安全工具的使用

安全工具的使用安全工具的使用üü内容安排Ø进程查看Ø端口查看Ø进程端口关联Ø基本网络工具Ø远程控制Ø扫描工具Ø代码分析Ø防火墙Ø入侵检测进程查看进程与线程的区别和联系进程与线程的区别和联系Ø每个进程至少包含一个线程Ø进程ü进程内核对象ü地址空间Ø线程ü线程内核对象ü线程堆栈Ø进程是不活泼的，它只是线程的容器。Ø线程是活泼的，是指令的执行单元。Ø每个进程至少包含一个线程Ø进程ü进程内核对象ü地址空间Ø线程ü线程内核对象ü线程堆栈Ø进程是不活泼的，它只是线程的容器。Ø线程是活泼的，是指令的执行单元。Windows平台进程查看工具Ø任务管理器ü优点•操作系统自带•查看CPU利用率•查看内存使用率ü缺点•无法查看进程加载的模块•无法查看进程对应的端口•无法查看某些隐藏的进程•无法结束某些恶意进程Windows平台进程查看工具SysinternalsProcessExplorer当前恶劣的网络环境，各种黑客、木马程序让大家防不胜防。它们经常伪装成系统进程，或干脆采用更加隐秘的嵌入式调用。面对这些新情况，操作系统内置任务管理器就很难满足需要了。ProcessExplorer是一款小巧而功能强劲的进程管理软件。当前恶劣的网络环境，各种黑客、木马程序让大家防不胜防。它们经常伪装成系统进程，或干脆采用更加隐秘的嵌入式调用。面对这些新情况，操作系统内置任务管理器就很难满足需要了。ProcessExplorer是一款小巧而功能强劲的进程管理软件。Ø优点：ü进程信息（进程名、进程描述、开发商信息…）ü显示进程加载的DLL模块ü显示进程的句柄信息ü显示计算机信息：•CPU使用•内存使用情况•历史曲线图ü窗口对应的进程ü协助用户迅速发现可疑程序ü强行关闭任何程序（包括系统级别进程）Ø优点：ü进程信息（进程名、进程描述、开发商信息…）ü显示进程加载的DLL模块ü显示进程的句柄信息ü显示计算机信息：•CPU使用•内存使用情况•历史曲线图ü窗口对应的进程ü协助用户迅速发现可疑程序ü强行关闭任何程序（包括系统级别进程）ProcessExplorer用户界面ProcessExplorer使用技巧Ø仔细分析进程信息ü“映象”选项卡：提供具体的文件路径、命令行、当前运行目录等资料。ü“性能”：CPU、句柄、内存、I/O资料一目了然。ü“性能曲线图表”：以图表方式显示进程CPU、内存使用情况。ü“线程”：线程ID、进程启动时间、优先级、模块、堆栈等资料。ü“TCP/IP”：显示进程使用的网络协议、本地地址、远程地址等资料。比如，查看QQ的进程属性，同自己聊天的QQ好友IP地址。ü“安全性”：显示用户权限分配。ü“环境变量”：显示系统环境变量。ü“字符串”：显示文件包含的各种字符串资料。ü结合Google搜索引擎进一步搜索进程相关信息。ProcessExplorer使用技巧Ø清除IE插件ü选定进程后，下方列表中提供该进程调用的DLL、打开的句柄等内容。这些信息对用户非常有用，可以利用这些信息识别目前较常见的IE浏览器嵌入式插件。•3721•Alexa•Amaze（FlashGet工具栏）•Kingsoft（金山快译）ProcessExplorer使用技巧Ø删除“无法删除文件”ü我们在删除文件时，经常都会遇到这样的提示：“无法删除××文件，共享冲突”。ü例：“D:\1.jpg”文件无法删除，进入ProcessExplorer，选择菜单：“查找”→“查找句柄”，进入查找对话框。输入文件名：“1.jpg”（不含引号）。在结果中可以看到当前文件被HprSnap5.exe文件占用着。ü接下来就很简单了，先关闭HprSnap5.exe进程，再去删除“D:\1.jpg”文件。