23-網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南

1、中國(guó)移動(dòng)網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南版 本 號(hào) ：V1.0精品資料中國(guó)移動(dòng)通信CHINA MOBILE中國(guó)移動(dòng)通信有限責(zé)任公司二零零四年十一月前言 11一、背景 11二、適用范圍 12三、編制依據(jù) 12四、閱讀對(duì)象 12五、引用標(biāo)準(zhǔn) 13六、縮略語(yǔ) 13七、安全事件及分類 14八、安全事件應(yīng)急響應(yīng) 16九、文檔內(nèi)容概述 191準(zhǔn)備階段 221.1 概述 221.1.1 準(zhǔn)備階段工作內(nèi)容 系統(tǒng)快照 應(yīng)急響應(yīng)工具包 241.1.2 準(zhǔn)備階段工作流程 241.1.3 準(zhǔn)備階段操作說(shuō)明 25251.2 主機(jī)和網(wǎng)絡(luò)設(shè)備安全初始化快照1.2.1 WINDOW

2、S安全初始化快照 281.2.2 UNIX安全初始化快照 3 Solaris 安全初始化快照 331.2.3 網(wǎng)絡(luò)設(shè)備安全初始化快照 4 路由器安全初始化快照 461.2.4 數(shù)據(jù)庫(kù)安全初始化快照 4 Oracle 安全初始化快照 471.2.5 安全加固及系統(tǒng)備份 551.3 應(yīng)急響應(yīng)標(biāo)準(zhǔn)工作包的準(zhǔn)備 561.3.1 WINDOWS系統(tǒng)應(yīng)急處理工作包 5 系統(tǒng)基本命令 5 其它工具軟件 571.3.2 Unix系統(tǒng)應(yīng)急處理工作包 5 系統(tǒng)基本命令 5 其它工具軟件 591.3.3

3、ORACLE數(shù)據(jù)庫(kù)應(yīng)急處理工具包 602檢測(cè)階段 622.1 概述 622.1.1 檢測(cè)階段工作內(nèi)容 622.1.2 檢測(cè)階段工作流程 632.1.3 檢測(cè)階段操作說(shuō)明 642.2 系統(tǒng)安全事件初步檢測(cè)方法 652.2.1 WINDOWS 系統(tǒng)檢測(cè)技術(shù)規(guī)范 6 Windows服務(wù)器檢測(cè)技術(shù)規(guī)范 6 Windows檢測(cè)典型案例 682.2.2 UNIX 系統(tǒng)檢測(cè)技術(shù)規(guī)范 6 Solaris 系統(tǒng)檢測(cè)技術(shù)規(guī)范 6 Unix 檢測(cè)典型案例 702.3 系統(tǒng)安全事件高級(jí)檢測(cè)方法 742.3.1 WINDOWS 系統(tǒng)高級(jí)檢測(cè)技術(shù)規(guī)范 742

4、.3.1.1 Windows高級(jí)檢測(cè)技術(shù)規(guī)范 7 Windows高級(jí)檢測(cè)技術(shù)案例 752.3.2 UNIX 系統(tǒng)高級(jí)檢測(cè)技術(shù)規(guī)范 7 Solaris 高級(jí)檢測(cè)技術(shù)規(guī)范 7 Unix 高級(jí)檢測(cè)技術(shù)案例 812.4 網(wǎng)絡(luò)安全事件檢測(cè)方法 852.4.1 拒絕服務(wù)事件檢測(cè)方法 8 利用系統(tǒng)漏洞的拒絕服務(wù)攻擊檢測(cè)方法 8 利用網(wǎng)絡(luò)協(xié)議的拒絕服務(wù)攻擊檢測(cè)方法 852.4.2 網(wǎng)絡(luò)欺騙安全事件檢測(cè)方法 8 DNS 欺騙檢測(cè)規(guī)范及案例 8 WEB 欺騙檢測(cè)規(guī)范及案例 8 電子郵件欺

5、騙檢測(cè)規(guī)范及案例 862.4.3 網(wǎng)絡(luò)竊聽(tīng)安全事件檢測(cè)方法 8 共享環(huán)境下SNIFFER 檢測(cè)規(guī)范及案例 8 交換環(huán)境下SNIFFER 檢測(cè)規(guī)范及案例 912.4.4 口令猜測(cè)安全事件檢測(cè)方法 9 windows 系統(tǒng)檢測(cè) 9 UNIX 系統(tǒng)檢測(cè) 9 CISCO 路由器檢測(cè) 932.4.5 網(wǎng)絡(luò)異常流量特征檢測(cè) 9 網(wǎng)絡(luò)異常流量分析方法 942.5 數(shù)據(jù)庫(kù)安全事件檢測(cè)方法 952.5.1 數(shù)據(jù)庫(kù)常見(jiàn)攻擊方法檢測(cè) 952.5.2 腳本安全事件檢測(cè) 9 SQL注入攻擊檢測(cè)方法 962.5

6、.2.2 SQL注入攻擊案例 972.6 事件驅(qū)動(dòng)方式的安全檢測(cè)方法 982.6.1 日常例行檢查中發(fā)現(xiàn)安全事件的安全檢測(cè)方法 9 特點(diǎn) 9 人工檢測(cè)被入侵的前兆 9 檢測(cè)的流程 992.6.2 事件驅(qū)動(dòng)的病毒安全檢測(cè)方法 10 特點(diǎn) 10 病毒檢測(cè)流程 10 防御計(jì)算機(jī)病毒措施 1042.6.3 事件驅(qū)動(dòng)的入侵檢測(cè)安全檢測(cè)方法 10 特征 10 入侵檢測(cè)系統(tǒng)分為網(wǎng)絡(luò)型和主機(jī)型 10 入侵檢測(cè)流程 1062.6.4 事件驅(qū)動(dòng)的防火墻安全檢測(cè)方法 108

7、 特點(diǎn) 10 防火墻安全檢測(cè)流程 1083抑制和根除階段 1113.1 概述 1113.1.1 抑制和根除階段工作內(nèi)容 1113.1.2 抑制和根除階段工作流程 1123.1.3 抑制和根除階段操作說(shuō)明 1133.2 拒絕服務(wù)類攻擊抑制 1143.2.1 SYN和ICMP拒絕服務(wù)攻擊抑制和根除 1 SYN (UDP) -FLOOD 拒絕服務(wù)攻擊抑制及根除 1 ICMP-FLOOD 拒絕服務(wù)攻擊抑制及根除 1153.2.2 系統(tǒng)漏洞拒絕服務(wù)抑制 1 WIN 系統(tǒng)漏洞拒絕服務(wù)攻擊抑制及根除 1 U

