| 当前位置:首页">"网络安全学苑">"正文 |
现在我们运行cmd.exe,你会发现窗口一闪而过,这是因为我们还没装perl解析器。运行ActivePerl-5.8.0.805-MSWin32-x86.msi,一路next就OK了。
现在我们运行cmd.exe,这回我们可爱的cmd窗口就跳出来了,随便敲几个东西进去,然后去到C:WINNTHelpTutor目录下,你就可以看到记录了。为了避免记录自己在cmd.exe的操作,我们可以把原来的cmd.exe改成另外一个名字来执行。
四:安装日志服务器,我们选择Kiwi的Syslog Daemon 7是因为他够专业并且有很多统计信息和支持产品,一路next并启动服务即可。
netstat -an我们可以看到514端口
UDP0.0.0.0:514*:*五:安装evtsys_exe,解压缩之后有两个程序evtsys.exe和evtsys.dll,同样需要检测文件是否被修改
| D:evtsys_exe>md5sum.exe * md5sum.exe: .: Permission denied md5sum.exe: ..: Permission denied f5ba9453e12dc030b5e19f75c079fec2 *evtsys.dll dcc02e429fbb769ea5d94a2ff0a14067 *evtsys.exe eb574b236133e60c989c6f472f07827b *md5sum.exe |
如果一切正常的话,执行evtsys.exe /?
| D:evtsys_exe>evtsys.exe /? Usage: evtsys.exe -i|-u|-d [-h host] [-p port] [-q char] -iInstall service (安装服务) -uUninstall service (卸载服务) -dDebug: run as console program (以debug模式运行) -h host Name of log host (日志服务器IP地址) -p port Port number of syslogd (日志服务器端口,默认是514) -q char Quote messages with character Default port: 514 |
我们运行D:evtsys_exe>evtsys.exe -h 日志服务器IP -i来安装服
这样你系统的应用程序日志,系统日志,安全日志都会发到日志服务器去了,这样我们就可以更加真实的了解到系统的运行情况。
六:安装WinPcap_3_0_beta.exe和ethereal-setup-0.9.8.exe
下面针对本案例大概的说说ethereal的使用
先启动ethereal
capture->start
capture packets in promiscuous mode
不选这个,因为我们只需要得到本机的信息,不需要以混杂模式运行
filter
filter name:irc
string:ip host urip and tcp port 6667
只能有一条规则,但是可以使用逻辑符号
否定(`!' or `not')
交集(`&&' or `and')
并集(`||' or `or')
还有=,>=,+,&等等
更加详细的设置请查看ethereal的manual
先自己测试一下sniffer是否工作
连接上IRC,并发言,我们可以看到一些结果
然后选择一个记录,并且按”follow tcp stream”就可以查看IRC的聊天内容了
七:安装设置绿色警戒防火墙 关闭“进入请求通知”,开放共享,把所有的入侵检测对策的“拦截”都改成“警告”,警告级别都改成“记录”,我们主要是想了解一下大概的攻击情况
接着打扫战场,把你下载的软件,临时文件,历史记录,文档的记录全部删除,但是别忘记用regsnap做个镜象哦,最后再次开启ethereal
现在剩下的就是等蠕虫感染来了………………