检测隐藏进程Ø某些恶意代码利用进程隐藏技术隐藏自身üAPIHooküDLL注入ü将自身进程从活动进程链表上摘除Ø进程隐藏示例Ø利用Klister可以有效地发现这些试图隐藏自身的进程Ø利用IceSword检测隐藏进程ü图形界面ü高亮显示隐藏进程Ø某些恶意代码利用进程隐藏技术隐藏自身üAPIHooküDLL注入ü将自身进程从活动进程链表上摘除Ø进程隐藏示例Ø利用Klister可以有效地发现这些试图隐藏自身的进程Ø利用IceSword检测隐藏进程ü图形界面ü高亮显示隐藏进程IceSword（红色显示为隐藏进程）Unix/Linux平台进程查看通过who、w、ps和top察看进程信息的系统调用，结合使用这些系统调用，我们可以清晰地了解进程的运行状态以及存活情况，从而采取相应的措施，来确保Unix/Linux系统的安全。通过who、w、ps和top察看进程信息的系统调用，结合使用这些系统调用，我们可以清晰地了解进程的运行状态以及存活情况，从而采取相应的措施，来确保Unix/Linux系统的安全。Øwho命令：该命令主要用于查看当前登录的用户情况。系统管理员可以使用who命令监视每个登录的用户此时此刻的所作所为。Øw命令：该命令也用于显示登录到系统的用户情况，但是与who不同的是，w命令功能更加强大，它不但可以显示有谁登录到系统，还可以显示出这些用户当前正在进行的工作，w命令是who命令的一个增强版。Øps命令：该命令是最基本同时也是非常强大的进程查看命令。利用它可以确定有哪些进程正在运行及运行的状态、进程是否结束、进程有没有僵死、哪些进程占用了过多的资源等。ps命令可以监控后台进程的工作情况，因为后台进程是不和屏幕键盘这些标准输入/输出设备进行通信的，如果需要检测其情况，可以使用ps命令。Øwho命令：该命令主要用于查看当前登录的用户情况。系统管理员可以使用who命令监视每个登录的用户此时此刻的所作所为。Øw命令：该命令也用于显示登录到系统的用户情况，但是与who不同的是，w命令功能更加强大，它不但可以显示有谁登录到系统，还可以显示出这些用户当前正在进行的工作，w命令是who命令的一个增强版。Øps命令：该命令是最基本同时也是非常强大的进程查看命令。利用它可以确定有哪些进程正在运行及运行的状态、进程是否结束、进程有没有僵死、哪些进程占用了过多的资源等。ps命令可以监控后台进程的工作情况，因为后台进程是不和屏幕键盘这些标准输入/输出设备进行通信的，如果需要检测其情况，可以使用ps命令。内容安排Ø进程查看工具Ø端口查看Ø进程端口关联Ø基本网络工具Ø远程控制Ø扫描工具Ø代码分析Ø防火墙Ø入侵检测端口查看ØNetstatü适用于Windows、Unix/Linux平台ü命令参数-a:显示所有连接和端口-e:显示以太网统计信息-n:以数字形式显示地址和端口号-o:显示与每个连接相关的所属进程IDü输出结果•协议类型–TCP–UDP•本地地址•远程地址•协议状态–LISTENING–ESTABLISHED–CLOSE_WAITNetstat-an输出结果内容安排Ø进程查看工具Ø端口查看Ø进程端口关联Ø基本网络工具Ø远程控制Ø扫描工具Ø代码分析Ø防火墙Ø入侵检测进程与端口关联fport.exe是由FoundstoneTeam出品的免费软件,可以列出系统中所有开放的端口都是由哪些进程打开的。fport.exe是由FoundstoneTeam出品的免费软件,可以列出系统中所有开放的端口都是由哪些进程打开的。进程与端口关联IceSword可以显示进程端口的关联，检测系统级后门的端口隐藏。IceSword可以显示进程端口的关联，检测系统级后门的端口隐藏。进程与端口关联ActivePorts是一个在WindowsNT/2000/XP下易于操作的工具，它能够监控本机上所有打开的TCP/IP以及UDP端口，ActivePorts可以让网络安全管理员了解程序使用的端口。ActivePorts是一个在WindowsNT/2000/XP下易于操作的工具，它能够监控本机上所有打开的TCP/IP以及UDP端口，ActivePorts可以让网络安全管理员了解程序使用的端口。