7.检查系统文件
攻击者在入侵中或者入侵成功后,会在系统文件上做文章隐藏保护入侵工具(一般是木马的客户端)。其主要手段是替换同名的系统文件(exe和dll文件),或者实施系统文件与木马的捆绑。
服务器入侵检测中对于系统文件的检测,笔者建议在服务器系统安装完毕之后用“dir *.exe /s >1.txt”将系统盘所有的exe文件列表保存下来。这样,在检测时,先该命令生成一份当前服务器系统盘文件列表,然后用FC命令比较两个文件从而发现可疑文件,对于dll文件的检测方法类似。需要注意的是打补丁或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。(图11)
图11
对于被捆绑的系统文件的安全检测,笔者建议可以通过SFC命令还原纯净的系统文件。必要时可运行一次杀毒程序对系统盘进行一次扫描处理。
上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] 下一页
【责编:Zenghui】
相关文章
相关产品和培训
文章评论
专题推荐
今日更新 认证培训 频道精选
您现在的位置: 
佚名
2008-6-23
