Windows系統(tǒng)入侵檢查主要內(nèi)容.doc

Windows系統(tǒng)檢查主要事項Windows系統(tǒng)的入侵檢測方法主要包括：檢查所有相關(guān)的日志，檢查相關(guān)文件，鑒定未授權(quán)的用戶賬號或組，尋找異?；螂[藏文件，檢查系統(tǒng)的運行的進程，檢查系統(tǒng)開放的端口等?？梢圆捎檬止ず凸ぞ邫z查相結(jié)合的方式進行。一、手工檢查與審計下面就各種檢查項目做一下詳細說明。1、檢查端口與網(wǎng)絡(luò)連接 Netstat.exe 是一種命令行實用工具，可以顯示 TCP 和 UDP 的所有打開的端口。 如果發(fā)現(xiàn)的已打開的端口無法識別，則應(yīng)對它們進行調(diào)查以確定在該計算機上是否需要對應(yīng)的服務(wù)。如果不需要該服務(wù)，則應(yīng)禁用或刪除相關(guān)的服務(wù)以防止計算機在該端口上監(jiān)聽。 也可以通過該命令檢查有哪些相關(guān)的連接，也許惡意的連接就在這里。方法：Netstat an（系統(tǒng)命令）（windows2003使用命令Netstat ano可檢測出端口對應(yīng)的進程）Netstat a（系統(tǒng)命令）（windows2003使用命令Netstat ao可檢測出端口對應(yīng)的進程）Fport（第三方工具）木馬端口列表：/main.htm /threat/threat-ports.htm http:/www.chebucto.ns.ca/rakerman/port-table.html2、檢查賬戶安全服務(wù)器被入侵之后，通常會表現(xiàn)在系統(tǒng)的用戶賬戶上，我們可以在系統(tǒng)日志上察看相關(guān)的信息。除了察看事件日志外，也應(yīng)該檢查所有賬戶的信息，包括他們所屬的組。有些黑客入侵后常常將添加他們自己的賬號，或者將那些偏僻的用戶修改了權(quán)限，從而方便他們以后再次入侵。方法：可以在“計算機管理”“用戶管理”中查看系統(tǒng)帳號?？梢允褂妹畈榭矗簄et user ；net localgroup administrators；可以cca.exe（第三方工具）檢查是否有克隆帳號的存在。3、查找惡意進程可以通過以下工具和方法檢查系統(tǒng)運行的進程，找出異常的進程。方法：任務(wù)管理器（系統(tǒng)工具）Psinfo.exe（第三方工具） Windows2000基本的系統(tǒng)進程如下：smss.exe Session Manager 會話管理csrss.exe 子系統(tǒng)服務(wù)器進程 winlogon.exe 管理用戶登錄 services.exe 包含很多系統(tǒng)服務(wù) lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動程序。(系統(tǒng)服務(wù)) svchost.exe 包含很多系統(tǒng)服務(wù) spoolsv.exe 將文件加載到內(nèi)存中以便遲后打印。(系統(tǒng)服務(wù)) explorer.exe 資源管理器 internat.exe 輸入法 4、監(jiān)視已安裝的服務(wù)和驅(qū)動程序許多針對計算機的攻擊都是這樣實現(xiàn)的：攻擊安裝在目標計算機上的服務(wù)，或者將有效的驅(qū)動程序替換為包含特洛伊木馬的驅(qū)動程序版本，以給予攻擊者訪問目標計算機的權(quán)限。 1、通過服務(wù)控制臺查看服務(wù)。服務(wù) MMC 控制臺用于監(jiān)視本地計算機或遠程計算機的服務(wù)，并允許管理員配置、暫停、停止、啟動和重新啟動所有已安裝的服務(wù)?？墒褂么丝刂婆_確定是否存在已配置為自動啟動的服務(wù)當(dāng)前未啟動的情況。2、通過注冊表項查看服務(wù)和驅(qū)動程序：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices5、檢查注冊表的關(guān)鍵項：一般來說，木馬或者后門都會利用注冊表來再次運行自己，所以，校驗注冊表來發(fā)現(xiàn)入侵也是常用的手法之一。使用REGEDIT注冊表編輯器可以查看注冊表。在注冊表里，我們著重要查看HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion、HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion、HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion下面的子樹。