關於 SVCHOST.EXE
■Windows NT Intruder Detection Checklist
--------------------------------------------------------------------------------
所參考的文件是http://www.cert.org網站文件,名為
"Windows NT Intruder Detection Checklist" ,其文件是由CERT Coordination Center and
AusCERT(Australian Computer Emergency Response Team)共同出版,其原始文件附加在後。
此文件概略的建議步驟可檢測您的系統是否遭受入侵,系統管理者可以使用此文章資訊檢查
系統是否遭受非法侵入(break-ins),我們建議您重新審視文件並且改善您系統潛在的弱點。
下列提供三份文件或許能幫助您:
*
http://www.cert.org/tech_tips/win_...uidelines.html包含解決常見NT系統架構問題
*
http://www.cert.org/tech_tips/win...ompromise.html包含NT系統被入侵後,取得修復的步驟
*
http://www.cert.org/tech_t...ources.html包含工具的描述,以確保系統安全和防止非法侵入
我們也鼓勵您定期向您所購買系統的廠商更新或取得最新的修正程式
注意:所有的動作調查研究得與您的組織策略與程序一致
A. 查看簽章,您的電腦是否已遭到入侵
1. 從連線的log檔對不尋常的區域或行為查看,您可以使用事件檢視器(程式集->系統管理
工具->事件檢視器)去檢查異常的登入、失敗的服務或異常的系統聲明,假若您的系統被入
侵,如:防火牆、網路伺服器或路由器的記錄檔被寫到不同的位置,記得檢查可疑的記錄檔,
除非您的log檔須要額外的程式開啟,否則大多數的入侵者可自行編輯log檔以達到隱藏其行為。
2. 檢查異常使用者的帳號和群組。您可以利用系統管理工具或在命令列下(開始=>執行=>cmd)
執行 "net user" 、 "net group" 和 "net localgroup" 指令以得知其使用者的控制權限,
假若系統沒有使用guest此帳號,建議刪除guest帳號。
3. 檢視群組內的使用者身份與權限,有些預設NT群組的成員有特殊的權限,例:系統管理
群組的成員可以在本機系統上做任何事,系統備份操作員(Backup operators)可讀取系統上
的任何檔案,PowerUsers還能開啟分享功能。
4. 檢視異常的使用者權限,檢查使用者權限是否正確被設定,方法->執行使用者管理工
具下的政策(Policies),使用者權限(User Rights),這有27種不同的權限,可分配到使
用者和群組,而通常預設的架構是安全無虞的。
5. 查看是否有未授權的應用程式被啟動。入侵者可以使用各種不同的方法啟動後門程式,
所以您必須
* 檢查啟動時的檔案,檢查c:\winnt\profiles\*\start menu\programs\startup內的檔案,
您也可檢查開始=>程式集=>啟動內的捷徑、程式和啟動的捷徑是否有問題,注意:這有二個
啟動目錄,第一個用途是針對本機使用者,另一個則是適用於所有使用者,當使用者登入時,
適用於所有使用者的啟動目錄中的應用程式都會被啟動,如此啟動區更顯得重要,應對啟動
區內有問題的應用程式做仔細檢查。
* 檢查系統登錄檔,較常見是透過登錄檔來啟動應用程式。
http://www.cert.org/tech_ti...ings.html#A* 檢視異常的服務,當系統啟動時部份服務會以"Logon as Service"即任意使用者的權限啟
動,有些後門程式會透過上述服務啟動方式而被安裝、啟動。檢查自動啟動的服務是否符合
需要,服務所執行的檔案會不會是特洛依木馬或後門程式。
以下的批次檔可幫忙收集NT伺服器上服務已註冊者在系統上執行的資訊,在輸出方面會列出
服務鍵值(service key)、啟動值和所執行的檔案,批次檔是使用NT系統中的部份資源手冊
(Resource Kit)中的REG.EXE命令,檔案和登錄(registry)無法透過此批次檔案修改。
http://www.cert.org/tech_ti...ings.html#B6. 請注意您系統的二進位(binaries)變化,對照您最初所安裝的軟體版本就可以知道是否
被改變過,注意回存備份資料,可能其中會有後門程式或特洛依木馬存在。
特洛依木馬程式可以仿造出與合法程式相同大小的檔案和產生的日期,所以只對其程式檢查
檔案大小和日期標籤,是不足以判定其程式是否為合法的程式,建議使用MD5、Tripwire和
其他加密檢查工具是否程式有被植木馬程式的可能,(使用完整性檢查工具會讓檔案更為安
全和不讓入侵者有湮滅修改原始程式的證據)。對於郵件內容的確認,未來你可能會使用到
類似PGP加密軟體。
使用防毒軟體也可以檢查系統是否有病毒、後門程式、特洛依木馬程式,但要記得一件事就
是惡意程式會不斷的被創造出來,所以您的防毒軟體得不斷地更新病毒碼,這一點是非常重
要的。
7. 對越權侵入者的檢查,可從WINS, DNS, IP forwarding等來檢查是否有無效的登錄項目,
這些設定的檢查可使用網路資源工具(Network Properties tool)或在MS-DOS模式下使用
的 "ipconfig/all" 可看出其端倪。
要確切的檢查您系統所列出的網路服務配置中您所要執行的網路服務。
使用 "netstat -an" 命令來檢查是否有從其他主機所連進來的奇怪的埠(port)清單,利
用以下提供的超鏈結檢查系統開啟的埠與所對映執行的服務是否在列表中。
http://www.isi.edu/in-notes/ian.../port-numbers額外的埠號可由微軟知識庫查到,或從以下提供的資訊是否安裝的應用軟體正確地開啟該服
務所對映的埠號。
Windows NT, Terminal Server, and Microsoft Exchange Services Use TCP/IP Ports
http://support.microsoft.com/supp.../q150/5/43.aspSMS: Network Ports Used by Remote Helpdesk Functions
