如何抓住黑客入侵Windows系統 續
Windows系統的應用范圍比較廣,Windows被入侵的幾率也是居高不下的,在以前的文章中,我們向大家介紹了一部分Windows的內容今天,我們主要向大家介紹利用系統工具查看系統的信息的內容。
尋找“顯形”證據
系統工具提供了對系統進一步的監視,在性能監視器中可以看到其圖形化的變化情況。而計數器日志、跟蹤日志和警報則提供了對本地或遠端系統的監視記錄,并可根據預定的設定進行特定的跟蹤和報警。還可利用不同的用于配置、管理COM組件及應用的組件服務工具記錄或查找相關信息。
1.查看三大日志
在計算機上維護有關應用程序、安全性系統事件的日志,可以使用事件查看器查看并管理事件日志。它用于收集計算機硬件、軟件和系統整體方面的錯誤信息,也用來監視一些安全方面的問題。它可根據應用程序日志、安全日志和系統日志來源將記錄分成3類。
事件查看器顯示以下幾種事件類型:error是指比較嚴重的問題,通常是出現了數據丟失或功能丟失。例如如果在啟動期間服務加載失敗,則會記錄錯誤。Warning給出警告則表明情況暫時不嚴重,但可能會在將來引起錯誤,比如磁盤空間太少等。Information描述應用程序、驅動程序或服務的成功操作的事件。例如成功地加載網絡驅動程序時會記錄一個信息事件。Success audit審核訪問嘗試成功。例如將用戶成功登錄到系統上的嘗試作為成功審核事件記錄下來。Failure audit審核安全嘗試失敗。例如如果用戶試圖訪問網絡驅動器失敗,該嘗試就會作為失敗審核事件記錄下來。
注意啟動系統時事件日志服務會自動啟動,所有用戶都可以查看應用程序日志和系統日志,但是只有管理員才能訪問安全日志。默認情況下會關閉安全日志,所以管理員要記住設定啟用。管理員既可以使用組策略啟用安全日志記錄,也可以在注冊表中設置策略使系統在安全日志裝滿時停止運行。
基于主機的檢測器可以檢測到系統類庫的改變或敏感位置文件的添加。當結合所有現有的基于網絡的證據片斷時,就有可能重建特定的網絡事件,諸如文件傳輸、緩沖區溢出攻擊,或在網絡中使用被盜的用戶帳號和密碼等。
當調查計算機犯罪時,會發現很多潛在證據的來源,不僅包括基于主機的日志記錄,而且還包括網絡的日志記錄以及其它的傳統形式,如指紋、證詞和證人。大多數的網絡流量在它經過的路徑上都留下了監查蹤跡。路由器、防火墻、服務器、IDS檢測器及其它的網絡設備都會保存日志,記錄基于網絡的突發事件。DHCP服務器會在PC請求IP租用時記錄網絡訪問。現代的防火墻允許管理員在創建監查日志時有很多種粒度。IDS檢測器可以根據簽名識別或異常的檢測過濾器來捕獲一個攻擊的一部分。基于網絡的日志記錄以多種形式存儲,可能源自不同的操作系統,可能需要特殊的軟件才能訪問和讀取,這些日志在地理上是分散的,而且常常對當前系統時間有嚴重錯誤的解釋。調查人員的挑戰就在于查找所有的日志,并使之關聯起來。從不同系統獲得地理上分散的日志、為每個日志維護保管鏈、重建基于網絡的突發事件,這一切都需要消耗大量的時間和密集的資源。
2.檢查相關文件、執行關鍵詞搜索
Windows系統同時進行對很多文件的輸入和輸出,所以幾乎所有發生在系統上的活動都會留下一些發生的痕跡。它有許多臨時文件、高速緩存文件、一個跟蹤最近使用文件的注冊文件、一個保留刪除文件的回收站和無數的存儲運行時間資料的其它位置。
