1、第六章 網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身,6,1,內(nèi)容提要,為了保持對(duì)已經(jīng)入侵的主機(jī)長(zhǎng)久的控制，需要在主機(jī)上建立網(wǎng)絡(luò)后門，以后可以直接通過(guò)后門入侵系統(tǒng) 為了入侵的痕跡被發(fā)現(xiàn)，需要隱藏或者清除入侵的痕跡 實(shí)現(xiàn)隱身有兩種方法： 設(shè)置代理跳板 清除系統(tǒng)日志,2,網(wǎng)絡(luò)后門,網(wǎng)絡(luò)后門是保持對(duì)目標(biāo)主機(jī)長(zhǎng)久控制的關(guān)鍵策略?？梢酝ㄟ^(guò)建立服務(wù)端口和克隆管理員帳號(hào)來(lái)實(shí)現(xiàn)。 留后門的藝術(shù) 只要能不通過(guò)正常登錄進(jìn)入系統(tǒng)的途徑都稱之為網(wǎng)絡(luò)后門。后門的好壞取決于被管理員發(fā)現(xiàn)的概率。只要是不容易被發(fā)現(xiàn)的后門都是好后門。留后門的原理和選間諜是一樣的，讓管理員看了感覺(jué)沒(méi)有任何特別。,3,案例6-1 遠(yuǎn)程啟動(dòng)Telnet服務(wù),利用主機(jī)上的Te

2、lnet服務(wù)，有管理員密碼就可以登錄到對(duì)方的命令行，進(jìn)而操作對(duì)方的文件系統(tǒng)。如果Telnet服務(wù)是關(guān)閉的，就不能登錄了。 默認(rèn)情況下，Windows 2000 Server的Telnet是關(guān)閉的，可以在運(yùn)行窗口中輸入tlntadmn.exe命令啟動(dòng)本地Telnet服務(wù)。,4,啟動(dòng)本地Telnet服務(wù),在啟動(dòng)的DOS窗口中輸入4就可以啟動(dòng)本地Telnet服務(wù)了。,5,遠(yuǎn)程開(kāi)啟對(duì)方的Telnet服務(wù),利用工具RTCS.vbe可以遠(yuǎn)程開(kāi)啟對(duì)方的Telnet服務(wù)，使用該工具需要知道對(duì)方具有管理員權(quán)限的用戶名和密碼。 命令的語(yǔ)法是：“cscript RTCS.vbe 09 admi

3、nistrator 123456 1 23”， 其中cscript是操作系統(tǒng)自帶的命令 RTCS.vbe是該工具軟件腳本文件 IP地址是要啟動(dòng)Telnet的主機(jī)地址 administrator是用戶名 123456是密碼 1是登錄系統(tǒng)的驗(yàn)證方式 23是Telnet開(kāi)放的端口 該命令根據(jù)網(wǎng)絡(luò)的速度，執(zhí)行的時(shí)候需要一段時(shí)間。,6,遠(yuǎn)程開(kāi)啟對(duì)方的Telnet服務(wù),7,確認(rèn)對(duì)話框,執(zhí)行完成后，對(duì)方的Telnet服務(wù)就被開(kāi)啟了。在DOS提示符下，登錄目標(biāo)主機(jī)的Telnet服務(wù)，首先輸入命令“Telnet 09”，因?yàn)門elnet的用戶名和密碼是明文傳遞的，首先出現(xiàn)確認(rèn)發(fā)送信息對(duì)話框

4、。,8,登錄Telnet的用戶名和密碼,輸入字符“y”，進(jìn)入Telnet的登錄界面，需要輸入主機(jī)的用戶名和密碼。,9,登錄Telnet服務(wù)器,如果用戶名和密碼沒(méi)有錯(cuò)誤，將進(jìn)入對(duì)方主機(jī)的命令行。,10,記錄管理員口令修改過(guò)程,當(dāng)入侵到對(duì)方主機(jī)并得到管理員口令以后，就可以對(duì)主機(jī)進(jìn)行長(zhǎng)久入侵了，但是一個(gè)好的管理員一般每隔半個(gè)月左右就會(huì)修改一次密碼，這樣已經(jīng)得到的密碼就不起作用了。 利用工具軟件Win2kPass.exe記錄修改的新密碼，該軟件將密碼記錄在Winnttemp目錄下的Config.ini文件中，有時(shí)候文件名可能不是Config，但是擴(kuò)展名一定是ini，該工具軟件是有“自殺”的功能，就是當(dāng)

