網絡通信安全管理員教程

2010年1月吳辰文等編著第十一章WindowsServer2003的深層安全防護本章學習要求：了解進程的概念；了解注冊表的概念；了解注冊表的結構；掌握服務的優(yōu)化方法；掌握黑客經常攻擊的端口以及防范方法；掌握關閉端口的方法；熟悉端口查看命令及工具；掌握系統必要進程和非必要進程；熟悉進程查看命令及工具；熟悉注冊表備份、還原及修改的方法；熟悉基于進程和注冊表的木馬查殺方法。第十一章WindowsServer2003的深層安全防護11.1WindowsServer2003服務解析11.2WindowsServer2003端口解析11.3WindowsServer2003進程解析11.4WindowsServer2003注冊表解析11.5基于注冊表和進程的木馬查殺技術11.1WindowsServer2003服務解析11.1.1服務的概念WindowsServer2003中有很多服務，主要由服務應用程序、服務控制程序和服務控制管理器。服務控制管理器用來維護注冊表中的數據。服務控制程序則是控制服務應用程序的模塊，是控制服務程序同服務管理器之間的紐帶。服務應用程序是服務程序的主體程序，是一個或多個的可執(zhí)行代碼。11.1.2服務的優(yōu)化WindowsServer2003服務的優(yōu)化主要有兩個方面，改變服務的啟動順序和禁用不必要的服務。改變服務的啟動順序WindowsServer2003服務的啟動順序可以通過注冊表來實現下面介紹兩個與啟動服務順序相關的鍵值：（1）Group值：一個REG_SZ類型的值，用來描述服務屬于哪一個服務組。（2）Tag值：一個REG_DWORD類型的值。用來描述服務的標識。打開注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServicesGroupOrder鍵的List值，這里保存了表示服務組啟動順序的信息，每一個服務組都是一個字符串，要想改變他們的啟動順序，只要改變他們位置就可以了。如圖11-1所示。。圖11-1改變服務組界面打開注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOr-derList鍵下有各服務組中各服務的啟動順序的信息，每個服務組的信息都被保存為一個REG_BINARY類型的值，如FSFilterSystem服務組，要想改變它們的加載順序，只需編輯這個二進制字符串即可，如圖11-2所示。圖11-2改變組內加載順序禁用不必要的服務在介紹系統不必要的服務之前，首先介紹如何查看服務的依存服務（至于服務的禁用、啟動和重新啟動，在第10章已作介紹，這里不再重復），具體操作是：首先打開“服務”窗口，選中想要修改的服務，右鍵單擊，選擇“屬性”命令，在彈出的界面上選擇“依存關系”選項卡，這里以COM+EventSystem為例，如圖11-3所示。圖11-3依存關系界面下面來介紹幾個可以關閉的服務。檢查不用的硬件。關閉Windows“主題。關閉警報服務。關閉防火墻。禁用遠程注冊。禁用Windows幫助。11.2WindowsServer2003端口解析11.2.1端口的概念Windows中的端口是指TCP/IP協議中的端口，范圍是從0到65535。端口可以認為是一個隊列，操作系統為各個進程分配了不同的隊列，數據包按照目的端口被列入相應的隊列中，等待被進程調用，在特殊的情況下，這個隊列有可能溢出，不過操作系統允許每個進程指定和調整自己隊列的大小。不是只有接收數據包的進程需要開啟它自己的端口，發(fā)送數據包的進程也需要開啟端口，這樣，數據包中將會標識出源端口，以便接收方能順利的回傳數據包到這個端口。11.2.2端口的分類端口分類有兩種分法：（1）按端口號可分為3大類：公認端口（熟知端口）：0~1023，它們專門為一些應用程序提供服務。注冊端口：1024~49151，它們隨機的為應用程序提供服務，許多服務綁定于這些端口，這些端口同樣可以用于其它目的。