Windows系統(tǒng)的應(yīng)用范圍幾乎是最為廣泛的，隨著計算機的發(fā)展，Windows系統(tǒng)也隨之進化著，但是入侵Windows的行為而隨之產(chǎn)生了，不僅如此，隨著網(wǎng)絡(luò)的不斷擴大，網(wǎng)絡(luò)安全更加會成為人們的一個焦點，同時也成為是否能進一步投入到更深更廣領(lǐng)域的一個基石。當(dāng)然網(wǎng)絡(luò)的安全也是一個動態(tài)的概念，世界上沒有絕對安全的網(wǎng)絡(luò)，只有相對安全的網(wǎng)絡(luò)。

Windows系統(tǒng)特性

Windows操作系統(tǒng)維護三個相互獨立的日志文件：系統(tǒng)日志、應(yīng)用程序日志、安全日志。

1.系統(tǒng)日志

系統(tǒng)日志記錄系統(tǒng)進程和設(shè)備驅(qū)動程序的活動。它審核的系統(tǒng)事件包括啟動失敗的設(shè)備驅(qū)動程序、硬件錯誤、重復(fù)的IP地址，以及服務(wù)的啟動、暫停和停止。系統(tǒng)日志包含由系統(tǒng)組件記錄的事情。例如在系統(tǒng)日志中記錄啟動期間要加載的驅(qū)動程序或其他系統(tǒng)組件的故障。由系統(tǒng)組件記錄的事件類型是預(yù)先確定的。系統(tǒng)日志還包括了系統(tǒng)組件出現(xiàn)的問題，比如啟動時某個驅(qū)動程序加載失敗等。

2.應(yīng)用程序日志

應(yīng)用程序日志包括關(guān)于用戶程序和商業(yè)通用應(yīng)用程序的運行方面的錯誤活動，它審核的應(yīng)用程序事件包括所有錯誤或應(yīng)用程序需要報告的信息。應(yīng)用程序日志可以包括性能監(jiān)視審核的事件以及由應(yīng)用程序或一般程序記錄的事件，比如失敗登錄的次數(shù)、硬盤使用的情況和其它重要的指針；比如數(shù)據(jù)庫程序用應(yīng)用程序日志來記錄文件錯誤；比如開發(fā)人員決定所要記錄的事件。

3.安全日志

安全日志通常是在應(yīng)急響應(yīng)調(diào)查階段最有用的日志。調(diào)查員必須仔細瀏覽和過濾這些日志的輸出，以識別它們包含的證據(jù)。安全日志主要用于管理員記載用戶登錄上網(wǎng)的情況。在安全日志中可以找到它使用的系統(tǒng)審核和安全處理。它審核的安全事件包括用戶特權(quán)的變化、文件和目錄訪問、打印以及系統(tǒng)登錄和注銷。安全日志可以記錄諸如有效的登錄嘗試等安全事件以及與資源使用有關(guān)的事件，例如創(chuàng)建、打開或刪除應(yīng)用文件。管理員可以指定在安全日志中記錄的事件。例如如果你啟用了登錄審核，那么系統(tǒng)登錄嘗試就記錄在安全日志中。

“隱形”證據(jù)的查找

由于攻擊者的詭密性日益提高，他們還使用隱蔽信道的方法躲避檢測。我們將隱蔽信道定義為所有秘密的、隱藏的、難以檢測的通信方式。所有與此相關(guān)的證據(jù)稱為“隱形”證據(jù)。

1.難以檢測、回放的行為

所捕捉或被監(jiān)視到的，但是還需要進行進一步詳細檢查才能識別出的那些未經(jīng)授權(quán)的流量。這些行為包括諸如Loki 2.0 HTTP命令信道和郵件隧道效應(yīng)等ICMP和UDP隱蔽信道。查找辦法就是仔細檢查所監(jiān)視到的流量，提高鑒別能力。包括任何類型通信中的那些利用任何工具都不能按人們可讀的方式顯示或重構(gòu)的各種行為。查看會話的最常見阻礙就是加密。更多的經(jīng)驗豐富的攻擊者可以建立加密信道，使得網(wǎng)絡(luò)監(jiān)視失效。許多網(wǎng)絡(luò)協(xié)議本質(zhì)上就是難以回放的，X Windows通信、Netbus通信和其它傳輸大量圖形信息的遠程會話都是很難再現(xiàn)的。監(jiān)視加密通信并不是完全沒用，因為它可以證明在確定的IP地址之間沒有進行通信。所需的證據(jù)就在于這些端點上。

