Win可爱dows入侵检测及防制工具.ppt

Windows系統入侵偵測與防制工具 成大計網中心 楊峻榮 2003/10/23 大綱 入侵概念 系統狀況檢視 PC防火牆機制 Windows系統之弱點評估工具 入侵之定義 凡舉非所有者所願之對於主機(PC)存取資料，植入程式或資料 造成系統失效，資料毀損或業務中斷或資料外洩資料之行為 一般之存取或試探活動大都以網路從事，但以非網路活動之存取及試探活動也屬入侵行為（如由主控台登入） 入侵之種類 病毒 病毒信件 服務阻斷 非法存取 入侵 植入後門程式 入侵型態 主動模式：以病毒或worm方式，其入侵及破壞與所植入之檔案（檔名或擺放位置也許有異）皆是固定行為模式，故可以由防毒軟體偵測出來(已裝有該入侵行為之病毒碼) 人為模式：入侵之目的主要為非法行為，如資料竊取，破壞，或當成其他入侵之跳板，其入侵之模式不定，故較難偵測。入侵試探手法可能固定（ex 利用即有之系統漏洞） ,但入侵後所擺放之後門程式是可變的 入侵Life_cycle 針對系統或人為漏洞入侵 植入後門程式 進行破壞(當跳板, 竊取資料, 服務阻斷) 修補漏洞 清除後門程式或病毒 持續監控 Windows 之防護機制 系統檢視 防毒軟體 個人防火牆 系統漏洞修補 弱點掃瞄及分析 系統檢視 手動方式 針對核心項目或入侵模式 遭入侵或破壞之經驗累積 針對已經或疑似遭受入侵（ex 系統效能不佳） 最好固定期間檢查一次 檢視項目非檢視結果，所以須加上人為判斷或和別系統交叉比對 傳輸狀況 連線狀態(netstat) Process(工作管理員） 資源分享 開啟　開始／設定／控制台，點選 系統管理工具／電腦管理，於左邊之樹狀目錄，點選「共用資料夾」左邊之+符號，會展開「共用資料夾」下之子項目。其中「共用」為share出去之目錄，請檢查是否有不必要之檔案分享。「工作階段」為目前連上分享的來源。「開啟檔案」為目前連上分享所開啟的檔案。 檔案異動日期 檔案異動日期（利用搜尋選項） 登錄表（registry) 事件檢視 Internet Services Logs 假如有開啟Internet（www、ftp）Services，Log一般放置在/WINNT/system32/logFiles Internet Services Logs 服務(Service) 至控制台／系統管理工具／服務 ,無描述，啟動類型為「自動」，狀態為「啟動」，顯示其內容之執行程式路徑，是否為遭植入的檔案 使用者帳號及其權限 是否有不明之使用者，一般使用者是否有administrator權限或群組 其他 Autoexec.bat Config.sys %windir%/win.ini 之 load= run = %windir%/system.ini 之 shall= 程式集/啟動 下是否有不正常檔案 程式集／附屬應用程式／系統工具／排定的工作 硬碟是否被不正常使用 個人防火牆 使用系統內建之TCP/IP篩選 使用防毒軟體之防火牆功能 使用主機型防火牆軟體(BlackICE) 使用系統之TCP/IP篩選 使用系統之TCP/IP篩選 TCP/UDP port : 參考 service ports IP Protocol : ICMP 1 Internet Control Message Protocol IGMP 2 Internet Group Management Protocol GGP 3 Gateway-to –Gateway Protocol IP 4 IP in IP encapsulation TCP 6 Transmission Control Protocol EGP 8 Exterior Gateway Protocol IGP 9 Interior Gateway Protocol UDP 17 User Datagram Protocol BlackICE BlackICE BlackICE 病毒Life-cycle 管道：一切可接觸感染源的方式與途徑 感染：確定經由管道感染病毒 病發：待病發條件成立時，將形成破壞 擴散：向外擴散 防堵：阻絕再次感染之途徑 清除：清除已存在之病毒 偵測：持續偵測預防病毒再次感染 防毒軟體處理程序 偵測 Open 檔案時 由pattern比對是否為Virus 記錄檔案所在位置供處理階段參考 阻擋 阻止病毒資料進入磁碟機 病毒檔處理 依設定決定對於此檔案清除，刪除或隔離 #由網路傳輸管道(如mail)之病毒偵測處理，因上述之處理步驟，出現之訊息可能會誤認已中毒，只要確定該檔不存在，即可不需在意 Baseline Security Analyzer Baseline Secur