動態(tài)和/或私有端口：從49152到65535，實際上，機器通常從1024起分配動態(tài)端口。（2）按對應的協議類型端口有兩種：TCP端口和UDP端口。由于TCP和UDP兩個協議是獨立的，因此各自的端口號也相互獨立，比如TCP有110端口，UDP也可以有110端口，兩者并不沖突。（4）端口：23服務：Telnet說明：遠程登錄，入侵者可以搜索遠程登錄UNIX的服務。（5）端口：25服務：SMTP說明：SMTP服務器所開放的端口，用于發(fā)送郵件。（6）端口：80服務：HTTP說明：用于網頁瀏覽。木馬Executor開放此端口。（7）端口：102服務：Messagetransferagent（MTA）-X.400overTCP/IP說明：消息傳輸代理。（8）端口：110服務：PostOfficeProtocol-Version3說明：POP3服務器開放此端口，用于接收郵件，客戶端訪問服務器端的郵件服務。（9）端口：111服務：SUN公司的RPC服務中所包含的各種服務的端口說明：常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等（10）端口：119服務：NetworkNewsTransferProtocol說明：NEWS新聞組傳輸協議，承載USENET通信。（11）端口：135服務：LocationService說明：Microsoft在這個端口運行DCERPCend-pointmapper為它的DCOM服務。（12）端口：137、138、139服務：NETBIOSNameService說明：其中137、138是UDP端口，當通過網上鄰居傳輸文件時用這個端口。（13）端口：161服務：SNMP說明：SNMP允許遠程管理設備。所有配置和運行的信息都儲存在數據庫中，通過SNMP可獲得這些信息（14）端口：177服務：XDisplayManagerControlProtocol說明：許多入侵者通過它訪問X-windows操作臺，它同時需要打開6000端口。（15）端口：389服務：LDAP、ILS說明：輕型目錄訪問協議和NetMeetingInternetLocatorServer共用這一端口。11.2.4端口的安全管理一般來說，查看端口的方法有兩種：一種是利用系統內置的命令，一種是利用端口相關工具。下面簡單介紹幾個命令、方法或工具。（1）端口重定向一種常見的技術是把一個端口重定向到另一個端口。實現重定向是為了隱藏公認的默認端口，降低受破壞率。（2）netstat-an使用該命令是查看自己所開放端口的最方便方法，可以在cmd中輸入這個命令。（3）VisualSniffer這個可以攔截網絡數據包，查看正在開放的各個端口。該工具界面如圖11-4所示。（4）FPORTFPort可以把本機開放的TCP/UDP端口同應用程序關聯起來，和使用“netstat-an”命令產生的效果類似，但是該軟件還可以把端口和運行著的進程關聯起來，并可以顯示進程PID、名稱和路徑。圖11-4VisualSniffer界面（5）ACTIVEPORT.EXE這個工具是一個用來查看本地主機開放端口的工具，除了具有上面兩個程序的全部功能外，還有兩個更大的優(yōu)點：圖形界面和關閉端口。（6）SUPERSCAN3.0這個工具是一個端口掃描類軟件，掃描速度快而且可以指定掃描的端口。11.3WindowsServer2003進程解析11.3.1進程的概念進程是程序在計算機上的一次執(zhí)行活動。顯然，程序是靜態(tài)的，進程是動態(tài)的。進程可以分為系統進程和用戶進程。進程是應用程序的運行實例，是應用程序的一次動態(tài)執(zhí)行。可以簡單地理解為操作系統當前運行的執(zhí)行程序。系統當前運行的執(zhí)行程序里包括：系統管理計算機程序、各種操作所必需的程序、用戶開啟和執(zhí)行的額外程序。危害較大的可執(zhí)行病毒是以“進程”形式出現在系統內部，那么及時查看并準確殺掉非法進程對于手工殺毒有起著關鍵性的作用。