- 1、本文档共32页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
Win可爱dows入侵检测及防制工具
Windows系統入侵偵測與防制工具 成大計網中心 楊峻榮 2003/10/23 大綱 入侵概念 系統狀況檢視 PC防火牆機制 Windows系統之弱點評估工具 入侵之定義 凡舉非所有者所願之對於主機(PC)存取資料,植入程式或資料 造成系統失效,資料毀損或業務中斷或資料外洩資料之行為 一般之存取或試探活動大都以網路從事,但以非網路活動之存取及試探活動也屬入侵行為(如由主控台登入) 入侵之種類 病毒 病毒信件 服務阻斷 非法存取 入侵 植入後門程式 入侵型態 主動模式:以病毒或worm方式,其入侵及破壞與所植入之檔案(檔名或擺放位置也許有異)皆是固定行為模式,故可以由防毒軟體偵測出來(已裝有該入侵行為之病毒碼) 人為模式:入侵之目的主要為非法行為,如資料竊取,破壞,或當成其他入侵之跳板,其入侵之模式不定,故較難偵測。入侵試探手法可能固定(ex 利用即有之系統漏洞) ,但入侵後所擺放之後門程式是可變的 入侵Life_cycle 針對系統或人為漏洞入侵 植入後門程式 進行破壞(當跳板, 竊取資料, 服務阻斷) 修補漏洞 清除後門程式或病毒 持續監控 Windows 之防護機制 系統檢視 防毒軟體 個人防火牆 系統漏洞修補 弱點掃瞄及分析 系統檢視 手動方式 針對核心項目或入侵模式 遭入侵或破壞之經驗累積 針對已經或疑似遭受入侵(ex 系統效能不佳) 最好固定期間檢查一次 檢視項目非檢視結果,所以須加上人為判斷或和別系統交叉比對 傳輸狀況 連線狀態(netstat) Process(工作管理員) 資源分享 開啟 開始/設定/控制台,點選 系統管理工具/電腦管理,於左邊之樹狀目錄,點選「共用資料夾」左邊之+符號,會展開「共用資料夾」下之子項目。其中「共用」為share出去之目錄,請檢查是否有不必要之檔案分享。「工作階段」為目前連上分享的來源。「開啟檔案」為目前連上分享所開啟的檔案。 檔案異動日期 檔案異動日期(利用搜尋選項) 登錄表(registry) 事件檢視 Internet Services Logs 假如有開啟Internet(www、ftp)Services,Log一般放置在/WINNT/system32/logFiles Internet Services Logs 服務(Service) 至控制台/系統管理工具/服務 ,無描述,啟動類型為「自動」,狀態為「啟動」,顯示其內容之執行程式路徑,是否為遭植入的檔案 使用者帳號及其權限 是否有不明之使用者,一般使用者是否有administrator權限或群組 其他 Autoexec.bat Config.sys %windir%/win.ini 之 load= run = %windir%/system.ini 之 shall= 程式集/啟動 下是否有不正常檔案 程式集/附屬應用程式/系統工具/排定的工作 硬碟是否被不正常使用 個人防火牆 使用系統內建之TCP/IP篩選 使用防毒軟體之防火牆功能 使用主機型防火牆軟體(BlackICE) 使用系統之TCP/IP篩選 使用系統之TCP/IP篩選 TCP/UDP port : 參考 service ports IP Protocol : ICMP 1 Internet Control Message Protocol IGMP 2 Internet Group Management Protocol GGP 3 Gateway-to –Gateway Protocol IP 4 IP in IP encapsulation TCP 6 Transmission Control Protocol EGP 8 Exterior Gateway Protocol IGP 9 Interior Gateway Protocol UDP 17 User Datagram Protocol BlackICE BlackICE BlackICE 病毒Life-cycle 管道:一切可接觸感染源的方式與途徑 感染:確定經由管道感染病毒 病發:待病發條件成立時,將形成破壞 擴散:向外擴散 防堵:阻絕再次感染之途徑 清除:清除已存在之病毒 偵測:持續偵測預防病毒再次感染 防毒軟體處理程序 偵測 Open 檔案時 由pattern比對是否為Virus 記錄檔案所在位置供處理階段參考 阻擋 阻止病毒資料進入磁碟機 病毒檔處理 依設定決定對於此檔案清除,刪除或隔離 #由網路傳輸管道(如mail)之病毒偵測處理,因上述之處理步驟,出現之訊息可能會誤認已中毒,只要確定該檔不存在,即可不需在意 Baseline Security Analyzer Baseline Secur
文档评论(0)