Windows系統(tǒng)的應(yīng)用范圍比較廣，Windows被入侵的幾率也是居高不下的，在以前的文章中，我們向大家介紹了一部分Windows的內(nèi)容今天，我們主要向大家介紹利用系統(tǒng)工具查看系統(tǒng)的信息的內(nèi)容。

尋找“顯形”證據(jù)

系統(tǒng)工具提供了對(duì)系統(tǒng)進(jìn)一步的監(jiān)視，在性能監(jiān)視器中可以看到其圖形化的變化情況。而計(jì)數(shù)器日志、跟蹤日志和警報(bào)則提供了對(duì)本地或遠(yuǎn)端系統(tǒng)的監(jiān)視記錄，并可根據(jù)預(yù)定的設(shè)定進(jìn)行特定的跟蹤和報(bào)警。還可利用不同的用于配置、管理COM組件及應(yīng)用的組件服務(wù)工具記錄或查找相關(guān)信息。

1.查看三大日志

在計(jì)算機(jī)上維護(hù)有關(guān)應(yīng)用程序、安全性系統(tǒng)事件的日志，可以使用事件查看器查看并管理事件日志。它用于收集計(jì)算機(jī)硬件、軟件和系統(tǒng)整體方面的錯(cuò)誤信息，也用來監(jiān)視一些安全方面的問題。它可根據(jù)應(yīng)用程序日志、安全日志和系統(tǒng)日志來源將記錄分成3類。

事件查看器顯示以下幾種事件類型：error是指比較嚴(yán)重的問題，通常是出現(xiàn)了數(shù)據(jù)丟失或功能丟失。例如如果在啟動(dòng)期間服務(wù)加載失敗，則會(huì)記錄錯(cuò)誤。Warning給出警告則表明情況暫時(shí)不嚴(yán)重，但可能會(huì)在將來引起錯(cuò)誤，比如磁盤空間太少等。Information描述應(yīng)用程序、驅(qū)動(dòng)程序或服務(wù)的成功操作的事件。例如成功地加載網(wǎng)絡(luò)驅(qū)動(dòng)程序時(shí)會(huì)記錄一個(gè)信息事件。Success audit審核訪問嘗試成功。例如將用戶成功登錄到系統(tǒng)上的嘗試作為成功審核事件記錄下來。Failure audit審核安全嘗試失敗。例如如果用戶試圖訪問網(wǎng)絡(luò)驅(qū)動(dòng)器失敗，該嘗試就會(huì)作為失敗審核事件記錄下來。

注意啟動(dòng)系統(tǒng)時(shí)事件日志服務(wù)會(huì)自動(dòng)啟動(dòng)，所有用戶都可以查看應(yīng)用程序日志和系統(tǒng)日志，但是只有管理員才能訪問安全日志。默認(rèn)情況下會(huì)關(guān)閉安全日志，所以管理員要記住設(shè)定啟用。管理員既可以使用組策略啟用安全日志記錄，也可以在注冊表中設(shè)置策略使系統(tǒng)在安全日志裝滿時(shí)停止運(yùn)行。

基于主機(jī)的檢測器可以檢測到系統(tǒng)類庫的改變或敏感位置文件的添加。當(dāng)結(jié)合所有現(xiàn)有的基于網(wǎng)絡(luò)的證據(jù)片斷時(shí)，就有可能重建特定的網(wǎng)絡(luò)事件，諸如文件傳輸、緩沖區(qū)溢出攻擊，或在網(wǎng)絡(luò)中使用被盜的用戶帳號(hào)和密碼等。

