Windows入侵檢測(cè)及防制工具ppt課件

1、Windows系統(tǒng)入侵偵測(cè)與防制工具成大計(jì)網(wǎng)中心楊峻榮2019/10/23大綱入侵概念系統(tǒng)狀況檢視PC防火牆機(jī)制Windows系統(tǒng)之弱點(diǎn)評(píng)估工具入侵之定義凡舉非所有者所願(yuàn)之對(duì)於主機(jī)(PC)存取資料，植入程式或資料造成系統(tǒng)失效，資料毀損或業(yè)務(wù)中斷或資料外洩資料之行為一般之存取或試探活動(dòng)大都以網(wǎng)路從事，但以非網(wǎng)路活動(dòng)之存取及試探活動(dòng)也屬入侵行為如由主控臺(tái)登入）入侵之種類病毒病毒信件服務(wù)阻斷非法存取入侵植入後門程式入侵型態(tài)主動(dòng)模式：以病毒或worm方式，其入侵及破壞與所植入之檔案檔名或擺放位置也許有異皆是固定行為模式，故可以由防毒軟體偵測(cè)出來(已裝有該入侵行為之病毒碼)人為模式：入侵之目的主要為非法

2、行為，如資料竊取，破壞，或當(dāng)成其他入侵之跳板，其入侵之模式不定，故較難偵測(cè)。入侵試探手法可能固定ex 利用即有之系統(tǒng)漏洞） ,但入侵後所擺放之後門程式是可變的入侵Life_cycle針對(duì)系統(tǒng)或人為漏洞入侵植入後門程式進(jìn)行破壞(當(dāng)跳板, 竊取資料, 服務(wù)阻斷)修補(bǔ)漏洞清除後門程式或病毒持續(xù)監(jiān)控Windows 之防護(hù)機(jī)制系統(tǒng)檢視防毒軟體個(gè)人防火牆系統(tǒng)漏洞修補(bǔ)弱點(diǎn)掃瞄及分析系統(tǒng)檢視手動(dòng)方式針對(duì)核心項(xiàng)目或入侵模式遭入侵或破壞之經(jīng)驗(yàn)累積針對(duì)已經(jīng)或疑似遭受入侵ex 系統(tǒng)效能不佳）最好固定期間檢查一次檢視項(xiàng)目非檢視結(jié)果，所以須加上人為判斷或和別系統(tǒng)交叉比對(duì)傳輸狀況開啟連線狀態(tài)視窗，在沒有傳輸資料情況下，是否

3、在傳輸大量資料。 若是，可能是DOS或DDOS攻擊。 連線狀態(tài)(netstat)開啟開始程式集附屬應(yīng)用程式命令提示字元，在該視窗下鍵入netstat ，看看是否有不尋常之連線。 Proto Local Address Foreign Address StateTCP yang:1026 yang:20192 ESTABLISHEDTCP yang:20192 yang:1026 ESTABLISHEDTCP yang:3024 .tw:22 ESTABLISHEDTCP yang:3613 .tw:telnet ESTABLISHED其

4、中Froeign Address表示對(duì)方的Address及port，而State之連線狀態(tài)，如此例ESTABLISHED表示已連上。因不易了解Services port是代表什麼及是從本機(jī)連出或由外部連進(jìn)來的，一般而言Server端port的號(hào)碼是固定的，而client端是動(dòng)態(tài)的。故只要發(fā)覺Foreign Address並不是您所要連線之位置，就該注意。 參考資料：Services portsProcess(工作管理員）開啟工作管理員按Ctrl+Alt+Del鍵，點(diǎn)選工作管理員），按下處理程序頁，檢查是否有在執(zhí)行大量CPU之程式或非自己所欲執(zhí)行之程式。參考資料：windows process

