如何抓住黑客入侵Windows系統
Windows系統的應用范圍幾乎是最為廣泛的,隨著計算機的發展,Windows系統也隨之進化著,但是入侵Windows的行為而隨之產生了,不僅如此,隨著網絡的不斷擴大,網絡安全更加會成為人們的一個焦點,同時也成為是否能進一步投入到更深更廣領域的一個基石。當然網絡的安全也是一個動態的概念,世界上沒有絕對安全的網絡,只有相對安全的網絡。
Windows系統特性
Windows操作系統維護三個相互獨立的日志文件:系統日志、應用程序日志、安全日志。
1.系統日志
系統日志記錄系統進程和設備驅動程序的活動。它審核的系統事件包括啟動失敗的設備驅動程序、硬件錯誤、重復的IP地址,以及服務的啟動、暫停和停止。系統日志包含由系統組件記錄的事情。例如在系統日志中記錄啟動期間要加載的驅動程序或其他系統組件的故障。由系統組件記錄的事件類型是預先確定的。系統日志還包括了系統組件出現的問題,比如啟動時某個驅動程序加載失敗等。
2.應用程序日志
應用程序日志包括關于用戶程序和商業通用應用程序的運行方面的錯誤活動,它審核的應用程序事件包括所有錯誤或應用程序需要報告的信息。應用程序日志可以包括性能監視審核的事件以及由應用程序或一般程序記錄的事件,比如失敗登錄的次數、硬盤使用的情況和其它重要的指針;比如數據庫程序用應用程序日志來記錄文件錯誤;比如開發人員決定所要記錄的事件。
3.安全日志
安全日志通常是在應急響應調查階段最有用的日志。調查員必須仔細瀏覽和過濾這些日志的輸出,以識別它們包含的證據。安全日志主要用于管理員記載用戶登錄上網的情況。在安全日志中可以找到它使用的系統審核和安全處理。它審核的安全事件包括用戶特權的變化、文件和目錄訪問、打印以及系統登錄和注銷。安全日志可以記錄諸如有效的登錄嘗試等安全事件以及與資源使用有關的事件,例如創建、打開或刪除應用文件。管理員可以指定在安全日志中記錄的事件。例如如果你啟用了登錄審核,那么系統登錄嘗試就記錄在安全日志中。
“隱形”證據的查找
由于攻擊者的詭密性日益提高,他們還使用隱蔽信道的方法躲避檢測。我們將隱蔽信道定義為所有秘密的、隱藏的、難以檢測的通信方式。所有與此相關的證據稱為“隱形”證據。
1.難以檢測、回放的行為
所捕捉或被監視到的,但是還需要進行進一步詳細檢查才能識別出的那些未經授權的流量。這些行為包括諸如Loki 2.0 HTTP命令信道和郵件隧道效應等ICMP和UDP隱蔽信道。查找辦法就是仔細檢查所監視到的流量,提高鑒別能力。包括任何類型通信中的那些利用任何工具都不能按人們可讀的方式顯示或重構的各種行為。查看會話的最常見阻礙就是加密。更多的經驗豐富的攻擊者可以建立加密信道,使得網絡監視失效。許多網絡協議本質上就是難以回放的,X Windows通信、Netbus通信和其它傳輸大量圖形信息的遠程會話都是很難再現的。監視加密通信并不是完全沒用,因為它可以證明在確定的IP地址之間沒有進行通信。所需的證據就在于這些端點上。
2.難以跟蹤到源IP地址的攻擊行為
它可以通過拒絕服務攻擊得到最好的證明。源IP地址通常是被偽裝的,這就使得通過源地址跟蹤源計算機是非常困難的。以日志文件或嗅探器捕獲文件形式保存的電子證據所報告的是錯誤數據。被偽裝的郵件或欺騙性的電子郵件也對按電子郵件跟蹤到這些消息的原始計算機提出了挑戰。人們會發現中繼電子郵件服務器位于一個法律上不合作的國家,并通過此服務器發送偽造電子郵件。這些中繼電子郵件服務器通常記錄了原始計算機的IP地址,但是由于位于不合作的外國,所以無法獲得這些信息。加大在網絡邊界的監視,充分發揮網關的識別作用,才是解決此類問題的唯一所選。
3.使得證據難以收集
通過下列方式可以使證據難以收集——加密文件、安裝可裝載的核心模塊以便利用你的操作系統來對付你,以及對二進制文件使用“特洛伊木馬”使攻擊者的痕跡不過于明顯。攻擊者阻礙收集證據的另一個技巧是不斷改變遠程系統的端口。當攻擊者以一種看起來隨機的方式頻繁地修改端口以初始化與受攻擊系統的連接時,調查員很難實施獲得相關信息的過程。
對于此種證據的查找,我們采取在線被動的網絡監視辦法以及通過IDS、 防火墻和其他信息源知道有關攻擊的多種標志,同時不斷總結有效的分析網絡通信的調查方法。在網絡中發現非法的服務器或通信的非法通道,這是最有效的方法。它為確定可疑行為的程度和確定以非法方式通信的相關系統提供了一種方法,以便確定將系統保持在線狀態所冒的風險和系統脆弱程度。根據這些信息,可以采取適當的后續步驟或防范措施。同時并加大培訓力度,不斷提高監視技巧,加強有力的自動分析工具的開發。
4.免受監視的行為
包括ICMP通信、SMTP通信、POP通信、Usenet通信、在外部介質保存文件、看上去無害的Web通信,以及源于內部IP地址的通信。查找此類證據的唯一方法就是監視盡可能多的通信。
為了維持對攻擊者的優勢,預見攻擊的變革是十分必要的。只有了解攻擊者的目標才能知道可能遭受攻擊的地方。只有了解這些目標才有可能預見到在網絡上發生的攻擊,由此我們既要熟悉合法通信的標準,又要深入了解各種網絡協議本身然后進行網絡監視并仔細檢查網絡通信以便確認各種不同類型的隱蔽通道,查找出不同的隱形證據。
計算機取證技術的研究是一個相當復雜的課題,本文力圖從兩個方面來對計算機取證技術的過程和步驟進行探討,提出了一種較為完善的由易到難、由簡單到復雜的方法。我們可以通過對“顯形”證據查找的辦法支持在小局域網、軍隊網進行計算機取證,也支持在英特網上查找一些簡易的取證,通過對“隱形”證據查找的辦法支持在大的局域網甚至在英特網上查找復雜的取證,為調查人員提供重要的調查線索和證據來源。
Windows系統是一個智能復雜的操作系統,它是很多人努力的結晶,我們一定要盡全力阻止黑客的入侵行為。
【編輯推薦】
