ch9網(wǎng)絡(luò)安全檢測與分析

1、第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析第第9章章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析內(nèi)容提要：內(nèi)容提要：網(wǎng)絡(luò)安全檢測概述網(wǎng)絡(luò)安全檢測概述網(wǎng)絡(luò)安全漏洞檢測技術(shù)網(wǎng)絡(luò)安全漏洞檢測技術(shù)系統(tǒng)配置檢測技術(shù)系統(tǒng)配置檢測技術(shù)系統(tǒng)狀態(tài)檢測技術(shù)系統(tǒng)狀態(tài)檢測技術(shù)小結(jié)小結(jié)第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析9.1 網(wǎng)絡(luò)安全檢測概述網(wǎng)絡(luò)安全檢測概述 網(wǎng)絡(luò)安全檢測是獲取計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)網(wǎng)絡(luò)安全檢測是獲取計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全狀況的重要手段，是網(wǎng)絡(luò)安全防護(hù)體系的安全狀況的重要手段，是網(wǎng)絡(luò)安全防護(hù)體系的重要組成部分。的重要組成部分。返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安

2、全檢測與分析 網(wǎng)絡(luò)安全檢測是保證網(wǎng)絡(luò)系統(tǒng)安全性的重網(wǎng)絡(luò)安全檢測是保證網(wǎng)絡(luò)系統(tǒng)安全性的重要手段，通過網(wǎng)絡(luò)安全檢測可以發(fā)現(xiàn)計算機(jī)系要手段，通過網(wǎng)絡(luò)安全檢測可以發(fā)現(xiàn)計算機(jī)系統(tǒng)開放了哪些端口、提供了哪些服務(wù)、存在哪統(tǒng)開放了哪些端口、提供了哪些服務(wù)、存在哪些安全漏洞，檢查計算機(jī)系統(tǒng)自動加載的程序些安全漏洞，檢查計算機(jī)系統(tǒng)自動加載的程序或組件、正在運(yùn)行的程序或組件、補(bǔ)丁程序安或組件、正在運(yùn)行的程序或組件、補(bǔ)丁程序安裝情況、防火墻設(shè)置情況、反病毒軟件設(shè)置情裝情況、防火墻設(shè)置情況、反病毒軟件設(shè)置情況、賬戶設(shè)置情況、網(wǎng)絡(luò)設(shè)置情況、網(wǎng)絡(luò)使用況、賬戶設(shè)置情況、網(wǎng)絡(luò)設(shè)置情況、網(wǎng)絡(luò)使用情況等。情況等。返回本章首頁返回本

3、章首頁9.1.1 網(wǎng)絡(luò)安全檢測的目的網(wǎng)絡(luò)安全檢測的目的第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析 根據(jù)檢測點(diǎn)位于被檢測目標(biāo)的內(nèi)部或是外根據(jù)檢測點(diǎn)位于被檢測目標(biāo)的內(nèi)部或是外部，可以將網(wǎng)絡(luò)安全檢測分為部，可以將網(wǎng)絡(luò)安全檢測分為外部檢測外部檢測和和內(nèi)部內(nèi)部檢測檢測。 外部檢測通常稱為網(wǎng)絡(luò)安全漏洞檢測，主外部檢測通常稱為網(wǎng)絡(luò)安全漏洞檢測，主要形式包括：要形式包括： 網(wǎng)絡(luò)端口掃描；網(wǎng)絡(luò)端口掃描； 網(wǎng)絡(luò)服務(wù)類型掃描；網(wǎng)絡(luò)服務(wù)類型掃描； 操作系統(tǒng)類型掃描；操作系統(tǒng)類型掃描； 網(wǎng)絡(luò)漏洞掃描；網(wǎng)絡(luò)漏洞掃描； 弱口令掃描等。弱口令掃描等。返回本章首頁返回本章首頁9.1.2 網(wǎng)絡(luò)安全檢測的分類網(wǎng)絡(luò)安全檢測的

