现在，使用ADSL的用户越来越多，由于ADSL用户在线时间长、速度快，因此成为黑客们的攻击目标。现在网上出现了各种越来越详细的“IP地址库”，要知道一些ADSL用户的IP是非常容易的事情。要怎么保卫自己的网络安全呢?不妨看看以下方法。
　　一、取消文件夹隐藏共享
　　如果你使用了Windows 2000/XP系统，右键单击C盘或者其他盘，选择共享，你会惊奇地发现它已经被设置为“共享该文件夹”，而在“网上邻居”中却看不到这些内容，这是怎么回事呢?
　　原来，在默认状态下，Windows 2000/XP会开启所有分区的隐藏共享，从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”，就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统Administrator的密码都为空，入侵者可以轻易看到C盘的内容，这就给网络安全带来了极大的隐患。
　　怎么来消除默认共享呢?方法很简单，打开注册表编辑器，进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”，新建一个名为“AutoShareWKs”的双字节值，并将其值设为“0”，然后重新启动电脑，这样共享就取消了。
　　二、拒绝恶意代码
　　恶意网页成了宽带的最大威胁之一。以前使用Modem，因为打开网页的速度慢，在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快，所以很容易就被恶意网页攻击。
　　一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序，只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。
　　运行IE浏览器，点击“工具/Internet选项/安全/自定义级别”，将安全级别定义为“安全级-高”，对“ActiveX控件和插件”中第2、3项设置为“禁用”，其它项设置为“提示”，之后点击“确定”。这样设置后，当你使用IE浏览网页时，就能有效避免恶意网页中恶意代码的攻击。
　　三、封死黑客的“后门”
　　俗话说“无风不起浪”，既然黑客能进入，那说明系统一定存在为他们打开的“后门”，只要堵死这个后门，让黑客无处下手，便无后顾之忧!
　1.删掉不必要的协议
　　对于服务器和主机来说，一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“WINS”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS。
　　2.关闭“文件和打印共享”
　　文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下，我们可以将它关闭。用鼠标右击“网络邻居”，选择“属性”，然后单击“文件和打印共享”按钮，将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。
　　虽然“文件和打印共享”关闭了，但是还不能确保安全，还要修改注册表，禁止它人更改“文件和打印共享”。打开注册表编辑器，选择“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork”主键，在该主键下新建DWORD类型的键值，键值名为“NoFileSharingControl”，键值设为“1”表示禁止这项功能，从而达到禁止更改“文件和打印共享”的目的;键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。
　　3.把Guest账号禁用
　　有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另外，将Administrator账号改名可以防止黑客知道自己的管理员账号，这会在很大程度上保证计算机安全。
　　4.禁止建立空连接
　　在默认的情况下，任何用户都可以通过空连接连上服务器，枚举账号并猜测密码。因此，我们必须禁止建立空连接。方法有以下两种:
　方法一是修改注册表:打开注册表“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA”，将DWORD值“RestrictAnonymous”的键值改为“1”即可。
　　最后建议大家给自己的系统打上补丁，微软那些没完没了的补丁还是很有用的!
　　四、隐藏IP地址
　　黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。
　　与直接连接到Internet相比，使用代理服务器能保护上网用户的IP地址，从而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，代理服务器首先截取用户的请求，然后代理服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。很显然，使用代理服务器后，其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。提供免费代理服务器的网站有很多，你也可以自己用代理猎手等工具来查找。
　　五、关闭不必要的端口
　　黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序(比如Netwatch)，该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，用“Norton Internet Security”关闭用来提供网页服务的80和443端口，其他一些不常用的端口也可关闭。
　　六、更换管理员帐户
　　Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置Administrator帐号。
　　首先是为Administrator帐户设置一个强大复杂的密码，然后我们重命名Administrator帐户，再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性。
　　七、杜绝Guest帐户的入侵
　　Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门!网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法，所以要杜绝基于Guest帐户的系统入侵。
　　禁用或彻底删除Guest帐户是最好的办法，但在某些必须使用到Guest帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码，然后详细设置Guest帐户对物理路径的访问权限。举例来说，如果你要防止Guest用户可以访问tool文件夹，可以右击该文件夹，在弹出菜单中选择“安全”标签，从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权限，比方说只能“列出文件夹目录”和“读取”等，这样就安全多了。
　　八、安装必要的安全软件
　　我们还应在电脑中安装并使用必要的防黑软件， 杀毒软件和防火墙都是必备的。在上网时打开它们，这样即便有黑客进攻我们的安全也是有保证的。
　　九、防范木马程序
　　木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有:
　　● 在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。
　　● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目，如果有，删除即可。
　　● 将注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。
　　十、不要回陌生人的邮件
　　有些黑客可能会冒充某些正规网站的名义，然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码，如果按下“确定”，你的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件，即使他说得再动听再诱人也不上当。
　　做好IE的安全设置
　　ActiveX控件和 Applets有较强的功能，但也存在被人利用的隐患，网页中的恶意代码往往就是利用这些控件编写的小程序，只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择，具体设置步骤是:“工具”→“Internet选项”→“安全”→“自定义级别”，建议您将ActiveX控件与相关选项禁用。谨慎些总没有错!
　　另外，在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。不过，微软在这里隐藏了“我的电脑”的安全性设定，通过修改注册表把该选项打开，可以使我们在对待ActiveX控件和 Applets时有更多的选择，并对本地电脑安全产生更大的影响。
　　下面是具体的方法:打开“开始”菜单中的“运行”，在弹出的“运行”对话框中输入Regedit.exe，打开注册表编辑器，点击前面的“+”号顺次展开到:HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0，在右边窗口中找到DWORD值“Flags”，默认键值为十六进制的21(十进制33)，双击“Flags”，在弹出的对话框中将它的键值改为“1”即可，关闭注册表编辑器。无需重新启动电脑，重新打开IE，再次点击“工具→Internet选项→安全”标签，你就会看到多了一个“我的电脑”图标，在这里你可以设定它的安全等级。将它的安全等级设定高些，这样的防范更严密。

