ch9網(wǎng)絡(luò)安全檢測(cè)與分析

1、第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析第第9章章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析內(nèi)容提要：內(nèi)容提要：網(wǎng)絡(luò)安全檢測(cè)概述網(wǎng)絡(luò)安全檢測(cè)概述網(wǎng)絡(luò)安全漏洞檢測(cè)技術(shù)網(wǎng)絡(luò)安全漏洞檢測(cè)技術(shù)系統(tǒng)配置檢測(cè)技術(shù)系統(tǒng)配置檢測(cè)技術(shù)系統(tǒng)狀態(tài)檢測(cè)技術(shù)系統(tǒng)狀態(tài)檢測(cè)技術(shù)小結(jié)小結(jié)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析9.1 網(wǎng)絡(luò)安全檢測(cè)概述網(wǎng)絡(luò)安全檢測(cè)概述 網(wǎng)絡(luò)安全檢測(cè)是獲取計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)網(wǎng)絡(luò)安全檢測(cè)是獲取計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的安全狀況的重要手段，是網(wǎng)絡(luò)安全防護(hù)體系的安全狀況的重要手段，是網(wǎng)絡(luò)安全防護(hù)體系的重要組成部分。的重要組成部分。返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安

2、全檢測(cè)與分析 網(wǎng)絡(luò)安全檢測(cè)是保證網(wǎng)絡(luò)系統(tǒng)安全性的重網(wǎng)絡(luò)安全檢測(cè)是保證網(wǎng)絡(luò)系統(tǒng)安全性的重要手段，通過(guò)網(wǎng)絡(luò)安全檢測(cè)可以發(fā)現(xiàn)計(jì)算機(jī)系要手段，通過(guò)網(wǎng)絡(luò)安全檢測(cè)可以發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)開(kāi)放了哪些端口、提供了哪些服務(wù)、存在哪統(tǒng)開(kāi)放了哪些端口、提供了哪些服務(wù)、存在哪些安全漏洞，檢查計(jì)算機(jī)系統(tǒng)自動(dòng)加載的程序些安全漏洞，檢查計(jì)算機(jī)系統(tǒng)自動(dòng)加載的程序或組件、正在運(yùn)行的程序或組件、補(bǔ)丁程序安或組件、正在運(yùn)行的程序或組件、補(bǔ)丁程序安裝情況、防火墻設(shè)置情況、反病毒軟件設(shè)置情裝情況、防火墻設(shè)置情況、反病毒軟件設(shè)置情況、賬戶(hù)設(shè)置情況、網(wǎng)絡(luò)設(shè)置情況、網(wǎng)絡(luò)使用況、賬戶(hù)設(shè)置情況、網(wǎng)絡(luò)設(shè)置情況、網(wǎng)絡(luò)使用情況等。情況等。返回本章首頁(yè)返回本

3、章首頁(yè)9.1.1 網(wǎng)絡(luò)安全檢測(cè)的目的網(wǎng)絡(luò)安全檢測(cè)的目的第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析 根據(jù)檢測(cè)點(diǎn)位于被檢測(cè)目標(biāo)的內(nèi)部或是外根據(jù)檢測(cè)點(diǎn)位于被檢測(cè)目標(biāo)的內(nèi)部或是外部，可以將網(wǎng)絡(luò)安全檢測(cè)分為部，可以將網(wǎng)絡(luò)安全檢測(cè)分為外部檢測(cè)外部檢測(cè)和和內(nèi)部?jī)?nèi)部檢測(cè)檢測(cè)。 外部檢測(cè)通常稱(chēng)為網(wǎng)絡(luò)安全漏洞檢測(cè)，主外部檢測(cè)通常稱(chēng)為網(wǎng)絡(luò)安全漏洞檢測(cè)，主要形式包括：要形式包括： 網(wǎng)絡(luò)端口掃描；網(wǎng)絡(luò)端口掃描； 網(wǎng)絡(luò)服務(wù)類(lèi)型掃描；網(wǎng)絡(luò)服務(wù)類(lèi)型掃描； 操作系統(tǒng)類(lèi)型掃描；操作系統(tǒng)類(lèi)型掃描； 網(wǎng)絡(luò)漏洞掃描；網(wǎng)絡(luò)漏洞掃描； 弱口令掃描等。弱口令掃描等。返回本章首頁(yè)返回本章首頁(yè)9.1.2 網(wǎng)絡(luò)安全檢測(cè)的分類(lèi)網(wǎng)絡(luò)安全檢測(cè)的