检测恶意软件通过进程、端口、文件检测恶意软件通过进程、端口、文件检测恶意软件查看进程：ü进程的CPU利用率ü进程的内存占用ü进程的描述、版本信息ü进程是否尝试隐藏自身查看进程：ü进程的CPU利用率ü进程的内存占用ü进程的描述、版本信息ü进程是否尝试隐藏自身查看端口：ü监听端口ü协议状态ü进程、端口关联信息查看端口：ü监听端口ü协议状态ü进程、端口关联信息查看文件：ü文件的大小ü是否存在可疑、隐藏文件查看文件：ü文件的大小ü是否存在可疑、隐藏文件示例：利用安全工具检测木马Ø冰河木马是比较典型的一款木马程序ü在系统目录下释放木马程序ü默认监听7626端口ü进程默认名为Kernel32.exe内容安排Ø进程查看工具Ø端口查看Ø进程端口关联Ø基本网络工具Ø远程控制Ø扫描工具Ø代码分析Ø防火墙Ø入侵检测基本网络工具利用基本网络工具可以完成网络畅通性测试、路由追踪、服务配置等常用功能。利用基本网络工具可以完成网络畅通性测试、路由追踪、服务配置等常用功能。üIPCONFIG显示所有当前的TCP/IP网络配置值、刷新动态主机配置协议(DHCP)和域名系统(DNS)设置。üPINGPing命令使用Internet控制消息协议(ICMP)回响请求和回响答复消息。路由器、防火墙或其他类型安全性网关上的数据包筛选策略可能会阻止该通信的转发üTRACERT通过递增“生存时间(TTL)”字段的值将“Internet控制消息协议(ICMP)回响请求”消息发送给目标可确定到达目标的路径。所显示的路径是源主机与目标主机间的路径中的路由器的近侧路由器接口列表。近侧接口是距离路径中的发送主机最近的路由器的接口。üIPCONFIG显示所有当前的TCP/IP网络配置值、刷新动态主机配置协议(DHCP)和域名系统(DNS)设置。üPINGPing命令使用Internet控制消息协议(ICMP)回响请求和回响答复消息。路由器、防火墙或其他类型安全性网关上的数据包筛选策略可能会阻止该通信的转发üTRACERT通过递增“生存时间(TTL)”字段的值将“Internet控制消息协议(ICMP)回响请求”消息发送给目标可确定到达目标的路径。所显示的路径是源主机与目标主机间的路径中的路由器的近侧路由器接口列表。近侧接口是距离路径中的发送主机最近的路由器的接口。基本网络工具üTRACERTüTRACERT基本网络工具üVisualRoute网络路径结点回溯分析工具，以在世界地图上显示连结的路径的方式，让你知道当无法连上某些IP时的真正问题所在。üVisualRoute网络路径结点回溯分析工具，以在世界地图上显示连结的路径的方式，让你知道当无法连上某些IP时的真正问题所在。基本网络工具NETNETNETVIEW作用：显示域列表、计算机列表或指定计算机共享资源列表。NETUSER作用：添加或更改用户帐号或显示用户帐号信息。NETUSE作用：连接计算机或断开计算机与共享资源的连接，或显示计算机的连接信息。NETSTART作用：启动服务，或显示已启动服务的列表。NETSTOP作用：停止WindowsNT网络服务。NETSHARE作用：创建、删除或显示共享资源。……NETVIEW作用：显示域列表、计算机列表或指定计算机共享资源列表。NETUSER作用：添加或更改用户帐号或显示用户帐号信息。NETUSE作用：连接计算机或断开计算机与共享资源的连接，或显示计算机的连接信息。NETSTART作用：启动服务，或显示已启动服务的列表。NETSTOP作用：停止WindowsNT网络服务。NETSHARE作用：创建、删除或显示共享资源。……内容安排Ø进程查看工具Ø端口查看Ø进程端口关联Ø基本网络工具Ø远程控制Ø扫描工具Ø代码分析Ø防火墙Ø入侵检测远程控制Ø常见的远程控制工具Ø常见的远程控制工具üWindows远程桌面（3389端口）üPCAnyWhereüVNCüRemoteAdminüWindows远程桌面（3389端口）üPCAnyWhereüVNCüRemoteAdminWindows远程桌面远程桌面使用Microsoft远程桌面协议（RemoteDe