与好友在网络上相互传输资料时，有时先要知道对方计算机的IP地址，才能与对方建立信息传输通道。

那么对方的IP地址该如何搜查得到呢?这样的问题你也许会嗤之以鼻，的确，查询对方计算机的IP地址，实在简单得不值得一提;可是，要让你列举出多种IP地址搜查方法时，你可能就感到勉为其难了。下面，本文就对如何快速、准确地搜查出对方好友的计算机IP地址，提出如下几种方法，相信能对大家有所帮助!

1、邮件查询法

使用这种方法查询对方计算机的IP地址时，首先要求对方先给你发一封电子邮件，然后你可以通过查看该邮件属性的方法，来获得邮件发送者所在计算机的IP地址;下面就是该方法的具体实施步骤:

首先运行OutLook express程序，并单击工具栏中的“接受全部邮件”按钮，将朋友发送的邮件接受下来，再打开收件箱页面，找到朋友发送过来的邮件，并用鼠标右键单击之，从弹出的右键菜单中，执行“属性”命令;

在其后打开的属性设置窗口中，单击“详细资料”标签，并在打开的标签页面中，你将看到“Received: from xiecaiwen (unknown [11.111.45.25])”这样的信息，其中的“11.111.45.25”就是对方好友的IP地址;当然，要是对方好友通过Internet中的WEB信箱给你发送电子邮件的话，那么你在这里看到的IP地址其实并不是他所在工作站的真实IP地址，而是WEB信箱所在网站的IP地址。

当然，如果你使用的是其他邮件客户端程序的话，查看发件人IP地址的方法可能与上面不一样;例如要是你使用foxmail来接受好友邮件的话，那么你可以在收件箱中，选中目标邮件，再单击菜单栏中的“邮件”选项，从弹出的下拉菜单中选中“原始信息”命令，就能在其后的界面中看到对方好友的IP地址了。

2、日志查询法

这种方法是通过防火墙来对QQ聊天记录进行实时监控，然后打开防火墙的日志记录，找到对方好友的IP地址。为方便叙述，本文就以KV2004防火墙为例，来向大家介绍一下如何搜查对方好友的IP地址:

考虑到与好友进行QQ聊天是通过UDP协议进行的，因此你首先要设置好KV防火墙，让其自动监控UDP端口，一旦发现有数据从UDP端口进入的话，就将它自动记录下来。在设置KV2004防火墙时，先单击防火墙界面中的“规则设置”按钮，然后单击“新建规则”按钮，弹出设置窗口;

在该窗口的“名称”文本框中输入“搜查IP地址”，在“说明”文本框中也输入“搜查IP地址”;再在“网络条件”设置项处，选中“接受数据包”复选框，同时将“对方IP地址”设置为“任何地址”，而在“本地IP地址”设置项处不需要进行任何设置;

下面再单击“UDP”标签，并在该标签页面下的“本地端口”设置项处，选中“端口范围”选项，然后在起始框中输入“0”，在结束框中输入“65535”;同样地，在“对方端口”设置项处，也选中“端口范围”选项，然后在起始框中输入“0”，在结束框中输入“65535”。

接着在“当所有条件满足时”设置项处，选中“通行”选项，同时将“其他处理”处的“记录”选项选中，而“规则对象”设置项不需要进行任何设置;完成了上面的所有设置后，单击“确定”按钮，返回到防火墙的主界面;再在主界面中选中刚刚创建好的“搜查IP地址”规则，同时单击“保存”按钮，将前面的设置保存下来。