4、分類(lèi)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析 內(nèi)部檢測(cè)的主要形式包括：系統(tǒng)配置檢測(cè)、內(nèi)部檢測(cè)的主要形式包括：系統(tǒng)配置檢測(cè)、系統(tǒng)狀態(tài)檢測(cè)。系統(tǒng)狀態(tài)檢測(cè)。 系統(tǒng)配置檢測(cè)主要從被檢測(cè)目標(biāo)內(nèi)部對(duì)其系統(tǒng)配置檢測(cè)主要從被檢測(cè)目標(biāo)內(nèi)部對(duì)其安全配置情況進(jìn)行檢測(cè)，主要包括：安全配置情況進(jìn)行檢測(cè)，主要包括： 自動(dòng)加載項(xiàng)檢查；自動(dòng)加載項(xiàng)檢查； 服務(wù)設(shè)置情況檢查；服務(wù)設(shè)置情況檢查； 補(bǔ)丁程序安裝情況檢查；補(bǔ)丁程序安裝情況檢查； 防火墻設(shè)置情況檢查；防火墻設(shè)置情況檢查； 防病毒軟件設(shè)置情況檢查；防病毒軟件設(shè)置情況檢查； 網(wǎng)絡(luò)設(shè)置情況檢查；網(wǎng)絡(luò)設(shè)置情況檢查； 賬戶(hù)設(shè)置情況檢查等賬戶(hù)設(shè)置情況檢查等。返回本章首頁(yè)返

5、回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析 系統(tǒng)狀態(tài)系統(tǒng)狀態(tài)檢測(cè)主要從被檢測(cè)目標(biāo)內(nèi)部對(duì)其檢測(cè)主要從被檢測(cè)目標(biāo)內(nèi)部對(duì)其運(yùn)行狀態(tài)進(jìn)行檢測(cè)，檢查其運(yùn)行狀態(tài)是否存在運(yùn)行狀態(tài)進(jìn)行檢測(cè)，檢查其運(yùn)行狀態(tài)是否存在異常情況異常情況，主要包括：，主要包括： 正在運(yùn)行的程序或組件檢查；正在運(yùn)行的程序或組件檢查； 賬戶(hù)使用情況檢查賬戶(hù)使用情況檢查 防火墻狀態(tài)檢查；防火墻狀態(tài)檢查； 防病毒軟件狀態(tài)檢查；防病毒軟件狀態(tài)檢查； 網(wǎng)絡(luò)使用情況檢查等。網(wǎng)絡(luò)使用情況檢查等。返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析9.2 網(wǎng)絡(luò)安全漏洞檢測(cè)技術(shù)網(wǎng)絡(luò)安全漏洞檢測(cè)技術(shù) 網(wǎng)絡(luò)安全漏洞對(duì)網(wǎng)

6、絡(luò)系統(tǒng)的安全形成了嚴(yán)網(wǎng)絡(luò)安全漏洞對(duì)網(wǎng)絡(luò)系統(tǒng)的安全形成了嚴(yán)重威脅，許多的網(wǎng)絡(luò)安全事件都與安全漏洞有重威脅，許多的網(wǎng)絡(luò)安全事件都與安全漏洞有關(guān)。因此，檢測(cè)網(wǎng)絡(luò)安全漏洞具有重要意義。關(guān)。因此，檢測(cè)網(wǎng)絡(luò)安全漏洞具有重要意義。返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析 漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。 漏洞的產(chǎn)生有其必然性，這是因?yàn)檐浖穆┒吹漠a(chǎn)生有其必然性，這是因?yàn)檐浖恼_性