8、NIX 系統(tǒng)漏洞拒絕服務(wù)攻擊抑制及根除 1網(wǎng)絡(luò)設(shè)備IOS系統(tǒng)漏洞拒絕服務(wù)攻擊抑制 1183.3 利用系統(tǒng)漏洞類攻擊抑制 1191.1.1 系統(tǒng)配置漏洞類攻擊抑制 1 簡(jiǎn)單口令攻擊類抑制 1 簡(jiǎn)單口令攻擊類根除 1191.1.2 系統(tǒng)程序漏洞類攻擊抑制 1 緩沖溢出攻擊類抑制 1 緩沖溢出攻擊類根除 1213.4 網(wǎng)絡(luò)欺騙類攻擊抑制與根除 1213.4.1 DNS 欺騙攻擊抑制與根除 1213.4.2 電子郵件欺騙攻擊抑制與根除 1 電子郵件欺騙攻擊抑制 1 電子郵件欺騙

9、攻擊根除 1233.5 網(wǎng)絡(luò)竊聽(tīng)類攻擊抑制及根除 1243.5.1 共享環(huán)境下SNIFFER 攻擊抑制及根除 1 共享環(huán)境下SNIFFER 攻擊抑制及根除 1243.5.2 交換環(huán)境下SNIFFER 攻擊抑制 1 交換環(huán)境下SNIFFER 攻擊抑制 1253.6 數(shù)據(jù)庫(kù) SQL 注入類攻擊抑制與根除 1273.6.1 數(shù)據(jù)庫(kù) SQL 注入類攻擊抑制與根除 12 對(duì)于動(dòng)態(tài)構(gòu)造SQL 查詢的場(chǎng)合，可以使用下面的技術(shù)： 12 用存儲(chǔ)過(guò)程來(lái)執(zhí)行所有的查詢。 12 限制表單或查詢字符串輸入的長(zhǎng)度。 1281283.6.1

10、.4 檢查用戶輸入的合法性，確信輸入的內(nèi)容只包含合法的數(shù)據(jù)。 將用戶登錄名稱、密碼等數(shù)據(jù)加密保存。 12 檢查提取數(shù)據(jù)的查詢所返回的記錄數(shù)量 12 Sql注入并沒(méi)有根除辦法 1293.7 惡意代碼攻擊抑制和根除 1293.7.1 惡意代碼介紹 1293.7.2 惡意代碼抑制和根除 12 惡意代碼抑制方法 12 惡意代碼根除方法 1304恢復(fù)階段 1321.1.1 恢復(fù)階段工作內(nèi)容 1321.1.2 恢復(fù)階段工作流程 1331.1.3 恢復(fù)階段操作說(shuō)明 1334.2 重裝系統(tǒng) 1344.2.1 重裝系統(tǒng)時(shí)的步驟 134

11、4.2.2 重裝系統(tǒng)時(shí)的注意事項(xiàng) 1344.3 安全加固及系統(tǒng)初始化 1354.3.1 系統(tǒng)安全加固和安全快照 13 安全加固 13 安全快照 1355跟進(jìn)階段 1365.1 概述 1365.1.1 跟進(jìn)階段工作內(nèi)容 1365.1.2 跟進(jìn)階段工作流程 1375.1.3 跟進(jìn)階段操作說(shuō)明 1375.2 跟進(jìn)階段的目的和意義 1385.3 跟進(jìn)階段的報(bào)告內(nèi)容 1386取證流程和工具 1416.1 概述 1416.2 操作說(shuō)明 1416.3 取證的重要規(guī)則 1426.4 取證流程 1426.5 取證工具 1436.5.1 系統(tǒng)命令 1436.5.2 商業(yè)軟件介紹 1

12、45精品資料前言 制定本文檔的目的是為中國(guó)移動(dòng)提供網(wǎng)絡(luò)與信息安全響應(yīng)工作的技術(shù)規(guī)范及指南，本規(guī)范含了一個(gè)關(guān)于安全攻防的具體技術(shù)內(nèi)容的附件。 本文檔由中國(guó)移動(dòng)通信有限公司網(wǎng)絡(luò)部提出并歸口。解釋權(quán)歸屬于中國(guó)移動(dòng)通信有限公司網(wǎng)絡(luò)部。 本文檔起草單位：中國(guó)移動(dòng)通信有限公司網(wǎng)絡(luò)部 本文檔主要起草人：王新旺、蔡洗非、陳敏時(shí)、彭泉、劉小云、王亮、余曉敏、周碧波、劉楠、謝朝霞 本文檔解釋單位：中國(guó)移動(dòng)通信有限公司網(wǎng)絡(luò)部一、背景隨著我國(guó)的互聯(lián)網(wǎng)絡(luò)迅猛發(fā)展，互聯(lián)網(wǎng)絡(luò)已經(jīng)深入到各行各業(yè)當(dāng)中，在我國(guó)的經(jīng)濟(jì)生活中發(fā)揮著日益重要的作用。 中國(guó)移動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)作為我國(guó)最龐大的網(wǎng)絡(luò)系統(tǒng)之一，網(wǎng)絡(luò)安全問(wèn)題的重要性隨著移動(dòng)業(yè)務(wù)

13、的重要性提高而日益凸顯。一直以來(lái)，中國(guó)移動(dòng)通信有限公司都在不斷加強(qiáng)網(wǎng)絡(luò)安全保護(hù)設(shè)施，以保證整個(gè)網(wǎng)絡(luò)的信息安全。近幾年黑客活動(dòng)日益頻繁，病毒多次爆發(fā)，涉及面廣，危害性大，滲透性深，各類計(jì)算機(jī)網(wǎng)絡(luò)安全事件層出不窮，移動(dòng)骨干網(wǎng)絡(luò)和全國(guó)各省分公司計(jì)算機(jī)信息系統(tǒng)都不同程度地存在爆發(fā)安全危機(jī)的隱患。為了提高中國(guó)移動(dòng)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)能力，規(guī)范相關(guān)應(yīng)急響應(yīng)技術(shù)， 中國(guó)移動(dòng)通信有限公司決定起草編寫網(wǎng)絡(luò)與信息安全應(yīng)急響應(yīng)技術(shù)規(guī)范與指南，由技術(shù)部門牽頭并提供業(yè)務(wù)指導(dǎo)，深圳市安絡(luò)科技有限公司提供具體實(shí)施的技術(shù)配合工作。二、適用范圍本規(guī)范僅適用于中國(guó)移動(dòng)通信有限公司（其中包括各省移動(dòng)通信有限公司），開(kāi)展安全事件應(yīng)急

