高级网络信息安全员培训课件第02讲网络信息安全技术.pptVIP

(5)注册表校验 木马或者后门一般都会利用注册表来再次运行自己，所以，校验注册表来发现入侵也是常用的手法之一。一般来说，如果一个入侵者只懂得使用流行的木马，那么由于普通木马只能写入特定的几个键值（比如Run、Runonce等等），查找起来是相对容易的，但是对于可以自己编写/改写木马的人来说，注册表的任何地方都可以藏身，靠手工查找就没有可能了 应对的方法是监控注册表的任何改动，这样改写注册表的木马就没有办法遁形了。监控注册表的软件非常多，很多追查木马的软件都带有这样的功能，一个监控软件加上定期对注册表进行备份，万一注册表被非授权修改，系统管理员也能在最短的时间内恢复 (6)端口监控 使用netstat查看服务器的端口状况 -A 显示任何关联的协议控制块的地址。主要用于调试 -a 显示所有套接字的状态。在一般情况下不显示与服务器进程相关联的套接字 -i 显示自动配置接口的状态。那些在系统初始引导后配置的接口状态不在输出之列 -m 打印网络存储器的使用情况 -n 打印实际地址，而不是对地址的解释或者显示主机，网络名之类的符号 -r 打印路由选择表 -f address -family对于给出名字的地址簇打印统计数字和控制块信息。到目前为止，唯一支持的地址簇是inet -I interface 只打印给出名字的接口状态 -p protocol-name 只打印给出名字的协议的统计数字和协议控制块信息 -s 打印每个协议的统计数字 -t 在输出显示中用时间信息代替队列长度信息 netstat -n -p tcp 10Netstat.log，这个命令每10秒钟自动查看一次TCP的连接状况，基于这个命令我们做一个Netlog.bat文件: time /tNetstat.log Netstat -n -p tcp 10Netstat.log 这个脚本将会自动记录时间和TCP连接状态 (6)端口监控 (7)终端服务的日志监控 微软Win2000服务器版中自带的终端服务Terminal Service是一个基于远程桌面协议（RDP）的工具，它的速度非常快，也很稳定，可以成为一个很好的远程管理软件 在管理工具中打开远程控制服务配置（Terminal Service Configration），点击连接，右击你想配置的RDP服务（比如 RDP-TCP(Microsoft RDP 5.0)，选中书签“权限”，点击左下角的“高级”，选择“审核”。加入一个Everyone组，这代表所有的用户，然后审核他的“连接”、“断开”、“注销”的成功和“登录”的成功和失败 建立一个叫做TSLog.bat的bat文件，由其来记录登录者的IP： time /t TSLog.log netstat -n -p tcp | find :3389TSLog.log start Explorer 第一行是记录用户登录的时间，time /t的意思是直接返回系统时间（如果不加/t，系统会等待你输入新的时间），然后我们用追加符号“”把这个时间记入TSLog.log作为日志的时间字段 第二行是记录用户的IP地址，-n表示显示IP和端口而不是域名、协议，-p tcp是只显示tcp协议，然后我们用管道符号“|”把这个命令的结果输出给find命令，从输出结果中查找包含“：3389”的行，最后我们同样把这个结果重定向到日志文件TSLog.log中去 (7)终端服务的日志监控 (8)陷阱技术 早期的陷阱技术只是一个伪装的端口服务用来监测扫描，随着矛和盾的不断升级，现在的陷阱服务或者陷阱主机已经越来越完善，越来越象真正的服务，不仅能截获半开式扫描，还能伪装服务的回应并记录入侵者的行为，从而帮助判断入侵者的身份。 对于陷阱技术的使用应该慎重，一来从技术人员角度来说，低调行事更符合安全的原则；二来陷阱主机反而成为入侵者跳板的情况也屡见不鲜。 谢谢 * * 中文简体版IIS中c1 1c解码成了（c1-c0)*40+1c=5c=“\”， * 这个命令使用的是NT自带的find.exe工具，可以轻松的从文本文件中找到你想过滤的字符串，Global.asa是需要查询的字符串，ex010318.log是待过滤的文本文件，/i代表忽略大小写。 * 这个命令使用的是NT自带的find.exe工具，可以轻松的从文本文件中找到你想过滤的字符串，Global.asa是需要查询的字符串，ex010318.log是待过滤的文本文件，/i代表忽略大小写。 * 这个命令使用的是NT自带的find.exe工具，可以轻松的从文本文件中找到你想过滤的字符串，Global.asa是需要查询的字符串，ex010318.log是待过滤的文本文件，/i代表忽略大小写。 * 这个命令使用的是NT自带的find.exe