5、& services 資源分享開啟開始設(shè)定控制臺(tái)，點(diǎn)選 系統(tǒng)管理工具電腦管理，於左邊之樹狀目錄，點(diǎn)選共用資料夾左邊之+符號(hào)，會(huì)展開共用資料夾下之子項(xiàng)目。其中共用為share出去之目錄，請(qǐng)檢查是否有不必要之檔案分享。工作階段為目前連上分享的來源。開啟檔案為目前連上分享所開啟的檔案。 檔案異動(dòng)日期主要以控制臺(tái)/系統(tǒng)進(jìn)階/環(huán)境變數(shù)之Path 項(xiàng)目為檢視對(duì)象，其中又以 /WINNT/system32為最主要以詳細(xì)資料及排列圖示依日期看最近異動(dòng)之執(zhí)行檔。檔案異動(dòng)日期利用搜尋選項(xiàng)）登錄表registry)以命令模式cmd執(zhí)行regedit ，開啟HKEY_LOCAL_MACHINESOFTWAREMicr

6、osoftWindowsCurrentVersion下之Run、RunOnce、RunServices是否不尋常的程式被啟動(dòng) 事件檢視開啟開始設(shè)定控制臺(tái)，點(diǎn)選 系統(tǒng)管理工具事件檢視器，檢視是否有不正常事件 Internet Services Logs假如有開啟Internetwww、ftpServices，Log一般放置在/WINNT/system32/logFiles Internet Services Logs服務(wù)(Service)至控制臺(tái)系統(tǒng)管理工具服務(wù) ,無描述，啟動(dòng)類型為自動(dòng)，狀態(tài)為啟動(dòng)，顯示其內(nèi)容之執(zhí)行程式路徑，是否為遭植入的檔案使用者帳號(hào)及其權(quán)限 是否有不明之使用者，一般使用者是

7、否有administrator權(quán)限或群組 其他Autoexec.batConfig.sys%windir%/win.ini 之 load= run =%windir%/system.ini 之 shall=程式集/啟動(dòng) 下是否有不正常檔案程式集附屬應(yīng)用程式系統(tǒng)工具排定的工作 硬碟是否被不正常使用個(gè)人防火牆使用系統(tǒng)內(nèi)建之TCP/IP篩選使用防毒軟體之防火牆功能使用主機(jī)型防火牆軟體(BlackICE)定義：管制網(wǎng)路上之範(fàn)圍或Service 對(duì)於主機(jī)之存取使用系統(tǒng)之TCP/IP篩選使用系統(tǒng)之TCP/IP篩選TCP/UDP port : 參考 service ports IP Protocol :IC

8、MP 1Internet Control Message Protocol IGMP 2 Internet Group Management Protocol GGP3Gateway-to Gateway Protocol IP 4IP in IP encapsulation TCP 6Transmission Control Protocol EGP 8Exterior Gateway Protocol IGP 9Interior Gateway Protocol UDP 17User Datagram Protocol BlackICEBlackICEBlackICE病毒Life-cycl

9、e管道：一切可接觸感染源的方式與途徑感染：確定經(jīng)由管道感染病毒病發(fā)：待病發(fā)條件成立時(shí)，將形成破壞擴(kuò)散：向外擴(kuò)散防堵：阻絕再次感染之途徑去除：清除已存在之病毒偵測(cè)：持續(xù)偵測(cè)預(yù)防病毒再次感染防毒軟體處理程序偵測(cè)Open 檔案時(shí) 由pattern比對(duì)是否為Virus記錄檔案所在位置供處理階段參考阻擋阻止病毒資料進(jìn)入磁碟機(jī) 病毒檔處理依設(shè)定決定對(duì)於此檔案清除，刪除或隔離 #由網(wǎng)路傳輸管道(如mail)之病毒偵測(cè)處理，因上述之處理步驟，出現(xiàn)之訊息可能會(huì)誤認(rèn)已中毒，只要確定該檔不存在，即可不需在意Baseline Security AnalyzerBaseline Security Analyzer (MBSA) 掃瞄本機(jī)及網(wǎng)域中其他的電腦，看是不是有安裝所有的 Hotfix 及其他程式的修正程式Windows NT 4.0, Windows 2000, Windows XP, Internet Information Server (IIS) 4.0/5.0