Windows系統(tǒng)的應(yīng)用范圍比較廣，Windows被入侵的幾率也是居高不下的，在以前的文章中，我們向大家介紹了一部分Windows的內(nèi)容今天，我們主要向大家介紹利用系統(tǒng)工具查看系統(tǒng)的信息的內(nèi)容。

尋找“顯形”證據(jù)

系統(tǒng)工具提供了對系統(tǒng)進一步的監(jiān)視，在性能監(jiān)視器中可以看到其圖形化的變化情況。而計數(shù)器日志、跟蹤日志和警報則提供了對本地或遠(yuǎn)端系統(tǒng)的監(jiān)視記錄，并可根據(jù)預(yù)定的設(shè)定進行特定的跟蹤和報警。還可利用不同的用于配置、管理COM組件及應(yīng)用的組件服務(wù)工具記錄或查找相關(guān)信息。

1.查看三大日志

在計算機上維護有關(guān)應(yīng)用程序、安全性系統(tǒng)事件的日志，可以使用事件查看器查看并管理事件日志。它用于收集計算機硬件、軟件和系統(tǒng)整體方面的錯誤信息，也用來監(jiān)視一些安全方面的問題。它可根據(jù)應(yīng)用程序日志、安全日志和系統(tǒng)日志來源將記錄分成3類。

事件查看器顯示以下幾種事件類型：error是指比較嚴(yán)重的問題，通常是出現(xiàn)了數(shù)據(jù)丟失或功能丟失。例如如果在啟動期間服務(wù)加載失敗，則會記錄錯誤。Warning給出警告則表明情況暫時不嚴(yán)重，但可能會在將來引起錯誤，比如磁盤空間太少等。Information描述應(yīng)用程序、驅(qū)動程序或服務(wù)的成功操作的事件。例如成功地加載網(wǎng)絡(luò)驅(qū)動程序時會記錄一個信息事件。Success audit審核訪問嘗試成功。例如將用戶成功登錄到系統(tǒng)上的嘗試作為成功審核事件記錄下來。Failure audit審核安全嘗試失敗。例如如果用戶試圖訪問網(wǎng)絡(luò)驅(qū)動器失敗，該嘗試就會作為失敗審核事件記錄下來。

注意啟動系統(tǒng)時事件日志服務(wù)會自動啟動，所有用戶都可以查看應(yīng)用程序日志和系統(tǒng)日志，但是只有管理員才能訪問安全日志。默認(rèn)情況下會關(guān)閉安全日志，所以管理員要記住設(shè)定啟用。管理員既可以使用組策略啟用安全日志記錄，也可以在注冊表中設(shè)置策略使系統(tǒng)在安全日志裝滿時停止運行。

基于主機的檢測器可以檢測到系統(tǒng)類庫的改變或敏感位置文件的添加。當(dāng)結(jié)合所有現(xiàn)有的基于網(wǎng)絡(luò)的證據(jù)片斷時，就有可能重建特定的網(wǎng)絡(luò)事件，諸如文件傳輸、緩沖區(qū)溢出攻擊，或在網(wǎng)絡(luò)中使用被盜的用戶帳號和密碼等。

當(dāng)調(diào)查計算機犯罪時，會發(fā)現(xiàn)很多潛在證據(jù)的來源，不僅包括基于主機的日志記錄，而且還包括網(wǎng)絡(luò)的日志記錄以及其它的傳統(tǒng)形式，如指紋、證詞和證人。大多數(shù)的網(wǎng)絡(luò)流量在它經(jīng)過的路徑上都留下了監(jiān)查蹤跡。路由器、防火墻、服務(wù)器、IDS檢測器及其它的網(wǎng)絡(luò)設(shè)備都會保存日志，記錄基于網(wǎng)絡(luò)的突發(fā)事件。DHCP服務(wù)器會在PC請求IP租用時記錄網(wǎng)絡(luò)訪問。現(xiàn)代的防火墻允許管理員在創(chuàng)建監(jiān)查日志時有很多種粒度。IDS檢測器可以根據(jù)簽名識別或異常的檢測過濾器來捕獲一個攻擊的一部分?；诰W(wǎng)絡(luò)的日志記錄以多種形式存儲，可能源自不同的操作系統(tǒng)，可能需要特殊的軟件才能訪問和讀取，這些日志在地理上是分散的，而且常常對當(dāng)前系統(tǒng)時間有嚴(yán)重錯誤的解釋。調(diào)查人員的挑戰(zhàn)就在于查找所有的日志，并使之關(guān)聯(lián)起來。從不同系統(tǒng)獲得地理上分散的日志、為每個日志維護保管鏈、重建基于網(wǎng)絡(luò)的突發(fā)事件，這一切都需要消耗大量的時間和密集的資源。

2.檢查相關(guān)文件、執(zhí)行關(guān)鍵詞搜索

Windows系統(tǒng)同時進行對很多文件的輸入和輸出，所以幾乎所有發(fā)生在系統(tǒng)上的活動都會留下一些發(fā)生的痕跡。它有許多臨時文件、高速緩存文件、一個跟蹤最近使用文件的注冊文件、一個保留刪除文件的回收站和無數(shù)的存儲運行時間資料的其它位置。