http://support.microsoft.com/supp.../q167/1/28.aspXGEN: TCP Ports and Microsoft Exchange: In-depth Discussion
http://support.microsoft.com/supp.../q176/4/66.aspHow to Configure a Firewall for Windows NT and Trusts
http://support.microsoft.com/supp.../q179/4/42.asp在下列的批次檔內“TAB"表示實際上是輸入鍵盤上的TAB 鍵,這檔案無法對其他的檔案有修
改或寫入的功用,它輸出的相關資料檔叫 "port-number.txt" ,這檔案會列出所有的埠號
及執行服務的資料。
http://www.cert.org/tech_ti...ings.html#C8. 查看沒有設權限的資源分享,您可以在命令列下使用 "net share" 命令或使用伺服器管
理工具(Server Manager tool)來顯現出系統上資源分享的權限分配,NT提供一個方式來隱
藏分享出來的目錄,如藉由所分配的資源名稱後增加一個'$',有些預設資源分享是加上'$'
(例如PRINT$),但假設您不對其他的使用者共享印表機的話,需檢查為什麼會被開啟共享?假
若您發現奇怪的分享目錄時,以下工具將顯示出這共享在執行時真實的系統所在位置,一個
磁碟機(driver)或目錄(directory)可以有多樣的共享名字(share name),每一個分
享出來的資源(share)可以允許不同權限設定。
http://www.cert.org/tech_ti...ings.html#D9. 檢查所要執行的工作排程清單,入侵者可能在程式裡留下後門程式,方便日後某一段時
間執行它,這個方式可讓入侵者潛伏在系統一段時間(即使你己發覺該程式已被重新設計過
在當時也不易查出),定期檢查工作排程所執行的指令是非常重要的,可藉由NT的"at"或
NT resource kit提供WINAT工作排程工具,。
10. 檢查異常的程序,您可以使用工作管理工具( Task Manager tool )或 pulist.exe 和
tlist.exe 這些是NT resource kit所提供在在命令列(MS-DOS模式)使用的工具目的要收
集執行程序的資訊,pulist.exe和 tlist.exe 是包含於 NT resource kit 中,有些共享軟
體/免費軟體,部份的應用軟體也可以顯示出檔案使用的情況。
如使用 pulist 這個命令,您可以看到每一個程序是由誰所啟動的,系統服務的執行通常和
系統的帳號有關,tlist再加上-t flag(tlist -t flag)可顯示出父程序與子(child) 程序
的關係。
11. 查看系統上所有的檔案或隱藏檔,隱藏工具的使用或其相關程式(密碼猜測程式,從其
他系統的密碼檔...等)因系統環境預設是不顯示系統檔案及隱藏檔案,要顯示上述程式經由
手動設定即可,由瀏覽器功能的功能選項設定,選擇->檢視->選項->顯示所有檔案,或在命
令例提示下(MS-DOS模式)可使用 "dir/ah" 來檢視隱藏檔。
12. 檢查未經授權修改權限的檔案或登錄鍵值(registry keys),為了強化NT系統安全部份
系統安全檔案和登錄鍵值(registry keys)是要被適當的設定,防止無權限的使用者無法開
啟該程式(例如:入侵者使用後門程式或keyloggers開啟)或改變系統檔,為了檢查遍及您的
目錄下所有的檔案權限設定正確,您可以使用XCACLS.EXE程式(Windows 2000內並不提供此
服務),這是NT Resource Kit的工具,NT安全設定管理者工具
(The NT Security Configuration Manager)可以用來分析您所定的架構是否有與之前原先
設定的環境相同,這管理套件可以幫助您那些是己被修改過。
13. 檢查使用者和電腦所訂定的安全政策(policy)是否被不當更改,NT系統政策能定義出
許多不同的設定規則,如使用者什麼可做,什麼不能做,有些項目的系統政策能透過系統政
策編輯器(poledit.exe)加以設定,建議複製一份系統政策,以免未來被修改後,您還得要
知道那些資料被改過。
14. 確認系統沒有在不同網域被重新定義,入侵者也許藉由獲得網域管理者權限進而改變現
有網域的組態。
15. 當您檢視區域網路的入侵記錄檔時也得對機器作全面性的檢查,通常當一主機被入侵時,
在同一網路上的其他機器也很可能也被入侵。
B. 再參考其他 AusCERT and CERT 的文件
1. 有關進一步網路攻擊種類的資訊可從CERT Coordination Center相關資訊和其新列出的
文件或使用FTP來更新之,由下列連結可看到
http://www.cert.o...aries/2. 假若您懷疑您的系統已被入侵,請參閱
" Steps for Recovering from a System Compromise" 其連結為
http://www.cert.org/tech_tips/win...ompromise.html您也可以檢視其他適當的技術文件檔
C. 入侵偵測系統
1.免費軟體/共享軟體的入侵偵測系統
COAST入侵偵測系統網路上資源有列出免費軟體/共享軟體的入侵偵測系統
http://www.cerias.purd...ast/ids/2.商業入侵偵測系統
下面這幾個連結是有用的商業入侵偵測工具
Kane Security Monitor (KSM)
http://centauri.ods.com/secu...s/ksm.shtmlOmniGuard/ITA (OmniGuard/Intruder Alert)
http://www.axent.com/Axent/...truderAlertReal Secure
http://solutions.iss.net/p...cure/rs.phpCyberCop Monitor
http://solutions.sun.com/catalogs/all/Inte...ecurity/42189.htmlIntact
http://pedestalsoftw...intact/此文件是由:
http://www.cert.org/tech_tips/win_in..._checklist.html取得