7、通常是通過(guò)檢測(cè)來(lái)保障的。正確性通常是通過(guò)檢測(cè)來(lái)保障的?！皺z測(cè)只能檢測(cè)只能發(fā)現(xiàn)錯(cuò)誤，證明錯(cuò)誤的存在，不能證明錯(cuò)誤的發(fā)現(xiàn)錯(cuò)誤，證明錯(cuò)誤的存在，不能證明錯(cuò)誤的不存在不存在”返回本章首頁(yè)返回本章首頁(yè)9.2.1 漏洞概念漏洞概念第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析 網(wǎng)絡(luò)安全漏洞檢測(cè)主要包括端口掃描、操網(wǎng)絡(luò)安全漏洞檢測(cè)主要包括端口掃描、操作系統(tǒng)探測(cè)和安全漏洞探測(cè)。作系統(tǒng)探測(cè)和安全漏洞探測(cè)。 通過(guò)端口掃描可以掌握系統(tǒng)都開(kāi)放了哪些通過(guò)端口掃描可以掌握系統(tǒng)都開(kāi)放了哪些端口、提供了哪些網(wǎng)絡(luò)服務(wù)；端口、提供了哪些網(wǎng)絡(luò)服務(wù)； 通過(guò)操作系統(tǒng)探測(cè)可以掌握操作系統(tǒng)的類(lèi)通過(guò)操作系統(tǒng)探測(cè)可以掌握操作系統(tǒng)的類(lèi)型信息

8、；型信息； 通過(guò)安全漏洞探測(cè)可以發(fā)現(xiàn)系統(tǒng)中可能存通過(guò)安全漏洞探測(cè)可以發(fā)現(xiàn)系統(tǒng)中可能存在的安全漏洞。在的安全漏洞。返回本章首頁(yè)返回本章首頁(yè)9.2.2 網(wǎng)絡(luò)網(wǎng)絡(luò)安全漏洞檢測(cè)方法安全漏洞檢測(cè)方法第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析1端口掃描技術(shù)端口掃描技術(shù) 端口掃描的原理是向目標(biāo)主機(jī)的端口掃描的原理是向目標(biāo)主機(jī)的TCP/IP端口發(fā)送探測(cè)數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)。端口發(fā)送探測(cè)數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)。通過(guò)分析響應(yīng)來(lái)判斷端口是打開(kāi)還是關(guān)閉等狀通過(guò)分析響應(yīng)來(lái)判斷端口是打開(kāi)還是關(guān)閉等狀態(tài)信息。態(tài)信息。 端口掃描技術(shù)分為端口掃描技術(shù)分為T(mén)CP端口掃描技術(shù)和端口掃描技術(shù)和UDP端口掃描技術(shù)

9、。端口掃描技術(shù)。返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析 TCP端口掃描技術(shù)端口掃描技術(shù) TCP端口掃描技術(shù)主要包括：端口掃描技術(shù)主要包括：TCP connect掃描、掃描、TCP SYN掃描、掃描、TCP FIN掃描、掃描、TCP Xmas和和TCP Null掃描掃描4種。種。 UDP端口掃描技術(shù)端口掃描技術(shù) UDP端口掃描主要用來(lái)確定在目標(biāo)主機(jī)上有哪些端口掃描主要用來(lái)確定在目標(biāo)主機(jī)上有哪些UDP端口是開(kāi)放的。其實(shí)現(xiàn)思想是發(fā)送端口是開(kāi)放的。其實(shí)現(xiàn)思想是發(fā)送UDP信息包到信息包到目標(biāo)機(jī)器的各個(gè)端口，若收到一個(gè)目標(biāo)機(jī)器的各個(gè)端口，若收到一個(gè)ICMP端口不可達(dá)的端

10、口不可達(dá)的回應(yīng)，則表示該回應(yīng)，則表示該UDP端口是關(guān)閉的，否則該端口就是端口是關(guān)閉的，否則該端口就是開(kāi)放的。開(kāi)放的。返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析2操作系統(tǒng)探測(cè)技術(shù)操作系統(tǒng)探測(cè)技術(shù) 操作系統(tǒng)探測(cè)技術(shù)主要包括：獲取標(biāo)識(shí)信操作系統(tǒng)探測(cè)技術(shù)主要包括：獲取標(biāo)識(shí)信息探測(cè)技術(shù)和基于息探測(cè)技術(shù)和基于TCP/IP協(xié)議棧的操作系統(tǒng)協(xié)議棧的操作系統(tǒng)指紋探測(cè)技術(shù)。指紋探測(cè)技術(shù)。獲取標(biāo)識(shí)信息探測(cè)技術(shù)獲取標(biāo)識(shí)信息探測(cè)技術(shù) 獲取標(biāo)識(shí)信息探測(cè)技術(shù)主要是指借助操作獲取標(biāo)識(shí)信息探測(cè)技術(shù)主要是指借助操作系統(tǒng)本身提供的命令和程序進(jìn)行操作系統(tǒng)類(lèi)型系統(tǒng)本身提供的命令和程序進(jìn)行操作系統(tǒng)類(lèi)型探測(cè)