當(dāng)調(diào)查計(jì)算機(jī)犯罪時(shí)，會(huì)發(fā)現(xiàn)很多潛在證據(jù)的來源，不僅包括基于主機(jī)的日志記錄，而且還包括網(wǎng)絡(luò)的日志記錄以及其它的傳統(tǒng)形式，如指紋、證詞和證人。大多數(shù)的網(wǎng)絡(luò)流量在它經(jīng)過的路徑上都留下了監(jiān)查蹤跡。路由器、防火墻、服務(wù)器、IDS檢測器及其它的網(wǎng)絡(luò)設(shè)備都會(huì)保存日志，記錄基于網(wǎng)絡(luò)的突發(fā)事件。DHCP服務(wù)器會(huì)在PC請求IP租用時(shí)記錄網(wǎng)絡(luò)訪問。現(xiàn)代的防火墻允許管理員在創(chuàng)建監(jiān)查日志時(shí)有很多種粒度。IDS檢測器可以根據(jù)簽名識(shí)別或異常的檢測過濾器來捕獲一個(gè)攻擊的一部分?；诰W(wǎng)絡(luò)的日志記錄以多種形式存儲(chǔ)，可能源自不同的操作系統(tǒng)，可能需要特殊的軟件才能訪問和讀取，這些日志在地理上是分散的，而且常常對(duì)當(dāng)前系統(tǒng)時(shí)間有嚴(yán)重錯(cuò)誤的解釋。調(diào)查人員的挑戰(zhàn)就在于查找所有的日志，并使之關(guān)聯(lián)起來。從不同系統(tǒng)獲得地理上分散的日志、為每個(gè)日志維護(hù)保管鏈、重建基于網(wǎng)絡(luò)的突發(fā)事件，這一切都需要消耗大量的時(shí)間和密集的資源。

2.檢查相關(guān)文件、執(zhí)行關(guān)鍵詞搜索

Windows系統(tǒng)同時(shí)進(jìn)行對(duì)很多文件的輸入和輸出，所以幾乎所有發(fā)生在系統(tǒng)上的活動(dòng)都會(huì)留下一些發(fā)生的痕跡。它有許多臨時(shí)文件、高速緩存文件、一個(gè)跟蹤最近使用文件的注冊文件、一個(gè)保留刪除文件的回收站和無數(shù)的存儲(chǔ)運(yùn)行時(shí)間資料的其它位置。

在調(diào)查知識(shí)產(chǎn)權(quán)或所有權(quán)、信息的所有權(quán)、性騷擾以及任何實(shí)際上包含基于文本通信的問題上，對(duì)目標(biāo)硬盤驅(qū)動(dòng)器執(zhí)行字符串搜索是非常重要的。很多不同的關(guān)鍵詞可能對(duì)調(diào)查非常重要，這些關(guān)鍵詞包括用戶ID、密碼、敏感資料（代碼字）、已知的文件名和具體的主題詞。字符串搜索可以在邏輯文件結(jié)構(gòu)上執(zhí)行，也可以在物理層次上執(zhí)行。

3.鑒定未授權(quán)的用戶帳號(hào)或組、“流氓”進(jìn)程

檢查用戶管理器，尋找未授權(quán)的用戶帳號(hào)；使用usrstat瀏覽域控制器中的域帳號(hào)，尋找可疑的項(xiàng)目；使用Event Viecser檢查安全日志，篩選出事件為添加新帳號(hào)、啟用用戶帳號(hào)、改變帳號(hào)組和改變用戶帳號(hào)的項(xiàng)目。

鑒定檢查一個(gè)運(yùn)行系統(tǒng)時(shí)，鑒定“流氓”進(jìn)程是非常簡單的。因?yàn)榇蟛糠?ldquo;流氓”進(jìn)程都要監(jiān)聽網(wǎng)絡(luò)連接或探測網(wǎng)絡(luò)以獲得純文本的用戶ID和密碼，這些進(jìn)程很容易在執(zhí)行過程中被發(fā)現(xiàn)。plist命令將列出正在運(yùn)行的進(jìn)程，listdlls將提供每個(gè)運(yùn)行中進(jìn)程的完整的命令行參數(shù)，fport將顯示監(jiān)聽的進(jìn)程以及他們所監(jiān)聽得到端口。對(duì)于未運(yùn)行的系統(tǒng)上“流氓”進(jìn)程，方法是在證據(jù)的整個(gè)邏輯卷內(nèi)使用最新的病毒掃描程序進(jìn)行掃描。如果選擇在還原映象的文件系統(tǒng)上運(yùn)行病毒檢查工具，必須保證這個(gè)卷是只讀的。

