第十四章紧急反应.ppt

* 14.3.1 Windows系统应急响应方法 找出出问题的端口的方法与上面所讲的找出出问题进程的方法是一样的，也是采用图片对比的方式，这里就不再赘述。 找出出问题的端口后，也可以在搜索引擎上查找问题的端口的信息，这里就不再赘述。 * 14.3.1 Windows系统应急响应方法 4．查看开放端口所对应的程序 上面通过netstat命令可以看到系统里有哪些端口是开放的。但是通常更需要知道的是开放端口所对应的应用程序是哪些？这里介绍一个工具名叫“fport.exe”。大家只要将这个文件下载下来，在DOS环境下运行一下就行了。如图14.5所示，可以很清楚地看到，TCP的1025端口是被诺顿的个人防火墙所占用，TCP?的6792端口被联众程序所占用。 * 14.3.1 Windows系统应急响应方法 5. 查看、对比注册表 通常怀疑计算机有安全问题的时候，还可以通过查看对比注册表的方式，来找出问题的根源。注册表的“HKEY_LOCOL_MACHINE \SOFTWARE \Microsoft \Windows \CurrrentVersion \Run”里面存放的是计算机启动之后系统自动要加载的项，如图14.6所示。这里通常也是黑客感兴趣的地方，许多病毒、木马程序经常将自己的可执行文件放在这里，以便开机之后能自动运行。 * 14.3.1 Windows系统应急响应方法 找出注册表出问题的项的方法与上面所讲的找出出问题进程的方法是一样的，也是采用图片对比的方式，这里就不再赘述。 找出出问题的注册表项后，也可以在搜索引擎上查找问题的端口的信息，这里就不在赘述。 * 14.3.1 Windows系统应急响应方法 6. 查看其他安全工具的日志 通过查看其他安全工具日志的方式，也可以找出问题的根源，其他工具如防火墙、入侵检测、网络蜜罐等。 * 14.3.2 Linus系统应急响应方法 下面介绍一下Linux下应急响应的方法与流程，测试系统为redhat9.0。 　　在linux上进行应急响应时，有必要创建自己的应急响应工具箱，这些工具包括如下命令： ls dd des file find cat lsof md5 sum nc netstat pcat perl ps strace strings truss df vi cat kstat ifconfig chkrootkit more gzip last w rm script bash modinfo lsmod * 14.3.2 Linus系统应急响应方法 在Linux上创建响应工具包时，可以用gcc的–static参数编译源代码，或者用ldd检查动态连接库，在响应工具包存储介质上建立库文件目录，并拷贝所有工具需要的动态连接库的副本，最后设置环境变量。 * 14.3.2 Linus系统应急响应方法 当有了自己的应急工具箱之后，就可以进行具体的应急响应步骤了，这里分如下几个步骤： 　　1．查看登录系统的用户 　　用w命令显示当前所有登录系统的用户，如图14.7所示，输出标题行显示了当前系统时间，该系统已运行的时间，当前登录用户数，最近1分钟，5分钟与15分钟内的平均系统负载。 　　USER字段显示当前登录的用户名。TTY字段显示了会话的控制终端，tty表示从控制台登录，pts/typ则可以表示通过一个网络连接。 * 14.3.2 Linus系统应急响应方法 2．查看系统开放的端口 　　用netstat –an命令来显示当前系统开放的端口，有时系统开放的端口比较多，一页显示不了，可以用|more这个管道命令使结果分页显示，便于查看，如图14.8 所示，输出行有5个结果，其中比较重要的是proto显示了使用协议，local address显示了使用的本地ip，这对于NAT地址转换的情况比较有用，还有foreign address显示了外部ip，state显示了当前这个连接的状态。 * 14.3.2 Linus系统应急响应方法 图14.8 netstat –an查看系统开放的端口 * 14.3.2 Linus系统应急响应方法 3．查看系统进程 用ps –aux来查看系统的进程列表，如果进程很多，同样用|more管道来分页显示结果，如图14.9所示，ps命令输出中的START字段显示了程序开始运行的时间，对于查出攻击时间很有帮助。有时仅通过时间就能识别可疑进程。 * 14.3.2 Linus系统应急响应方法 4．检测rootkit 仅仅做了以上工作是不够的，Linux与几乎所有的Unix都支持LKM（Loadable Kernel Modules），用普通的方法无法检测其存在，这给应急响应带来了极