● 分析进入Win2000后留下的足迹(3389为例子) - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: hellsolaris (qq), 信区: Security
标  题: 分析进入Win2000后留下的足迹(3389为例子)
发信站: 荔园晨风BBS站 (Sun Jan  4 20:20:31 2004), 站内信件

创建时间：2001-12-16
文章属性：原创
文章来源：refdom
文章提交：refdom (refdom_at_263.net)

作者：refdom (refdom@263.net)

    很多人对入侵Win2000系统很喜欢的吧，又有3389这样的界面型远程控制，还
有这么多漏洞可以利用，而且关于入侵Win2000的文章又到处都是，方便啊。

    不过，你知道，你到底留下了哪些足迹在系统中么？最近作了个入侵分析，发
现了不少东西，当然，估计到入侵时间然后在查找文件就列出来了。我们在这里不
分析来自FTP、HTTP的日志记录，因为这样来的入侵行为分析和防范比较容易，而
通过帐号密码猜测进来的防范起来是比较麻烦的（安全配置相当OK的另说）。

1、系统的日志记录。
    好的管理员应该尽可能地记录可以记录的东西，在本地安全策略中，对审核策
略进行足够多的记录，你能发现，如果把所有的审核都选定的话（只要你不嫌多）
，一个帐号进行的操作访问的整个过程都能够完整记录下来了，一点不漏。
    事件查看器里记录的内容是最多的了，从安全日志里面可以查看所有审核的事
件。
    我们看看一个帐号的登录/注销事件的记录：

会话从 winstation 中断连接:
    用户名:    guest
    域:        Refdom
    登录 ID:        (0x0,0x28445D9)
    会话名称:    Unknown
    客户端名:    GUDULOVER
    客户端地址:    202.103.117.94

    这是一个3389登录的事件，系统记录下了IP地址，机器名称以及使用的用户名
。还是很齐全的吧。

    这是一个详细追踪的记录：

已经创建新的过程:
    新的过程 ID:    4269918848
    映象文件名:    \WINNT\system32\CMD.EXE
    创建者过程 ID:    2168673888
    用户名:    Refdom$
    域:        Refdom
    登录 ID:        (0x0,0x3E7)

    这是使用localsystem来运行了cmd.exe的记录，呵呵，用本地系统帐号运行
cmd.exe不是用net user还是什么（当然还能做很多事情）。
    小心自己的日志记录太多，日志空间使用满，这样WIN就不再记录新的事件了
，请在日志属性中选择按需要改写日志，这样可以记录新的事件，不过可能把需要
分析的事件给改写了。
    可惜的是，这里的记录实在是太显眼了，多半存活不了。

2、足够多的痕迹留在“Documents and Settings”目录里面
    这个目录是所有帐号的足迹存放地，当然，从3389或者本机进入使用图形界面
就会留下帐号目录来。我们来看看一个帐号的“Documents and Settings”目录里
面有什么东西吧，首先查看所有文件和文件夹，不要隐藏任何东西。

“「开始」菜单”：当然是存放帐号自己的“开始”中的东西，这个里面的“启动
”是个比较好东西哦。
“Application Data”：一些应用程序留下的数据啊、备份啊什么的东西，分析用
处不怎么大。
“Cookies”：如果入侵者通过3389进来，还去浏览了网页，那么这里就存放着足
够多的Cookie，让你能够知道他到底去了哪些地方。
“Local Settings”，这里也是一些临时数据的存放地，还有就是IE的脱机东东。
说不定能发现很多好网站哦。
“Recent”：这个文件夹是隐藏的，不过里面存放的东西实在太多了，帐号访问的
目录、文件一个一个都记录在案。使用了哪些东西，看了哪些文件，都能知道得清
清楚楚。
“Templates”：存放临时文件的地方。

3、从黑客工具看
    被人入侵了，那他一定会想办法获得administrator权限，得到了这个权限他
就能为所欲为了，按照各种介绍的入侵教材，当然是放置其他扫描器做肉鸡、安装
后门、删除日志……呵呵，这些扫描器都有足够的日志可以提供分析，还能帮自己
白白收集一些肉鸡。而且从这些工具的日志（配置文件）里面也可以看出入侵者的
意图以及水平等等。
    也好，那流光来说吧，每次扫描的结果都写下来了，大家都可以看，不看白不
看。
    被安装后门、代理跳板（不是多级）是最好的了，谁能远程控制你做什么呢？
我们当然可以从后门程序抓住入侵者的来历，从哪里传过来的连接，用嗅叹器就是
了，当然，你甚至可以用一个非常有意思的文件名来伪装自己的木马，让他当回去
使用，想玩大家一起玩啊。当然，从另外的3389肉鸡这样的控制来的入侵者还是只
找到的他的肉鸡而已。（冒险，把他的肉鸡也搞定吧）

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.223]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店