11、的技術(shù)。探測(cè)的技術(shù)。返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析基于基于TCP/IP協(xié)議棧的指紋探測(cè)技術(shù)協(xié)議棧的指紋探測(cè)技術(shù) 指紋探測(cè)實(shí)現(xiàn)依據(jù)是不同類(lèi)型、不同版本指紋探測(cè)實(shí)現(xiàn)依據(jù)是不同類(lèi)型、不同版本的操作系統(tǒng)在協(xié)議棧實(shí)現(xiàn)上存在細(xì)微差別。操的操作系統(tǒng)在協(xié)議棧實(shí)現(xiàn)上存在細(xì)微差別。操作系統(tǒng)指紋探測(cè)步驟為：作系統(tǒng)指紋探測(cè)步驟為：p 形成一個(gè)操作系統(tǒng)指紋特征庫(kù)；形成一個(gè)操作系統(tǒng)指紋特征庫(kù)；p 向目標(biāo)發(fā)送多種特意構(gòu)造的信息包，檢測(cè)其向目標(biāo)發(fā)送多種特意構(gòu)造的信息包，檢測(cè)其響應(yīng)特征信息；響應(yīng)特征信息；p 把返回的特征信息與指紋特征庫(kù)進(jìn)行匹配，把返回的特征信息與指紋特征庫(kù)進(jìn)行匹配，

12、判斷目標(biāo)的操作系統(tǒng)類(lèi)型及其版本號(hào)。判斷目標(biāo)的操作系統(tǒng)類(lèi)型及其版本號(hào)。返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析3安全漏洞探測(cè)技術(shù)安全漏洞探測(cè)技術(shù) 安全漏洞探測(cè)是采用各種方法對(duì)目標(biāo)可能安全漏洞探測(cè)是采用各種方法對(duì)目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查。按照網(wǎng)絡(luò)存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查。按照網(wǎng)絡(luò)安全漏洞的可利用方式來(lái)劃分，漏洞探測(cè)技術(shù)安全漏洞的可利用方式來(lái)劃分，漏洞探測(cè)技術(shù)可以分為：可以分為：信息型漏洞探測(cè)信息型漏洞探測(cè)和和攻擊型漏洞探測(cè)攻擊型漏洞探測(cè)兩種。兩種。返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析信息型漏洞探測(cè)信息型漏洞

13、探測(cè) 大部分的網(wǎng)絡(luò)安全漏洞都與特定的目標(biāo)狀大部分的網(wǎng)絡(luò)安全漏洞都與特定的目標(biāo)狀態(tài)如：目標(biāo)運(yùn)行的操作系統(tǒng)版本及補(bǔ)丁安裝情態(tài)如：目標(biāo)運(yùn)行的操作系統(tǒng)版本及補(bǔ)丁安裝情況、運(yùn)行服務(wù)及其服務(wù)程序版本等因素直接相況、運(yùn)行服務(wù)及其服務(wù)程序版本等因素直接相關(guān)，只要對(duì)目標(biāo)的此類(lèi)信息進(jìn)行準(zhǔn)確探測(cè)就可關(guān)，只要對(duì)目標(biāo)的此類(lèi)信息進(jìn)行準(zhǔn)確探測(cè)就可以在很大程度上確定目標(biāo)存在的安全漏洞。以在很大程度上確定目標(biāo)存在的安全漏洞。 該技術(shù)實(shí)現(xiàn)方便、對(duì)目標(biāo)不產(chǎn)生破壞性影該技術(shù)實(shí)現(xiàn)方便、對(duì)目標(biāo)不產(chǎn)生破壞性影響、對(duì)于具體某個(gè)漏洞存在與否，難以做出確響、對(duì)于具體某個(gè)漏洞存在與否，難以做出確定性的結(jié)論。定性的結(jié)論。返回本章首頁(yè)返回本章首頁(yè)第九