14、響應(yīng)工作。本規(guī)范從安全事件應(yīng)急響應(yīng)的技術(shù)角度，為中國(guó)移動(dòng)提供通用的技術(shù)參考和規(guī)范說(shuō)明。本規(guī)范不包含應(yīng)急響應(yīng)管理方面的內(nèi)容，也未闡述適用中國(guó)移動(dòng)特定的業(yè)務(wù)專用應(yīng)急技術(shù)。相關(guān)內(nèi)容應(yīng)分別在管理規(guī)范和業(yè)務(wù)系統(tǒng)的應(yīng)急預(yù)案與連續(xù)性計(jì)劃中體現(xiàn)。系統(tǒng)隨著安全事件應(yīng)急響應(yīng)技術(shù)的不斷發(fā)展，本規(guī)范的相關(guān)部分也需要進(jìn)行相應(yīng)的調(diào)整完善。三、編制依據(jù)本規(guī)范依據(jù)中國(guó)移動(dòng)互聯(lián)網(wǎng)（CMnet ）網(wǎng)絡(luò)安全管理辦法2002 版四、閱讀對(duì)象本文詳細(xì)地分析了計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)面臨的威脅與黑客攻擊方法，詳盡、 具體地披露了攻擊技術(shù)的真相，給出了防范策略和技術(shù)實(shí)現(xiàn)措施。閱讀對(duì)象限于中國(guó)移動(dòng)的系統(tǒng)維護(hù)人員、安全技術(shù)人員和安全評(píng)估人員。未經(jīng)授權(quán)

15、嚴(yán)禁傳播此文檔。五、引用標(biāo)準(zhǔn)RFC 793Transmission Control ProtocolRFC 768User Datagram ProtocolRFC 821Simple Mail Transfer ProtocolRFC 959File Transfer ProtocolRFC 2616Hypertext Transfer ProtocolRFC 792Internet Control Message ProtocalRFC 828Ethernet Address Resolution ProtocolRFC 2196Site Security Handbook六、縮略語(yǔ)CMn

16、et :中國(guó)移動(dòng)互聯(lián)網(wǎng)CMCert/CC :中國(guó)移動(dòng)網(wǎng)絡(luò)與信息安全應(yīng)急小組TCP :Transmission Control ProtocolUDP :User Datagram ProtocolSMTP :Simple Mail Transfer ProtocolHIIP :Hypertext Transfer ProtocolICMP :Internet Control Message ProtocolARP :Ethernet Address Resolution ProtocolFTP :File Transfer Protocol七、安全事件及分類安全事件是有可能損害資產(chǎn)安全屬性（機(jī)

17、密性、完整性、可用性）的任何活動(dòng)。本文所稱安全事件特指由外部和內(nèi)部的攻擊所引起的危害業(yè)務(wù)系統(tǒng)或支撐系統(tǒng)安全并可能引起損失的事件。安全事件可能給企業(yè)帶來(lái)可計(jì)算的財(cái)務(wù)損失和公司的信譽(yù)損失本文采用兩種分類原則對(duì)安全事件進(jìn)行了分類：基于受攻擊設(shè)備的分類原則 （面向中國(guó)移動(dòng)系統(tǒng)維護(hù)人員）和基于安全事件原因的分類原則（面向中國(guó)移動(dòng)安全技術(shù)人員）。在準(zhǔn)備和檢測(cè)階段依據(jù)攻擊設(shè)備分類原則進(jìn)行闡述，其他后續(xù)階段依據(jù)安全事件原因進(jìn)行闡述。基于受攻擊設(shè)備分類原則，安全事件分為： 主機(jī)設(shè)備安全事件 網(wǎng)絡(luò)設(shè)備安全事件 數(shù)據(jù)庫(kù)系統(tǒng)安全事件基于安全事件原因的分類原則，安全事件分為： 拒絕服務(wù)類安全事件拒絕服務(wù)類安全事件是指由

18、于惡意用戶利用擠占帶寬、消耗系統(tǒng)資源等攻擊方法使系統(tǒng)無(wú)法為正常用戶提供服務(wù)所引起的安全事件。 系統(tǒng)漏洞類安全事件系統(tǒng)漏洞類安全事件是指由于惡意用戶利用系統(tǒng)的安全漏洞對(duì)系統(tǒng)進(jìn)行未授權(quán)的訪問(wèn)或破壞所引起的安全事件。 網(wǎng)絡(luò)欺騙類安全事件網(wǎng)絡(luò)欺騙類安全事件是指由于惡意用戶利用發(fā)送虛假電子郵件、建立虛假服務(wù)網(wǎng)站、發(fā)送虛假網(wǎng)絡(luò)消息等方法對(duì)系統(tǒng)或用戶進(jìn)行未授權(quán)的訪問(wèn)或破壞所引起的安全 事件。 網(wǎng)絡(luò)竊聽(tīng)類安全事件網(wǎng)絡(luò)竊聽(tīng)類安全事件是指由于惡意用戶利用以太網(wǎng)監(jiān)聽(tīng)、鍵盤記錄等方法獲取未授權(quán)的信息或資料所引起的安全事件。 數(shù)據(jù)庫(kù)注入類安全事件ligia數(shù)據(jù)庫(kù)注入類安全事件是指由于惡意用戶通過(guò)提交特殊的參數(shù)從而達(dá)到獲

19、取數(shù)據(jù)庫(kù)中存儲(chǔ)的數(shù)據(jù)、得到數(shù)據(jù)庫(kù)用戶的權(quán)限所引起的安全事件。 惡意代碼類安全事件惡意代碼類安全事件是指惡意用戶利用病毒、蠕蟲(chóng)、特洛伊木馬等其他惡意代碼破壞網(wǎng)絡(luò)可用性或竊取網(wǎng)絡(luò)中數(shù)據(jù)所引起的安全事件。 操作誤用類安全事件操作誤用類安全事件是指合法用戶由于誤操作造成網(wǎng)絡(luò)或系統(tǒng)不能正常提供服務(wù) 所引起的安全事件。在上面的分類中可能存在一個(gè)具體的安全事件同時(shí)屬于幾類的情況，比如，蠕蟲(chóng)病毒引起的安全事件，就有可能同時(shí)屬于拒絕服務(wù)類的安全事件，系統(tǒng)漏洞類安全事件， 和惡意代碼類安全事件。此時(shí)，應(yīng)根據(jù)安全事件特征的輕重緩急，來(lái)合理的選擇應(yīng)對(duì)的技術(shù)措施。仍然以蠕蟲(chóng)病毒為例，在抑制階段，可能側(cè)重采用對(duì)抗拒絕服務(wù)

