会员: 密码:  免费注册 | 忘记密码 | 会员登录 网页功能: 加入收藏 设为首页 网站搜索  
 安全技术技术文档
  · 安全配制
  · 工具介绍
  · 黑客教学
  · 防火墙
  · 漏洞分析
  · 破解专题
  · 黑客编程
  · 入侵检测
 安全技术论坛
  · 安全配制
  · 工具介绍
  · 防火墙
  · 黑客入侵
  · 漏洞检测
  · 破解方法
  · 杀毒专区
 安全技术工具下载
  · 扫描工具
  · 攻击程序
  · 后门木马
  · 拒绝服务
  · 口令破解
  · 代理程序
  · 防火墙
  · 加密解密
  · 入侵检测
  · 攻防演示
安全防线 > 破解专题
分析进入Win2000后留下的足迹
发表日期:2003-10-14 00:00:00作者: 出处:  

  很多人对入侵Win2000系统很喜欢的吧,又有3389这样的界面型远程控制,还有这么多漏洞可以利用,而且关于入侵Win2000的文章又到处都是,方便啊。

  不过,你知道,你到底留下了哪些足迹在系统中么?最近作了个入侵分析,发现了不少东西,当然,估计到入侵时间然后在查找文件就列出来了。我们在这里不分析来自FTP、HTTP的日志记录,因为这样来的入侵行为分析和防范比较容易,而通过帐号密码猜测进来的防范起来是比较麻烦的(安全配置相当OK的另说)。

1、系统的日志记录。

  好的管理员应该尽可能地记录可以记录的东西,在本地安全策略中,对审核策略进行足够多的记录,你能发现,如果把所有的审核都选定的话(只要你不嫌多),一个帐号进行的操作访问的整个过程都能够完整记录下来了,一点不漏。

  事件查看器里记录的内容是最多的了,从安全日志里面可以查看所有审核的事件。

  我们看看一个帐号的登录/注销事件的记录:

会话从 winstation 中断连接:

  用户名:  guest

  域:    Refdom

  登录 ID:    (0x0,0x28445D9)

  会话名称:  Unknown

  客户端名:  GUDULOVER

  客户端地址:  202.103.117.94

  这是一个3389登录的事件,系统记录下了IP地址,机器名称以及使用的用户名。还是很齐全的吧。

  这是一个详细追踪的记录:

已经创建新的过程:

  新的过程 ID:  4269918848

  映象文件名:  \WINNT\system32\CMD.EXE

  创建者过程 ID:  2168673888

  用户名:  Refdom$

  域:    Refdom

  登录 ID:    (0x0,0x3E7)

  这是使用localsystem来运行了cmd.exe的记录,呵呵,用本地系统帐号运行cmd.exe不是用net user还是什么(当然还能做很多事情)。

  小心自己的日志记录太多,日志空间使用满,这样WIN就不再记录新的事件了,请在日志属性中选择按需要改写日志,这样可以记录新的事件,不过可能把需要分析的事件给改写了。

  可惜的是,这里的记录实在是太显眼了,多半存活不了。

2、足够多的痕迹留在“Documents and Settings”目录里面

  这个目录是所有帐号的足迹存放地,当然,从3389或者本机进入使用图形界面就会留下帐号目录来。我们来看看一个帐号的“Documents and Settings”目录里面有什么东西吧,首先查看所有文件和文件夹,不要隐藏任何东西。

“「开始」菜单”:当然是存放帐号自己的“开始”中的东西,这个里面的“启动”是个比较好东西哦。

“Application Data”:一些应用程序留下的数据啊、备份啊什么的东西,分析用处不怎么大。

“Cookies”:如果入侵者通过3389进来,还去浏览了网页,那么这里就存放着足够多的Cookie,让你能够知道他到底去了哪些地方。

“Local Settings”,这里也是一些临时数据的存放地,还有就是IE的脱机东东。说不定能发现很多好网站哦。

“Recent”:这个文件夹是隐藏的,不过里面存放的东西实在太多了,帐号访问的目录、文件一个一个都记录在案。使用了哪些东西,看了哪些文件,都能知道得清清楚楚。

“Templates”:存放临时文件的地方。

3、从黑客工具看

  被人入侵了,那他一定会想办法获得administrator权限,得到了这个权限他就能为所欲为了,按照各种介绍的入侵教材,当然是放置其他扫描器做肉鸡、安装后门、删除日志……呵呵,这些扫描器都有足够的日志可以提供分析,还能帮自己白白收集一些肉鸡。而且从这些工具的日志(配置文件)里面也可以看出入侵者的意图以及水平等等。

  也好,那流光来说吧,每次扫描的结果都写下来了,大家都可以看,不看白不看。

  被安装后门、代理跳板(不是多级)是最好的了,谁能远程控制你做什么呢?我们当然可以从后门程序抓住入侵者的来历,从哪里传过来的连接,用嗅叹器就是了,当然,你甚至可以用一个非常有意思的文件名来伪装自己的木马,让他当回去使用,想玩大家一起玩啊。当然,从另外的3389肉鸡这样的控制来的入侵者还是只找到的他的肉鸡而已。(冒险,把他的肉鸡也搞定吧)

返回顶部】 【打印本页】 【关闭窗口

关于我们 / 给我留言 / 版权举报 / 意见建议 / 网站编程QQ群   
Copyright ©2003- 2024 Lihuasoft.net webmaster(at)lihuasoft.net 加载时间 0.00199