Windows系统入侵检查主要内容.doc

Windows系统检查主要事项Windows系统的入侵检测方法主要包括：检查所有相关的日志，检查相关文件，鉴定未授权的用户账号或组，寻找异常或隐藏文件，检查系统的运行的进程，检查系统开放的端口等。可以采用手工和工具检查相结合的方式进行。一、手工检查与审计下面就各种检查项目做一下详细说明。1、检查端口与网络连接 Netstat.exe 是一种命令行实用工具，可以显示 TCP 和 UDP 的所有打开的端口。 如果发现的已打开的端口无法识别，则应对它们进行调查以确定在该计算机上是否需要对应的服务。如果不需要该服务，则应禁用或删除相关的服务以防止计算机在该端口上监听。 也可以通过该命令检查有哪些相关的连接，也许恶意的连接就在这里。方法：Netstat an（系统命令）（windows2003使用命令Netstat ano可检测出端口对应的进程）Netstat a（系统命令）（windows2003使用命令Netstat ao可检测出端口对应的进程）Fport（第三方工具）木马端口列表：/main.htm /threat/threat-ports.htm http:/www.chebucto.ns.ca/rakerman/port-table.html2、检查账户安全服务器被入侵之后，通常会表现在系统的用户账户上，我们可以在系统日志上察看相关的信息。除了察看事件日志外，也应该检查所有账户的信息，包括他们所属的组。有些黑客入侵后常常将添加他们自己的账号，或者将那些偏僻的用户修改了权限，从而方便他们以后再次入侵。方法：可以在“计算机管理”“用户管理”中查看系统帐号。可以使用命令查看：net user ；net localgroup administrators；可以cca.exe（第三方工具）检查是否有克隆帐号的存在。3、查找恶意进程可以通过以下工具和方法检查系统运行的进程，找出异常的进程。方法：任务管理器（系统工具）Psinfo.exe（第三方工具） Windows2000基本的系统进程如下：smss.exe Session Manager 会话管理csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) svchost.exe 包含很多系统服务 spoolsv.exe 将文件加载到内存中以便迟后打印。(系统服务) explorer.exe 资源管理器 internat.exe 输入法 4、监视已安装的服务和驱动程序许多针对计算机的攻击都是这样实现的：攻击安装在目标计算机上的服务，或者将有效的驱动程序替换为包含特洛伊木马的驱动程序版本，以给予攻击者访问目标计算机的权限。 1、通过服务控制台查看服务。服务 MMC 控制台用于监视本地计算机或远程计算机的服务，并允许管理员配置、暂停、停止、启动和重新启动所有已安装的服务。可使用此控制台确定是否存在已配置为自动启动的服务当前未启动的情况。2、通过注册表项查看服务和驱动程序：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices5、检查注册表的关键项：一般来说，木马或者后门都会利用注册表来再次运行自己，所以，校验注册表来发现入侵也是常用的手法之一。使用REGEDIT注册表编辑器可以查看注册表。在注册表里，我们着重要查看HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion、HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion、HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion下面的子树。特别是要查看 Run, RunOnce, RunOnceEx, RunServices, 和 RunServicesOnce 文件夹，查找是否存在异常的条目。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinLogon也是需要检查的地方。主要检查内容：Shell项内容正常情况应该为Explorer.exe；Userinit项内容应该为C:WINNTsystem32userinit.exe；检查是否有增加的项目其内容包括.exe .sys .dll 等各种可执行文件。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify是否有异常的项。正常的项目主要有：crypt32chain, cryptnet, cscdll, sclgntfy, SensLogn, wzcnotif.可能还会包括显卡、防病毒等项。检查类似txt等文本或其它后缀映射是否正常。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options，映像劫持主要是用来调试程序。通常此项下不应设置任何子项、值。6、检查所有相关的日志windows日志对于系统安全的作用是很重要的，网络管理员应该非常重视日志。Windows的系统日志文件有应用程序日志，安全日志、系统日志等等。可以通过“事件管理器”查看。建议日志的文件大小不小于100M。安全日志文件：%systemroot%system32configSecEvent.EVT 系统日志文件：%systemroot%system32configSysEvent.EVT 应用程序日志文件：%systemroot%system32configAppEvent.EVT7、检查用户目录：检查C:Documents and Settings目录各用户的目录。主要检查内容：用户最近一次的登陆时间；检查用户目录下的文件内容；检查Local Settings目录下的历史文件（History）、临时文件（Temp）、访问网页的临时文件（Temporary Internet Files）、应用数据文件（Application Data）等内容。8、检查文件系统检查C: 、C: winnt、C: winntSystem 、C: winntSystem32、C: winntSystem32dllcache、C: winntSystem32drivers、各个Program Files目录下的内容，检查他们目录及文件的属性，若无版本说明，多为可疑文件；若某文件的建立时间异常，也可能是可疑的文件。维护一份文件和目录的完整列表，定期地进行更新和对比，这可能会加重过度操劳的管理员的负担，但是，如果系统的状态不是经常变动的话，这是发现很多恶意行为踪迹最有效的方法。9、环境变量右键点击“我的电脑”-属性-选择“高级”-“环境变量”检查内容：temp变量的所在位置的内容；后缀映射PATHEXT是否包含有非windows的后缀；有没有增加其他的路径到PATH变量中；（对用户变量和系统变量都要进行检查）10、检查防病毒检查防病毒系统是否正常工作、病毒库是否正常更新、是否有异常的报警。11、检查应用检查相关应用的日志信息：Internet信息服务FTP日志默认位置：%sys temroot%sys tem32logfilesmsftpsvc1Internet信息服务WWW日志默认位置：%sys temroot%sys tem32logfilesw3svc1DNS日志文件：%systemroot%system32configScheduler服务日志默认位置：%sys temroot%schedlgu.txtSqlserver的日志。通过sqlserver控制台来查看。有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目录。 Schedluler服务日志在注册表中的位置： HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent 12、文件签名以上工作