11.3.2基本進程解析打開“任務管理器”，選擇“進程”選項卡，就可以看到本機當前運行的進程，如圖11-5所示。下面來介紹一下系統必要進程：（1）Winlogon.exe（2）Explorer.exe（3）Csrss.exe（4）SystemIdle（5）Smss.exe（6）Lsass.exe（7）Services.exe（8）Spoolsv.exe圖11-5任務管理器11.3.3Svchost.exe進程的解析Svchost.exe是一個屬于微軟Windows操作系統的系統程序，用于執(zhí)行DLL文件。這個程序對系統的正常運行是非常重要的。Svchost.exe是系統必不可少的一個進程，很多服務都會用到它。可以看出把更多的系統內置服務以共享進程方式由Svchost啟動是操作系統發(fā)展的一個趨勢，這樣做在一定程度上減少了系統資源的消耗，不過也帶來一定的不穩(wěn)定因素，因為任何一個共享進程的服務因為錯誤退出進程就會導致整個進程中的所有服務都退出。Svchost的原理Svchost本身只是作為服務宿主，并不實現任何服務功能，需要Svchost啟動的服務以動態(tài)鏈接庫形式實現，在安裝這些服務時，把服務的可執(zhí)行程序指向Svchost，啟動這些服務時由Svchost調用相應服務的動態(tài)鏈接庫來啟動服務。Svchost能夠知道某一服務是由哪個動態(tài)鏈接庫負責的，這不是由服務的可執(zhí)行程序路徑中的參數提供的，而是服務在注冊表中的參數設置的，注冊表中服務下邊有一個Parameters子鍵，其中的ServiceDll表明該服務由哪個動態(tài)鏈接庫負責。這些服務是使用共享進程方式由Svchost啟動的。Svchost啟動服務的設置要通過svchost調用啟動的服務，就一定要在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Svchost下有該服務名，可以通過如下方式來實現：添加一個新的服務組，在組里添加服務名。在現有組里添加服務名。直接使用現有服務組里的一個服務名，但本機沒有安裝的服務。修改現有服務組里的現有服務，把它的ServiceDll指向自己。11.3.4進程工具介紹這里介紹下Windows自帶的命令和ProcessExplorer工具。（1）Tasklist命令Tasklist命令能檢查當前進程的情況。使用命令tasklist/v后執(zhí)行結果如圖11-6所示。（2）ProcessExplorerProcessExplorer是比較好的進程監(jiān)視工具，且是免費的。它不僅可以監(jiān)視、暫停、終止進程，還可以查看進程調用的DLL文件，遇到不熟悉的進程還可以直接通過google或MSN搜索。該工具的界面如圖11-7所示。圖11-6進程使用資源界面圖11-7進程查看器界面11.4WindowsServer2003注冊表解析11.4.1注冊表概述Windows的注冊表（Registry）實質上是一個龐大的分層數據庫，它記錄了用戶安裝在機器上的軟件和每個程序的相互關聯關系，包含了軟、硬件的有關配置和狀態(tài)信息，應用程序和資源管理器外殼的初始條件、首選項和卸載數據。注冊表中存放著各種參數，直接控制著Windows的啟動，在整個系統中起著至關重要的作用，包括：（1）軟、硬件的有關配置和狀態(tài)信息，注冊表中保存有應用程序和資源管理器外殼的初始條件、首選項和卸載數據等。（2）聯網計算機整個系統的設置和各種許可，文件擴展名與應用程序的關聯，硬件部件的描述、狀態(tài)和屬性。（3）性能記錄和其他底層的系統狀態(tài)信息，以及其他數據。注冊表的特點有：（1）注冊表允許對硬件、系統參數、應用程序和設備驅動程序進行跟蹤配置，這使得修改某些設置后不用重新啟動成為可能。（2）注冊表中登錄的硬件部分數據可以支持高版本Windows的即插即用特性。（3）管理人員和用戶通過注冊表可以在網絡上檢查系統的配置和設置，使得遠程管理得以實現。