5、執(zhí)行完畢后，自動(dòng)刪除自己。,11,記錄管理員口令修改過(guò)程,首先在對(duì)方操作系統(tǒng)中執(zhí)行Win2KPass.exe文件，當(dāng)對(duì)方主機(jī)管理員密碼修改并重啟計(jì)算機(jī)以后，就在Winnttemp目錄下產(chǎn)生一個(gè)ini文件。,12,案例6-3 建立Web服務(wù)和Telnet服務(wù),使用工具軟件wnc.exe可以在對(duì)方的主機(jī)上開(kāi)啟兩個(gè)服務(wù)：Web服務(wù)和Telnet服務(wù)。其中Web服務(wù)的端口是808，Telnet服務(wù)的端口是707。執(zhí)行很簡(jiǎn)單，只要在對(duì)方的命令行下執(zhí)行一下wnc.exe就可以。,13,建立Web服務(wù)和Telnet服務(wù),執(zhí)行完畢后，利用命令“netstat -an”來(lái)查看開(kāi)啟的808和707端口。,14,測(cè)

6、試Web服務(wù),說(shuō)明服務(wù)端口開(kāi)啟成功，可以連接該目標(biāo)主機(jī)提供的這兩個(gè)服務(wù)了。首先測(cè)試Web服務(wù)808端口，在瀏覽器地址欄中輸入“09:808”，出現(xiàn)主機(jī)的盤符列表。,15,看密碼修改記錄文件,可以下載對(duì)方硬盤設(shè)置光盤上的任意文件（對(duì)于漢字文件名的文件下載有問(wèn)題），可以到Winnt/temp目錄下查看對(duì)方密碼修改記錄文件。,16,利用telnet命令連接707端口,可以利用“telnet 09 707”命令登錄到對(duì)方的命令行。,17,登錄到對(duì)方的命令行,不用任何的用戶名和密碼就可以登錄對(duì)對(duì)方主機(jī)的命令行。,18,自啟動(dòng)程序,通過(guò)707端口也可

7、以方便的獲得對(duì)方的管理員權(quán)限。 wnc.exe的功能強(qiáng)大，但是該程序不能自動(dòng)加載執(zhí)行，需要將該文件加到自啟動(dòng)程序列表中。 一般將wnc.exe文件放到對(duì)方的winnt目錄或者winnt/system32目下，這兩個(gè)目錄是系統(tǒng)環(huán)境目錄，執(zhí)行這兩個(gè)目錄下的文件不需要給出具體的路徑。,19,將wnc.exe加到自啟動(dòng)列表,首先將wnc.exe和reg.exe文件拷貝對(duì)方的winnt目錄下，利用reg.exe文件將wnc.exe加載到注冊(cè)表的自啟動(dòng)項(xiàng)目中，命令的格式為： “reg.exe add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v serv

8、ice /d wnc.exe”。,20,修改后的注冊(cè)表,如果可以進(jìn)入對(duì)方主機(jī)的圖形界面，可以查看一下對(duì)方的注冊(cè)表的自啟動(dòng)項(xiàng)，已經(jīng)被修改。,21,案例6-4 讓禁用的Guest具有管理權(quán)限,操作系統(tǒng)所有的用戶信息都保存在注冊(cè)表中，但是如果直接使用“regedit”命令打開(kāi)注冊(cè)表，該鍵值是隱藏的。,22,查看winlogon.exe的進(jìn)程號(hào),可以利用工具軟件psu.exe得到該鍵值的查看和編輯權(quán)。將psu.exe拷貝對(duì)方主機(jī)的C盤下，并在任務(wù)管理器查看對(duì)方主機(jī)winlogon.exe進(jìn)程的ID號(hào)或者使用pulist.exe文件查看該進(jìn)程的ID號(hào)。,23,執(zhí)行命令,該進(jìn)程號(hào)為192，下面執(zhí)行命令“p

