| 系统自身监测的目的主要在于掌握受害系统的当前活动状态,以确认入侵者在受害系统的操作。系统自身监测的方法包括如下几个方面。
|
|
|
|
|
| 用netstat命令、TCPView、HTTPNetworkSniffer等显示当前受害机器的网络监听程序及网络连接。例如,使用TCPView查看系统网络连接状况,如下图所示。
|
|
|
|
|
|
|
|
|
| 在Linux/UNIX系统中,用ps命令查看受害机器的活动进程。在Windows系统中,可用Autoruns、Process Explorer、ListDLLs等查看系统进程活动状况。例如,使用Autoruns可以检查Windows系统的自启动项目,如下图所示。
|
|
|
|
|
| 使用Autoruns检查Windows系统自启动状况示意图
|
|
|
|
|
|
|
|
|
| 用arp命令查看受害机器的地址解析缓存表,如下图所示。
|
|
|
|
|
|
|
|
|
| 在UNIX/Linux系统中可用lsof工具检查进程使用的文件、tcp/udp端口、用户等相关信息,如下图所示。
|
|
|
|
|
|
|
| 在Windows系统下,可以使用fport工具对相关进程和端口号进行关联。
|
|
|
