freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

應(yīng)急響應(yīng)ppt課件(2)-資料下載頁

2025-05-12 08:58本頁面
  

【正文】 tection)n portsentrysudp( StealthUDPscandetection)n portsentryaudp( AdvancedStealthUDPscandetection)n 可以使用下面兩種方式啟動 portsentry:n portsentryatcp( AdvancedTCPstealthscandetection)n portsentrysudp( StealthUDPscandetection) 51Linus系統(tǒng)應(yīng)急響應(yīng)方法n 然后在 /etc//usr/local/psionic/portsentry/portsentry–atcp就可以在每次啟動時自動啟動 portsentry了,這樣系統(tǒng)就可以自動對一些端口進行檢測,如果發(fā)現(xiàn)掃描就自動將 IP加入 /etc/,拒絕此 IP對機器的訪問。 52Unix系統(tǒng)應(yīng)急響應(yīng)方法n 在 Unix系統(tǒng)下,有許多應(yīng)急響應(yīng)的方法和工具,這里由于篇幅關(guān)系,就不多介紹了。這一節(jié)將介紹關(guān)于 Unix系統(tǒng)問題的查找的方法。下面是一些個人的經(jīng)驗的總結(jié), 相信對于是否受到入侵的 Unix或者 Unixclone(freebsd,openbsd,bsd,linux,etc)都是有用的。n 首先大家可以通過下面的系統(tǒng)命令和配置文件來跟蹤入侵者的來源路徑:n (1)who——查看誰登錄到系統(tǒng)中。n (2)w——查看誰登錄到系統(tǒng)中,且在做什么。n (3)last——顯示系統(tǒng)曾經(jīng)被登錄的用戶和 TTYS。53Unix系統(tǒng)應(yīng)急響應(yīng)方法n (4)lastm——顯示系統(tǒng)過去被運行的命令。n (5)stat——可以查看現(xiàn)在的網(wǎng)絡(luò)狀態(tài),如 tel到機器上來的用戶的 IP地址 ,還有一些其他的網(wǎng)絡(luò)狀態(tài)。n (6)查看 router的信息。n (7)/var/log/messages查看外部用戶的登錄狀況。n (8)用 finger查看所有的登錄用戶。n (9)查看用戶目錄下 /home/username下的登錄歷史文件(.,etc)。54計算機犯罪取證n 在應(yīng)急響應(yīng)的第 4個階段即根除階段,一個很重要的過程就是犯罪取證,抓獲元兇,只有這樣才能從根本上鏟除對計算機系統(tǒng)的危害。通常進行計算機系統(tǒng)犯罪取證的方法有以下幾種。n 1.對比分析技術(shù)n 將收集的程序、數(shù)據(jù)、備份等與當前運行的程序、數(shù)據(jù)、進行對比,從中發(fā)現(xiàn)篡改的痕跡。n 2.關(guān)鍵字查詢技術(shù)n 對所做的系統(tǒng)硬盤備份,用關(guān)鍵字匹配查詢,從中發(fā)現(xiàn)問題。55計算機犯罪取證n 3.數(shù)據(jù)恢復(fù)技術(shù)n 計算機犯罪發(fā)生后,案犯往往會破壞現(xiàn)場,毀滅證據(jù)。因此對破壞和刪除的數(shù)據(jù)要進行有效分析,才能從中發(fā)現(xiàn)蛛絲馬跡。這種恢復(fù)是建立在對磁盤管理系統(tǒng)和文件系統(tǒng)熟知的基礎(chǔ)上。n 4.文件指紋特征分析技術(shù)n 該技術(shù)利用磁盤按簇分配的特點 ,在每一文件尾部會保留一些當時生成該文件的內(nèi)存數(shù)據(jù) ,這些數(shù)據(jù)即成為該文件的指紋數(shù)據(jù) ,根據(jù)此數(shù)據(jù)可判斷文件最后修改的時間 ,該技術(shù)用于判定作案時間。n 5.殘留數(shù)據(jù)分析技術(shù)n 文件存儲在磁盤后,由于文件實際長度要小于等于實際占用簇的大小,在分配給文件的存儲空間中,大于文件長度的區(qū)域會保留原來磁盤存儲的數(shù)據(jù),利用這些數(shù)據(jù)來分析原來磁盤中存儲數(shù)據(jù)內(nèi)容 56計算機犯罪取證n 6.磁盤存儲空閑空間的數(shù)據(jù)分析技術(shù)n 磁盤在使用過程中,對文件要進行大量增、刪、改、復(fù)制等操作。人們傳統(tǒng)認識認為進行這些操作時,只對磁盤中存放的原文件進行局部操作。而系統(tǒng)實際上是將文件原來占用的磁盤空間釋放掉,使之成為空閑區(qū)域,經(jīng)過上述操作的文件重新向系統(tǒng)申請存儲空間,再寫入磁盤。這樣經(jīng)過一次操作的數(shù)據(jù)文件寫入磁盤后,在磁盤中就會存在兩個文件一個是操作后實際存在的文件,另一個是修改前的文件,但其占用的空間業(yè)已釋放,隨時可以被新文件覆蓋。掌握這一特性,該技術(shù)可用于數(shù)據(jù)恢復(fù),對被刪除、修改、復(fù)制的文件,可追溯到變化前的狀態(tài)。 57計算機犯罪取證n 7.磁盤后備文件、鏡像文件、交換文件、臨時文件分析技術(shù)n 在磁盤中,有時軟件在運行過程中會產(chǎn)生一些諸如 .TMP的臨時文件,還有諾頓這種軟件可對系統(tǒng)區(qū)域的重要內(nèi)容(如 :磁盤引導(dǎo)區(qū), FAT表等 )形成鏡像文件,以及 .bak,交換文件 .swp等。要注意對這些文件結(jié)構(gòu)的分析,掌握其組成結(jié)構(gòu),這些文件中往往記錄一些軟件運行狀態(tài)和結(jié)果,以及磁盤的使用情況等,對偵察分析工作會提供幫助。n 8.記錄文件的分析技術(shù)n 目前一些新的系統(tǒng)軟件和應(yīng)用軟件中增加了對已操作過的文件有相應(yīng)的記錄。如: Windows95中在 “開始 ”下的 “文檔 ”菜單中記錄了所使用過的文件名, IE及 Netscape中有Bookmark記錄了瀏覽過的站點地址。這些文件名和地址可以提供一些線索和證據(jù)。58計算機犯罪取證n 9.入侵監(jiān)測分析技術(shù)n 利用入侵監(jiān)測工具,對來自網(wǎng)絡(luò)的各種攻擊進行實時監(jiān)測,發(fā)現(xiàn)攻擊源頭和攻擊方法,并予以記錄。作為偵破的線索和證據(jù)。n 10.陷阱技術(shù)n 設(shè)計陷阱捕獲攻擊者,如:蜜罐技術(shù)等。59總 結(jié)這里主要給大家介紹了信息系統(tǒng)應(yīng)急響應(yīng)的相關(guān)知識。歡迎大家提問?60返回Thanks For Attendance!
點擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1