20、攻擊的措施，控制蠕蟲(chóng)傳播，疏通網(wǎng)絡(luò)流量，緩解病毒對(duì)業(yè)務(wù)帶來(lái)的壓力。在根除階段采用惡意代碼類安全事件的應(yīng)對(duì)措 施孤立并清除被感染的病毒源。而在恢復(fù)階段，主要側(cè)重于消除被感染主機(jī)存在的安全漏洞， 從而避免再次感染相同的蠕蟲(chóng)病毒。隨著攻擊手段的增多，安全事件的種類需要不斷補(bǔ)充。八、安全事件應(yīng)急響應(yīng)安全事件應(yīng)急響應(yīng)是指針對(duì)已經(jīng)發(fā)生或可能發(fā)生的安全事件進(jìn)行監(jiān)控、分析、 協(xié)調(diào)、 處理、 保護(hù)資產(chǎn)安全屬性的活動(dòng)。良好的安全事件響應(yīng)遵循事先制定的流程和技術(shù)規(guī)范。本文所指的安全事件應(yīng)急響應(yīng)特指對(duì)已經(jīng)發(fā)生的安全事件進(jìn)行分析和處理的過(guò)程。安全事件應(yīng)急響應(yīng)工作的特點(diǎn)是高度的壓力，短暫的時(shí)間和有限的資源。應(yīng)急響應(yīng)是一項(xiàng)

21、需要充分的準(zhǔn)備并嚴(yán)密組織的工作。它必須避免不正確的和可能是災(zāi)難性的動(dòng)作或忽略了關(guān)鍵步驟的情況發(fā)生。它的大部分工作應(yīng)該是對(duì)各種可能發(fā)生的安全事件制定應(yīng)急預(yù)案，并通過(guò)多種形式的應(yīng)急演練，不斷提高應(yīng)急預(yù)案的實(shí)際可操作性。具有必要技能和相當(dāng)資源的應(yīng)急響應(yīng)組織是安全事件響應(yīng)的保障。參與具體安全事件應(yīng)急響應(yīng)的人員應(yīng)當(dāng)不僅包括中國(guó)移動(dòng)應(yīng)急組織的人員，還應(yīng)包括安全事件涉及到的業(yè)務(wù)系統(tǒng)維護(hù)人員、設(shè)備提供商、集成商和第三方安全應(yīng)急服務(wù)提供人員等，從而保證具有足夠的知識(shí)和技能應(yīng)對(duì)當(dāng)前的安全事件。應(yīng)急響應(yīng)除了需要技術(shù)方面的技能外，還需要管理能力，相關(guān)的法律知識(shí)、溝通協(xié)調(diào)的技能、寫作技巧、甚至心理學(xué)的知識(shí)。在系統(tǒng)通常存

22、在各種殘余風(fēng)險(xiǎn)的客觀情況下，應(yīng)急響應(yīng)是一個(gè)必要的保護(hù)策略。同時(shí)需要強(qiáng)調(diào)的是，盡管有效的應(yīng)急響應(yīng)可以在某種程度上彌補(bǔ)安全防護(hù)措施的不足，但不可能完全代替安全防護(hù)措施。缺乏必要的安全措施，會(huì)帶來(lái)更多的安全事件，最終造成資源的浪費(fèi)。安全事件應(yīng)急響應(yīng)的目標(biāo)通常包括：采取緊急措施，恢復(fù)業(yè)務(wù)到正常服務(wù)狀態(tài)；調(diào)查安全事件發(fā)生的原因，避免同類安全事件再次發(fā)生；在需要司法機(jī)關(guān)介入時(shí)，提供法律任何的數(shù)字證據(jù)等。在規(guī)范中以安全事件應(yīng)急響應(yīng)6 階段（ PDCERF ）方法學(xué)為主線介紹安全事件應(yīng)急響應(yīng)的過(guò)程和具體工作內(nèi)容。6 階段（ PDCERF ）方法學(xué)不是安全事件應(yīng)急響應(yīng)唯一的方法，結(jié)合中國(guó)移動(dòng)安全事件應(yīng)急響應(yīng)工作

23、經(jīng)驗(yàn)，在實(shí)際應(yīng)急響應(yīng)過(guò)程中，也不一定嚴(yán)格存在這6個(gè)階段，也不一定嚴(yán)格按照6階段的順序進(jìn)行。但它是目前適用性較強(qiáng)的應(yīng)急響應(yīng)的通用方法學(xué)。它包括準(zhǔn)備、檢測(cè)、抑制、根除、恢復(fù)和跟進(jìn)6個(gè)階段。6階段方法學(xué)的簡(jiǎn)要關(guān)系見(jiàn)下圖。準(zhǔn)備階段：準(zhǔn)備階段是安全事件響應(yīng)的第一個(gè)階段，即在事件真正發(fā)生前為事件響應(yīng)做好準(zhǔn)備。這一階段極為重要， 因?yàn)槭录l(fā)生時(shí)可能需要在短時(shí)間內(nèi)處理較多的事物，如果沒(méi)有足夠的準(zhǔn)備，那么將無(wú)法正確的完成響應(yīng)工作。在準(zhǔn)備階段請(qǐng)關(guān)注以下信息： 基于威脅建立合理的安全保障措施 建立有針對(duì)性的安全事件應(yīng)急響應(yīng)預(yù)案，并進(jìn)行應(yīng)急演練 為安全事件應(yīng)急響應(yīng)提供足夠的資源和人員 建立支持事件響應(yīng)活動(dòng)管理體系檢測(cè)

24、階段：檢測(cè)是指以適當(dāng)?shù)姆椒ù_認(rèn)在系統(tǒng)/網(wǎng)絡(luò)中是否出現(xiàn)了惡意代碼、文件和目錄是否被篡改等異?；顒?dòng) /現(xiàn)象。如果可能的話同時(shí)確定它的影響范圍和問(wèn)題原因。在操作 的角度來(lái)講，事件響應(yīng)過(guò)程中所有的后續(xù)階段都依賴于檢測(cè)，如果沒(méi)有檢測(cè)，就不會(huì)存在真正意義上的事件響應(yīng)。檢測(cè)階段是事件響應(yīng)的觸發(fā)條件。抑制階段：抑制階段是事件響應(yīng)的第三個(gè)階段，它的目的是限制攻擊/破壞所波及的范圍。同時(shí)也是限制潛在的損失。所有的抑制活動(dòng)都是建立在能正確檢測(cè)事件的基礎(chǔ)上，抑制活動(dòng)必須結(jié)合檢測(cè)階段發(fā)現(xiàn)的安全事件的現(xiàn)象、性質(zhì)、范圍等屬性，制定并實(shí)施正確的抑制策略。抑制策略可能包含以下內(nèi)容： 完全關(guān)閉所有系統(tǒng)； 從網(wǎng)絡(luò)上斷開(kāi)主機(jī)或部分網(wǎng)

