分析进入Win2000后留下的足迹

很多人对入侵Win2000系统很喜欢的吧，又有3389这样的界面型远程控制，还有这么多漏洞可以利用，而且关于入侵Win2000的文章又到处都是，方便啊。不过，你知道，你到底留下了哪些足迹在系统中么？最近作了个入侵分析，发现了不少东西，当然，估计到入侵时间然后在查找文件就列出来了。

我们在这里不分析来自FTP、HTTP的日志记录，因为这样来的入侵行为分析和防范比较容易，而通过帐号密码猜测进来的防范起来是比较麻烦的（安全配置相当OK的另说）。

1、系统的日志记录。 好的管理员应该尽可能地记录可以记录的东西，在本地安全策略中，对审核策略进行足够多的记录，你能发现，如果把所有的审核都选定的话（只要你不嫌多），一个帐号进行的操作访问的整个过程都能够完整记录下来了，一点不漏。 事件查看器里记录的内容是最多的了，从安全日志里面可以查看所有审核的事件。

我们看看一个帐号的登录/注销事件的记录： 会话从 winstation 中断连接: 用户名: guest 域: Refdom 登录 ID: (0x0,0x28445D9) 会话名称: Unknown 客户端名: GUDULOVER 客户端地址: 202.103.117.94

这是一个3389登录的事件，系统记录下了IP地址，机器名称以及使用的用户名。还是很齐全的吧。

这是一个详细追踪的记录： 已经创建新的过程: 新的过程 ID: 4269918848 映象文件名: \WINNT\system32\CMD.EXE 创建者过程 ID: 2168673888 用户名: Refdom$Content$nbsp;域: Refdom 登录 ID: (0x0,0x3E7)

这是使用localsystem来运行了cmd.exe的记录，呵呵，用本地系统帐号运行cmd.exe不是用net user还是什么（当然还能做很多事情）。 小心自己的日志记录太多，日志空间使用满，这样WIN就不再记录新的事件了，请在日志属性中选择按需要改写日志，这样可以记录新的事件，不过可能把需要分析的事件给改写了。 可惜的是，这里的记录实在是太显眼了，多半存活不了。

2、足够多的痕迹留在“Documents and Settings”目录里面 这个目录是所有帐号的足迹存放地，当然，从3389或者本机进入使用图形界面就会留下帐号目录来。我们来看看一个帐号的“Documents and Settings”目录里面有什么东西吧，首先查看所有文件和文件夹，不要隐藏任何东西。

“「开始」菜单”：当然是存放帐号自己的“开始”中的东西，这个里面的“启动”是个比较好东西哦。 “Application Data”：一些应用程序留下的数据啊、备份啊什么的东西，分析用处不怎么大。

“Cookies”：如果入侵者通过3389进来，还去浏览了网页，那么这里就存放着足够多的Cookie，让你能够知道他到底去了哪些地方。

“Local Settings”：这里也是一些临时数据的存放地，还有就是IE的脱机东东。说不定能发现很多好网站哦。 “Recent”：这个文件夹是隐藏的，不过里面存放的东西实在太多了，帐号访问的目录、文件一个一个都记录在案。使用了哪些东西，看了哪些文件，都能知道得清清楚楚。

“Templates”：存放临时文件的地方。

3、从黑客工具看被人入侵了，那他一定会想办法获得administrator权限，得到了这个权限他就能为所欲为了，按照各种介绍的入侵教材，当然是放置其他扫描器做肉鸡、安装后门、删除日志……呵呵，这些扫描器都有足够的日志可以提供分析，还能帮自己白白收集一些肉鸡。而且从这些工具的日志（配置文件）里面也可以看出入侵者的意图以及水平等等。 也好，那流光来说吧，每次扫描的结果都写下来了，大家都可以看，不看白不看。 被安装后门、代理跳板（不是多级）是最好的了，谁能远程控制你做什么呢？我们当然可以从后门程序抓住入侵者的来历，从哪里传过来的连接，用嗅叹器就是了，当然，你甚至可以用一个非常有意思的文件名来伪装自己的木马，让他当回去使用，想玩大家一起玩啊。当然，从另外的3389肉鸡这样的控制来的入侵者还是只找到的他的肉鸡而已。（冒险，把他的肉鸡也搞定吧）