|
知识路径: > 网络安全应急响应技术原理与应用 > 网络安全应急响应技术与常见工具 > 网络安全评估(恶意代码检测、漏洞扫描、文件完整性检测、系统配置文件检测、网卡混杂模式检查、日志文件审查等) > 网络安全评估 >
|
相关知识点:7个
|
|
|
|
攻击者进入受害系统后,一般会对系统文件进行修改,以利于后续攻击或控制。网络管理员通过对系统配置文件检查分析,可以发现攻击者对受害系统的操作。例如,在UNIX系统中,网络管理员需要进行下列检查:
|
|
|
. 检查/etc/passwd文件中是否有可疑的用户。
|
|
|
. 检查/etc/inet.conf文件是否被修改过。
|
|
|
. 检查/etc/services文件是否被修改过。
|
|
|
. 检查r命令配置/etc/hosts.equiv或者.rhosts文件。
|
|
|
. 检查新的SUID和SGID文件,使用find命令找出系统中的所有SUID和SGID文件,如下:
|
|
|
|
对于Windows系统,除了利用系统自带的事件查看器之外,还可以使用第三方安全工具,如PCHunter、火绒剑等。如下图所示,通过使用火绒剑检查Windows系统的进程状况。
|
|
|
|
|