很多人對入侵Win2000系統(tǒng)很喜歡的吧，又有3389這樣的界面型遠程控制，還有這么多漏洞可以利用，而且關于入侵Win2000的文章又到處都是，方便啊。不過，你知道，你到底留下了哪些足跡在系統(tǒng)中么？最近作了個入侵分析，發(fā)現(xiàn)了不少東西，當然，估計到入侵時間然后在查找文件就列出來了。 

    我們在這里不分析來自FTP、HTTP的日志記錄，因為這樣來的入侵行為分析和防范比較容易，而通過帳號密碼猜測進來的防范起來是比較麻煩的（安全配置相當OK的另說）。 

     1、系統(tǒng)的日志記錄。 好的管理員應該盡可能地記錄可以記錄的東西，在本地安全策略中，對審核策略進行足夠多的記錄，你能發(fā)現(xiàn)，如果把所有的審核都選定的話（只要你不嫌多），一個帳號進行的操作訪問的整個過程都能夠完整記錄下來了，一點不漏。 事件查看器里記錄的內容是最多的了，從安全日志里面可以查看所有審核的事件。  
我們看看一個帳號的登錄/注銷事件的記錄： 會話從 winstation 中斷連接: 用戶名: guest 域: Refdom 登錄 ID: (0x0,0x28445D9) 會話名稱: Unknown 客戶端名: GUDULOVER 客戶端地址: 202.103.117.94  
這是一個3389登錄的事件，系統(tǒng)記錄下了IP地址，機器名稱以及使用的用戶名。還是很齊全的吧。 
這是一個詳細追蹤的記錄： 已經創(chuàng)建新的過程: 新的過程 ID: 4269918848 映象文件名: \WINNT\system32\CMD.EXE 創(chuàng)建者過程 ID: 2168673888 用戶名: Refdom$Content$nbsp;域: Refdom 登錄 ID: (0x0,0x3E7)  
這是使用localsystem來運行了cmd.exe的記錄，呵呵，用本地系統(tǒng)帳號運行cmd.exe不是用net user還是什么（當然還能做很多事情）。 小心自己的日志記錄太多，日志空間使用滿，這樣WIN就不再記錄新的事件了，請在日志屬性中選擇按需要改寫日志，這樣可以記錄新的事件，不過可能把需要分析的事件給改寫了。 可惜的是，這里的記錄實在是太顯眼了，多半存活不了。 

     2、足夠多的痕跡留在“Documents and Settings”目錄里面 這個目錄是所有帳號的足跡存放地，當然，從3389或者本機進入使用圖形界面就會留下帳號目錄來。我們來看看一個帳號的“Documents and Settings”目錄里面有什么東西吧，首先查看所有文件和文件夾，不要隱藏任何東西。 
“「開始」菜單”：當然是存放帳號自己的“開始”中的東西，這個里面的“啟動”是個比較好東西哦。 “Application Data”：一些應用程序留下的數(shù)據(jù)啊、備份啊什么的東西，分析用處不怎么大。 
“Cookies”：如果入侵者通過3389進來，還去瀏覽了網(wǎng)頁，那么這里就存放著足夠多的Cookie，讓你能夠知道他到底去了哪些地方。 
“Local Settings”：這里也是一些臨時數(shù)據(jù)的存放地，還有就是IE的脫機東東。說不定能發(fā)現(xiàn)很多好網(wǎng)站哦。 “Recent”：這個文件夾是隱藏的，不過里面存放的東西實在太多了，帳號訪問的目錄、文件一個一個都記錄在案。使用了哪些東西，看了哪些文件，都能知道得清清楚楚。 
“Templates”：存放臨時文件的地方。 

     3、從黑客工具看被人入侵了，那他一定會想辦法獲得administrator權限，得到了這個權限他就能為所欲為了，按照各種介紹的入侵教材，當然是放置其他掃描器做肉雞、安裝后門、刪除日志……呵呵，這些掃描器都有足夠的日志可以提供分析，還能幫自己白白收集一些肉雞。而且從這些工具的日志（配置文件）里面也可以看出入侵者的意圖以及水平等等。 也好，那流光來說吧，每次掃描的結果都寫下來了，大家都可以看，不看白不看。 被安裝后門、代理跳板（不是多級）是最好的了，誰能遠程控制你做什么呢？我們當然可以從后門程序抓住入侵者的來歷，從哪里傳過來的連接，用嗅嘆器就是了，當然，你甚至可以用一個非常有意思的文件名來偽裝自己的木馬，讓他當回去使用，想玩大家一起玩啊。當然，從另外的3389肉雞這樣的控制來的入侵者還是只找到的他的肉雞而已。（冒險，把他的肉雞也搞定吧） 

最新評論