11.4.2注冊表的結構注冊表文件在Windows95/98中，注冊表由兩個文件組成：System.dat和User.dat，保存在Windows所在的文件夾中，它們是由二進制數據組成的。在Windows2000和WindowsServer2003中的注冊表也分為兩個部分，但是包括多個文件。其中，用戶的配置文件保存在根目錄“DocumentsandSetting”下的用戶名目錄中，包括Ntuser.dat和Ntuser.dat.log文件。系統配置文件位于系統目錄下的“system32\config”中，包括Default、Software、System、Appevent.evt、Sysevent.evt等多個隱藏文件及其相應的log文件和.sav文件。注冊表鍵和子鍵在Windows系統中，注冊表是采用“關鍵字”和其“鍵值”來描述登錄項及其數據的。所有的關鍵字都是以“HKEY”作為前綴開頭，在注冊表中，關鍵字可以分為兩類：一類由系統定義，一般稱為“預定義關鍵字”；另一類由應用程序定義的，由于安裝的應用軟件不同，所以登錄項也不同。在“運行”中輸入“regedit”，就可打開注冊表，如圖11-8所示。注冊表物理上是由若干文件組成，是一個樹狀、分層的數據庫結果。圖11-8注冊表編輯器可以看出在WindowsServer2003下，注冊表被分為5大根鍵，它們是：（1）HKEY_CLASSES_ROOT（2）HKEY_CURRENT_USER（3）HKEY_LOCAL_MACHINE（4）HKEY_USERS（5）HKEY_CURRENT_CONFIG注冊表鍵值類型注冊表由鍵、子鍵和值項構成。注冊表通過鍵和子鍵來管理各種信息。這些鍵值數據可以分為三種類型。（1）二進制（BINARY）在注冊表中，二進制是沒有長度限制的，可以是任意長度的字節(jié)。雙擊鍵值名，就會彈出“編輯二進制數值”對話框，如圖11-9所示。（2）DWORD值（DWORD）DWORD值是一個32位長度的數值。在注冊表編輯器中，雙擊鍵名，就會彈出“編輯二進制數值”對話框，如圖11-10所示。（3）字符串值（SZ）

在注冊表中，字符串值一般用來表示文件的描述和硬件標識等。同樣通過雙擊鍵值名，在彈出的對話框可以進行修改，如圖11-11所示。圖11-9編輯二進制數值圖11-10編輯DWORD值圖11-11編輯字符串注冊表數據類型注冊表的鍵中包含著各種不同格式的數據。數據類型可以分為以下三種：通用數據類型。WindowsNT專用數據類型。組件／應用程序專用的特殊數據類型。常見的與注冊表有關的術語主要有：（1）HKEY：“根鍵”或“主鍵”。（2）key（鍵）：它包含了附加的文件夾和一個或多個值。（3）subkey（子鍵）：在某一個鍵（父鍵）下面出現的鍵（子鍵）。

（4）branch（分支）：代表一個特定的子鍵及其所包含的一切。（5）valueentry（值項）：帶有一個名稱和一個值的有序值。（6）字符串(REG_SZ)：通常它由字母和數字組成。注冊表總是在引號內顯示字符串。（7）二進制（REG_BINARY）：，是沒有長度限制的二進制數值，在注冊表編輯器中，二進制數據以十六進制的方式顯示出來。（8）雙字（REG_DWORD）：雙字節(jié)值，由十六進制數據組成。（9）Default（缺省值）：每一個鍵至少包括一個值項，稱為缺省值（Default），它總是一個字串。注冊表剖析下面讓我們具體看看系統預定義的5個根鍵：（1）HKEY_CLASSES_ROOT：基層類別鍵，定義了系統中所有已經注冊的文件擴展名、文件類型、文件圖標等。（2）HKEY_CURRENT_USER：定義了當前用戶的所有權限，包含了當前用戶的登錄信息。（3）HKEY_LOCAL_MACHINE：定義了本地計算機的軟硬件的全部信息。（4）HKEY_USERS：定義了所有的用戶信息，它的大部分設置都可以通過控制面板來修改。（5）HKEY_CURRENT_CONFIG：定義了計算機的當前配置情況。