Windows系统的应用范围比较广,Windows被入侵的几率也是居高不下的,在以前的文章中,我们向大家介绍了一部分Windows的内容今天,我们主要向大家介绍利用系统工具查看系统的信息的内容。
寻找“显形”证据
系统工具提供了对系统进一步的监视,在性能监视器中可以看到其图形化的变化情况。而计数器日志、跟踪日志和警报则提供了对本地或远端系统的监视记录,并可根据预定的设定进行特定的跟踪和报警。还可利用不同的用于配置、管理COM组件及应用的组件服务工具记录或查找相关信息。
1.查看三大日志
在计算机上维护有关应用程序、安全性系统事件的日志,可以使用事件查看器查看并管理事件日志。它用于收集计算机硬件、软件和系统整体方面的错误信息,也用来监视一些安全方面的问题。它可根据应用程序日志、安全日志和系统日志来源将记录分成3类。
事件查看器显示以下几种事件类型:error是指比较严重的问题,通常是出现了数据丢失或功能丢失。例如如果在启动期间服务加载失败,则会记录错误。Warning给出警告则表明情况暂时不严重,但可能会在将来引起错误,比如磁盘空间太少等。Information描述应用程序、驱动程序或服务的成功操作的事件。例如成功地加载网络驱动程序时会记录一个信息事件。Success audit审核访问尝试成功。例如将用户成功登录到系统上的尝试作为成功审核事件记录下来。Failure audit审核安全尝试失败。例如如果用户试图访问网络驱动器失败,该尝试就会作为失败审核事件记录下来。
注意启动系统时事件日志服务会自动启动,所有用户都可以查看应用程序日志和系统日志,但是只有管理员才能访问安全日志。默认情况下会关闭安全日志,所以管理员要记住设定启用。管理员既可以使用组策略启用安全日志记录,也可以在注册表中设置策略使系统在安全日志装满时停止运行。
基于主机的检测器可以检测到系统类库的改变或敏感位置文件的添加。当结合所有现有的基于网络的证据片断时,就有可能重建特定的网络事件,诸如文件传输、缓冲区溢出攻击,或在网络中使用被盗的用户帐号和密码等。
当调查计算机犯罪时,会发现很多潜在证据的来源,不仅包括基于主机的日志记录,而且还包括网络的日志记录以及其它的传统形式,如指纹、证词和证人。大多数的网络流量在它经过的路径上都留下了监查踪迹。路由器、防火墙、服务器、IDS检测器及其它的网络设备都会保存日志,记录基于网络的突发事件。DHCP服务器会在PC请求IP租用时记录网络访问。现代的防火墙允许管理员在创建监查日志时有很多种粒度。IDS检测器可以根据签名识别或异常的检测过滤器来捕获一个攻击的一部分。基于网络的日志记录以多种形式存储,可能源自不同的操作系统,可能需要特殊的软件才能访问和读取,这些日志在地理上是分散的,而且常常对当前系统时间有严重错误的解释。调查人员的挑战就在于查找所有的日志,并使之关联起来。从不同系统获得地理上分散的日志、为每个日志维护保管链、重建基于网络的突发事件,这一切都需要消耗大量的时间和密集的资源。
2.检查相关文件、执行关键词搜索
Windows系统同时进行对很多文件的输入和输出,所以几乎所有发生在系统上的活动都会留下一些发生的痕迹。它有许多临时文件、高速缓存文件、一个跟踪最近使用文件的注册文件、一个保留删除文件的回收站和无数的存储运行时间资料的其它位置。
在调查知识产权或所有权、信息的所有权、性骚扰以及任何实际上包含基于文本通信的问题上,对目标硬盘驱动器执行字符串搜索是非常重要的。很多不同的关键词可能对调查非常重要,这些关键词包括用户ID、密码、敏感资料(代码字)、已知的文件名和具体的主题词。字符串搜索可以在逻辑文件结构上执行,也可以在物理层次上执行。
3.鉴定未授权的用户帐号或组、“流氓”进程
检查用户管理器,寻找未授权的用户帐号;使用usrstat浏览域控制器中的域帐号,寻找可疑的项目;使用Event Viecser检查安全日志,筛选出事件为添加新帐号、启用用户帐号、改变帐号组和改变用户帐号的项目。
鉴定检查一个运行系统时,鉴定“流氓”进程是非常简单的。因为大部分“流氓”进程都要监听网络连接或探测网络以获得纯文本的用户ID和密码,这些进程很容易在执行过程中被发现。plist命令将列出正在运行的进程,listdlls将提供每个运行中进程的完整的命令行参数,fport将显示监听的进程以及他们所监听得到端口。对于未运行的系统上“流氓”进程,方法是在证据的整个逻辑卷内使用最新的病毒扫描程序进行扫描。如果选择在还原映象的文件系统上运行病毒检查工具,必须保证这个卷是只读的。
4.寻找隐藏文件和恢复被删除文件
所有的坏人都想隐藏一些事情,他们采取这样的办法:一旦一个内部攻击者选择在他的系统上执行未授权或不受欢迎的任务,他可能会让一些文件不可见。这些攻击者可能利用NTFS文件流,在合法文件后隐藏资料。还有可能改变文件的扩展名或特意将文件名命为重要系统文件的名字,最后还可以把文件删除。
我们知道被删除的文件并不是真正被删除了,它们只是被标记为删除。这就意味着这些文件仍保存完好,直到新数据的写入覆盖了这些被删除文文件所在硬盘驱动器的物理空间。也就是说越早尝试,恢复一个文件成功的机会就越大。File Scavenger甚至可能在硬盘被重新格式化后还能进行恢复。
5.检查未授权的访问点和安全标识符SID
当检查到一个受害系统时,必须鉴别系统的访问点以确定进行访问的方式,一些工具都是鉴别系统访问点的重要工具,它们使用API调用以读取内核及用户空间的TCP和UDP连接表的内容。如果想捕获这一信息,需要允许通过还原映象引导系统。如果想在检查运行系统时完成这一步,则要在关闭系统以进行映象之前,比较这两个操作的结果,它们的差异表明存在未授权的后台程序。
SID用于唯一地标识一个用户或一个组。每一个系统都有自己的标识符。计算机标识府和用户标识符一起构成了SID.因此SID可以唯一地标识用户帐号。所以我们需要比较在受害机器上发现的SID和在中央认证机构记录的SID。
6.检查Scheduler Service运行的任务
攻击者常用的一个策略是让调度事件为他们打开后门程序、改变审核策略或者完成更险恶的事。比如删除文件。恶意的调度作业通常是用at或soon工具调度它们的。不带命令行参数的at命令可以显示任何已调度的作业。
7.分析信任关系
WINDOWS NT系统支持不可传递的或单向的信任。这意味着只能单方向提供访问和服务。即使你的NT PDC信任其它域,这个被信任的域也不需要信任你的PDC,因此被信任域中的用户能使用你所在域的服务,但是反过来就不行。WINDOWS 2000则支持可传递的信仰。
Windows系统的介绍就告一段落了,我们一定要学会相关的保护措施,多多学习与系统有关的知识,与可恶的黑客们对抗。
【编辑推荐】