9、su -p regedit -i pid”其中pid為Winlogon.exe的進(jìn)程號(hào)。,24,查看SAM鍵值,在執(zhí)行該命令的時(shí)候必須將注冊(cè)表關(guān)閉，執(zhí)行完命令以后，自動(dòng)打開(kāi)了注冊(cè)表編輯器，查看SAM下的鍵值。,25,查看帳戶對(duì)應(yīng)的鍵值,查看Administrator和guest默認(rèn)的鍵值，在Windows 2000操作系統(tǒng)上，Administrator一般為0 x1f4，guest一般為0 x1f5。,26,帳戶配置信息,根據(jù)“0 x1f4”和“0 x1f5”找到Administrator和guest帳戶的配置信息。,27,拷貝管理員配置信息,在圖右邊欄目中的F鍵值中保存了帳戶的密碼信息，雙擊

10、“000001F4”目錄下鍵值“F”，可以看到該鍵值的二進(jìn)制信息，將這些二進(jìn)制信息全選，并拷貝到出來(lái)。,28,覆蓋Guest用戶的配置信息,將拷貝出來(lái)的信息全部覆蓋到“000001F5”目錄下的“F”鍵值中。,29,保存鍵值,Guest帳戶已經(jīng)具有管理員權(quán)限了。為了能夠使Guest帳戶在禁用的狀態(tài)登錄，下一步將Guest帳戶信息導(dǎo)出注冊(cè)表。選擇User目錄，然后選擇菜單欄“注冊(cè)表”下的菜單項(xiàng)“導(dǎo)出注冊(cè)表文件”，將該鍵值保存為一個(gè)配置文件。,30,刪除Guest帳戶信息,打開(kāi)計(jì)算機(jī)管理對(duì)話框，并分別刪除Guest和“00001F5”兩個(gè)目錄。,31,刷新用戶列表,這個(gè)刷新對(duì)方主機(jī)的用戶列表，會(huì)出

11、現(xiàn)用戶找不到的對(duì)話框。,32,修改Guest帳戶的屬性,然后再將剛才導(dǎo)出的信息文件，再導(dǎo)入注冊(cè)表。再刷新用戶列表就不在出現(xiàn)該對(duì)話框了。 下面在對(duì)方主機(jī)的命令行下修改Guest的用戶屬性，注意：一定要在命令行下。 首先修改Guest帳戶的密碼，比如這里改成“123456”，并將Guest帳戶開(kāi)啟和停止。,33,查看guest帳戶屬性,再查看一下計(jì)算機(jī)管理窗口中的Guest帳戶，發(fā)現(xiàn)該帳戶使禁用的。,34,利用禁用的guest帳戶登錄,注銷退出系統(tǒng)，然后用用戶名：“guest”，密碼：“123456”登錄系統(tǒng)。,35,連接終端服務(wù)的軟件,終端服務(wù)是Windows操作系統(tǒng)自帶的，可以遠(yuǎn)程通過(guò)圖形界面

12、操縱服務(wù)器。在默認(rèn)的情況下終端服務(wù)的端口號(hào)是3389?？梢栽谙到y(tǒng)服務(wù)中查看終端服務(wù)是否啟動(dòng)。,36,查看終端服務(wù)的端口,服務(wù)默認(rèn)的端口是3389，可以利用命令“netstat -an”來(lái)查看該端口是否開(kāi)放。,37,連接到終端服務(wù),管理員為了遠(yuǎn)程操作方便，服務(wù)器上的該服務(wù)一般都是開(kāi)啟的。這就給黑客們提供一條可以遠(yuǎn)程圖形化操作主機(jī)的途徑。 利用該服務(wù)，目前常用的有三種方法連接到對(duì)方主機(jī)： 1、使用Windows 2000的遠(yuǎn)程桌面連接工具。 2、使用Windows XP的遠(yuǎn)程桌面連接工具。 3、使用基于瀏覽器方式的連接工具。,38,案例6-5 三種方法連接到終端服務(wù),第一種方法利用Windows

13、2000自帶的終端服務(wù)工具：mstsc.exe。該工具中只要設(shè)置要連接主機(jī)的IP地址和連接桌面的分辨率就可以。,39,終端服務(wù),如果目標(biāo)主機(jī)的終端服務(wù)是啟動(dòng)的，可以直接登錄到對(duì)方的桌面，在登錄框輸入用戶名和密碼就可以在圖形化界面種操縱對(duì)方主機(jī)了。,40,終端服務(wù),第二種方法是使用Windows XP自帶的終端服務(wù)連接器：mstsc.exe。界面比較簡(jiǎn)單，只要輸入對(duì)方的IP地址就可以了。,41,Web方式連接,第三種方法是使用Web方式連接，該工具包含幾個(gè)文件，需要將這些文件配置到IIS的站點(diǎn)中去。,42,配置Web站點(diǎn),將這些文件設(shè)置到本地IIS默認(rèn)Web站點(diǎn)的根目錄。,43,在瀏覽器中連接終