完成好上面的设置后，KV防火墙将自动对QQ聊天记录进行全程监控，一旦对方好友给你发来QQ信息时，那么对方好友的IP地址信息就会自动出现在防火墙的日志文件中，此时你可以进入到KV防火墙的安装目录中，找到并打开“kvfwlog”文件，就能搜查到对方好友的IP地址。

3、工具查询法

这种方法是通过专业的IP地址查询工具，来快速搜查到对方计算机的IP地址。例如，借助一款名为WhereIsIP的搜查工具，你可以轻松根据对方好友的Web网站地址，搜查得到对方好友的IP地址，甚至还能搜查到对方好友所在的物理位置。在用WhereIsIP程序搜查对方IP地址时，首先启动该程序打开搜查界面，然后单击该界面的“Web site”按钮，在其后的窗口中输入对方好友的Web地址，再单击“next”按钮，这样该程序就能自动与Internet中的Domain Name Whois数据库联系，然后从该数据库中搜查到与该Web网站地址对应的IP地址了。当然，除了可以知道IP地址外，你还能知道对方好友所在的具体物理位置。

倘若要想查看局域网中某个工作站的IP地址时，可以使用“网络刺客II”之类的工具来帮忙;只要你运行该工具进入到它的主界面，然后执行工具栏中的“IP地址<->主机名”命令，在其后打开的对话框中，输入对方好友的计算机名称，再单击“转换成IP”按钮，就能获得对方好友所在计算机的IP地址了。

如果你使用Oicqsniffer工具的话，那么查询QQ好友的IP地址就更简单了。只要你单击该程序界面中的“追踪”按钮，然后向对方好友发送一条QQ消息，那么Oicqsniffer工具就会自动将对方好友的IP地址以及端口号显示出来了。除此之外，还有许多可以查找IP地址的专业工具可以选择，例如IPsniper软件。

4、命令查询法

这种方法是通过Windows系统内置的网络命令“netstat”，来查出对方好友的IP地址，不过该方法需要你先想办法将对方好友邀请到QQ的“二人世界”中说上几句话才可以。下面就是该方法的具体实现步骤:

首先单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入“cmd”命令，单击“确定”按钮后，将屏幕切换到MS-DOS工作状态;然后在DOS命令行中执行“netstat -n”命令，在弹出的界面中，你就能看到当前究竟有哪些地址已经和你的计算机建立了连接(如果对应某个连接的状态为“Established”，就表明你的计算机和对方计算机之间的连接是成功的);

其次打开QQ程序，邀请对方好友加入“二人世界”，并在其中与朋友聊上几句，这样你的计算机就会与对方好友的计算机之间建立好了TCP连接;此时，再在DOS命令行中执行“netstat -n”命令，看看现在又增加了哪个tcp连接，那个新增加的连接其实就是对方好友与你之间的UDP连接，查看对应连接中的“Foreign Address”就能知道对方好友的IP地址了。

5、ping检查法

这种方法就是利用“ping”命令，来检查当前计算机是否能与对方好友的网站连通，在检查的过程中该地址能自动获得对方网站的IP地址。比方说，要是你想搜查天极网站的IP地址时，可以先打开系统的运行对话框，然后在其中输入“ping www.enet.com.cn”字符串命令，再单击“确定”按钮，在弹出的窗口中，就能知道网站的IP地址了。同样地，你也可以搜查其他网站的IP地址。

好了，上面就是查询好友计算机IP地址的几种常用方法;要是你还有其他更好方法的话，恳请不断补充完善!

随着网络的不断扩大，网络安全更加会成为人们的一个焦点，同时也成为是否能进一步投入到更深更广领域的一个基石。当然网络的安全也是一个动态的概念，世界上没有绝对安全的网络，只有相对安全的网络。相对安全环境的取得可以通过不断地完善系统程序（及时给系统漏洞打上不同的补丁和给系统升级）、装上防火墙，同时对那些胆敢在网络上破坏秩序做出不义行为的人给予恰如其分的处理。这必然要牵涉到证据的收集，本文正是对这一方面的内容针对Windows系统进行研究。

一、Windows系统特性

Windows操作系统维护三个相互独立的日志文件：系统日志、应用程序日志、安全日志。

1.系统日志

系统日志记录系统进程和设备驱动程序的活动。它审核的系统事件包括启动失败的设备驱动程序、硬件错误、重复的IP地址，以及服务的启动、暂停和停止。系统日志包含由系统组件记录的事情。例如在系统日志中记录启动期间要加载的驱动程序或其他系统组件的故障。由系统组件记录的事件类型是预先确定的。系统日志还包括了系统组件出现的问题，比如启动时某个驱动程序加载失败等。

