特洛伊木馬的驅動程序版本，以給予攻擊者訪問目標計算機的權限。 1、通過服務控制臺查看服務。服務 MMC 控制臺用于監(jiān)視本地計算機或遠程計算機的服務，并允許管理員配置、暫停、停止、啟動和重新啟動所有已安裝的服務。可使用此控制臺確定是否存在已配置為自動啟動的服務當前未啟動的情況。2、通過注冊表項查看服務和驅動程序：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices5、檢查注冊表的關鍵項：一般來說，木馬或者后門都會利用注冊表來再次運行自己，所以，校驗注冊表來發(fā)現(xiàn)入侵也是常用的手法之一。使用REGEDIT注冊表編輯器可以查看注冊表。在注冊表里，我們著重要查看HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion、HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion、HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion下面的子樹。特別是要查看 Run, RunOnce, RunOnceEx, RunServices, 和 RunServicesOnce 文件夾，查找是否存在異常的條目。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinLogon也是需要檢查的地方。主要檢查內(nèi)容：Shell項內(nèi)容正常情況應該為Explorer.exe；Userinit項內(nèi)容應該為C:WINNTsystem32userinit.exe；檢查是否有增加的項目其內(nèi)容包括.exe .sys .dll 等各種可執(zhí)行文件。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify是否有異常的項。正常的項目主要有：crypt32chain, cryptnet, cscdll, sclgntfy, SensLogn, wzcnotif.可能還會包括顯卡、防病毒等項。檢查類似txt等文本或其它后綴映射是否正常。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options，映像劫持主要是用來調試程序。通常此項下不應設置任何子項、值。6、檢查所有相關的日志windows日志對于系統(tǒng)安全的作用是很重要的，網(wǎng)絡管理員應該非常重視日志。Windows的系統(tǒng)日志文件有應用程序日志，安全日志、系統(tǒng)日志等等?？梢酝ㄟ^“事件管理器”查看。建議日志的文件大小不小于100M。安全日志文件：%systemroot%system32configSecEvent.EVT 系統(tǒng)日志文件：%systemroot%system32configSysEvent.EVT 應用程序日志文件：%systemroot%system32configAppEvent.EVT7、檢查用戶目錄：檢查C:Documents and Settings目錄各用戶的目錄。主要檢查內(nèi)容：用戶最近一次的登陸時間；檢查用戶目錄下的文件內(nèi)容；檢查Local Settings目錄下的歷史文件（History）、臨時文件（Temp）、訪問網(wǎng)頁的臨時文件（Temporary Internet Files）、應用數(shù)據(jù)文件（Application Data）等內(nèi)容。8、檢查文件系統(tǒng)檢查C: 、C: winnt、C: winntSystem 、C: winntSystem32、C: winntSystem32dllcache、C: winntSystem32drivers、各個Program Files目錄下的內(nèi)容，檢查他們目錄及文件的屬性，若無版本說明，多為可疑文件；若某文件的建立時間異常，也可能是可疑的文件。維護一份文件和目錄的完整列表，定期地進行更新和對比，這可能會加重過度操勞的管理員的負擔，但是，如果系統(tǒng)的狀態(tài)不是經(jīng)常變動的話，這是發(fā)現(xiàn)很多惡意行為蹤跡最有效的方法。9、環(huán)境變量右鍵點擊“我的電腦”-屬性-選擇“高級”-“環(huán)境變量”檢查內(nèi)容：temp變量的所在位置的內(nèi)容；后綴映射PATHEXT是否包含有非windows的后綴；有沒有增加其他的路徑到PATH變量中；（對用戶變量和系統(tǒng)變量都要進行檢查）10、檢查防病毒檢查防病毒系統(tǒng)是否正常工作、病毒庫是否正常更新、是否有異常的報警。11、檢查應用檢查相關應用的日志信息：Internet信息服務FTP日志默認位置：%sys temroot%sys tem32logfilesmsftpsvc1Internet信息服務WWW日志默認位置：%sys temroot%sys tem32logfilesw3svc1DNS日志文件：%systemroot%system32configScheduler服務日志默認位置：%sys temroot%schedlgu.txtSqlserver的日志。通過sqlserver控制臺來查看。有的管理員很可能將這些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目錄。 Schedluler服務日志在注冊表中的位置： HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent 12、文件簽名以上工作