主機(jī)入侵檢測(cè)

實(shí)驗(yàn)五主機(jī)入侵檢測(cè)【實(shí)驗(yàn)?zāi)康摹空莆誗entinel的安裝與基本功能的使用了解HIDS的基本原理【實(shí)驗(yàn)人數(shù)】每組1人【系統(tǒng)環(huán)境】Windows【網(wǎng)絡(luò)環(huán)境】交換網(wǎng)絡(luò)結(jié)構(gòu)【實(shí)驗(yàn)工具】Sentinel【實(shí)驗(yàn)步驟】本練習(xí)每人一組。首先使用“快照X”恢復(fù)Windows系統(tǒng)環(huán)境。1.啟動(dòng)Sentinel單擊“Sentinel”按鈕，啟動(dòng)Sentinel工具。首次運(yùn)行Sentinel，提示是否要掃描保存狀態(tài)，選確定，它會(huì)第一次掃描并且保存系統(tǒng)的狀態(tài)，以后它就根據(jù)這個(gè)來對(duì)比。默認(rèn)情況下只檢查%SYSTEMROOT%system32目錄下的文件。2.使用Sentinel進(jìn)行掃描當(dāng)我們覺得系統(tǒng)有異常或者想做一個(gè)例行檢查的時(shí)候，只需要運(yùn)行一下，然后選擇“掃描”頁簽，選擇要掃描的文件類型（DLL，DRV，SYS，OCX，EXE，COM，PIF，SCR），一般情況下就是全選，然后單擊“立刻掃描文件夾”。Sentinel接下來就會(huì)掃描所有文件，并且跟以前的文件狀態(tài)進(jìn)行比較，可以比較清楚看到它的掃描狀態(tài)：圖28-5-1圖28-5-2掃描完畢，顯示已經(jīng)掃描的文件、新文件數(shù)、失敗的文件數(shù)（即更該的文件）等。接著點(diǎn)那個(gè)修復(fù)和更新失敗的文件按鈕，下一張圖就顯示所有變化的文件。文件后門有一個(gè)*NEW*說明是新增加的，否則就是被更改的文件。你可以根據(jù)這個(gè)信息來進(jìn)一步判斷，新增或者更改的文件是否是合法的、有效的。我們?cè)贑:\WINDOWS\system32目錄下新建一個(gè)xxx.dll來驗(yàn)證一下。圖28-5-3圖28-5-4除了默認(rèn)的SYSTEM32目錄之外，還可以自定義多達(dá)20個(gè)其它目錄，這樣可以根據(jù)需要，來監(jiān)視相應(yīng)的目錄文件變化情況。圖28-5-53.Sentinel的其它功能使用Sentinel除了文件完整性檢查之外，還有一個(gè)“注冊(cè)表檢測(cè)”的功能，可以顯示當(dāng)前的啟動(dòng)項(xiàng)?？梢栽诖藙h除注冊(cè)啟動(dòng)項(xiàng)的一些子項(xiàng)，可以對(duì)啟動(dòng)項(xiàng)的變化進(jìn)行警告，還可以進(jìn)行病毒掃描。還有一個(gè)“程序檢測(cè)”功能，來查看當(dāng)前的窗口句柄?！斑x項(xiàng)”中除了一些選項(xiàng)外還可以查看以前生成的日志。4.測(cè)試Sentinel在C:\目錄下新建一個(gè)文件夾，在文件夾內(nèi)添加一個(gè)文件xxx.dll，使用記事本打開該文件并輸入123并保存。運(yùn)行Sentinel將此文件夾添加到受保護(hù)目錄