4、分類第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析 內(nèi)部檢測的主要形式包括：系統(tǒng)配置檢測、內(nèi)部檢測的主要形式包括：系統(tǒng)配置檢測、系統(tǒng)狀態(tài)檢測。系統(tǒng)狀態(tài)檢測。 系統(tǒng)配置檢測主要從被檢測目標(biāo)內(nèi)部對其系統(tǒng)配置檢測主要從被檢測目標(biāo)內(nèi)部對其安全配置情況進(jìn)行檢測，主要包括：安全配置情況進(jìn)行檢測，主要包括： 自動加載項檢查；自動加載項檢查； 服務(wù)設(shè)置情況檢查；服務(wù)設(shè)置情況檢查； 補(bǔ)丁程序安裝情況檢查；補(bǔ)丁程序安裝情況檢查； 防火墻設(shè)置情況檢查；防火墻設(shè)置情況檢查； 防病毒軟件設(shè)置情況檢查；防病毒軟件設(shè)置情況檢查； 網(wǎng)絡(luò)設(shè)置情況檢查；網(wǎng)絡(luò)設(shè)置情況檢查； 賬戶設(shè)置情況檢查等賬戶設(shè)置情況檢查等。返回本章首頁返

5、回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析 系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)檢測主要從被檢測目標(biāo)內(nèi)部對其檢測主要從被檢測目標(biāo)內(nèi)部對其運(yùn)行狀態(tài)進(jìn)行檢測，檢查其運(yùn)行狀態(tài)是否存在運(yùn)行狀態(tài)進(jìn)行檢測，檢查其運(yùn)行狀態(tài)是否存在異常情況異常情況，主要包括：，主要包括： 正在運(yùn)行的程序或組件檢查；正在運(yùn)行的程序或組件檢查； 賬戶使用情況檢查賬戶使用情況檢查 防火墻狀態(tài)檢查；防火墻狀態(tài)檢查； 防病毒軟件狀態(tài)檢查；防病毒軟件狀態(tài)檢查； 網(wǎng)絡(luò)使用情況檢查等。網(wǎng)絡(luò)使用情況檢查等。返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析9.2 網(wǎng)絡(luò)安全漏洞檢測技術(shù)網(wǎng)絡(luò)安全漏洞檢測技術(shù) 網(wǎng)絡(luò)安全漏洞對網(wǎng)

6、絡(luò)系統(tǒng)的安全形成了嚴(yán)網(wǎng)絡(luò)安全漏洞對網(wǎng)絡(luò)系統(tǒng)的安全形成了嚴(yán)重威脅，許多的網(wǎng)絡(luò)安全事件都與安全漏洞有重威脅，許多的網(wǎng)絡(luò)安全事件都與安全漏洞有關(guān)。因此，檢測網(wǎng)絡(luò)安全漏洞具有重要意義。關(guān)。因此，檢測網(wǎng)絡(luò)安全漏洞具有重要意義。返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析 漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。 漏洞的產(chǎn)生有其必然性，這是因為軟件的漏洞的產(chǎn)生有其必然性，這是因為軟件的正確性

7、通常是通過檢測來保障的。正確性通常是通過檢測來保障的。“檢測只能檢測只能發(fā)現(xiàn)錯誤，證明錯誤的存在，不能證明錯誤的發(fā)現(xiàn)錯誤，證明錯誤的存在，不能證明錯誤的不存在不存在”返回本章首頁返回本章首頁9.2.1 漏洞概念漏洞概念第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析 網(wǎng)絡(luò)安全漏洞檢測主要包括端口掃描、操網(wǎng)絡(luò)安全漏洞檢測主要包括端口掃描、操作系統(tǒng)探測和安全漏洞探測。作系統(tǒng)探測和安全漏洞探測。 通過端口掃描可以掌握系統(tǒng)都開放了哪些通過端口掃描可以掌握系統(tǒng)都開放了哪些端口、提供了哪些網(wǎng)絡(luò)服務(wù)；端口、提供了哪些網(wǎng)絡(luò)服務(wù)； 通過操作系統(tǒng)探測可以掌握操作系統(tǒng)的類通過操作系統(tǒng)探測可以掌握操作系統(tǒng)的類型信息

8、；型信息； 通過安全漏洞探測可以發(fā)現(xiàn)系統(tǒng)中可能存通過安全漏洞探測可以發(fā)現(xiàn)系統(tǒng)中可能存在的安全漏洞。在的安全漏洞。返回本章首頁返回本章首頁9.2.2 網(wǎng)絡(luò)網(wǎng)絡(luò)安全漏洞檢測方法安全漏洞檢測方法第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析1端口掃描技術(shù)端口掃描技術(shù) 端口掃描的原理是向目標(biāo)主機(jī)的端口掃描的原理是向目標(biāo)主機(jī)的TCP/IP端口發(fā)送探測數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)。端口發(fā)送探測數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)。通過分析響應(yīng)來判斷端口是打開還是關(guān)閉等狀通過分析響應(yīng)來判斷端口是打開還是關(guān)閉等狀態(tài)信息。態(tài)信息。 端口掃描技術(shù)分為端口掃描技術(shù)分為TCP端口掃描技術(shù)和端口掃描技術(shù)和UDP端口掃描技術(shù)