25、絡(luò)； 修改所有的防火墻和路由器的過(guò)濾規(guī)則； 封鎖或刪除被攻擊的登陸賬號(hào)； 加強(qiáng)對(duì)系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控； 設(shè)置誘餌服務(wù)器進(jìn)一步獲取事件信息； 關(guān)閉受攻擊系統(tǒng)或其他相關(guān)系統(tǒng)的部分服務(wù)；根除階段：安全事件應(yīng)急響應(yīng) 6階段方法論的第 4階段是根除階段，即在準(zhǔn)確的抑制事件后，找出事件的根源并徹底根除它，以避免攻擊者再次使用相同手段攻擊系統(tǒng)，引發(fā)安全事件。在根除階段中將需要利用到在準(zhǔn)備階段中產(chǎn)生的結(jié)果。恢復(fù)階段：將事件的根源根除后， 將進(jìn)入恢復(fù)階段。 恢復(fù)階段的目標(biāo)是把所有被攻破的 系統(tǒng)或網(wǎng)絡(luò)設(shè)備還原到它們正常的任務(wù)狀態(tài)。跟進(jìn)階段：安全事件應(yīng)急響應(yīng)6階段方法論的最后一個(gè)階段是跟進(jìn)階段，其目標(biāo)是回顧并整合發(fā)

26、生事件的相關(guān)信息。跟進(jìn)階段也是6個(gè)階段中最可能被忽略的階段。但這一步也是非常關(guān)鍵的。該階段需要完成的原因有以下幾點(diǎn)： 有助于從安全事件中吸取經(jīng)驗(yàn)教訓(xùn)，提高技能； 有助于評(píng)判應(yīng)急響應(yīng)組織的事件響應(yīng)能力；安全事件應(yīng)急響應(yīng) 6階段方法論:九、文檔內(nèi)容概述本規(guī)范的主要內(nèi)容是應(yīng)急響應(yīng)技術(shù)規(guī)范，分別對(duì)應(yīng)急響應(yīng)流程中每個(gè)環(huán)節(jié)所用到的技術(shù)進(jìn)行了闡述。整個(gè)文檔由正文和附件兩個(gè)文檔組成，其中正文部分以應(yīng)急響應(yīng)方法學(xué)的六個(gè)階段（準(zhǔn)備、檢測(cè)、抑制、根除、恢復(fù)和跟進(jìn)）為主線順序劃分章節(jié)，并對(duì)安全事件響應(yīng)過(guò) 程中涉及的取證流程和工具進(jìn)行了簡(jiǎn)要的說(shuō)明。附件部分是關(guān)于安全攻防的具體技術(shù)內(nèi)容。正文的主要內(nèi)容是： 第一章，&qu

27、ot;準(zhǔn)備階段；主要闡述了準(zhǔn)備階段為應(yīng)急響應(yīng)后續(xù)階段工作制作系統(tǒng)初始化狀態(tài)快照的相關(guān)內(nèi)容和技術(shù)， 并以Windows、Solaris系統(tǒng)為例對(duì)安全初始化快照生 成步驟做了詳細(xì)的說(shuō)明， 也闡述了 Windows、Solaris、Oracle等系統(tǒng)的應(yīng)急處理工 具包包含的內(nèi)容和制作要求做了詳細(xì)的說(shuō)明。建立安全保障措施、制定安全事件應(yīng)急預(yù)案，進(jìn)行應(yīng)急演練等內(nèi)容不包含在本規(guī)范闡述的范圍之內(nèi)。 第二章，"檢測(cè)階段；詳細(xì)闡述了結(jié)合準(zhǔn)備階段生成的系統(tǒng)初始化狀態(tài)快照檢測(cè)安全事件（系統(tǒng)安全事件、網(wǎng)絡(luò)安全事件、數(shù)據(jù)庫(kù)安全事件）相關(guān)內(nèi)容和技術(shù)，并以Windows、Solaris系統(tǒng)為例做了詳細(xì)的說(shuō)明。本規(guī)

28、范不闡述通過(guò)入侵檢測(cè)系統(tǒng)、用戶投訴等其他途徑檢測(cè)安全事件的技術(shù)內(nèi)容。 第三章，"抑制和根除階段”，闡述了各類安全事件（拒絕服務(wù)類攻擊、系統(tǒng)漏洞及惡意代碼類攻擊、網(wǎng)絡(luò)欺騙類攻擊、網(wǎng)絡(luò)竊聽(tīng)類攻擊、數(shù)據(jù)庫(kù) SQL注入類攻擊）相應(yīng)的抑制或根除方法和技術(shù),并以Windows、Solaris系統(tǒng)為例做了詳細(xì)的說(shuō)明。 第四章，"恢復(fù)階段；說(shuō)明了將系統(tǒng)恢復(fù)到正常的任務(wù)狀態(tài)的方式。詳細(xì)說(shuō)明了兩種恢復(fù)的方式。一是在應(yīng)急處理方案中列明所有系統(tǒng)變化的情況下，直接刪除并恢復(fù)所有變化。二是在應(yīng)急處理方案中未列明所有系統(tǒng)變化的情況下，重裝系統(tǒng)。 第五章，"跟進(jìn)階段；為對(duì)抑制或根除的效果進(jìn)行審計(jì)

29、，確認(rèn)系統(tǒng)沒(méi)有被再次入侵提供了幫助。并說(shuō)明了跟進(jìn)階段的工作要如何進(jìn)行、在何時(shí)進(jìn)行比較合適、具體的工作流程、要思考和總結(jié)的問(wèn)題以及需要報(bào)告的內(nèi)容。 第六章，“取證流程和工具”，取證工作提供了可參考的工作流程，并列舉了部分取證工具的使用方法。文檔結(jié)構(gòu)圖:盡管本規(guī)范和指南在寫作之初就做了全局性的規(guī)劃，內(nèi)容的組織形式不依賴于具體的攻擊情景，事件分類方法具有較完備的覆蓋性，從而可在一定程度上保證文檔內(nèi)容的穩(wěn)定性。本規(guī)范檔是以應(yīng)急響應(yīng)方法學(xué)為主線，突出通用的過(guò)程。 但由于安全攻擊手段層出不窮，作者寫作時(shí)間和水平有限，本規(guī)范和指南還需要在今后結(jié)合中國(guó)移動(dòng)的實(shí)際情況不斷對(duì)其進(jìn)行補(bǔ)充和完善。1準(zhǔn)備階段主要闡述了

30、準(zhǔn)備階段為應(yīng)急響應(yīng)后續(xù)階段工作制作系統(tǒng)初始化狀態(tài)快照的相關(guān)內(nèi)容和技術(shù)，并以 Windows、Solaris系統(tǒng)為例對(duì)安全初始化快照生成步驟做了詳細(xì)的說(shuō)明，也闡 述了 Windows、Solaris、Oracle等系統(tǒng)的應(yīng)急處理工具包包含的內(nèi)容和制作要求做了詳細(xì) 的說(shuō)明。準(zhǔn)備階段還應(yīng)包括的建立安全保障措施、制定安全事件應(yīng)急預(yù)案，進(jìn)行應(yīng)急演練等內(nèi)容不包含在本規(guī)范闡述的范圍之內(nèi)，請(qǐng)參考中國(guó)移動(dòng)相關(guān)規(guī)范。1.1 概述1.1.1 準(zhǔn)備階段工作內(nèi)容準(zhǔn)備階段的工作內(nèi)容主要有兩個(gè)，一是對(duì)信息系統(tǒng)進(jìn)行初始化的快照。二是準(zhǔn)備應(yīng)急響應(yīng)工具包。系統(tǒng)快照是信息系統(tǒng)進(jìn)程、賬號(hào)、服務(wù)端口和關(guān)鍵文件簽名等狀態(tài)信息的記錄。通過(guò)