14、端服務(wù),然后在瀏覽器中輸入“http:/localhost”打開(kāi)連接程序。,44,瀏覽器中的終端服務(wù)登錄界面,在服務(wù)器地址文本框中輸入對(duì)方的IP地址，再選擇連接窗口的分辨率，點(diǎn)擊按鈕“連接”連接到對(duì)方的桌面。,45,案例6-6 安裝并啟動(dòng)終端服務(wù),假設(shè)對(duì)方不僅沒(méi)有開(kāi)啟終端服務(wù)，而且沒(méi)有安裝終端服務(wù)所需要的軟件。 使用工具軟件djxyxs.exe，可以給對(duì)方安裝并開(kāi)啟該服務(wù)。在該工具軟件中已經(jīng)包含了安裝終端服務(wù)所需要的所有文件。,46,上傳程序到指定的目錄,將該文件上傳并拷貝到對(duì)方服務(wù)器的Winnttemp目錄下（必須放置在該目錄下，否則安裝不成功?。?47,目錄列表,然后執(zhí)行djxyxs.e

15、xe文件，該文件會(huì)自動(dòng)進(jìn)行解壓將文件全部放置到當(dāng)前的目錄下，執(zhí)行命令查看當(dāng)前目錄下的文件列表，生成了一個(gè)I386目錄。,48,木馬,木馬是一種可以駐留在對(duì)方系統(tǒng)中的一種程序。 木馬一般由兩部分組成：服務(wù)器端和客戶端。 駐留在對(duì)方服務(wù)器的稱之為木馬的服務(wù)器端，遠(yuǎn)程的可以連到木馬服務(wù)器的程序稱之為客戶端。 木馬的功能是通過(guò)客戶端可以操縱服務(wù)器，進(jìn)而操縱對(duì)方的主機(jī)。,49,木馬和后門的區(qū)別,木馬程序在表面上看上去沒(méi)有任何的損害，實(shí)際上隱藏著可以控制用戶整個(gè)計(jì)算機(jī)系統(tǒng)、打開(kāi)后門等危害系統(tǒng)安全的功能。 木馬來(lái)自于“特洛伊木馬”，英文名稱為Trojan Horse。傳說(shuō)希臘人圍攻特洛伊城，久久不能攻克，后

16、來(lái)軍師想出了一個(gè)特洛伊木馬計(jì)，讓士兵藏在巨大的特洛伊木馬中部隊(duì)假裝撤退而將特洛伊木馬丟棄在特洛伊城下，讓敵人將其作為戰(zhàn)利品拖入城中，到了夜里，特洛伊木馬內(nèi)的士兵便趁著夜里敵人慶祝勝利、放松警惕的時(shí)候從特洛伊木馬里悄悄地爬出來(lái)，與城外的部隊(duì)里應(yīng)外合攻下了特洛伊城。由于特洛伊木馬程序的功能和此類似，故而得名。,50,常見(jiàn)木馬的使用,常見(jiàn)的簡(jiǎn)單得木馬有NetBus遠(yuǎn)程控制、“冰河”木馬、PCAnyWhere遠(yuǎn)程控制等等。這里介紹一種最常見(jiàn)的木馬程序：“冰河”。 案例6-7 使用“冰河”進(jìn)行遠(yuǎn)程控制 “冰河”包含兩個(gè)程序文件，一個(gè)是服務(wù)器端，另一個(gè)是客戶端。,51,“冰河”的客戶端,win32.exe