9、。端口掃描技術(shù)。返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析 TCP端口掃描技術(shù)端口掃描技術(shù) TCP端口掃描技術(shù)主要包括：端口掃描技術(shù)主要包括：TCP connect掃描、掃描、TCP SYN掃描、掃描、TCP FIN掃描、掃描、TCP Xmas和和TCP Null掃描掃描4種。種。 UDP端口掃描技術(shù)端口掃描技術(shù) UDP端口掃描主要用來確定在目標(biāo)主機(jī)上有哪些端口掃描主要用來確定在目標(biāo)主機(jī)上有哪些UDP端口是開放的。其實現(xiàn)思想是發(fā)送端口是開放的。其實現(xiàn)思想是發(fā)送UDP信息包到信息包到目標(biāo)機(jī)器的各個端口，若收到一個目標(biāo)機(jī)器的各個端口，若收到一個ICMP端口不可達(dá)的端

10、口不可達(dá)的回應(yīng)，則表示該回應(yīng)，則表示該UDP端口是關(guān)閉的，否則該端口就是端口是關(guān)閉的，否則該端口就是開放的。開放的。返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析2操作系統(tǒng)探測技術(shù)操作系統(tǒng)探測技術(shù) 操作系統(tǒng)探測技術(shù)主要包括：獲取標(biāo)識信操作系統(tǒng)探測技術(shù)主要包括：獲取標(biāo)識信息探測技術(shù)和基于息探測技術(shù)和基于TCP/IP協(xié)議棧的操作系統(tǒng)協(xié)議棧的操作系統(tǒng)指紋探測技術(shù)。指紋探測技術(shù)。獲取標(biāo)識信息探測技術(shù)獲取標(biāo)識信息探測技術(shù) 獲取標(biāo)識信息探測技術(shù)主要是指借助操作獲取標(biāo)識信息探測技術(shù)主要是指借助操作系統(tǒng)本身提供的命令和程序進(jìn)行操作系統(tǒng)類型系統(tǒng)本身提供的命令和程序進(jìn)行操作系統(tǒng)類型探測

11、的技術(shù)。探測的技術(shù)。返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析基于基于TCP/IP協(xié)議棧的指紋探測技術(shù)協(xié)議棧的指紋探測技術(shù) 指紋探測實現(xiàn)依據(jù)是不同類型、不同版本指紋探測實現(xiàn)依據(jù)是不同類型、不同版本的操作系統(tǒng)在協(xié)議棧實現(xiàn)上存在細(xì)微差別。操的操作系統(tǒng)在協(xié)議棧實現(xiàn)上存在細(xì)微差別。操作系統(tǒng)指紋探測步驟為：作系統(tǒng)指紋探測步驟為：p 形成一個操作系統(tǒng)指紋特征庫；形成一個操作系統(tǒng)指紋特征庫；p 向目標(biāo)發(fā)送多種特意構(gòu)造的信息包，檢測其向目標(biāo)發(fā)送多種特意構(gòu)造的信息包，檢測其響應(yīng)特征信息；響應(yīng)特征信息；p 把返回的特征信息與指紋特征庫進(jìn)行匹配，把返回的特征信息與指紋特征庫進(jìn)行匹配，

12、判斷目標(biāo)的操作系統(tǒng)類型及其版本號。判斷目標(biāo)的操作系統(tǒng)類型及其版本號。返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析3安全漏洞探測技術(shù)安全漏洞探測技術(shù) 安全漏洞探測是采用各種方法對目標(biāo)可能安全漏洞探測是采用各種方法對目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項檢查。按照網(wǎng)絡(luò)存在的已知安全漏洞進(jìn)行逐項檢查。按照網(wǎng)絡(luò)安全漏洞的可利用方式來劃分，漏洞探測技術(shù)安全漏洞的可利用方式來劃分，漏洞探測技術(shù)可以分為：可以分為：信息型漏洞探測信息型漏洞探測和和攻擊型漏洞探測攻擊型漏洞探測兩種。兩種。返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析信息型漏洞探測信息型漏洞

