欢迎来到天天文库
浏览记录
ID:14418259
大小:43.50 KB
页数:16页
时间:2018-07-28
《windows系统日志与入侵检测详解-电脑教程》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、windows系统日志与入侵检测详解-电脑教程系统日志源自航海日志:当人们出海远行的时候,总是要做好航海日志,以便为以后的工作做出依据。日志文件作为微软Windows系列操作系统中的一个比较特殊的文件,在安全方面具有无可替代的价值。日志每天为我们忠实的记录着系统所发生一切,利用系统日志文件,可以使系统管理员快速对潜在的系统入侵作出记录和预测,但遗憾的是目前绝大多数的人都忽略了它的存在。反而是因为黑客们光临才会使我们想起这个重要的系统日志文件。7.1日志文件的特殊性要了解日志文件,首先就要从它的特殊性讲起,说它特殊是因为这个文件由
2、系统管理,并加以保护,一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如WPS系列、Word系列、写字板、Edit等等,都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作,否则系统就会很不客气告诉你:访问被拒绝。当然,在纯DOS的状态下,可以对它进行一些常规操作(例如Win98状态下),但是你很快就会发现,你的修改根本就无济于事,当重新启动Windows98时,系统将会自动检查这个特殊的文本文件,若不存在就会自动产生一个;若存在的话,将向该文本追加日志记录。7.1.1黑客为什么
3、会对日志文件感兴趣黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了,包括日志文件。但是这一切都将被系统日志所记录下来,所以黑客们想要隐藏自己的入侵踪迹,就必须对日志进行修改。最简单的方法就是删除系统日志文件,但这样做一般都是初级黑客所为,真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己,网络上有很多专门进行此类功能的程序,例如Zap、Wipe等。7.1.2Windows系列日志系统简介1.Windows98的日志文件因目前绝大多数的用户还是使用的操作系统是Windows98,所以本节先从Windo
4、ws98的日志文件讲起。Windows98下的普通用户无需使用系统日志,除非有特殊用途,例如,利用Windows98建立个人Web服务器时,就会需要启用系统日志来作为服务器安全方面的参考,当已利用Windows98建立个人Web服务器的用户,可以进行下列操作来启用日志功能。(1)在“控制面板”中双击“个人Web服务器”图标;(必须已经在配置好相关的网络协议,并添加“个人Web服务器”的情况下)。(2)在“管理”选项卡中单击“管理”按钮; (3)在“Internet服务管理员”页中单击“WWW管理”; (4)在“WWW管理”页
5、中单击“日志”选项卡; (5)选中“启用日志”复选框,并根据需要进行更改。将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录,则文件将被保存在Windows文件夹中。普通用户可以在Windows98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它,或是启动“任务计划程序”,在“高级”菜单中单击“查看日志”来查看到它。Windows98的普通用户的日志文件很简单,只是记录了一些预先设定的任务运行过程,相对于作为
6、服务器的NT操作系统,真正的黑客们很少对Windows98发生兴趣。所以Windows98下的日志不为人们所重视。2.WindowsNT下的日志系统WindowsNT是目前受到攻击较多的操作系统,在WindowsNT中,日志文件几乎对系统中的每一项事务都要做一定程度上的审计。WindowsNT的日志文件一般分为三类:系统日志:跟踪各种各样的系统事件,记录由WindowsNT的系统组件产生的事件。例如,在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。应用程序日志:记录由应用程序或系统程序产生的事件,比如应用程序产生
7、的装载dll(动态链接库)失败的信息将出现在日志中。安全日志:记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件,安全日志的默认状态是关闭的。WindowsNT的日志系统通常放在下面的位置,根据操作系统的不同略有变化。C:systemrootsystem32configsysevent.evtC:systemrootsystem32configsecevent.evtC:systemrootsystem32con
8、figappevent.evtWindowsNT使用了一种特殊的格式存放它的日志文件,这种格式的文件可以被事件查看器读取,事件查看器可以在“控制面板”中找到,系统管理员可以使用事件查看器选择要查看的日志条目,查看条件包括类别、用户和消息类型。3.Windows2
此文档下载收益归作者所有