31、在系統(tǒng)初始化或發(fā)生重要狀態(tài)改變后，在確保系統(tǒng)未被入侵的前提下， 立即制作并保存系統(tǒng)快照，并在檢測(cè)的時(shí)候?qū)⒈４娴目煺张c信息系統(tǒng)當(dāng)前狀態(tài)進(jìn)行對(duì)比，是發(fā)現(xiàn)安全事件的一種重要途徑。 系統(tǒng)快照系統(tǒng)快照是系統(tǒng)狀態(tài)的精簡(jiǎn)化描述。在確保系統(tǒng)未被入侵的前提下，應(yīng)在以下時(shí)機(jī)由系統(tǒng)維護(hù)人員完成系統(tǒng)快照的生成和保存工作 系統(tǒng)初始化安裝完成后 系統(tǒng)重要配置文件發(fā)生更改后 系統(tǒng)進(jìn)行軟件升級(jí)后 系統(tǒng)發(fā)生過(guò)安全入侵事件并恢復(fù)后在今后的安全檢測(cè)時(shí)，通過(guò)將最近保存的系統(tǒng)快照與當(dāng)前系統(tǒng)快照進(jìn)行仔細(xì)的核對(duì)，能夠快速、準(zhǔn)確的發(fā)現(xiàn)系統(tǒng)的改變或異常。準(zhǔn)備階段還應(yīng)包括建立安全保障措施、對(duì)系統(tǒng)進(jìn)行安全加固，制定安全事件應(yīng)急預(yù)案，

32、進(jìn)行應(yīng)急演練等內(nèi)容。這些內(nèi)容不在本規(guī)范檔中進(jìn)行詳細(xì)的闡述。主機(jī)系統(tǒng)快照，應(yīng)包括但并不限于以下內(nèi)容： 系統(tǒng)進(jìn)程快照； 關(guān)鍵文件簽名快照； 開(kāi)放的對(duì)外服務(wù)端口快照； 系統(tǒng)資源利用率的快照； 注冊(cè)表快照； 計(jì)劃任務(wù)快照； 系統(tǒng)賬號(hào)快照； 日志及審核策略快照。以上內(nèi)容中的系統(tǒng)進(jìn)程快照、關(guān)鍵文件簽名和系統(tǒng)賬號(hào)快照尤為重要，一般入侵事件均可通過(guò)此三項(xiàng)快照的關(guān)聯(lián)分析查找獲得重要信息。網(wǎng)絡(luò)設(shè)備快照應(yīng)包括但并不限于以下內(nèi)容： 路由快照； 設(shè)備賬號(hào)快照； 系統(tǒng)資源利用率快照；數(shù)據(jù)庫(kù)系統(tǒng)快照照應(yīng)包括但并不限于以下內(nèi)容： 開(kāi)啟的服務(wù) 所有用戶及所具有的角色及權(quán)限 概要文件 數(shù)據(jù)庫(kù)參數(shù) 所有初始化參數(shù) 應(yīng)

33、急響應(yīng)工具包應(yīng)急工具包是指網(wǎng)絡(luò)與信息安全應(yīng)急事件處理過(guò)程中將使用工具集合。該工具包應(yīng)由安全技術(shù)人員及時(shí)建立，并定時(shí)更新。使用應(yīng)急響應(yīng)工具包中的工具所產(chǎn)生的結(jié)果將是網(wǎng)絡(luò)與信息安全應(yīng)急事件處理過(guò)程中的可信基礎(chǔ)。本規(guī)范結(jié)合中國(guó)移動(dòng)實(shí)際工作情況，具體說(shuō)明了Windows應(yīng)急響應(yīng)工具包和 Unix/Linux應(yīng)急響應(yīng)工具包。工具包應(yīng)盡量放置在不可更改的 介質(zhì)上，如只讀光盤。1.1.2 準(zhǔn)備階段工作流程第一步：系統(tǒng)維護(hù)人員按照系統(tǒng)的初始化策略對(duì)系統(tǒng)進(jìn)行安裝和配置加固第二步：系統(tǒng)維護(hù)人員對(duì)安裝和配置加固后的系統(tǒng)進(jìn)行自我檢查，確認(rèn)是否加固完成第三步：系統(tǒng)維護(hù)人員建立系統(tǒng)狀態(tài)快照第四步：系統(tǒng)維護(hù)人員對(duì)快照信息進(jìn)

34、行完整性簽名，以防止快照被非法篡改第五步：系統(tǒng)維護(hù)人員將快照保存在與系統(tǒng)分離的存儲(chǔ)介質(zhì)上準(zhǔn)備階段流程圖:對(duì)系統(tǒng)進(jìn)行安裝和配置加固自我檢查，確認(rèn)是否加固完成建立和保存系統(tǒng)狀態(tài)快照對(duì)快照進(jìn)行完整性簽名快照保存1.1.3 準(zhǔn)備階段操作說(shuō)明1）對(duì)系統(tǒng)的影響：本章操作不會(huì)對(duì)系統(tǒng)造成影響，在系統(tǒng)正常運(yùn)行情況下執(zhí)行各個(gè)步驟;2）操作的復(fù)雜度（容易/普通/復(fù)雜/）:容易；3）操作效果：對(duì)執(zhí)行后的結(jié)果必須保存到不可更改的存儲(chǔ)介質(zhì)；4）操作人員：各操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備的系統(tǒng)維護(hù)人員1.2主機(jī)和網(wǎng)絡(luò)設(shè)備安全初始化快照1、Windows安全初始化快照 生成帳號(hào)快照； 生成進(jìn)程快照； 生成服務(wù)快照； 生成自啟動(dòng)快

35、照； 生成文件簽名快照； 生成網(wǎng)絡(luò)連接快照； 生成共享快照； 生成定時(shí)作業(yè)快照； 生成注冊(cè)表快照； 保存所有快照到光盤內(nèi)2、Unix安全初始化快照 獲得所有setuid和setgid的文件列表； 獲得所有的隱藏文件列表； 獲得初始化進(jìn)程列表； 獲得開(kāi)放的端口列表 獲得開(kāi)放的服務(wù)列表； 獲得初始化passwd文件信息； 獲得初始化shadow文件信息； 獲得初始化的不能ftp登陸的用戶信息； 獲得初始化的用戶組信息； 獲得初始化的/etc/hosts文件信息； 獲得初始化的/etc/default/login 文件信息； 獲得/var/log目錄下的初始化文件列表信息； 獲得/var/adm目錄