17、文件是服務(wù)器端程序，Y_Client.exe文件為客戶端程序。將win32.exe文件在遠(yuǎn)程得計(jì)算機(jī)上執(zhí)行以后，通過(guò)Y_Client.exe文件來(lái)控制遠(yuǎn)程得服務(wù)器，客戶端的主界面如圖所示,52,選擇配置菜單,將服務(wù)器程序種到對(duì)方主機(jī)之前需要對(duì)服務(wù)器程序做一些設(shè)置，比如連接端口，連接密碼等。選擇菜單欄“設(shè)置”下的菜單項(xiàng)“配置服務(wù)器程序”。,53,設(shè)置“冰河”服務(wù)器配置,在出現(xiàn)的對(duì)話框中選擇服務(wù)器端程序win32.exe進(jìn)行配置，并填寫訪問(wèn)服務(wù)器端程序的口令，這里設(shè)置為“1234567890”。,54,查看注冊(cè)表,點(diǎn)擊按鈕“確定”以后，就將“冰河”的服務(wù)器種到某一臺(tái)主機(jī)上了。執(zhí)行完win32.ex

18、e文件以后，系統(tǒng)沒(méi)有任何反應(yīng)，其實(shí)已經(jīng)更改了注冊(cè)表，并將服務(wù)器端程序和文本文件進(jìn)行了關(guān)聯(lián)，當(dāng)用戶雙擊一個(gè)擴(kuò)展名為txt的文件的時(shí)候，就會(huì)自動(dòng)執(zhí)行冰河服務(wù)器端程序。前面章節(jié)對(duì)此已經(jīng)做了介紹，當(dāng)計(jì)算機(jī)感染了“冰河”以后，查看被修改后的注冊(cè)表。,55,使用冰河客戶端添加主機(jī),沒(méi)有中冰河的情況下，該注冊(cè)表項(xiàng)應(yīng)該是使用notepad.exe文件來(lái)打開(kāi)txt文件，而圖中的“SYSEXPLR.EXE”其實(shí)就是“冰河”的服務(wù)器端程序。 目標(biāo)主機(jī)中了冰河了，可以利用客戶端程序來(lái)連接服務(wù)器端程序。在客戶端添加主機(jī)的地址信息，這里的密碼是就是剛才設(shè)置的密碼“1234567890”。,56,查看對(duì)方的目錄列表,點(diǎn)擊按

19、鈕“確定”以后，查看對(duì)方計(jì)算機(jī)的基本信息了，對(duì)方計(jì)算機(jī)的目錄列表如圖所示。,57,查看并控制遠(yuǎn)程屏幕的菜單,從圖中可以看出，可以在對(duì)方計(jì)算機(jī)上進(jìn)行任意的操作。除此以外還可以查看并控制對(duì)方的屏幕等。,58,網(wǎng)絡(luò)代理跳板,當(dāng)從本地入侵其他主機(jī)的時(shí)候，自己的IP會(huì)暴露給對(duì)方。通過(guò)將某一臺(tái)主機(jī)設(shè)置為代理，通過(guò)該主機(jī)再入侵其他主機(jī)，這樣就會(huì)留下代理的IP地址，這樣就可以有效的保護(hù)自己的安全。二級(jí)代理的基本結(jié)構(gòu)如圖所示。,59,本地通過(guò)兩級(jí)代理入侵某一臺(tái)主機(jī)，這樣在被入侵的主機(jī)上，就不會(huì)留下的自己的信息?？梢赃x擇更多的代理級(jí)別，但是考慮到網(wǎng)絡(luò)帶寬的問(wèn)題，一般選擇兩到三級(jí)代理比較合適。 選擇代理服務(wù)的原則是

20、選擇不同地區(qū)的主機(jī)作為代理。比如現(xiàn)在要入侵北美的某一臺(tái)主機(jī)，選擇南非的某一臺(tái)主機(jī)作為一級(jí)代理服務(wù)器，選擇北歐的某一臺(tái)計(jì)算機(jī)作為二級(jí)代理，再選擇南美的一臺(tái)主機(jī)作為三級(jí)代理服務(wù)器。 可以選擇做代理的主機(jī)有一個(gè)先決條件，必須先安裝相關(guān)的代理軟件，一般都是將已經(jīng)被入侵的主機(jī)作為代理服務(wù)器。,60,網(wǎng)絡(luò)代理跳板工具的使用,常用的網(wǎng)絡(luò)代理跳板工具很多，這里介紹一種比較常用而且功能比較強(qiáng)大的代理工具：Snake代理跳板。 Snake的代理跳板，支持TCP/UDP代理，支持多個(gè)（最多達(dá)到255）跳板。 程序文件為：SkSockServer.exe，代理方式為Sock5，并自動(dòng)打開(kāi)默認(rèn)端口1813監(jiān)聽(tīng)。,61,