14、章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析攻擊型漏洞探測(cè)攻擊型漏洞探測(cè) 模擬攻擊是最直接的漏洞探測(cè)技術(shù)，其探模擬攻擊是最直接的漏洞探測(cè)技術(shù)，其探測(cè)結(jié)果的準(zhǔn)確率也是最高的。該探測(cè)技術(shù)的主測(cè)結(jié)果的準(zhǔn)確率也是最高的。該探測(cè)技術(shù)的主要思想是模擬網(wǎng)絡(luò)入侵的一般過(guò)程，對(duì)目標(biāo)系要思想是模擬網(wǎng)絡(luò)入侵的一般過(guò)程，對(duì)目標(biāo)系統(tǒng)進(jìn)行無(wú)惡意攻擊嘗試，若攻擊成功則表明相統(tǒng)進(jìn)行無(wú)惡意攻擊嘗試，若攻擊成功則表明相應(yīng)安全漏洞必然存在。應(yīng)安全漏洞必然存在。 模擬攻擊技術(shù)的局限性包括：模擬攻擊技術(shù)的局限性包括：p 存在一些漏洞無(wú)法探測(cè)到存在一些漏洞無(wú)法探測(cè)到p 不可能做到完全沒(méi)有破壞性不可能做到完全沒(méi)有破壞性返回本章首頁(yè)返回本

15、章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析 網(wǎng)絡(luò)安全漏洞檢測(cè)工具的作用是從目標(biāo)系網(wǎng)絡(luò)安全漏洞檢測(cè)工具的作用是從目標(biāo)系統(tǒng)外部對(duì)其洞進(jìn)行掃描分析，找出目標(biāo)系統(tǒng)存統(tǒng)外部對(duì)其洞進(jìn)行掃描分析，找出目標(biāo)系統(tǒng)存在的安全漏洞，從而可以在遭受攻擊之前修補(bǔ)在的安全漏洞，從而可以在遭受攻擊之前修補(bǔ)漏 洞 。 常 用 的 網(wǎng) 絡(luò) 安 全 漏 洞 檢 測(cè) 工 具 有漏 洞 。 常 用 的 網(wǎng) 絡(luò) 安 全 漏 洞 檢 測(cè) 工 具 有Nessus、Shadow Security Scanner、X-Scan、Nmap等。等。返回本章首頁(yè)返回本章首頁(yè)9.2.3 常用網(wǎng)絡(luò)安全漏洞檢測(cè)工具常用網(wǎng)絡(luò)安全漏洞檢測(cè)工具第

16、九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析1Nessus返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析2Shadow Security Scanner返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析3X-Scan返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析4Nmap返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析9.3 系統(tǒng)配置檢測(cè)技術(shù)系統(tǒng)配置檢測(cè)技術(shù) 通過(guò)檢測(cè)系統(tǒng)配置信息，可以發(fā)現(xiàn)系統(tǒng)自通過(guò)檢測(cè)系統(tǒng)配置信息，可以發(fā)現(xiàn)系統(tǒng)自動(dòng)加載的啟動(dòng)項(xiàng)目、系統(tǒng)補(bǔ)丁安裝情況、系統(tǒng)動(dòng)加載的啟動(dòng)項(xiàng)目

17、、系統(tǒng)補(bǔ)丁安裝情況、系統(tǒng)存在的安全漏洞、系統(tǒng)內(nèi)存在的可疑程序等。存在的安全漏洞、系統(tǒng)內(nèi)存在的可疑程序等。 通過(guò)檢測(cè)系統(tǒng)配置信息，還可以檢測(cè)出系通過(guò)檢測(cè)系統(tǒng)配置信息，還可以檢測(cè)出系統(tǒng)的防火墻、反病毒軟件等安全防護(hù)措施的配統(tǒng)的防火墻、反病毒軟件等安全防護(hù)措施的配置情況。置情況。返回本章首頁(yè)返回本章首頁(yè)9.3.1 系統(tǒng)配置檢測(cè)概述系統(tǒng)配置檢測(cè)概述第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析 Autoruns是是Sysinterals系統(tǒng)維護(hù)工具集系統(tǒng)維護(hù)工具集中的一個(gè)組件。中的一個(gè)組件。Autoruns的主要功能是管理的主要功能是管理系統(tǒng)自動(dòng)啟動(dòng)的程序、服務(wù)以及自動(dòng)加載的驅(qū)系統(tǒng)自動(dòng)啟動(dòng)的程序、

