第八讲-痕迹清除-MSE安全攻防培训资料.pptVIP

第八讲 痕迹清除 主要内容 UNIX系统攻击痕迹清除 Windows NT系统攻击痕迹清除 防火墙系统攻击痕迹清除 入侵检测系统攻击痕迹清除 WWW服务攻击痕迹清除 主要内容 UNIX系统攻击痕迹清除 Windows NT系统攻击痕迹清除 防火墙系统攻击痕迹清除 入侵检测系统攻击痕迹清除 WWW服务攻击痕迹清除 UNIX系统攻击痕迹清除 UNIX系统攻击痕迹清除基本原理 UNIX系统攻击痕迹清除实例 UNIX系统攻击痕迹清除基本原理 UNIX系统中3个重要的log文件： Wtmp或wtmpx 它们记录每次登陆的信息。 Utmp或utmpx 它们记录以前登陆到系统中的所有用户。 Lastlog 它记录每个用户最近一次的登陆时间和登陆点。 UNIX系统攻击痕迹清除基本原理 通过这些记录，网络管理员可以： 准确地发现攻击者什么时候进行了攻击活动。 发现攻击者从哪个站点进入系统。 知道攻击者在线的时间有多久。 UNIX系统攻击痕迹清除基本原理 下面分两种情况讨论清除日志记录的方法。 攻击者拥有普通用户权限 假如系统管理员将日志文件配置成任何用户可读写，修改日志文件就十分容易。不过，攻击者会想法添加一些记录到日志文件中，干扰管理员的视线。攻击者会rlogin到现在的主机，在lastlog中增加一个不令人怀疑的数据项，它将在该用户下次登陆时被显示。 攻击者拥有超级用户权限 拥有超级用户权限虽然为修改日志文件带来方便，但修改过度的话，就会引起管理员的注意。 UNIX系统攻击痕迹清除实例 utmp文件的修改 utmp主要记录当前系统用户注册情况。修改时，首先利用ttyslot（）函数找到所要修改数据的位置，ttyslot（）返回当前用户记录在utmp文件中的序号，然后可用lseek（）直接定位到该位置，修改该记录，该成其他用户的记录，主要修改ut-time，ut-line，ut-user。 UNIX系统攻击痕迹清除实例 wtmp文件的修改 wtmp文件中记录的数据结构与utmp文件中记录的数据结构相同。修改时，先利用函数ttyname（0）查出自己的终端设备名，在根据设备名逐个查找记录，修改自己的设备名记录。 UNIX系统攻击痕迹清除实例 acct文件的修改 修改文件前，攻击者先取得用户ID，用函数getuid（）即可。然后逐个比较记录，查找所有与该ID有关的记录，修改该记录。此时，可将该记录改为其他用户记录，用户ID可通过函数getpwnam（）获得。 UNIX系统攻击痕迹清除实例 lastlog文件的修改 lastlog文件的记录按用户ID的大小顺序排列。因此，修改前要利用函数getuid（）取得用户ID，然后可利用lseek（）直接定位到该记录，然后修改即可。 主要内容 UNIX系统攻击痕迹清除 Windows NT系统攻击痕迹清除 防火墙系统攻击痕迹清除 入侵检测系统攻击痕迹清除 WWW服务攻击痕迹清除 Windows NT系统攻击痕迹清除 Windows NT系统审计基本原理 Windows NT系统审计清除实例 Windows NT系统审计基本原理 Windows NT系统审计基本原理 Windows NT系统审计基本原理 Windows NT系统审计基本原理 Windows NT系统审计清除实例 elsave是Jesper Lauritsen编制的Windows NT日志清除工具，例如，要清除某NT服务器IDS_ONE的日志，可执行如下命令： elsave -s \\IDS_ONE -1 Security -c elsave -s \\IDS_ONE -1 Application -c elsave -s \\IDS_ONE -1 system -c 主要内容 UNIX系统攻击痕迹清除 Windows NT系统攻击痕迹清除 防火墙系统攻击痕迹清除 入侵检测系统攻击痕迹清除 WWW服务攻击痕迹清除 防火墙系统攻击痕迹清除 防火墙系统攻击痕迹清除基本原理 防火墙系统攻击痕迹清除实例 防火墙系统攻击痕迹清除基本原理 防火墙存在于受保护网络与外部通信的唯一接口上。它的日志详细记录了网络通信连接和安全事件信息，这些信息是网络攻击取证的重要依据。攻击者应当首先攻击防火墙的日志审计系统，使防火墙日志审计系统停止运行或审计没有所需要的磁盘空间，这样就会使攻击者的行为无法记录。 防火墙系统攻击痕迹清除基本原理 攻击防火墙的日志审计系统是不容易的，常见的方法有： 用伪装的IP地址进行网络连接触发防火墙的审计功能，干扰防火墙的审计功能的运行。 利用防火墙的漏洞，直接攻击防火墙系统。 利用