返回
Windows入侵检测及防制工具

Windows入侵检测及防制工具

ID:36424319

大小:970.60 KB

页数:32页

时间:2019-05-09

Windows入侵检测及防制工具_第1页
Windows入侵检测及防制工具_第2页
Windows入侵检测及防制工具_第3页
Windows入侵检测及防制工具_第4页
Windows入侵检测及防制工具_第5页
资源描述:

《Windows入侵检测及防制工具》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、Windows系統 入侵偵測與防制工具成大計網中心楊峻榮2003/10/23大綱入侵概念系統狀況檢視PC防火牆機制Windows系統之弱點評估工具入侵之定義凡舉非所有者所願之對於主機(PC)存取資料,植入程式或資料造成系統失效,資料毀損或業務中斷或資料外洩資料之行為一般之存取或試探活動大都以網路從事,但以非網路活動之存取及試探活動也屬入侵行為(如由主控台登入)入侵之種類病毒病毒信件服務阻斷非法存取入侵植入後門程式入侵型態主動模式:以病毒或worm方式,其入侵及破壞與所植入之檔案(檔名或擺放位置也許有異)皆是

2、固定行為模式,故可以由防毒軟體偵測出來(已裝有該入侵行為之病毒碼)人為模式:入侵之目的主要為非法行為,如資料竊取,破壞,或當成其他入侵之跳板,其入侵之模式不定,故較難偵測。入侵試探手法可能固定(ex利用即有之系統漏洞),但入侵後所擺放之後門程式是可變的入侵Life_cycle針對系統或人為漏洞入侵植入後門程式進行破壞(當跳板,竊取資料,服務阻斷)修補漏洞清除後門程式或病毒持續監控Windows之防護機制系統檢視防毒軟體個人防火牆系統漏洞修補弱點掃瞄及分析系統檢視手動方式針對核心項目或入侵模式遭入侵或破壞之經

3、驗累積針對已經或疑似遭受入侵(ex系統效能不佳)最好固定期間檢查一次檢視項目非檢視結果,所以須加上人為判斷或和別系統交叉比對傳輸狀況開啟連線狀態視窗,在沒有傳輸資料情況下,是否在傳輸大量資料。若是,可能是DOS或DDOS攻擊。連線狀態(netstat)開啟 開始/程式集/附屬應用程式/命令提示字元,在該視窗下鍵入netstat,看看是否有不尋常之連線。ProtoLocalAddressForeignAddressState TCPyang:1026yang:20032ESTABLISHED TCPyang:

4、20032yang:1026ESTABLISHED TCPyang:3024dec4000.cc.ncku.edu.tw:22ESTABLISHED TCPyang:3613mail.ncku.edu.tw:telnetESTABLISHED其中FroeignAddress表示對方的Address及port,而State之連線狀態,如此例ESTABLISHED表示已連上。因不易了解Servicesport是代表什麼及是從本機連出或由外部連進來的,一般而言Server端port的號碼是固定的,而client端

5、是動態的。故只要發覺ForeignAddress並不是您所要連線之位置,就該注意。參考資料:ServicesportsProcess(工作管理員)開啟工作管理員(按Ctrl+Alt+Del鍵,點選工作管理員),按下處理程序頁,檢查是否有在執行大量CPU之程式或非自己所欲執行之程式。參考資料:windowsprocess&services資源分享開啟 開始/設定/控制台,點選系統管理工具/電腦管理,於左邊之樹狀目錄,點選「共用資料夾」左邊之+符號,會展開「共用資料夾」下之子項目。其中「共用」為share出去之

6、目錄,請檢查是否有不必要之檔案分享。「工作階段」為目前連上分享的來源。「開啟檔案」為目前連上分享所開啟的檔案。檔案異動日期主要以控制台/系統進階/環境變數之Path項目為檢視對象,其中又以/WINNT/system32為最主要以「詳細資料」及「排列圖示/依日期」看最近異動之執行檔。檔案異動日期(利用搜尋選項)登錄表(registry)以命令模式(cmd)執行regedit,開啟HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion下之Run

7、、RunOnce、RunServices是否不尋常的程式被啟動事件檢視開啟 開始/設定/控制台,點選系統管理工具/事件檢視器,檢視是否有不正常事件InternetServicesLogs假如有開啟Internet(www、ftp)Services,Log一般放置在/WINNT/system32/logFilesInternetServicesLogs服務(Service)至控制台/系統管理工具/服務,無描述,啟動類型為「自動」,狀態為「啟動」,顯示其內容之執行程式路徑,是否為遭植入的檔案使用者帳號及其權限是

8、否有不明之使用者,一般使用者是否有administrator權限或群組其他Autoexec.batConfig.sys%windir%/win.ini之load=run=%windir%/system.ini之shall=程式集/啟動下是否有不正常檔案程式集/附屬應用程式/系統工具/排定的工作硬碟是否被不正常使用個人防火牆使用系統內建之TCP/IP篩選使用防毒軟體之防火牆功能使用主機型防火牆軟體(BlackICE

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。