在調查知識產權或所有權、信息的所有權、性騷擾以及任何實際上包含基于文本通信的問題上,對目標硬盤驅動器執行字符串搜索是非常重要的。很多不同的關鍵詞可能對調查非常重要,這些關鍵詞包括用戶ID、密碼、敏感資料(代碼字)、已知的文件名和具體的主題詞。字符串搜索可以在邏輯文件結構上執行,也可以在物理層次上執行。
3.鑒定未授權的用戶帳號或組、“流氓”進程
檢查用戶管理器,尋找未授權的用戶帳號;使用usrstat瀏覽域控制器中的域帳號,尋找可疑的項目;使用Event Viecser檢查安全日志,篩選出事件為添加新帳號、啟用用戶帳號、改變帳號組和改變用戶帳號的項目。
鑒定檢查一個運行系統時,鑒定“流氓”進程是非常簡單的。因為大部分“流氓”進程都要監聽網絡連接或探測網絡以獲得純文本的用戶ID和密碼,這些進程很容易在執行過程中被發現。plist命令將列出正在運行的進程,listdlls將提供每個運行中進程的完整的命令行參數,fport將顯示監聽的進程以及他們所監聽得到端口。對于未運行的系統上“流氓”進程,方法是在證據的整個邏輯卷內使用最新的病毒掃描程序進行掃描。如果選擇在還原映象的文件系統上運行病毒檢查工具,必須保證這個卷是只讀的。
4.尋找隱藏文件和恢復被刪除文件
所有的壞人都想隱藏一些事情,他們采取這樣的辦法:一旦一個內部攻擊者選擇在他的系統上執行未授權或不受歡迎的任務,他可能會讓一些文件不可見。這些攻擊者可能利用NTFS文件流,在合法文件后隱藏資料。還有可能改變文件的擴展名或特意將文件名命為重要系統文件的名字,最后還可以把文件刪除。
我們知道被刪除的文件并不是真正被刪除了,它們只是被標記為刪除。這就意味著這些文件仍保存完好,直到新數據的寫入覆蓋了這些被刪除文文件所在硬盤驅動器的物理空間。也就是說越早嘗試,恢復一個文件成功的機會就越大。File Scavenger甚至可能在硬盤被重新格式化后還能進行恢復。
5.檢查未授權的訪問點和安全標識符SID
當檢查到一個受害系統時,必須鑒別系統的訪問點以確定進行訪問的方式,一些工具都是鑒別系統訪問點的重要工具,它們使用API調用以讀取內核及用戶空間的TCP和UDP連接表的內容。如果想捕獲這一信息,需要允許通過還原映象引導系統。如果想在檢查運行系統時完成這一步,則要在關閉系統以進行映象之前,比較這兩個操作的結果,它們的差異表明存在未授權的后臺程序。
SID用于唯一地標識一個用戶或一個組。每一個系統都有自己的標識符。計算機標識府和用戶標識符一起構成了SID.因此SID可以唯一地標識用戶帳號。所以我們需要比較在受害機器上發現的SID和在中央認證機構記錄的SID。
6.檢查Scheduler Service運行的任務
攻擊者常用的一個策略是讓調度事件為他們打開后門程序、改變審核策略或者完成更險惡的事。比如刪除文件。惡意的調度作業通常是用at或soon工具調度它們的。不帶命令行參數的at命令可以顯示任何已調度的作業。
7.分析信任關系
WINDOWS NT系統支持不可傳遞的或單向的信任。這意味著只能單方向提供訪問和服務。即使你的NT PDC信任其它域,這個被信任的域也不需要信任你的PDC,因此被信任域中的用戶能使用你所在域的服務,但是反過來就不行。WINDOWS 2000則支持可傳遞的信仰。
Windows系統的介紹就告一段落了,我們一定要學會相關的保護措施,多多學習與系統有關的知識,與可惡的黑客們對抗。
【編輯推薦】