下面對HKEY_LOCAL_MACHINE進行深入分析：HARDWARE子鍵：該子鍵下面存放一些有關超文本終端、數學協處理器和串口等信息。SAM子鍵：系統自動將其保護起來。SECURITY子鍵：包含了安全設置的信息，同樣也讓系統保護起來。SOFTWARE子鍵：包含了系統軟件、當前安裝的應用軟件及用戶的有關信息。SYSTEM子鍵：該子鍵存放的是啟動時所使用的信息和修復系統時所需的信息，其中包括各個驅動程序的描述信息和配置信息等。System子鍵下面有一個CurrentControlSet子鍵，系統在這個子鍵下保存了當前的驅動程序控制集的信息。Control子鍵：該子鍵中保存的是由控制面板中各個圖標程序設置的信息。Control子鍵包含以下的子鍵：（1）fontassoc子鍵：該子鍵存放的是有關字體設置信息（2）Nls子鍵：用來設置Windows的語言特性，如代碼頁、EUDC內碼范圍、語言分類等。（3）SessionManager子鍵：用于管理系統的會話。（4）MediaResources子鍵：用于設置多媒體資源。（5）MediaProperties子鍵：用于設置多媒體的屬性。（6）FileSystem子鍵：主要對Windows文件系統進行設置。（7）shutdown子鍵：用于對Windows關機時的設置，里面有一個快速關機的設置。（8）keyboardlayouts子鍵：主要對Windows的鍵盤布局或者鍵盤語言進行設置。（9）Update子鍵：此子鍵的功能與“控制面板”窗口中的“查看”菜單中的“刷新”相同。（10）TimeZoneInformation子鍵：用于設置時區(qū)信息。（11）Print子鍵：用于設置打印機。（12）IDConfigDB子鍵：用于顯示硬件配置文件的配置數據、配置名稱等其他信息。（13）ComputerName子鍵：該分層結構用于設置計算機名稱。（14）SecurityProviders子鍵：用于設置網絡供應商的安全功能。Services子鍵：在該子鍵下面的每個子鍵中存放相應服務的配置和描述信Services子鍵包括以下子鍵：（1）Class子鍵：該子鍵中保存的是Windows支持的不同種類硬件的信息。（2）VxD子鍵：該子鍵保存了Windows中所有虛擬設備驅動程序的信息。（3）WinSock子鍵：存放的是當系統連接Internet時使用的WinSock的信息。（4）WDMFS子鍵：用于設置WDMFS（WDM文件系統）。（5）UPDATE子鍵：用于設置UPDATE（更新服務）。（6）RemoteAccess子鍵：存放的是和Windows撥號網絡有關的信息。（7）MSNP32子鍵：該子鍵用于保存Microsoft網絡用戶的驗證信息。（8）NWNP32子鍵：該子鍵中存放的是Microsoft網絡用戶針對Netware網絡時的驗證信息。（9）Arbitrators子鍵：該子鍵中保存的信息是用來解決不同的設備間資源沖突的問題。（10）WinSock2子鍵：用于存放與Internet連接時WinSock2.0版本的有關信息。（11）wdmaud子鍵：用于存放WDMAudio（WDM音頻）信息。（12）NPSTUB子鍵：該子鍵用于存放“Microsoft友好登錄”的有關信息。（13）WebPost子鍵：該子鍵下面保存了所有與InternetMail有關的信息。11.4.3注冊表的操作注冊表鍵值的添加和刪除這里以HKEY_LOCAL_MACHINE\Software為例進行說明。首先右鍵選中“HKEY_LOCAL_MACHINE\Software”，在彈出的菜單選擇“項”命令，并命名為“new1”，接著右鍵選中“new1”，在彈出的菜單選擇“項”命令，并命名為“new2”，結果如圖11-12所示。右鍵選中“new2”，在彈出的菜單中選擇“字符串值”，默認名為“新建#1”，右鍵選中“新建#1”，可進行重命名，至于新建其他值，讀者可自行實踐，如圖11-13所示。刪除的操作很簡單，右鍵選中所要刪除的內容，在彈出的菜單選擇“刪除”命令，如果確定要刪除，