特別是要查看 Run, RunOnce, RunOnceEx, RunServices, 和 RunServicesOnce 文件夾，查找是否存在異常的條目。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinLogon也是需要檢查的地方。主要檢查內(nèi)容：Shell項內(nèi)容正常情況應(yīng)該為Explorer.exe；Userinit項內(nèi)容應(yīng)該為C:WINNTsystem32userinit.exe；檢查是否有增加的項目其內(nèi)容包括.exe .sys .dll 等各種可執(zhí)行文件。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify是否有異常的項。正常的項目主要有：crypt32chain, cryptnet, cscdll, sclgntfy, SensLogn, wzcnotif.可能還會包括顯卡、防病毒等項。檢查類似txt等文本或其它后綴映射是否正常。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options，映像劫持主要是用來調(diào)試程序。通常此項下不應(yīng)設(shè)置任何子項、值。6、檢查所有相關(guān)的日志windows日志對于系統(tǒng)安全的作用是很重要的，網(wǎng)絡(luò)管理員應(yīng)該非常重視日志。Windows的系統(tǒng)日志文件有應(yīng)用程序日志，安全日志、系統(tǒng)日志等等?？梢酝ㄟ^“事件管理器”查看。建議日志的文件大小不小于100M。安全日志文件：%systemroot%system32configSecEvent.EVT 系統(tǒng)日志文件：%systemroot%system32configSysEvent.EVT 應(yīng)用程序日志文件：%systemroot%system32configAppEvent.EVT7、檢查用戶目錄：檢查C:Documents and Settings目錄各用戶的目錄。主要檢查內(nèi)容：用戶最近一次的登陸時間；檢查用戶目錄下的文件內(nèi)容；檢查Local Settings目錄下的歷史文件（History）、臨時文件（Temp）、訪問網(wǎng)頁的臨時文件（Temporary Internet Files）、應(yīng)用數(shù)據(jù)文件（Application Data）等內(nèi)容。8、檢查文件系統(tǒng)檢查C: 、C: winnt、C: winntSystem 、C: winntSystem32、C: winntSystem32dllcache、C: winntSystem32drivers、各個Program Files目錄下的內(nèi)容，檢查他們目錄及文件的屬性，若無版本說明，多為可疑文件；若某文件的建立時間異常，也可能是可疑的文件。維護一份文件和目錄的完整列表，定期地進行更新和對比，這可能會加重過度操勞的管理員的負擔(dān)，但是，如果系統(tǒng)的狀態(tài)不是經(jīng)常變動的話，這是發(fā)現(xiàn)很多惡意行為蹤跡最有效的方法。9、環(huán)境變量右鍵點擊“我的電腦”-屬性-選擇“高級”-“環(huán)境變量”檢查內(nèi)容：temp變量的所在位置的內(nèi)容；后綴映射PATHEXT是否包含有非windows的后綴；有沒有增加其他的路徑到PATH變量中；（對用戶變量和系統(tǒng)變量都要進行檢查）10、檢查防病毒檢查防病毒系統(tǒng)是否正常工作、病毒庫是否正常更新、是否有異常的報警。11、檢查應(yīng)用檢查相關(guān)應(yīng)用的日志信息：Internet信息服務(wù)FTP日志默認位置：%sys temroot%sys tem32logfilesmsftpsvc1Internet信息服務(wù)WWW日志默認位置：%sys temroot%sys tem32logfilesw3svc1DNS日志文件：%systemroot%system32configScheduler服務(wù)日志默認位置：%sys temroot%schedlgu.txtSqlserver的日志。通過sqlserver控制臺來查看。有的管理員很可能將這些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目錄。 Schedluler服務(wù)日志在注冊表中的位置： HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent 12、文件簽名以上工作