2.難以跟蹤到源IP地址的攻擊行為

它可以通過拒絕服務(wù)攻擊得到最好的證明。源IP地址通常是被偽裝的，這就使得通過源地址跟蹤源計算機是非常困難的。以日志文件或嗅探器捕獲文件形式保存的電子證據(jù)所報告的是錯誤數(shù)據(jù)。被偽裝的郵件或欺騙性的電子郵件也對按電子郵件跟蹤到這些消息的原始計算機提出了挑戰(zhàn)。人們會發(fā)現(xiàn)中繼電子郵件服務(wù)器位于一個法律上不合作的國家，并通過此服務(wù)器發(fā)送偽造電子郵件。這些中繼電子郵件服務(wù)器通常記錄了原始計算機的IP地址，但是由于位于不合作的外國，所以無法獲得這些信息。加大在網(wǎng)絡(luò)邊界的監(jiān)視，充分發(fā)揮網(wǎng)關(guān)的識別作用，才是解決此類問題的唯一所選。

3.使得證據(jù)難以收集

通過下列方式可以使證據(jù)難以收集——加密文件、安裝可裝載的核心模塊以便利用你的操作系統(tǒng)來對付你，以及對二進制文件使用“特洛伊木馬”使攻擊者的痕跡不過于明顯。攻擊者阻礙收集證據(jù)的另一個技巧是不斷改變遠程系統(tǒng)的端口。當(dāng)攻擊者以一種看起來隨機的方式頻繁地修改端口以初始化與受攻擊系統(tǒng)的連接時，調(diào)查員很難實施獲得相關(guān)信息的過程。

對于此種證據(jù)的查找，我們采取在線被動的網(wǎng)絡(luò)監(jiān)視辦法以及通過IDS、 防火墻和其他信息源知道有關(guān)攻擊的多種標(biāo)志,同時不斷總結(jié)有效的分析網(wǎng)絡(luò)通信的調(diào)查方法。在網(wǎng)絡(luò)中發(fā)現(xiàn)非法的服務(wù)器或通信的非法通道，這是最有效的方法。它為確定可疑行為的程度和確定以非法方式通信的相關(guān)系統(tǒng)提供了一種方法，以便確定將系統(tǒng)保持在線狀態(tài)所冒的風(fēng)險和系統(tǒng)脆弱程度。根據(jù)這些信息，可以采取適當(dāng)?shù)暮罄m(xù)步驟或防范措施。同時并加大培訓(xùn)力度，不斷提高監(jiān)視技巧，加強有力的自動分析工具的開發(fā)。

4.免受監(jiān)視的行為

包括ICMP通信、SMTP通信、POP通信、Usenet通信、在外部介質(zhì)保存文件、看上去無害的Web通信，以及源于內(nèi)部IP地址的通信。查找此類證據(jù)的唯一方法就是監(jiān)視盡可能多的通信。

為了維持對攻擊者的優(yōu)勢，預(yù)見攻擊的變革是十分必要的。只有了解攻擊者的目標(biāo)才能知道可能遭受攻擊的地方。只有了解這些目標(biāo)才有可能預(yù)見到在網(wǎng)絡(luò)上發(fā)生的攻擊，由此我們既要熟悉合法通信的標(biāo)準(zhǔn)，又要深入了解各種網(wǎng)絡(luò)協(xié)議本身然后進行網(wǎng)絡(luò)監(jiān)視并仔細檢查網(wǎng)絡(luò)通信以便確認各種不同類型的隱蔽通道，查找出不同的隱形證據(jù)。

計算機取證技術(shù)的研究是一個相當(dāng)復(fù)雜的課題，本文力圖從兩個方面來對計算機取證技術(shù)的過程和步驟進行探討，提出了一種較為完善的由易到難、由簡單到復(fù)雜的方法。我們可以通過對“顯形”證據(jù)查找的辦法支持在小局域網(wǎng)、軍隊網(wǎng)進行計算機取證，也支持在英特網(wǎng)上查找一些簡易的取證，通過對“隱形”證據(jù)查找的辦法支持在大的局域網(wǎng)甚至在英特網(wǎng)上查找復(fù)雜的取證，為調(diào)查人員提供重要的調(diào)查線索和證據(jù)來源。

Windows系統(tǒng)是一個智能復(fù)雜的操作系統(tǒng)，它是很多人努力的結(jié)晶，我們一定要盡全力阻止黑客的入侵行為。

【編輯推薦】

1. windows防范非法入侵的絕招
2. windows防范非法入侵的絕招 續(xù)
3. 封殺Windows系統(tǒng)漏洞堵住黑客入侵途徑