21、使用Snake代理跳板,使用Snake代理跳板需要首先在每一級(jí)跳板主機(jī)上安裝Snake代理服務(wù)器。程序文件是SkSockServer.exe，將該文件拷貝到目標(biāo)主機(jī)上。 一般首先將本地計(jì)算機(jī)設(shè)置為一級(jí)代理，將文件拷貝到C盤根目錄下，然后將代理服務(wù)安裝到主機(jī)上。安裝需要四個(gè)步驟，如圖所示。,62,查看開(kāi)放的1122端口,第一步執(zhí)行“sksockserver -install”將代理服務(wù)安裝主機(jī)中 第二步執(zhí)行“sksockserver -config port 1122”將代理服務(wù)的端口設(shè)置為1122，當(dāng)然可以設(shè)置為其他的數(shù)值， 第三步執(zhí)行“sksockserver -config startty

22、pe 2”將該服務(wù)的啟動(dòng)方式設(shè)置為自動(dòng)啟動(dòng)。 第四步執(zhí)行“net start skserver”啟動(dòng)代理服務(wù)。設(shè)置完畢以后使用“netstat -an”命令查看1122端口是否開(kāi)放。,63,代理級(jí)別配置工具,本地設(shè)置完畢以后，在網(wǎng)絡(luò)上其他的主機(jī)上設(shè)置二級(jí)代理，比如在IP為09的主機(jī)上也設(shè)置和本機(jī)同樣的代理配置。 使用本地代理配置工具：SkServerGUI.exe。,64,設(shè)置經(jīng)過(guò)的代理服務(wù)器,選擇主菜單“配置”下的菜單項(xiàng)“經(jīng)過(guò)的SKServer”，在出現(xiàn)的對(duì)話框中設(shè)置代理的順序，第一級(jí)代理是本地的1122端口，IP地址是，第二級(jí)代理是172.18.25

23、.109，端口是1122端口，注意將復(fù)選框“允許”選中。,65,設(shè)置可以訪問(wèn)代理的客戶端,設(shè)置可以訪問(wèn)該代理的客戶端，選擇主菜單“配置”下的菜單項(xiàng)“客戶端”，這里只允許本地訪問(wèn)該代理服務(wù)，所以將IP地址設(shè)置為，子網(wǎng)掩碼設(shè)置為“55”，并將復(fù)選框“允許”選中。,66,啟動(dòng)代理跳板,一個(gè)二級(jí)代理設(shè)置完畢，選擇菜單欄“命令”下的菜單項(xiàng)“開(kāi)始”，啟動(dòng)該代理跳板。,67,安裝程序和漢化補(bǔ)丁,從圖可以看出，該程序啟動(dòng)以后監(jiān)聽(tīng)的端口是“1913”。下面需要安裝代理的客戶端程序，該程序包含兩個(gè)程序，一個(gè)是安裝程序，一個(gè)漢化補(bǔ)丁，如果不安裝補(bǔ)丁程序?qū)⒉荒苁褂谩?68,

24、設(shè)置Socks代理,首先安裝sc32r231.exe，再安裝補(bǔ)丁程序HBC-SC32231-Ronnier.exe，然后執(zhí)行該程序，首先出現(xiàn)設(shè)置窗口如圖所示。,69,代理客戶端的主界面,設(shè)置Socks代理服務(wù)器為本地IP地址，端口設(shè)置為跳板的監(jiān)聽(tīng)端口“1913”，選擇Socks版本5作為代理。設(shè)置完畢后，點(diǎn)擊按鈕“確定”。,70,設(shè)置需要代理的應(yīng)用程序,添加需要代理的應(yīng)用程序，點(diǎn)擊工具欄圖標(biāo)“新建”，比如現(xiàn)在添加Internet Explore添加進(jìn)來(lái)。,71,設(shè)置完畢以后，IE的圖標(biāo)就在列表中了，選中IE圖標(biāo)，然后點(diǎn)擊工具欄圖標(biāo)“運(yùn)行”。,72,使用IE連接某地址,在打開(kāi)的