4.尋找隱藏文件和恢復(fù)被刪除文件

所有的壞人都想隱藏一些事情，他們采取這樣的辦法：一旦一個(gè)內(nèi)部攻擊者選擇在他的系統(tǒng)上執(zhí)行未授權(quán)或不受歡迎的任務(wù)，他可能會(huì)讓一些文件不可見。這些攻擊者可能利用NTFS文件流，在合法文件后隱藏資料。還有可能改變文件的擴(kuò)展名或特意將文件名命為重要系統(tǒng)文件的名字，最后還可以把文件刪除。

我們知道被刪除的文件并不是真正被刪除了，它們只是被標(biāo)記為刪除。這就意味著這些文件仍保存完好，直到新數(shù)據(jù)的寫入覆蓋了這些被刪除文文件所在硬盤驅(qū)動(dòng)器的物理空間。也就是說越早嘗試，恢復(fù)一個(gè)文件成功的機(jī)會(huì)就越大。File Scavenger甚至可能在硬盤被重新格式化后還能進(jìn)行恢復(fù)。

5.檢查未授權(quán)的訪問點(diǎn)和安全標(biāo)識(shí)符SID

當(dāng)檢查到一個(gè)受害系統(tǒng)時(shí)，必須鑒別系統(tǒng)的訪問點(diǎn)以確定進(jìn)行訪問的方式，一些工具都是鑒別系統(tǒng)訪問點(diǎn)的重要工具，它們使用API調(diào)用以讀取內(nèi)核及用戶空間的TCP和UDP連接表的內(nèi)容。如果想捕獲這一信息，需要允許通過還原映象引導(dǎo)系統(tǒng)。如果想在檢查運(yùn)行系統(tǒng)時(shí)完成這一步，則要在關(guān)閉系統(tǒng)以進(jìn)行映象之前，比較這兩個(gè)操作的結(jié)果，它們的差異表明存在未授權(quán)的后臺(tái)程序。

SID用于唯一地標(biāo)識(shí)一個(gè)用戶或一個(gè)組。每一個(gè)系統(tǒng)都有自己的標(biāo)識(shí)符。計(jì)算機(jī)標(biāo)識(shí)府和用戶標(biāo)識(shí)符一起構(gòu)成了SID.因此SID可以唯一地標(biāo)識(shí)用戶帳號(hào)。所以我們需要比較在受害機(jī)器上發(fā)現(xiàn)的SID和在中央認(rèn)證機(jī)構(gòu)記錄的SID。

6.檢查Scheduler Service運(yùn)行的任務(wù)

攻擊者常用的一個(gè)策略是讓調(diào)度事件為他們打開后門程序、改變審核策略或者完成更險(xiǎn)惡的事。比如刪除文件。惡意的調(diào)度作業(yè)通常是用at或soon工具調(diào)度它們的。不帶命令行參數(shù)的at命令可以顯示任何已調(diào)度的作業(yè)。

7.分析信任關(guān)系

WINDOWS NT系統(tǒng)支持不可傳遞的或單向的信任。這意味著只能單方向提供訪問和服務(wù)。即使你的NT PDC信任其它域，這個(gè)被信任的域也不需要信任你的PDC,因此被信任域中的用戶能使用你所在域的服務(wù)，但是反過來就不行。WINDOWS 2000則支持可傳遞的信仰。

Windows系統(tǒng)的介紹就告一段落了，我們一定要學(xué)會(huì)相關(guān)的保護(hù)措施，多多學(xué)習(xí)與系統(tǒng)有關(guān)的知識(shí)，與可惡的黑客們對(duì)抗。

【編輯推薦】

1. 如何抓住黑客入侵Windows系統(tǒng)
2. 手動(dòng)解決Windows XP系統(tǒng)0day漏洞
3. 封殺Windows系統(tǒng)漏洞堵住黑客入侵途徑