13、探測 大部分的網(wǎng)絡(luò)安全漏洞都與特定的目標(biāo)狀大部分的網(wǎng)絡(luò)安全漏洞都與特定的目標(biāo)狀態(tài)如：目標(biāo)運(yùn)行的操作系統(tǒng)版本及補(bǔ)丁安裝情態(tài)如：目標(biāo)運(yùn)行的操作系統(tǒng)版本及補(bǔ)丁安裝情況、運(yùn)行服務(wù)及其服務(wù)程序版本等因素直接相況、運(yùn)行服務(wù)及其服務(wù)程序版本等因素直接相關(guān)，只要對目標(biāo)的此類信息進(jìn)行準(zhǔn)確探測就可關(guān)，只要對目標(biāo)的此類信息進(jìn)行準(zhǔn)確探測就可以在很大程度上確定目標(biāo)存在的安全漏洞。以在很大程度上確定目標(biāo)存在的安全漏洞。 該技術(shù)實現(xiàn)方便、對目標(biāo)不產(chǎn)生破壞性影該技術(shù)實現(xiàn)方便、對目標(biāo)不產(chǎn)生破壞性影響、對于具體某個漏洞存在與否，難以做出確響、對于具體某個漏洞存在與否，難以做出確定性的結(jié)論。定性的結(jié)論。返回本章首頁返回本章首頁第九

14、章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析攻擊型漏洞探測攻擊型漏洞探測 模擬攻擊是最直接的漏洞探測技術(shù)，其探模擬攻擊是最直接的漏洞探測技術(shù)，其探測結(jié)果的準(zhǔn)確率也是最高的。該探測技術(shù)的主測結(jié)果的準(zhǔn)確率也是最高的。該探測技術(shù)的主要思想是模擬網(wǎng)絡(luò)入侵的一般過程，對目標(biāo)系要思想是模擬網(wǎng)絡(luò)入侵的一般過程，對目標(biāo)系統(tǒng)進(jìn)行無惡意攻擊嘗試，若攻擊成功則表明相統(tǒng)進(jìn)行無惡意攻擊嘗試，若攻擊成功則表明相應(yīng)安全漏洞必然存在。應(yīng)安全漏洞必然存在。 模擬攻擊技術(shù)的局限性包括：模擬攻擊技術(shù)的局限性包括：p 存在一些漏洞無法探測到存在一些漏洞無法探測到p 不可能做到完全沒有破壞性不可能做到完全沒有破壞性返回本章首頁返回本

15、章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析 網(wǎng)絡(luò)安全漏洞檢測工具的作用是從目標(biāo)系網(wǎng)絡(luò)安全漏洞檢測工具的作用是從目標(biāo)系統(tǒng)外部對其洞進(jìn)行掃描分析，找出目標(biāo)系統(tǒng)存統(tǒng)外部對其洞進(jìn)行掃描分析，找出目標(biāo)系統(tǒng)存在的安全漏洞，從而可以在遭受攻擊之前修補(bǔ)在的安全漏洞，從而可以在遭受攻擊之前修補(bǔ)漏 洞 。 常 用 的 網(wǎng) 絡(luò) 安 全 漏 洞 檢 測 工 具 有漏 洞 。 常 用 的 網(wǎng) 絡(luò) 安 全 漏 洞 檢 測 工 具 有Nessus、Shadow Security Scanner、X-Scan、Nmap等。等。返回本章首頁返回本章首頁9.2.3 常用網(wǎng)絡(luò)安全漏洞檢測工具常用網(wǎng)絡(luò)安全漏洞檢測工具第

16、九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析1Nessus返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析2Shadow Security Scanner返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析3X-Scan返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析4Nmap返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析9.3 系統(tǒng)配置檢測技術(shù)系統(tǒng)配置檢測技術(shù) 通過檢測系統(tǒng)配置信息，可以發(fā)現(xiàn)系統(tǒng)自通過檢測系統(tǒng)配置信息，可以發(fā)現(xiàn)系統(tǒng)自動加載的啟動項目、系統(tǒng)補(bǔ)丁安裝情況、系統(tǒng)動加載的啟動項目