18、服務(wù)以及自動(dòng)加載的驅(qū)動(dòng)程序、動(dòng)程序、DLL、插件等。、插件等。返回本章首頁(yè)返回本章首頁(yè)9.3.2 Autoruns的使用的使用第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析1管理加載項(xiàng)管理加載項(xiàng) 選擇一個(gè)自動(dòng)加載項(xiàng)，點(diǎn)擊菜單欄上的選擇一個(gè)自動(dòng)加載項(xiàng)，點(diǎn)擊菜單欄上的“Entry”菜單項(xiàng)，將彈出加載項(xiàng)管理菜單。菜單項(xiàng)，將彈出加載項(xiàng)管理菜單。返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析2保存加載項(xiàng)信息保存加載項(xiàng)信息 點(diǎn)擊菜單欄上的點(diǎn)擊菜單欄上的“File”“Save”菜單項(xiàng)，菜單項(xiàng)，將彈出保存加載項(xiàng)信息的文件名的對(duì)話框。將彈出保存加載項(xiàng)信息的文件名的對(duì)話框。返回本章

19、首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析3比較加載項(xiàng)信息比較加載項(xiàng)信息 在保存了加載項(xiàng)信息后，可以隨時(shí)與當(dāng)前在保存了加載項(xiàng)信息后，可以隨時(shí)與當(dāng)前最新的加載項(xiàng)信息進(jìn)行比較，檢查增加了哪些最新的加載項(xiàng)信息進(jìn)行比較，檢查增加了哪些加載項(xiàng)。加載項(xiàng)。返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析 360安全衛(wèi)士是殺木馬、打補(bǔ)丁、保護(hù)隱安全衛(wèi)士是殺木馬、打補(bǔ)丁、保護(hù)隱私的有效工具私的有效工具。返回本章首頁(yè)返回本章首頁(yè)9.3.3 360安全衛(wèi)士的使用安全衛(wèi)士的使用第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析1電腦體檢電腦體檢 在在360安全衛(wèi)士主界

20、面中，點(diǎn)擊安全衛(wèi)士主界面中，點(diǎn)擊“立即體立即體檢檢”按鈕，即可開(kāi)始電腦體檢過(guò)程。按鈕，即可開(kāi)始電腦體檢過(guò)程。返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析2查殺木馬查殺木馬 在在360安全衛(wèi)士主界面中，安全衛(wèi)士主界面中，點(diǎn)擊點(diǎn)擊“查殺木查殺木馬馬”按鈕，即可進(jìn)入查殺木馬界面按鈕，即可進(jìn)入查殺木馬界面。返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析3清理插件清理插件 在在360安全衛(wèi)士主界面中，安全衛(wèi)士主界面中，點(diǎn)擊點(diǎn)擊“清理插清理插件件”按鈕，即可進(jìn)入清理插件界面按鈕，即可進(jìn)入清理插件界面。返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢

21、測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析4優(yōu)化加速優(yōu)化加速 在在360安全衛(wèi)士主界面中，安全衛(wèi)士主界面中，點(diǎn)擊點(diǎn)擊“優(yōu)化加優(yōu)化加速速”按鈕，即可進(jìn)入優(yōu)化加速界面按鈕，即可進(jìn)入優(yōu)化加速界面。返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析9.4 系統(tǒng)狀態(tài)檢測(cè)技術(shù)系統(tǒng)狀態(tài)檢測(cè)技術(shù) 系統(tǒng)狀態(tài)檢測(cè)的檢測(cè)對(duì)象是系統(tǒng)的運(yùn)行狀系統(tǒng)狀態(tài)檢測(cè)的檢測(cè)對(duì)象是系統(tǒng)的運(yùn)行狀態(tài)，包括訪問(wèn)的文件信息、運(yùn)行的程序信息、態(tài)，包括訪問(wèn)的文件信息、運(yùn)行的程序信息、系統(tǒng)資源使用情況、進(jìn)程信息、線程信息、網(wǎng)系統(tǒng)資源使用情況、進(jìn)程信息、線程信息、網(wǎng)絡(luò)連接情況、網(wǎng)絡(luò)流量信息等。絡(luò)連接情況、網(wǎng)絡(luò)流量信息等。 系統(tǒng)狀態(tài)檢測(cè)的目的是

