关于 SVCHOST.EXE
■Windows NT Intruder Detection Checklist
--------------------------------------------------------------------------------
所参考的文件是http://www.cert.org网站文件,名为
"Windows NT Intruder Detection Checklist" ,其文件是由CERT Coordination Center and
AusCERT(Australian Computer Emergency Response Team)共同出版,其原始文件附加在后。
此文件概略的建议步骤可检测您的系统是否遭受入侵,系统管理者可以使用此文章资讯检查
系统是否遭受非法侵入(break-ins),我们建议您重新审视文件并且改善您系统潜在的弱点。
下列提供三份文件或许能帮助您:
*
http://www.cert.org/tech_tips/win_...uidelines.html包含解决常见NT系统架构问题
*
http://www.cert.org/tech_tips/win...ompromise.html包含NT系统被入侵后,取得修复的步骤
*
http://www.cert.org/tech_t...ources.html包含工具的描述,以确保系统安全和防止非法侵入
我们也鼓励您定期向您所购买系统的厂商更新或取得最新的修正程式
注意:所有的动作调查研究得与您的组织策略与程序一致
A. 查看签章,您的电脑是否已遭到入侵
1. 从连线的log档对不寻常的区域或行为查看,您可以使用事件检视器(程式集->系统管理
工具->事件检视器)去检查异常的登入、失败的服务或异常的系统声明,假若您的系统被入
侵,如:防火墙、网路伺服器或路由器的记录档被写到不同的位置,记得检查可疑的记录档,
除非您的log档须要额外的程式开启,否则大多数的入侵者可自行编辑log档以达到隐藏其行为。
2. 检查异常使用者的帐号和群组。您可以利用系统管理工具或在命令列下(开始=>执行=>cmd)
执行 "net user" 、 "net group" 和 "net localgroup" 指令以得知其使用者的控制权限,
假若系统没有使用guest此帐号,建议删除guest帐号。
3. 检视群组内的使用者身份与权限,有些预设NT群组的成员有特殊的权限,例:系统管理
群组的成员可以在本机系统上做任何事,系统备份操作员(Backup operators)可读取系统上
的任何档案,PowerUsers还能开启分享功能。
4. 检视异常的使用者权限,检查使用者权限是否正确被设定,方法->执行使用者管理工
具下的政策(Policies),使用者权限(User Rights),这有27种不同的权限,可分配到使
用者和群组,而通常预设的架构是安全无虞的。
5. 查看是否有未授权的应用程式被启动。入侵者可以使用各种不同的方法启动后门程式,
所以您必须
* 检查启动时的档案,检查c:\winnt\profiles\*\start menu\programs\startup内的档案,
您也可检查开始=>程式集=>启动内的捷径、程式和启动的捷径是否有问题,注意:这有二个
启动目录,第一个用途是针对本机使用者,另一个则是适用于所有使用者,当使用者登入时,
适用于所有使用者的启动目录中的应用程式都会被启动,如此启动区更显得重要,应对启动
区内有问题的应用程式做仔细检查。
* 检查系统登录档,较常见是透过登录档来启动应用程式。
http://www.cert.org/tech_ti...ings.html#A* 检视异常的服务,当系统启动时部份服务会以"Logon as Service"即任意使用者的权限启
动,有些后门程式会透过上述服务启动方式而被安装、启动。检查自动启动的服务是否符合
需要,服务所执行的档案会不会是特洛依木马或后门程式。
以下的批次档可帮忙收集NT伺服器上服务已注册者在系统上执行的资讯,在输出方面会列出
服务键值(service key)、启动值和所执行的档案,批次档是使用NT系统中的部份资源手册
(Resource Kit)中的REG.EXE命令,档案和登录(registry)无法透过此批次档案修改。
http://www.cert.org/tech_ti...ings.html#B6. 请注意您系统的二进位(binaries)变化,对照您最初所安装的软体版本就可以知道是否
被改变过,注意回存备份资料,可能其中会有后门程式或特洛依木马存在。
特洛依木马程式可以仿造出与合法程式相同大小的档案和产生的日期,所以只对其程式检查
档案大小和日期标签,是不足以判定其程式是否为合法的程式,建议使用MD5、Tripwire和
其他加密检查工具是否程式有被植木马程式的可能,(使用完整性检查工具会让档案更为安
全和不让入侵者有湮灭修改原始程式的证据)。对于邮件内容的确认,未来你可能会使用到
类似PGP加密软体。
使用防毒软体也可以检查系统是否有病毒、后门程式、特洛依木马程式,但要记得一件事就
是恶意程式会不断的被创造出来,所以您的防毒软体得不断地更新病毒码,这一点是非常重
要的。
7. 对越权侵入者的检查,可从WINS, DNS, IP forwarding等来检查是否有无效的登录项目,
这些设定的检查可使用网路资源工具(Network Properties tool)或在MS-DOS模式下使用
的 "ipconfig/all" 可看出其端倪。
要确切的检查您系统所列出的网路服务配置中您所要执行的网路服务。
使用 "netstat -an" 命令来检查是否有从其他主机所连进来的奇怪的埠(port)清单,利
用以下提供的超链结检查系统开启的埠与所对映执行的服务是否在列表中。
http://www.isi.edu/in-notes/ian.../port-numbers额外的埠号可由微软知识库查到,或从以下提供的资讯是否安装的应用软体正确地开启该服
务所对映的埠号。
Windows NT, Terminal Server, and Microsoft Exchange Services Use TCP/IP Ports
http://support.microsoft.com/supp.../q150/5/43.aspSMS: Network Ports Used by Remote Helpdesk Functions
