|
|
知识路径: > 网络安全应急响应技术原理与应用 > 网络安全应急响应技术与常见工具 > 网络安全监测 >
|
|
考试要求:掌握
相关知识点:2个
|
|
|
|
|
系统自身监测的目的主要在于掌握受害系统的当前活动状态,以确认入侵者在受害系统的操作。系统自身监测的方法包括如下几个方面。
|
|
|
|
|
|
用netstat命令、TCPView、HTTPNetworkSniffer等显示当前受害机器的网络监听程序及网络连接。例如,使用TCPView查看系统网络连接状况,如下图所示。
|
|
|
|
|
|
|
|
|
|
在Linux/UNIX系统中,用ps命令查看受害机器的活动进程。在Windows系统中,可用Autoruns、Process Explorer、ListDLLs等查看系统进程活动状况。例如,使用Autoruns可以检查Windows系统的自启动项目,如下图所示。
|
|
|
|
|
|
使用Autoruns检查Windows系统自启动状况示意图
|
|
|
|
|
|
|
|
|
|
用arp命令查看受害机器的地址解析缓存表,如下图所示。
|
|
|
|
|
|
|
|
|
|
在UNIX/Linux系统中可用lsof工具检查进程使用的文件、tcp/udp端口、用户等相关信息,如下图所示。
|
|
|
|
|
|
|
|
在Windows系统下,可以使用fport工具对相关进程和端口号进行关联。
|
|
|
