分析进入Win2000后留下的足迹

很多人对入侵Win2000系统很喜欢的吧,又有3389这样的界面型远程控制,还有这么多漏洞可以利用,而且关于入侵Win2000的文章又到处都是,方便啊。不过,你知道,你到底留下了哪些足迹在系统中么?最近作了个入侵分析,发现了不少东西,当然,估计到入侵时间然后在查找文件就列出来了。

我们在这里不分析来自FTP、HTTP的日志记录,因为这样来的入侵行为分析和防范比较容易,而通过帐号密码猜测进来的防范起来是比较麻烦的(安全配置相当OK的另说)。

1、系统的日志记录。 好的管理员应该尽可能地记录可以记录的东西,在本地安全策略中,对审核策略进行足够多的记录,你能发现,如果把所有的审核都选定的话(只要你不嫌多),一个帐号进行的操作访问的整个过程都能够完整记录下来了,一点不漏。 事件查看器里记录的内容是最多的了,从安全日志里面可以查看所有审核的事件。

我们看看一个帐号的登录/注销事件的记录: 会话从 winstation 中断连接: 用户名: guest 域: Refdom 登录 ID: (0x0,0x28445D9) 会话名称: Unknown 客户端名: GUDULOVER 客户端地址: 202.103.117.94

这是一个3389登录的事件,系统记录下了IP地址,机器名称以及使用的用户名。还是很齐全的吧。

这是一个详细追踪的记录: 已经创建新的过程: 新的过程 ID: 4269918848 映象文件名: \WINNT\system32\CMD.EXE 创建者过程 ID: 2168673888 用户名: Refdom$Content$nbsp;域: Refdom 登录 ID: (0x0,0x3E7)

这是使用localsystem来运行了cmd.exe的记录,呵呵,用本地系统帐号运行cmd.exe不是用net user还是什么(当然还能做很多事情)。 小心自己的日志记录太多,日志空间使用满,这样WIN就不再记录新的事件了,请在日志属性中选择按需要改写日志,这样可以记录新的事件,不过可能把需要分析的事件给改写了。 可惜的是,这里的记录实在是太显眼了,多半存活不了。

2、足够多的痕迹留在“Documents and Settings”目录里面 这个目录是所有帐号的足迹存放地,当然,从3389或者本机进入使用图形界面就会留下帐号目录来。我们来看看一个帐号的“Documents and Settings”目录里面有什么东西吧,首先查看所有文件和文件夹,不要隐藏任何东西。

“「开始」菜单”:当然是存放帐号自己的“开始”中的东西,这个里面的“启动”是个比较好东西哦。 “Application Data”:一些应用程序留下的数据啊、备份啊什么的东西,分析用处不怎么大。

“Cookies”:如果入侵者通过3389进来,还去浏览了网页,那么这里就存放着足够多的Cookie,让你能够知道他到底去了哪些地方。

“Local Settings”:这里也是一些临时数据的存放地,还有就是IE的脱机东东。说不定能发现很多好网站哦。 “Recent”:这个文件夹是隐藏的,不过里面存放的东西实在太多了,帐号访问的目录、文件一个一个都记录在案。使用了哪些东西,看了哪些文件,都能知道得清清楚楚。

“Templates”:存放临时文件的地方。

3、从黑客工具看被人入侵了,那他一定会想办法获得administrator权限,得到了这个权限他就能为所欲为了,按照各种介绍的入侵教材,当然是放置其他扫描器做肉鸡、安装后门、删除日志……呵呵,这些扫描器都有足够的日志可以提供分析,还能帮自己白白收集一些肉鸡。而且从这些工具的日志(配置文件)里面也可以看出入侵者的意图以及水平等等。 也好,那流光来说吧,每次扫描的结果都写下来了,大家都可以看,不看白不看。 被安装后门、代理跳板(不是多级)是最好的了,谁能远程控制你做什么呢?我们当然可以从后门程序抓住入侵者的来历,从哪里传过来的连接,用嗅叹器就是了,当然,你甚至可以用一个非常有意思的文件名来伪装自己的木马,让他当回去使用,想玩大家一起玩啊。当然,从另外的3389肉鸡这样的控制来的入侵者还是只找到的他的肉鸡而已。(冒险,把他的肉鸡也搞定吧)

(0)

相关推荐

  • 分析进入Win2000后留下的足迹

    很多人对入侵Win2000系统很喜欢的吧,又有3389这样的界面型远程控制,还有这么多漏洞可以利用,而且关于入侵Win2000的文章又到处都是,方便啊.不过,你知道,你到底留下了哪些足迹在系统中么?最近作了个入侵分析,发现了不少东西,当然,估计到入侵时间然后在查找文件就列出来了. 我们在这里不分析来自FTP.HTTP的日志记录,因为这样来的入侵行为分析和防范比较容易,而通过帐号密码猜测进来的防范起来是比较麻烦的(安全配置相当OK的另说). 1.系统的日志记录. 好的管理员应该尽可能地记录可以记录