36、下的初始化文件列表信息; 獲得初始化計(jì)劃任務(wù)列表文件; 獲得初始化加載的內(nèi)核模塊列表； 獲得初始化日志配置文件 /etc/syslog.conf信息; 獲得初始化md5校驗(yàn)和信息； 保存所有快照到光盤內(nèi)。3、網(wǎng)絡(luò)設(shè)備安全初始化快照 獲取用戶訪問(wèn)線路列表； 獲取用戶權(quán)限信息列表； 獲取開(kāi)放端口列表； 獲取路由表； 獲取訪問(wèn)控制列表； 獲取路由器CPU狀態(tài)； 保存所有信息到光盤內(nèi)。4、數(shù)據(jù)庫(kù)安全初始化快照 獲取Oracle數(shù)據(jù)庫(kù)用戶信息； 獲取DEFAULT概要文件信息； 獲取數(shù)據(jù)庫(kù)參數(shù)信息； 獲取Oracle其他初始化參數(shù)信息； 保存所有信息到光盤內(nèi)。5、安全加固及系統(tǒng)備份1.2.1 Windo

37、ws 安全初始化快照1 、獲取帳號(hào)信息：說(shuō)明： Windows 2000 Server 缺省安裝后有五個(gè)帳號(hào)，其中兩個(gè)帳號(hào)是IIS 帳號(hào)，一個(gè)是安裝了終端服務(wù)的終端用戶帳號(hào)，如果系統(tǒng)維護(hù)人員自己創(chuàng)建了帳號(hào)，也要記錄在案。操作方法：使用net user 命令（ Windows 系統(tǒng)自帶）可以列舉出系統(tǒng)當(dāng)前帳號(hào)。附加信息：Windows 2000 Server 缺省安裝后的五個(gè)帳號(hào)名稱：Administrator ：默認(rèn)系統(tǒng)維護(hù)人員帳號(hào)Guest ：來(lái)賓用戶帳號(hào)IUSR_機(jī)器名：IIS來(lái)賓帳號(hào)IWAM_機(jī)器名：?jiǎn)?dòng)IIS的進(jìn)程帳號(hào)TsInternetUser ：終端用戶帳號(hào)2、獲取進(jìn)程列表：說(shuō)明：

38、系統(tǒng)維護(hù)人員應(yīng)在系統(tǒng)安裝配置完成后對(duì)系統(tǒng)進(jìn)程做快照。操作方法：通過(guò)使用pslist 命令 （第三方工具， 下載 ），能夠列舉當(dāng)前進(jìn)程建立快照。使用 Widnows 任務(wù)管理器（Windows 系統(tǒng)自帶）也可以列舉出當(dāng)前進(jìn)程，但推薦使用pslist 工具。附加信息：請(qǐng)參見(jiàn)附錄1 察看 Windows 2000 Server 系統(tǒng)進(jìn)程名及對(duì)應(yīng)功能。3、獲取服務(wù)列表：說(shuō)明：系統(tǒng)維護(hù)人員應(yīng)在系統(tǒng)安裝配置完成后對(duì)系統(tǒng)服務(wù)做服務(wù)快照。操作方法：使用sc query state= all 命令格式（Windows 資源工具箱中的工具）可以列舉出系統(tǒng)當(dāng)前服務(wù)信息。附加信息：請(qǐng)參見(jiàn)附錄2 察看 Windows

39、2000 Server 系統(tǒng)服務(wù)。4、獲取自啟動(dòng)程序信息：說(shuō)明： Windows 2000 Server 缺省安裝后并無(wú)自啟動(dòng)項(xiàng)目。如果系統(tǒng)維護(hù)人員自己安裝了某些軟件，比如Office ，打印機(jī)等等，缺省情況下將被添加到自啟動(dòng)目錄中。操作方法：檢查各用戶目錄下的“開(kāi)始菜單程序 啟動(dòng)”目錄5、獲取系統(tǒng)關(guān)鍵文件簽名：說(shuō)明： Windows 2000 Server 缺省安裝后，系統(tǒng)維護(hù)人員應(yīng)利用md5sum 工具，對(duì)系統(tǒng)重要文件生成系統(tǒng)MD5 快照，然后將這些簽名信息保存在安全的服務(wù)器上，以后可做文件對(duì)比。操作方法：使用md5sum.exe命令（第三方工具， 下載）可對(duì)系統(tǒng)文件進(jìn)行MD5 快照。使用

40、方法：md5sum FILE. （后面可跟多個(gè)文件）。附加信息：建議用戶對(duì)以下二進(jìn)制文件和動(dòng)態(tài)連接庫(kù)文件進(jìn)行MD5SUM 快照。#windirEXPLORER.EXE#windirREGEDIT.EXE#windirNOTEPAD.EXE#windirTASKMAN.EXE#windirsystem32cmd.exe#windirsystem32ftp.exe#windirsystem32tftp.exe#windirsystem32at.exe#windirsystem32netstat.exe#windirsystem32ipconfig.exe#windirsystem32arp.exe

41、#windirsystem32KRNL386.EXE#windirsystem32WINLOGON.EXE#windirsystem32TASKMGR.EXE#windirsystem32runonce.exe#windirsystem32rundll32.exe#windirsystem32regedt32.exe#windirsystem32notepad.exe#windirsystem32CMD.EXE#windirsystemCOMMDLG.DLL#windirsystem32HAL.DLL#windirsystem32MSGINA.DLL#windirsystem32WSHTCPI

42、P.DLL#windirsystem32TCPCFG.DLL#windirsystem32EVENTLOG.DLL#windirsystem32COMMDLG.DLL#windirsystem32COMDLG32.DLL#windirsystem32COMCTL32.DLL6、獲取網(wǎng)絡(luò)連接信息：說(shuō) 明 ： Windows2000 缺 省 情 況 下 系 統(tǒng) 開(kāi) 放 135/139/445/1025 TCP 端 口 ， 開(kāi) 放137/138/445UDP 端口。如果安裝了MS SQL 服務(wù)器，還開(kāi)放TCP1433/UDP1434 端口，如果安裝了IIS 服務(wù)器還將開(kāi)放TCP80 端口。操作方法：

43、使用 netstat -an命令可以列舉出當(dāng)前系統(tǒng)開(kāi)放的TCP/UDP端口。附加信息：建議使用netstat -an命令（Windows系統(tǒng)自帶）快照出系統(tǒng)開(kāi)放端口和正常連接。7、獲取共享信息：說(shuō)明：Windows 2000Server缺省情況下開(kāi)放各磁盤共享，如 C$ ,遠(yuǎn)程管理共享（admin$） 和遠(yuǎn)程 IPC 共享 （IPC$） ，如果用戶另外打開(kāi)了其它目錄文件的共享，請(qǐng)記錄在案。操作方法：使用net share 命令（ Windows 系統(tǒng)自帶）建立共享快照。附加信息：Windows 2000Server 缺省共享共享名資源注釋D$D:默認(rèn)共享ADMIN$D:WINNT遠(yuǎn)程管理C$C