http://support.microsoft.com/supp.../q167/1/28.aspXGEN: TCP Ports and Microsoft Exchange: In-depth Discussion
http://support.microsoft.com/supp.../q176/4/66.aspHow to Configure a Firewall for Windows NT and Trusts
http://support.microsoft.com/supp.../q179/4/42.asp在下列的批次档内“TAB"表示实际上是输入键盘上的TAB 键,这档案无法对其他的档案有修
改或写入的功用,它输出的相关资料档叫 "port-number.txt" ,这档案会列出所有的埠号
及执行服务的资料。
http://www.cert.org/tech_ti...ings.html#C8. 查看没有设权限的资源分享,您可以在命令列下使用 "net share" 命令或使用伺服器管
理工具(Server Manager tool)来显现出系统上资源分享的权限分配,NT提供一个方式来隐
藏分享出来的目录,如藉由所分配的资源名称后增加一个'$',有些预设资源分享是加上'$'
(例如PRINT$),但假设您不对其他的使用者共享印表机的话,需检查为什么会被开启共享?假
若您发现奇怪的分享目录时,以下工具将显示出这共享在执行时真实的系统所在位置,一个
磁碟机(driver)或目录(directory)可以有多样的共享名字(share name),每一个分
享出来的资源(share)可以允许不同权限设定。
http://www.cert.org/tech_ti...ings.html#D9. 检查所要执行的工作排程清单,入侵者可能在程式里留下后门程式,方便日后某一段时
间执行它,这个方式可让入侵者潜伏在系统一段时间(即使你己发觉该程式已被重新设计过
在当时也不易查出),定期检查工作排程所执行的指令是非常重要的,可藉由NT的"at"或
NT resource kit提供WINAT工作排程工具,。
10. 检查异常的程序,您可以使用工作管理工具( Task Manager tool )或 pulist.exe 和
tlist.exe 这些是NT resource kit所提供在在命令列(MS-DOS模式)使用的工具目的要收
集执行程序的资讯,pulist.exe和 tlist.exe 是包含于 NT resource kit 中,有些共享软
体/免费软体,部份的应用软体也可以显示出档案使用的情况。
如使用 pulist 这个命令,您可以看到每一个程序是由谁所启动的,系统服务的执行通常和
系统的帐号有关,tlist再加上-t flag(tlist -t flag)可显示出父程序与子(child) 程序
的关系。
11. 查看系统上所有的档案或隐藏档,隐藏工具的使用或其相关程式(密码猜测程式,从其
他系统的密码档...等)因系统环境预设是不显示系统档案及隐藏档案,要显示上述程式经由
手动设定即可,由浏览器功能的功能选项设定,选择->检视->选项->显示所有档案,或在命
令例提示下(MS-DOS模式)可使用 "dir/ah" 来检视隐藏档。
12. 检查未经授权修改权限的档案或登录键值(registry keys),为了强化NT系统安全部份
系统安全档案和登录键值(registry keys)是要被适当的设定,防止无权限的使用者无法开
启该程式(例如:入侵者使用后门程式或keyloggers开启)或改变系统档,为了检查遍及您的
目录下所有的档案权限设定正确,您可以使用XCACLS.EXE程式(Windows 2000内并不提供此
服务),这是NT Resource Kit的工具,NT安全设定管理者工具
(The NT Security Configuration Manager)可以用来分析您所定的架构是否有与之前原先
设定的环境相同,这管理套件可以帮助您那些是己被修改过。
13. 检查使用者和电脑所订定的安全政策(policy)是否被不当更改,NT系统政策能定义出
许多不同的设定规则,如使用者什么可做,什么不能做,有些项目的系统政策能透过系统政
策编辑器(poledit.exe)加以设定,建议复制一份系统政策,以免未来被修改后,您还得要
知道那些资料被改过。
14. 确认系统没有在不同网域被重新定义,入侵者也许藉由获得网域管理者权限进而改变现
有网域的组态。
15. 当您检视区域网路的入侵记录档时也得对机器作全面性的检查,通常当一主机被入侵时,
在同一网路上的其他机器也很可能也被入侵。
B. 再参考其他 AusCERT and CERT 的文件
1. 有关进一步网路攻击种类的资讯可从CERT Coordination Center相关资讯和其新列出的
文件或使用FTP来更新之,由下列连结可看到
http://www.cert.o...aries/2. 假若您怀疑您的系统已被入侵,请参阅
" Steps for Recovering from a System Compromise" 其连结为
http://www.cert.org/tech_tips/win...ompromise.html您也可以检视其他适当的技术文件档
C. 入侵侦测系统
1.免费软体/共享软体的入侵侦测系统
COAST入侵侦测系统网路上资源有列出免费软体/共享软体的入侵侦测系统
http://www.cerias.purd...ast/ids/2.商业入侵侦测系统
下面这几个连结是有用的商业入侵侦测工具
Kane Security Monitor (KSM)
http://centauri.ods.com/secu...s/ksm.shtmlOmniGuard/ITA (OmniGuard/Intruder Alert)
http://www.axent.com/Axent/...truderAlertReal Secure
http://solutions.iss.net/p...cure/rs.phpCyberCop Monitor
http://solutions.sun.com/catalogs/all/Inte...ecurity/42189.htmlIntact
http://pedestalsoftw...intact/此文件是由:
http://www.cert.org/tech_tips/win_in..._checklist.html取得
