瑞星卡卡安全论坛

首页 » 技术交流区 » 入侵防御(HIPS) » 电脑被入侵问题 请解答
★小小菜鸟☆ - 2010-12-2 9:44:00
电脑系统明确已经被人入侵 文件被拷走
第一 我想知道入侵后如果留下痕迹在哪里可以看到
第二 杀毒软件为什么一点提示都没有
第三 如何才能防止此类事件再次发生
awilamt - 2010-12-2 12:43:00
找个现成的简单介绍如下:
入侵后的三个重要痕迹:
A:应用程序日志
B:安全日志
C:系统日志
DNS日志默认位置:%systemroot%\system32\config,默认文件大小512KB,管理员都会改变这个默认大小。安全日志文件:%systemroot%\system32\config\SecEvent.EVT
系统日志文件:%systemroot%\system32\config\SysEvent.EVT
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT
FTP日志默认位置:%systemroot%\system32\logfilesmsftpsvc1,默认每天一个
WWW日志默认位置:%systemroot%\system32\logfilesw3svc1,默认每天一个日志
以上日志在注册表里的键: 应用程序日志,安全日志,系统日志,DNS服务器日志,
它们这些LOG文件在注册表中的:
HKEY_LOCAL_MACHINEsystemCurrentControlSetServicesEventlog
更高级点的反入侵手段就要用到第三方软件,简单介绍点:
1.sniffer技术的应用
sniffer技术最广泛,因为是基于底层协议,所以凡关于网络数据包都可以运用自如。 
用sniffer查找病毒,这个在局域网中用的最多了,简单点说就是在网络节点上嗅探,也就是分析不正常数据流量,还有种方法就是重定向到一台机器上,在这台机器上装sniffer软件。
用sniffer可以查木马,常用的就是盗密码的木马都可以查,在怀疑有木**机器上或网关上装sniffer软件,随便登陆个qq什么的,同时**数据包的发送,很容易查到发送目的地。
2.(蜜罐)技术
蜜罐(Honeypot)是一种在互联网上运行的计算 机系统。它是专门为吸引并诱骗那些试图非法闯 入他人计算机系统的人(如电脑黑客)而设计的,蜜 罐系统是一个包含漏洞的诱骗系统,它通过模拟 一个或多个易受攻击的主机,给攻击者提供一个 容易攻击的目标。由于蜜罐并没有向外界提供真 正有价值的服务,因此所有对蜜罐尝试都被视为 可疑的。蜜罐的另一个用途是拖延攻击者对真正 目标的攻击,让攻击者在蜜罐上浪费时间。简单 点一说:蜜罐就是诱捕攻击者的一个陷阱。
  蜜罐比起sniffer技术,更容易收集一个入侵过程,优越性很强,虽然有点守株待兔的意思,但绝对不雷同。有机会一定写个关于蜜罐的文章,顺便也搭建个windows下蜜罐程序,到时候大家一起来测试啊。
3.入侵检测系统
这个就比较广泛了,我的归类是蜜罐和sniffer技术也该是种入侵检测系统,但入侵检测系统也有软件和硬件方面的两类,小规模的应用是软件检测,大规模的局域网和主机应该是硬件方面的比较多。
awilamt - 2010-12-2 12:49:00
当然杀软升级杀毒,系统定期打补丁都是必须的,但还可能存在未知的系统漏洞也有可能被发现和利用,所以还需要提高自身的安全知识。
黑暗メ骑士 - 2010-12-18 2:52:00
该用户帖子内容已被屏蔽
卡在一起 - 2011-2-18 14:47:00
学习了!!!!!!!!!!
卡在一起 - 2011-2-18 14:47:00
谢谢了!!!!!!!1
两个铁球 - 2011-6-4 12:56:00
这里是hisp版块,最好不要把事关NIPS的问题拿来这里问。
1
查看完整版本: 电脑被入侵问题 请解答