25、IE中連接某一個(gè)地址，比如“09”。,73,查看使用代理的情況,在IE的連接過(guò)程中，查看代理跳板的對(duì)話框，可以看到連接的信息。這些信息在一次連接會(huì)話完畢后會(huì)自動(dòng)消失，必須在連接的過(guò)程中查看。,74,清除日志,電影中通常會(huì)出現(xiàn)這樣的場(chǎng)景，當(dāng)有黑客入侵計(jì)算機(jī)系統(tǒng)的時(shí)候，需要全樓停電來(lái)捉住黑客，為什么停電就可以逮住黑客呢？這是因?yàn)楫?dāng)黑客入侵系統(tǒng)并在退出系統(tǒng)之前都會(huì)清除系統(tǒng)的日志，如果突然停電，黑客將沒(méi)有機(jī)會(huì)刪除自己入侵的痕跡，所以就可以抓住黑客了。 清除日志是黑客入侵的最后的一步，黑客能做到來(lái)無(wú)蹤去無(wú)影，這一步起到?jīng)Q定性的作用。,75,清除IIS日志,當(dāng)用戶訪問(wèn)某個(gè)IIS服務(wù)器

26、以后，無(wú)論是正常的訪問(wèn)還是非正常的訪問(wèn)，IIS都會(huì)記錄訪問(wèn)者的IP地址以及訪問(wèn)時(shí)間等信息。這些信息記錄在WinntSystem32logFiles目錄下。,76,IIS日志的格式,打開(kāi)任一文件夾下的任一文件，可以看到IIS日志的基本格式，記錄了用戶訪問(wèn)的服務(wù)器文件、用戶登的時(shí)間、用戶的IP地址以及用戶瀏覽器以及操作系統(tǒng)的版本號(hào)。,77,清除IIS日志,最簡(jiǎn)單的方法是直接到該目錄下刪除這些文件夾，但是全部刪除文件以后，一定會(huì)引起管理員的懷疑。 一般入侵的過(guò)程是短暫的，只會(huì)保存到一個(gè)Log文件，只要在該Log文件刪除所有自己的記錄就可以了。,78,清除IIS日志的全過(guò)程,使用工具軟件CleanII

27、SLog.exe可以做到這一點(diǎn)，首先將該文件拷貝到日志文件所在目錄，然后執(zhí)行命令“CleanIISLog.exe ex031108.log 10”，第一個(gè)參數(shù)ex031108.log是日志文件名，文件名的后六位代表年月日，第二個(gè)參數(shù)是要在該Log文件中刪除的IP地址，也就是自己的IP地址。先查找當(dāng)前目錄下的文件，然后做清楚的操作。,79,清除主機(jī)日志,主機(jī)日志包括三類的日志：應(yīng)用程序日志、安全日志和系統(tǒng)日志。可以在計(jì)算機(jī)上通過(guò)控制面板下的“事件查看器”查看日志信息。,80,FTP日志分析，如下例： #Software: Microsoft Internet Informa

28、tion Services 5.0（微軟IIS5.0） #Version: 1.0 （版本1.0） #Date: 20001023 03:11:55 （服務(wù)啟動(dòng)時(shí)間日期） 03:11:55 1USER administator 331（IP地址為用戶名為administator試圖登錄） 03:11:58 1PASS 530（登錄失?。?03:12:04 1USER nt331（IP地址為用戶名為nt的用戶試圖登錄） 03:12:06 1PASS 530（登錄失?。?03:12:

29、32 1USER administrator 331（IP地址為用戶名為administrator試圖登錄） 03:12:34 1PASS 230（登錄成功） 03:12:41 1MKD nt550（新建目錄失敗） 03:12:45 1QUIT 550（退出FTP程序） 從日志里就能看出IP地址為的用戶一直試圖登錄系統(tǒng)，換了3次用戶名和密碼才成功，管理員立即就可以得知管理員的入侵時(shí)間IP地址以及探測(cè)的用戶名。,81,HTTP日志分析，如下例： #Software: Microso

30、ft Internet Information Services 5.0 #Version: 1.0 #Date: 20001023 03:09:31 #Fields: date time cipcsusernamesip sport csmethodcsuristemcsuriqueryscstatuscs(UserAgent) 20001023 03:09:31 6 7 80 GET /iisstart.asp200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 20001023 03:09:34 6 7 80 GET /pagerror.gif200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 通過(guò)分析第六行，可以看出2000年10月23日，IP地址為6的用戶通過(guò)訪問(wèn)IP地址為7機(jī)器的80端口，查看了一個(gè)頁(yè)面iisstart.asp,這位用戶