在調(diào)查知識產(chǎn)權(quán)或所有權(quán)、信息的所有權(quán)、性騷擾以及任何實際上包含基于文本通信的問題上，對目標(biāo)硬盤驅(qū)動器執(zhí)行字符串搜索是非常重要的。很多不同的關(guān)鍵詞可能對調(diào)查非常重要，這些關(guān)鍵詞包括用戶ID、密碼、敏感資料（代碼字）、已知的文件名和具體的主題詞。字符串搜索可以在邏輯文件結(jié)構(gòu)上執(zhí)行，也可以在物理層次上執(zhí)行。

3.鑒定未授權(quán)的用戶帳號或組、“流氓”進程

檢查用戶管理器，尋找未授權(quán)的用戶帳號；使用usrstat瀏覽域控制器中的域帳號，尋找可疑的項目；使用Event Viecser檢查安全日志，篩選出事件為添加新帳號、啟用用戶帳號、改變帳號組和改變用戶帳號的項目。

鑒定檢查一個運行系統(tǒng)時，鑒定“流氓”進程是非常簡單的。因為大部分“流氓”進程都要監(jiān)聽網(wǎng)絡(luò)連接或探測網(wǎng)絡(luò)以獲得純文本的用戶ID和密碼，這些進程很容易在執(zhí)行過程中被發(fā)現(xiàn)。plist命令將列出正在運行的進程，listdlls將提供每個運行中進程的完整的命令行參數(shù)，fport將顯示監(jiān)聽的進程以及他們所監(jiān)聽得到端口。對于未運行的系統(tǒng)上“流氓”進程，方法是在證據(jù)的整個邏輯卷內(nèi)使用最新的病毒掃描程序進行掃描。如果選擇在還原映象的文件系統(tǒng)上運行病毒檢查工具，必須保證這個卷是只讀的。

4.尋找隱藏文件和恢復(fù)被刪除文件

所有的壞人都想隱藏一些事情，他們采取這樣的辦法：一旦一個內(nèi)部攻擊者選擇在他的系統(tǒng)上執(zhí)行未授權(quán)或不受歡迎的任務(wù)，他可能會讓一些文件不可見。這些攻擊者可能利用NTFS文件流，在合法文件后隱藏資料。還有可能改變文件的擴展名或特意將文件名命為重要系統(tǒng)文件的名字，最后還可以把文件刪除。

我們知道被刪除的文件并不是真正被刪除了，它們只是被標(biāo)記為刪除。這就意味著這些文件仍保存完好，直到新數(shù)據(jù)的寫入覆蓋了這些被刪除文文件所在硬盤驅(qū)動器的物理空間。也就是說越早嘗試，恢復(fù)一個文件成功的機會就越大。File Scavenger甚至可能在硬盤被重新格式化后還能進行恢復(fù)。

5.檢查未授權(quán)的訪問點和安全標(biāo)識符SID

當(dāng)檢查到一個受害系統(tǒng)時，必須鑒別系統(tǒng)的訪問點以確定進行訪問的方式，一些工具都是鑒別系統(tǒng)訪問點的重要工具，它們使用API調(diào)用以讀取內(nèi)核及用戶空間的TCP和UDP連接表的內(nèi)容。如果想捕獲這一信息，需要允許通過還原映象引導(dǎo)系統(tǒng)。如果想在檢查運行系統(tǒng)時完成這一步，則要在關(guān)閉系統(tǒng)以進行映象之前，比較這兩個操作的結(jié)果，它們的差異表明存在未授權(quán)的后臺程序。

SID用于唯一地標(biāo)識一個用戶或一個組。每一個系統(tǒng)都有自己的標(biāo)識符。計算機標(biāo)識府和用戶標(biāo)識符一起構(gòu)成了SID.因此SID可以唯一地標(biāo)識用戶帳號。所以我們需要比較在受害機器上發(fā)現(xiàn)的SID和在中央認(rèn)證機構(gòu)記錄的SID。

6.檢查Scheduler Service運行的任務(wù)

攻擊者常用的一個策略是讓調(diào)度事件為他們打開后門程序、改變審核策略或者完成更險惡的事。比如刪除文件。惡意的調(diào)度作業(yè)通常是用at或soon工具調(diào)度它們的。不帶命令行參數(shù)的at命令可以顯示任何已調(diào)度的作業(yè)。

7.分析信任關(guān)系

WINDOWS NT系統(tǒng)支持不可傳遞的或單向的信任。這意味著只能單方向提供訪問和服務(wù)。即使你的NT PDC信任其它域，這個被信任的域也不需要信任你的PDC,因此被信任域中的用戶能使用你所在域的服務(wù)，但是反過來就不行。WINDOWS 2000則支持可傳遞的信仰。

Windows系統(tǒng)的介紹就告一段落了，我們一定要學(xué)會相關(guān)的保護措施，多多學(xué)習(xí)與系統(tǒng)有關(guān)的知識，與可惡的黑客們對抗。

【編輯推薦】

1. 如何抓住黑客入侵Windows系統(tǒng)
2. 手動解決Windows XP系統(tǒng)0day漏洞
3. 封殺Windows系統(tǒng)漏洞堵住黑客入侵途徑