Windows系统入侵检查主要内容..doc

Windows系统检查主要事项 Windows系统的入侵检测方法主要包括：检查所有相关的日志，检查相关文件，鉴定未授权的用户账号或组，寻找异常或隐藏文件，检查系统的运行的进程，检查系统开放的端口等。可以采用手工和工具检查相结合的方式进行。 一、手工检查与审计 下面就各种检查项目做一下详细说明。 1、检查端口与网络连接 Netstat.exe 是一种命令行实用工具，可以显示 TCP 和 UDP 的所有打开的端口。 如果发现的已打开的端口无法识别，则应对它们进行调查以确定在该计算机上是否需要对应的服务。如果不需要该服务，则应禁用或删除相关的服务以防止计算机在该端口上监听。 也可以通过该命令检查有哪些相关的连接，也许恶意的连接就在这里。 方法： Netstat –an（系统命令）（windows2003使用命令Netstat –ano可检测出端口对应的进程） Netstat –a（系统命令）（windows2003使用命令Netstat –ao可检测出端口对应的进程） Fport（第三方工具） 木马端口列表： /main.htm /threat/threat-ports.htm http://www.chebucto.ns.ca/~rakerman/port-table.html 2、检查账户安全 服务器被入侵之后，通常会表现在系统的用户账户上，我们可以在系统日志上察看相关的信息。除了察看事件日志外，也应该检查所有账户的信息，包括他们所属的组。有些黑客入侵后常常将添加他们自己的账号，或者将那些偏僻的用户修改了权限，从而方便他们以后再次入侵。 方法： 可以在“计算机管理”—“用户管理”中查看系统帐号。 可以使用命令查看：net user ；net localgroup administrators； 可以cca.exe（第三方工具）检查是否有克隆帐号的存在。 3、查找恶意进程 可以通过以下工具和方法检查系统运行的进程，找出异常的进程。 方法： 任务管理器（系统工具） Psinfo.exe（第三方工具） Windows2000基本的系统进程如下： smss.exe Session Manager 会话管理 csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) svchost.exe 包含很多系统服务 spoolsv.exe 将文件加载到内存中以便迟后打印。(系统服务) explorer.exe 资源管理器 internat.exe 输入法 4、监视已安装的服务和驱动程序 许多针对计算机的攻击都是这样实现的：攻击安装在目标计算机上的服务，或者将有效的驱动程序替换为包含特洛伊木马的驱动程序版本，以给予攻击者访问目标计算机的权限。 1、通过服务控制台查看服务。服务 MMC 控制台用于监视本地计算机或远程计算机的服务，并允许管理员配置、暂停、停止、启动和重新启动所有已安装的服务。可使用此控制台确定是否存在已配置为自动启动的服务当前未启动的情况。 2、通过注册表项查看服务和驱动程序： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 5、检查注册表的关键项： 一般来说，木马或者后门都会利用注册表来再次运行自己，所以，校验注册表来发现入侵也是常用的手法之一。使用REGEDIT注册表编辑器可以查看注册表。 在注册表里，我们着重要查看 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\、HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\下面的子树。特别是要查看 Run, RunOnce, RunOnceEx, RunServices, 和 RunServicesOnce 文件夹，查找是否存在异常的条目。 HKEY_LOCAL_MACHINE\SOFTWAREMicrosoft\Windows NT\CurrentVersion\WinLogon也是需要检查的地方。主要检查内容：Shell项内容正常情况应该为Explorer.exe；Userinit项内容应该为C:\WINNT\system32\userinit.exe；检查是否有增加的项目其内容包括.exe .sys .d