  • 浅谈防火墙对FTP的影响及故障排除分析

    FTP是常见的基于TCP的网络服务,它使用了两个TCP连接来建立逻辑通信信道,即控制连接和数据连接.当客户端与服务器建立一个FTP会话时,使用TCP创建一个持久的控制连接以传递命令和应答.当发送文件和其它数据传输时,它们在独立的TCP数据连接上进行传递,这个连接根据需要创建和拆除. 更为复杂的是,FTP标准指定了创建数据连接的两种不同方法,即正常(主动)数据连接和被动数据连接.FTP的控制连接总是由客户端首先发起的,主动数据连接是由服务器端发起的,被动数据连接是由客户端发起的. 成功建立控制连接

  • CentOS虚拟机克隆后无法上网(网卡信息不一致)问题的解决方法

    一.问题描述 虚拟机克隆后,由于网卡信息不一致的问题,导致不能上网或者执行"sercice network restart"命令失败 [root@lyy 桌面]# ifconfig //查看当前网卡信息 [root@lyy 桌面]# cd /etc/sysconfig/network-scripts //进入网卡配置文件目录 [root@lyy network-scripts]# ls //查看网卡配置文件中的网卡信息 二.原因分析 由于克隆后的系统,系统只是修改了虚拟机的名字和MAC

  • chenzi.exe的分析及解决方法

    File size: 18593 bytes  MD5: c595bc161e1d64b4d8f4d84139ef02b0  SHA1: 100e8a9ae7034b41443e4ddaa46f175adb70eb06  病毒名称:未知 测试时间:2007-3-10 更新时间:明晚将更新此分析日志, 运行后病毒样本,自动删除病毒本身,自动释放病毒到%system%目录下 %system%\del.bat %system%\msgcom.dll %system%\1.exe %system%\2.

  • JAVA程序内存溢出问题原因分析

    本文较为详细的分析了JAVA程序内存溢出问题原因.分享给大家供大家参考.具体如下: 遇到一个线上系统报 java.lang.OutOfMemoryError: PermGen space 错误,需要定位一下问题.很久之前到时弄过这个,现在还真有点不记得了,但这个真的是一个非常有意思的问题,值得好好研究一下.首先第一反应当然是加上-XX:+PrintGCDetails参数来看具体的GC日志,但是由于程序是tomcat启动的,担心里面封装的东西太多不好定位,既然在windows下面,所以还是借助可视

  • JVM 心得 OOM时的堆信息获取方法与分析

    JVM的框架知识了解之后,实际的项目里发生了OOM异常的话,怎么获取以及分析异常信息后怎么分析呢. 这里稍微做一下归纳. 第一步,首先通过下面两个方法的任何一种,把发生OOM时的heap信息dump下来. 有两个方法,通过设置可以把OOM时的dump信息获取到: 1)方法1:在JVM的启动参数里添加如下命令 -XX:+HeapDumpOnOutOfMemoryError 2)方法2:在JDK的安装目录下,找到bin目录,然后双击执行"jvisualvm.exe" 执行程序之后,在视图里

  • JavaScript继承与多继承实例分析

    本文实例讲述了JavaScript继承与多继承.分享给大家供大家参考,具体如下: 虽然最新的EC6里边已经有了class的相关功能,但是从普及度上和阅读旧代码需求的方面来看,这点知识也得了解一下. 本文结构: ① 原理及分析 ② 简单封装后的运用 1. 继承 ① 原理及分析 先上一张图: 用这段代码的思想来实现继承,即: var inherit=function(objBase){ var F=function(){}; //第一步:定义一个函数F F.prototype=objBase; //

  • Python实现层次分析法及自调节层次分析法的示例

    假设我们遇到如下问题: ①对于M个方案,每个方案有N个属性,在已知各个方案每个属性值&&任意两个属性的重要程度的前提下,如何选择最优的方案? ②对于一个层级结构,在已知各底层指标相互之间的重要程度下,如何确定各底层指标对最高级指标的权值? - - 此时,便可用层次分析法将我们的主观想法--"谁比谁重要"转换为客观度量--"权值" 层次分析法 层次分析法的基本思想是将复杂问题分为若干层次和若干因素,在同一层次的各要素之间简单地进行比较判断和计算,并评估

  • 网络安全渗透测试反序列化漏洞分析与复现工作

    目录 0x00概述 0x01服务分析 0x02漏洞分析 0x03POC构造 0x04总结 0x00 概述 GENESIS64软件的多个版本存在反序列化漏洞,影响多个组件,例如: 根据CVE漏洞相关描述,下载对应GENESIS软件版本搭建环境,进行漏洞分析与复现工作. 0x01 服务分析 安装完成后对整个系统进行熟悉,发现Web程序接口使用Silverlight进行数据交互,因此需要找到相关功能文件进行分析.经过一些时间查找,找到系统服务开启的配置文件,在配置文件中定义了访问接口信息以及调用的相关

  • vue echarts实现航班选座案例分析

    目录 背景 实现思路 代码分析 获取svg 注册自定义地图 geo组件的配置 举一反三 三 效果图 注意点 背景 最近在echarts官方看到了一个航班选座的示例,感觉很好,可以扩大,缩小,鼠标放置到座位上可以显示座位号,允许默认选中座位.于是在5.1假期抽了一点点时间,来写一篇文章,深入研究分析一下这个示例,解析一下这个示例的完整代码.首先让我们来看下示例的效果图. 实现思路 代码是使用echarts来实现的,主要用到的是svg和自定义地图的相关知识.示例的完整代码 在做选座的功能,我们使用d

随机推荐