22、通過(guò)對(duì)系統(tǒng)狀態(tài)信系統(tǒng)狀態(tài)檢測(cè)的目的是通過(guò)對(duì)系統(tǒng)狀態(tài)信息的檢測(cè)來(lái)分析系統(tǒng)的運(yùn)行是否正常，查找并息的檢測(cè)來(lái)分析系統(tǒng)的運(yùn)行是否正常，查找并分析導(dǎo)致系統(tǒng)運(yùn)行異常的原因。分析導(dǎo)致系統(tǒng)運(yùn)行異常的原因。返回本章首頁(yè)返回本章首頁(yè)9.4.1 系統(tǒng)狀態(tài)檢測(cè)概述系統(tǒng)狀態(tài)檢測(cè)概述第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析 IceSword是一款國(guó)產(chǎn)的系統(tǒng)狀態(tài)檢測(cè)工是一款國(guó)產(chǎn)的系統(tǒng)狀態(tài)檢測(cè)工具，用于查探系統(tǒng)中的木馬后門(mén)并做出處理，具，用于查探系統(tǒng)中的木馬后門(mén)并做出處理，它適用于它適用于Windows 2000/XP/2003操作系操作系統(tǒng)。統(tǒng)。IceSword使用大量新穎的內(nèi)核技術(shù)，能使用大量新穎的內(nèi)核技術(shù)，能

23、夠檢測(cè)隱藏的進(jìn)程、端口、注冊(cè)表、文件等多夠檢測(cè)隱藏的進(jìn)程、端口、注冊(cè)表、文件等多種信息。種信息。返回本章首頁(yè)返回本章首頁(yè)9.4.2 IceSword的使用的使用第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析1IceSword的操作界面的操作界面 IceSword的操作界面分為：菜單欄和工的操作界面分為：菜單欄和工具欄，任務(wù)選擇欄和詳細(xì)情況顯示欄。具欄，任務(wù)選擇欄和詳細(xì)情況顯示欄。返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析2隱藏進(jìn)程檢測(cè)隱藏進(jìn)程檢測(cè) 假設(shè)對(duì)進(jìn)程假設(shè)對(duì)進(jìn)程“ipmsg.exe”進(jìn)行了隱藏，進(jìn)行了隱藏，IceSword和和Windows任務(wù)管理器對(duì)

24、此進(jìn)程任務(wù)管理器對(duì)此進(jìn)程的檢測(cè)結(jié)果對(duì)比如下圖：的檢測(cè)結(jié)果對(duì)比如下圖：返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析 Process Explorer是是Sysinterals系統(tǒng)維系統(tǒng)維護(hù)工具集中的一個(gè)組件，是一個(gè)增強(qiáng)型的進(jìn)程護(hù)工具集中的一個(gè)組件，是一個(gè)增強(qiáng)型的進(jìn)程管理工具。管理工具。返回本章首頁(yè)返回本章首頁(yè)9.4.3 Process Explorer的使用的使用第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析1查看系統(tǒng)資源使用情況查看系統(tǒng)資源使用情況 點(diǎn)擊點(diǎn)擊Process Explorer操作界面菜單欄操作界面菜單欄上的上的“View”“System Info

25、rmation”菜單。菜單。返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析2查看進(jìn)程使用的系統(tǒng)資源句柄查看進(jìn)程使用的系統(tǒng)資源句柄 點(diǎn)擊點(diǎn)擊Process Explorer操作界面菜單欄操作界面菜單欄上的上的“View”“Show Lower Pane”菜單菜單。返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析3查看進(jìn)程加載的查看進(jìn)程加載的DLL文件信息文件信息 點(diǎn)擊點(diǎn)擊Process Explorer操作界面菜單欄上的操作界面菜單欄上的“View”“Lower Pane View”“DLLs”菜單菜單。返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析4查看進(jìn)程屬性查看進(jìn)程屬性 選擇一個(gè)進(jìn)程，點(diǎn)擊選擇一個(gè)進(jìn)程，點(diǎn)擊Process Explorer操作界面操作界面菜單欄上的菜單欄上的“Process”“Properties”。返回本章首頁(yè)返回本章首頁(yè)第九章第九章 網(wǎng)絡(luò)安全檢測(cè)與分析網(wǎng)絡(luò)安全檢測(cè)與分析5搜索包含某個(gè)句柄或搜索包含某個(gè)句柄或DLL的進(jìn)程的進(jìn)程 點(diǎn)擊點(diǎn)擊Process Explorer操作界面