17、、系統(tǒng)補(bǔ)丁安裝情況、系統(tǒng)存在的安全漏洞、系統(tǒng)內(nèi)存在的可疑程序等。存在的安全漏洞、系統(tǒng)內(nèi)存在的可疑程序等。 通過檢測系統(tǒng)配置信息，還可以檢測出系通過檢測系統(tǒng)配置信息，還可以檢測出系統(tǒng)的防火墻、反病毒軟件等安全防護(hù)措施的配統(tǒng)的防火墻、反病毒軟件等安全防護(hù)措施的配置情況。置情況。返回本章首頁返回本章首頁9.3.1 系統(tǒng)配置檢測概述系統(tǒng)配置檢測概述第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析 Autoruns是是Sysinterals系統(tǒng)維護(hù)工具集系統(tǒng)維護(hù)工具集中的一個組件。中的一個組件。Autoruns的主要功能是管理的主要功能是管理系統(tǒng)自動啟動的程序、服務(wù)以及自動加載的驅(qū)系統(tǒng)自動啟動的程序、

18、服務(wù)以及自動加載的驅(qū)動程序、動程序、DLL、插件等。、插件等。返回本章首頁返回本章首頁9.3.2 Autoruns的使用的使用第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析1管理加載項管理加載項 選擇一個自動加載項，點(diǎn)擊菜單欄上的選擇一個自動加載項，點(diǎn)擊菜單欄上的“Entry”菜單項，將彈出加載項管理菜單。菜單項，將彈出加載項管理菜單。返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析2保存加載項信息保存加載項信息 點(diǎn)擊菜單欄上的點(diǎn)擊菜單欄上的“File”“Save”菜單項，菜單項，將彈出保存加載項信息的文件名的對話框。將彈出保存加載項信息的文件名的對話框。返回本章

19、首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析3比較加載項信息比較加載項信息 在保存了加載項信息后，可以隨時與當(dāng)前在保存了加載項信息后，可以隨時與當(dāng)前最新的加載項信息進(jìn)行比較，檢查增加了哪些最新的加載項信息進(jìn)行比較，檢查增加了哪些加載項。加載項。返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析 360安全衛(wèi)士是殺木馬、打補(bǔ)丁、保護(hù)隱安全衛(wèi)士是殺木馬、打補(bǔ)丁、保護(hù)隱私的有效工具私的有效工具。返回本章首頁返回本章首頁9.3.3 360安全衛(wèi)士的使用安全衛(wèi)士的使用第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析1電腦體檢電腦體檢 在在360安全衛(wèi)士主界

20、面中，點(diǎn)擊安全衛(wèi)士主界面中，點(diǎn)擊“立即體立即體檢檢”按鈕，即可開始電腦體檢過程。按鈕，即可開始電腦體檢過程。返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析2查殺木馬查殺木馬 在在360安全衛(wèi)士主界面中，安全衛(wèi)士主界面中，點(diǎn)擊點(diǎn)擊“查殺木查殺木馬馬”按鈕，即可進(jìn)入查殺木馬界面按鈕，即可進(jìn)入查殺木馬界面。返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析3清理插件清理插件 在在360安全衛(wèi)士主界面中，安全衛(wèi)士主界面中，點(diǎn)擊點(diǎn)擊“清理插清理插件件”按鈕，即可進(jìn)入清理插件界面按鈕，即可進(jìn)入清理插件界面。返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢

21、測與分析網(wǎng)絡(luò)安全檢測與分析4優(yōu)化加速優(yōu)化加速 在在360安全衛(wèi)士主界面中，安全衛(wèi)士主界面中，點(diǎn)擊點(diǎn)擊“優(yōu)化加優(yōu)化加速速”按鈕，即可進(jìn)入優(yōu)化加速界面按鈕，即可進(jìn)入優(yōu)化加速界面。返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析9.4 系統(tǒng)狀態(tài)檢測技術(shù)系統(tǒng)狀態(tài)檢測技術(shù) 系統(tǒng)狀態(tài)檢測的檢測對象是系統(tǒng)的運(yùn)行狀系統(tǒng)狀態(tài)檢測的檢測對象是系統(tǒng)的運(yùn)行狀態(tài)，包括訪問的文件信息、運(yùn)行的程序信息、態(tài)，包括訪問的文件信息、運(yùn)行的程序信息、系統(tǒng)資源使用情況、進(jìn)程信息、線程信息、網(wǎng)系統(tǒng)資源使用情況、進(jìn)程信息、線程信息、網(wǎng)絡(luò)連接情況、網(wǎng)絡(luò)流量信息等。絡(luò)連接情況、網(wǎng)絡(luò)流量信息等。 系統(tǒng)狀態(tài)檢測的目的是

