中级通信互联网技术知识点精讲之文件访问日志与关键文件保护

       下面是由希赛小编整理的中级通信互联网技术知识点精讲之文件访问日志与关键文件保护，希望能帮助学友们。具体内容如下：

       文件访问日志与关键文件保护

       除了系统默认的安全审核外，对于关键的文件，还要加设文件访问日志，记录对它们的访问。

       文件访问有很多的选项：访问、修改、执行、新建、属性更改等。一般来说，关注访问和修改就能起到很大的监视作用。

       例如，如果我们监视了系统目录的修改、创建，甚至部分重要文件的访问（如cmd.exe、net.exe>system32目录），那么，入侵者就很难安放后门而不引起系统管理员的注意。要注意的是，监视的关键文件和项目不能太多，否则不仅增加系统负担，还会扰乱日常的曰志监测工作。关键文件不仅指的是系统文件，还包括有可能对系统管理员/其他用户构成危害的任何文件，如系统管理员的配S、桌面文件等，这些都是有可能用来窃取系统管理员资料/密码的。

       进程监控

       进程监控技术是追踪木马后门的另一个有力武器，90%以上的木马和后门是以进程的形式存在的（也有以其他形式存在的木马〉。作为系统管理员，了解服务器上运行的每个进程是职责之一，做一份每台服务器运行进程的列表非常必要，能帮助管理员迅速就发现入侵进程，异常的用户进程或者异常的资源占用都有可能是非法进程》除了进程外，DLL也是重要的检测对象，例如，把原本是exe类型的木马改写为dll后，使用rundn32运行就比较具有迷惑性。

       注册表校验

       一般来说，木马或者后门都会利用注册表来再次运行自己，所以，校验注册表来发现入侵也是常用的手法之一。如果入侵者只懂得使用流行的木马，那么由于普通木马只能写入特定的几个键值（如Run、Runonce等），查找起来是相对容易的，但是对于可以自己编写/改写木马的人来说，注册表的任何地方都可以藏身，靠手工査找就没有可能了。应对的方法是监控注册表的任何改动，这样改写注册表的木马就没有办法遁形了。监控注册表的软件非常多，很多追查木马的软件都带有这样的功能，一个监控软件加上定期对注册表进行备份，万一注

       册表被非授权修改，系统管理员也能在最短的时间内恢复。

       端口监控

       虽然说有些木马不使用端口，但是大部分的后门和木马还是使用TCP连接的。对某些主机，由于种种原因不能封锁端口，那么端口监控就非常重要了。这时，系统管理员就要充分了解服务器上开放的端口。使用netstat等工具查看服务器的端口状况，但措施是手工的，不能24小时执行。这时可以编写相关脚本实现IP日志记录。

       例如：

       time/t?Netstat.log

       Netstat-n-ptcp10?Netstat.log

       这个脚本每10秒钟自动査看一次TCP的连接状况，且自动计入Netlog.bat文件中。

       但是，如果网站访问量比较大，这样的操作是需要消耗一定的CPU时间的，而且日志文件将会越来越大。

       一旦发现异常的端口，可以使用特殊的程序来关联端口、可执行文件和进程。例如，inzider就有这样的功能，它可以发现服务器监听的端口并找出与该端口关联的文件，这样无论是使用TCP还是UDP的木马都无处藏身。

       终端服务的日志监控

       Windows2000服务器版中自带的终端服务TerminalService是一个基于远程桌面协议(RDP)的工具，它的速度非常快，也很稳定，可以成为一个很好的远程管理软件。但是因为这个软件功能强大而且只受到密码的保护，所以也非常危险。一旦入侵者拥有了管理员密码，就能够像本机一样操作远程服务器，不需要高深的WindowsNT命令行技巧，不需要编写特殊的脚本和程序，只要会用鼠标就能进行一切系统管理操作。虽然很多人都在使用终端服务来进行远程管理，但是，一般都不知道，或者不会对终端服务进行审核。

       对终端服务进行审核关键是开终端登录的日志。在管理工具中打开远程控制服务配置(TerminalServiceConfigration),单击“连接”，鼠标右击需要配置的RDP服务（如RDP-TCP(MicrosoftRDP5.0),选中“权限”选项卡，单击“高级”按钮，选择“审核”。添加需要审核的组，如Eveiyone组，代表所有的用户，然后审核他的“连接”、“断开”、“注销”的成功和“登录”的成功和失败等，审核记录在安全日志中，通过“管理工具”-“日志査看器”命令查看。何人在何时登录都一清二楚了。但这个日志不记录客户端的IP(只能査看在线用户的IP),只记录机器名。但是，我们可以自己编写异端程序来弥补这一不足。例如，建立-个TSLog.bat的bat文件，由其来记录登录者的IP:

       time/t?TSLog.log

       netstat-n-ptcp|find":3389"?TSLog.log

       startExplorer

       第一行是记录用户登录的时间，timeIt指直接返回系统时间，“》”把这个时间记入TSLog.log作为日志的时间字段。

       第二行是记录用户的IP地址，netstat是用来显示当前网络连接状况，-n表示显示IP和端口而不是域名、协议，-ptcp只显示TCP,管道符号“丨”把命令的结果输出给find命令，从输出结果中查找包含":3389"的行（这就是客户IP所在行，3389是默认终端服务端口，如果改变端口，这个数值也要作相应的更改），最后把这个结果重定向到日志文件TSLog.bg。

       第三行startExplorer保证每个用户登录后都必须执行这个脚本，实现这个批处理文件的自动运行。终端服务允许为用户自定义起始的程序，在终端服务配置中，我们覆盖用户的登录脚本设置，指定TSLog.bat为用户登录时需要打开的脚本。因为畎认的脚本（相当于shell环境）是Explorer(资源管理器），所以，在TSLog.bat的最后一行加上了启动Explorer的命令startExplorer。如果指定别的Shell:如cmd.exe或者word.exe,则Explorer要换成相应的shell。

       SLog.log文件记录格式如下：

       22:40

       TCP192.168.12.28：3389192.168.10.123：4903ESTABLISHED

       22:54

       TCP192.168.12.28：3389192.168.12.29:1039ESTABLISHED

       只要TSLog.bat-运行，所有连在3389端口上的IP都会被记录。

       在脚本中也可以指定其他记录的其他输出方式，例如，把每个登录用户的IP发送到自己的信箱。正常情况下，一般的用户没有查看终端服务设置的权限，所以他不会知道你对登录进行了IP审核，把相关信息发送到自己的信箱可以实现记录信息的隐蔽，不需要考虑TSLog.log文件的隐藏。

       陷阱技术

       早期的陷阱技术只是一个伪装的端口服务用来监测扫描，随着矛盾的不断升级，现在的陷阱服务或者陷阱主机已经越来越完善，越来越像真正的服务，不仅能截获半开式扫描，还能伪装服务的回应并记录入侵者的行为，从而帮助判断入侵者的身份。

       对于陷阱技术的使用应该慎重，陷阱主机成为入侵者跳板的情况也屡见不鲜，如果架设了陷阱反而被用来入侵，那就适得其反。

       在实际运用中，系统管理员对基础知识掌握的情况直接关系到他的安全敏感度，只有积累了一定经验和知识,仔细小心的系统管理员才能从一点点的蛛丝马迹中发现入侵者的影子，未雨绸缪，扼杀入侵的行为。

       返回目录：中级通信互联网技术知识点精讲之网络安全技术汇总

       相关推荐：

       中级通信工程师互联网技术考试教材推荐

       中级通信工程师互联网技术考试培训视频推荐

       中级通信工程师互联网技术考试大纲