回复:电脑被入侵问题 请解答
找个现成的简单介绍如下:
入侵后的三个重要痕迹:
A:应用程序日志
B:安全日志
C:系统日志
DNS日志默认位置:%systemroot%\system32\config,默认文件大小512KB,管理员都会改变这个默认大小。安全日志文件:%systemroot%\system32\config\SecEvent.EVT
系统日志文件:%systemroot%\system32\config\SysEvent.EVT
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT
FTP日志默认位置:%systemroot%\system32\logfilesmsftpsvc1,默认每天一个
WWW日志默认位置:%systemroot%\system32\logfilesw3svc1,默认每天一个日志
以上日志在注册表里的键: 应用程序日志,安全日志,系统日志,DNS服务器日志,
它们这些LOG文件在注册表中的:
HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog
更高级点的反入侵手段就要用到第三方软件,简单介绍点:
1.sniffer技术的应用
sniffer技术最广泛,因为是基于底层协议,所以凡关于网络数据包都可以运用自如。
用sniffer查找病毒,这个在局域网中用的最多了,简单点说就是在网络节点上嗅探,也就是分析不正常数据流量,还有种方法就是重定向到一台机器上,在这台机器上装sniffer软件。
用sniffer可以查木马,常用的就是盗密码的木马都可以查,在怀疑有木**机器上或网关上装sniffer软件,随便登陆个qq什么的,同时**数据包的发送,很容易查到发送目的地。
2.(蜜罐)技术
蜜罐(Honeypot)是一种在互联网上运行的计算 机系统。它是专门为吸引并诱骗那些试图非法闯 入他人计算机系统的人(如电脑黑客)而设计的,蜜 罐系统是一个包含漏洞的诱骗系统,它通过模拟 一个或多个易受攻击的主机,给攻击者提供一个 容易攻击的目标。由于蜜罐并没有向外界提供真 正有价值的服务,因此所有对蜜罐尝试都被视为 可疑的。蜜罐的另一个用途是拖延攻击者对真正 目标的攻击,让攻击者在蜜罐上浪费时间。简单 点一说:蜜罐就是诱捕攻击者的一个陷阱。
蜜罐比起sniffer技术,更容易收集一个入侵过程,优越性很强,虽然有点守株待兔的意思,但绝对不雷同。有机会一定写个关于蜜罐的文章,顺便也搭建个windows下蜜罐程序,到时候大家一起来测试啊。
3.入侵检测系统
这个就比较广泛了,我的归类是蜜罐和sniffer技术也该是种入侵检测系统,但入侵检测系统也有软件和硬件方面的两类,小规模的应用是软件检测,大规模的局域网和主机应该是硬件方面的比较多。