22、通過對系統(tǒng)狀態(tài)信系統(tǒng)狀態(tài)檢測的目的是通過對系統(tǒng)狀態(tài)信息的檢測來分析系統(tǒng)的運(yùn)行是否正常，查找并息的檢測來分析系統(tǒng)的運(yùn)行是否正常，查找并分析導(dǎo)致系統(tǒng)運(yùn)行異常的原因。分析導(dǎo)致系統(tǒng)運(yùn)行異常的原因。返回本章首頁返回本章首頁9.4.1 系統(tǒng)狀態(tài)檢測概述系統(tǒng)狀態(tài)檢測概述第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析 IceSword是一款國產(chǎn)的系統(tǒng)狀態(tài)檢測工是一款國產(chǎn)的系統(tǒng)狀態(tài)檢測工具，用于查探系統(tǒng)中的木馬后門并做出處理，具，用于查探系統(tǒng)中的木馬后門并做出處理，它適用于它適用于Windows 2000/XP/2003操作系操作系統(tǒng)。統(tǒng)。IceSword使用大量新穎的內(nèi)核技術(shù)，能使用大量新穎的內(nèi)核技術(shù)，能

23、夠檢測隱藏的進(jìn)程、端口、注冊表、文件等多夠檢測隱藏的進(jìn)程、端口、注冊表、文件等多種信息。種信息。返回本章首頁返回本章首頁9.4.2 IceSword的使用的使用第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析1IceSword的操作界面的操作界面 IceSword的操作界面分為：菜單欄和工的操作界面分為：菜單欄和工具欄，任務(wù)選擇欄和詳細(xì)情況顯示欄。具欄，任務(wù)選擇欄和詳細(xì)情況顯示欄。返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析2隱藏進(jìn)程檢測隱藏進(jìn)程檢測 假設(shè)對進(jìn)程假設(shè)對進(jìn)程“ipmsg.exe”進(jìn)行了隱藏，進(jìn)行了隱藏，IceSword和和Windows任務(wù)管理器對

24、此進(jìn)程任務(wù)管理器對此進(jìn)程的檢測結(jié)果對比如下圖：的檢測結(jié)果對比如下圖：返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析 Process Explorer是是Sysinterals系統(tǒng)維系統(tǒng)維護(hù)工具集中的一個組件，是一個增強(qiáng)型的進(jìn)程護(hù)工具集中的一個組件，是一個增強(qiáng)型的進(jìn)程管理工具。管理工具。返回本章首頁返回本章首頁9.4.3 Process Explorer的使用的使用第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析1查看系統(tǒng)資源使用情況查看系統(tǒng)資源使用情況 點(diǎn)擊點(diǎn)擊Process Explorer操作界面菜單欄操作界面菜單欄上的上的“View”“System Info

25、rmation”菜單。菜單。返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析2查看進(jìn)程使用的系統(tǒng)資源句柄查看進(jìn)程使用的系統(tǒng)資源句柄 點(diǎn)擊點(diǎn)擊Process Explorer操作界面菜單欄操作界面菜單欄上的上的“View”“Show Lower Pane”菜單菜單。返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析3查看進(jìn)程加載的查看進(jìn)程加載的DLL文件信息文件信息 點(diǎn)擊點(diǎn)擊Process Explorer操作界面菜單欄上的操作界面菜單欄上的“View”“Lower Pane View”“DLLs”菜單菜單。返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析4查看進(jìn)程屬性查看進(jìn)程屬性 選擇一個進(jìn)程，點(diǎn)擊選擇一個進(jìn)程，點(diǎn)擊Process Explorer操作界面操作界面菜單欄上的菜單欄上的“Process”“Properties”。返回本章首頁返回本章首頁第九章第九章 網(wǎng)絡(luò)安全檢測與分析網(wǎng)絡(luò)安全檢測與分析5搜索包含某個句柄或搜索包含某個句柄或DLL的進(jìn)程的進(jìn)程 點(diǎn)擊點(diǎn)擊Process Explorer操作界面