第二步:非正常的目录以及非正常的文件 当黑客攻击成功后,取得某个管理员帐户之后,为了进一步加固自己的成果,会在系统中设置一些文件夹、目录或者文件,以进行下一步的攻击行为。如有一些攻击者在取得系统的管理员轧帐户与密码之后,会在系统中建立一个文件夹,上传一些木马攻击。并且设置相关的任务调度计划,当某个特定的时间,运行这个文件夹中的程序等等。所以,我们若能够及早的发现这些非正常的文件夹以及文件信息,就可以及早的发现攻击的迹象,从而及时采取相关的措施。 所以,操作系统与应用软件中的目录与文件、文件夹的非正常改变,包括增加、删除、修改等等,特别是一般情况下受限制访问的文件夹以及目录非正常的改变,很可能是一种入侵产生的指示或者信号。 《名易软件超市仓库软件软件》是一款专为服装、内衣、鞋帽零售行业量身定制的超市管理系统,免费服装销售软件,超市管理软件。 1、软件由进货管理,销售管理,库存管理,商品管理,VIP会员管理,统计分析等几大模块组成;支持条码标签打印、手机短信群发、多样性收款等功能;支持扫描枪、小票打印机、钱箱、顾客显示屏、条码打印机、盘点机等硬件。 2、强大而操作简单的报表分析功能,让管理者清晰、明了地掌握商品销售、库存、经营利润等数据。 3、软件界面友好美观、易学、易用、易管理,无需培训,即可快速上手,名易软件软件将助您轻轻松松做好店面日常销售管理工作。 【系统特点】 ★易学,易用,易管理,无需培训,即可快速上手; ★用户拿到商品无需复杂编码,即可进行准确有效的销售和库存管理; ★简单直观的经营利润与仓库进销存软件数据分析,通过交互式的数据中心,各项数据即点即现; ★整合条码标签编辑及打印功能,商品入库与吊牌标签打印,一站式完成,简单高效; ★集成手机短信群发功能,群发促销活动与节日问候短信,轻松搞定,省时省心; [名易软件超市管理软件,名易软件服装仓库进销存软件软件,名易软件服装销售软件,名易软件服装管理系统]_/ 一般来说,有如下几种情况: 一是应用程序的执行路径发生了改变。如有些企业通过QQ跟客户进行联系。当非法攻击者侵入企业网络,取得某台主机的管理员密码之后,就可以改变用户桌面上的QQ程序图标的路径。当用户双击打开这个程序的话,打开的不是原来的QQ程序,而可能是一个绑有木马的QQ程序,可以窃取用户了聊天记录、帐户名与密码等等。 二是可疑的文件夹。当非法攻击者取得管理员用户名与密码之后,利用TELENT程序远程登陆,然后在主机上建立文件夹,上传木马或者其他的非法软件,然后通过操作系统本身的任务调度命令,在一个特定的时刻运行这个文件夹中的程序。这是很多非法攻击者常用的手段。所以,我们若能够及时的发现这些可疑的文件夹信息,就可以及早的发现攻击的行为,从而减少由此带来的损失,等等。一般来说,我们借助一些检测软件,如奇虎360,金山毒霸,诺顿等第三方软件,就可以收集到这些信息。 三是日志文件的非法修改。上面我们说过,非法攻击者访问过企业的网络主机之后,肯定会在系统日志或者网络日志中留下蛛丝马迹。在他们攻击得手之后,为了隐藏他们在系统中的表现以及攻击的痕迹,都会尽力的去替换系统日志中的相关内容。为此,若能够及时的收集这些信息的话,则即使他们更改了日志中的内容,我们也能够及早的发现,从而采取对应的措施。 第三步:非正常程序的运行信息 黑客攻击企业网络信息的话,往往不会只是取得管理员权限那么简单。他们攻击系统的最终目的,是为了窃取相关的信息,如密码等等;或者把企业的网络主机当作肉鸡,作为攻击其他网络的跳板等等。无论是出于哪种目的,除非直接窃取电脑上的文件,不然的话,一般都需要通过在被攻击的主机后台运行一些程序,如键盘记录工具软件等等,才能够达到类似的目的。 所以,及时的收集这些非正常程序运行的信息,可以及早的发现企业网络被攻击的迹象。而一般来说,收集这些非正常的程序,就是需要收集一些进程信息。 因为在每个系统上执行的程序都是由一到几个进程来实现的。而且,一个进程的执行行为又是由他运行时执行的操作来表现的。操作执行的方式不同,利用系统资源也就不同。若在系统进程中,出现了一个我们不希望看到的进程,或者个这个进程出现了我们网络管理员不期望的行为,如试图往注册表中加入一些非法的信息等等,如建立隐形帐户等等,这就表示有攻击者存在。 若我们感到网络速度明显变慢的时候,可以通过查看系统的进程来了解相关的信息。但是,若靠手工收集这些进程信息的话,是不怎么现实的。一方面工作量比较大,另一方面这些非法的进程往往不会时刻都运行着。当他执行完一定的任务之后,就会迅速的退出,防止为我们发现。所以,我们就需要通过一些工具,实时的收集这些进程信息。如此的话,我们就可以迅速的找到入侵者的踪迹,在他们在还
信息发布:广州名易软件有限公司 http://www.myidp.net
|