44、:默認(rèn)共享IPC$遠(yuǎn)程IPC8、獲取定時(shí)作業(yè)信息：說(shuō)明： Windows 2000 Server 缺省安裝后并無(wú)定時(shí)作業(yè)。如果系統(tǒng)維護(hù)人員自己設(shè)置了某些軟件，請(qǐng)記錄在案。建議系統(tǒng)維護(hù)人員使用at 命令建立定時(shí)作業(yè)快照。操作方法：使用at 命令（ Windows 系統(tǒng)自帶）建立定時(shí)作業(yè)快照。附加信息：無(wú)9、獲取注冊(cè)表信息：說(shuō)明：在對(duì)Windows 2000 Server 安裝了必要的軟件后,可對(duì)注冊(cè)表關(guān)鍵鍵值進(jìn)行快照，供以后在檢測(cè)時(shí)進(jìn)行注冊(cè)表對(duì)比。操作方法：使用regdmp 命令（ Windows 資源工具箱）可以對(duì)注冊(cè)表進(jìn)行快照。附加信息：可以進(jìn)行注冊(cè)表快照有多種方法，例如使用第三方軟件，比如

45、 Regshot 、 Regsnap等。在Windows 注冊(cè)表編輯器中也可以對(duì)注冊(cè)表進(jìn)行備份和快照。另外，微軟的資源工具箱中的regdmp 命令也可以用來(lái)進(jìn)行注冊(cè)表快照工作。直接在命令下運(yùn)行該命令及需要備份的鍵值即可，比如： C:toolsMS>regdmpHKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN建議系統(tǒng)維護(hù)人員對(duì)下面的關(guān)鍵鍵值進(jìn)行快照。HKEY_LOCAL_MACHINESSystemCurrentControlSetControlSessionManagerKnownDLLsHKEY_LOCAL_MACH

46、INESSystemControlSet001ControlSessionManager KnownDLLsHKEY_LOCAL_MACHINESSoftwareMicrsoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESSoftwareMicrsoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESSoftwareMicrsoftWindowsCurrentVersionRunOnceExHKEY_LOCAL_MACHINESSoftwareMicrsoftWindowsCurrentVersionRun

47、ServicesHKEY_LOCAL_MACHINESSoftwareMicrsoftWindowsNTCurrentVersionWindows(“ run= ” line)HKEY_LOCAL_MACHINESsamsamHKEY_CURRENT_USERSoftwareMicrsoftWindowsCurrentVersionRunHKEY_CURRENT_USER SoftwareMicrsoftWindowsCurrentVersionRunOnceHKEY_CURRENT_USER SoftwareMicrsoftWindowsCurrentVersionRunOnceExHKEY

48、_CURRENT_USER SoftwareMicrsoftWindowsCurrentVersionRunServicesHKEY_CURRENT_USERSoftwareMicrsoftWindowsNTCurrentVersionWindows( “ run= ” line)1.2.2 Unix 安全初始化快照 Solaris 安全初始化快照以 Solaris8 為例：1 、獲取所有setuid 和 setgid 的文件列表命令：# find / -type f ( -perm -04000 -o -perm -02000 )-print查找系統(tǒng)中所有的帶有suid 位和

49、sgid 位的文件2、獲取所有的隱藏文件列表命令：# find / -name ".*"-print查找所有以”.”開(kāi)頭的文件并打印出路徑3、獲取初始化進(jìn)程列表命令：# ps -ef說(shuō)明：UID:進(jìn)程所有者的用戶idPID:進(jìn)程 idPPID: 父進(jìn)程的進(jìn)程idC:CPU 占用率STIME: 以小時(shí)、分和秒表示的進(jìn)程啟動(dòng)時(shí)間TIME: 進(jìn)程自從啟動(dòng)以后占用CPU 的全部時(shí)間CMD: 生成進(jìn)程的命令名4、獲取開(kāi)放的端口列表命令：# netstat -an5、獲取開(kāi)放的服務(wù)列表命令: # cat /etc/inetd.conf具體內(nèi)容請(qǐng)參見(jiàn)附錄6： Solaris 的 inet

50、d.conf 初始化主要內(nèi)容6、獲取初始化passwd 文件信息命令: # cat /etc/passwd說(shuō)明 : 如果發(fā)現(xiàn)一些系統(tǒng)賬號(hào)(如bin, sys) 加上了 shell 部分， 就說(shuō)明有問(wèn)題, 下面是正常的passwd 文件， bin、 sys、 adm 等系統(tǒng)帳號(hào)沒(méi)有shell.bin:x:2:2:/usr/bin: sys:x:3:3:/:adm:x:4:4:Admin:/var/adm:7、獲取初始化shadow 文件信息命令 : # cat /etc/shadow說(shuō)明 : 如果發(fā)現(xiàn)一些系統(tǒng)賬號(hào)的密碼被更改了, 或者不可登錄的用戶有密碼了, 就說(shuō)明該賬號(hào)可能有問(wèn)題了。sys:

51、CVLoXsQvCgK62:6445:adm: CVLoXsQvCgK62:6445:8、獲取初始化的不能ftp 登陸的用戶信息命令 : # cat ftpusers說(shuō)明 : 在這個(gè)列表里邊的用戶名是不允許ftp 登陸的。 如果列表改變了，有可能是被入侵者改動(dòng)過(guò)。root daemon bin sys adm lp uucp nuucp listennobody noaccessnobody49、獲取初始化的用戶組信息命令: # cat /etc/group說(shuō)明: 這是系統(tǒng)用戶的分組情況root:0:rootother:1:bin:2:root,bin,daemonsys:3:root,bin

52、,sys,admadm:4:root,adm,daemonuucp:5:root,uucpmail:6:roottty:7:root,tty,admlp:8:root,lp,admnuucp:9:root,nuucpstaff:10:daemon:12:root,daemonsysadmin:14:nobody:60001:noaccess:60002:nogroup:65534:10 、獲取初始化的/etc/hosts 文件信息命令 : # cat hosts# Internet host table#localhost80 Solaris8x86 loghost11 、獲取初始化的/etc/default/login 文件信息命令: # cat /etc/default/login說(shuō)明: 這里是用戶登陸的配置文件的一部分，如控制root 能否從控制臺(tái)以外的地方登陸#ident "(#)login.dfl 1.1099/08/04 SMI" /* SVr4.0 */# Set the TZ environment variable of the shell.#TIMEZONE=EST5EDT# ULIMIT sets the file size limit for the login. Uni