2.应用程序日志

应用程序日志包括关于用户程序和商业通用应用程序的运行方面的错误活动，它审核的应用程序事件包括所有错误或应用程序需要报告的信息。应用程序日志可以包括性能监视审核的事件以及由应用程序或一般程序记录的事件，比如失败登录的次数、硬盘使用的情况和其它重要的指针；比如数据库程序用应用程序日志来记录文件错误；比如开发人员决定所要记录的事件。

3.安全日志

安全日志通常是在应急响应调查阶段最有用的日志。调查员必须仔细浏览和过滤这些日志的输出，以识别它们包含的证据。安全日志主要用于管理员记载用户登录上网的情况。在安全日志中可以找到它使用的系统审核和安全处理。它审核的安全事件包括用户特权的变化、文件和目录访问、打印以及系统登录和注销。安全日志可以记录诸如有效的登录尝试等安全事件以及与资源使用有关的事件，例如创建、打开或删除应用文件。管理员可以指定在安全日志中记录的事件。例如如果你启用了登录审核，那么系统登录尝试就记录在安全日志中。

二、寻找“显形”证据

系统工具提供了对系统进一步的监视，在性能监视器中可以看到其图形化的变化情况。而计数器日志、跟踪日志和警报则提供了对本地或远端系统的监视记录，并可根据预定的设定进行特定的跟踪和报警。还可利用不同的用于配置、管理COM组件及应用的组件服务工具记录或查找相关信息。

1.查看三大日志

在计算机上维护有关应用程序、安全性系统事件的日志，可以使用事件查看器查看并管理事件日志。它用于收集计算机硬件、软件和系统整体方面的错误信息，也用来监视一些安全方面的问题。它可根据应用程序日志、安全日志和系统日志来源将记录分成3类。

事件查看器显示以下几种事件类型：error是指比较严重的问题，通常是出现了数据丢失或功能丢失。例如如果在启动期间服务加载失败，则会记录错误。Warning给出警告则表明情况暂时不严重，但可能会在将来引起错误，比如磁盘空间太少等。Information描述应用程序、驱动程序或服务的成功操作的事件。例如成功地加载网络驱动程序时会记录一个信息事件。Success audit审核访问尝试成功。例如将用户成功登录到系统上的尝试作为成功审核事件记录下来。Failure audit审核安全尝试失败。例如如果用户试图访问网络驱动器失败，该尝试就会作为失败审核事件记录下来。

注意启动系统时事件日志服务会自动启动，所有用户都可以查看应用程序日志和系统日志，但是只有管理员才能访问安全日志。默认情况下会关闭安全日志，所以管理员要记住设定启用。管理员既可以使用组策略启用安全日志记录，也可以在注册表中设置策略使系统在安全日志装满时停止运行。

基于主机的检测器可以检测到系统类库的改变或敏感位置文件的添加。当结合所有现有的基于网络的证据片断时，就有可能重建特定的网络事件，诸如文件传输、缓冲区溢出攻击，或在网络中使用被盗的用户帐号和密码等。

当调查计算机犯罪时，会发现很多潜在证据的来源，不仅包括基于主机的日志记录，而且还包括网络的日志记录以及其它的传统形式，如指纹、证词和证人。大多数的网络流量在它经过的路径上都留下了监查踪迹。路由器、防火墙、服务器、IDS检测器及其它的网络设备都会保存日志，记录基于网络的突发事件。DHCP服务器会在PC请求IP租用时记录网络访问。现代的防火墙允许管理员在创建监查日志时有很多种粒度。IDS检测器可以根据签名识别或异常的检测过滤器来捕获一个攻击的一部分。基于网络的日志记录以多种形式存储，可能源自不同的操作系统，可能需要特殊的软件才能访问和读取，这些日志在地理上是分散的，而且常常对当前系统时间有严重错误的解释。调查人员的挑战就在于查找所有的日志，并使之关联起来。从不同系统获得地理上分散的日志、为每个日志维护保管链、重建基于网络的突发事件，这一切都需要消耗大量的时间和密集的资源。

2.检查相关文件、执行关键词搜索

Windows系统同时进行对很多文件的输入和输出，所以几乎所有发生在系统上的活动都会留下一些发生的痕迹。它有许多临时文件、高速缓存文件、一个跟踪最近使用文件的注册文件、一个保留删除文件的回收站和无数的存储运行时间资料的其它位置。

在调查知识产权或所有权、信息的所有权、性骚扰以及任何实际上包含基于文本通信的问题上，对目标硬盘驱动器执行字符串搜索是非常重要的。很多不同的关键词可能对调查非常重要，这些关键词包括用户ID、密码、敏感资料（代码字）、已知的文件名和具体的主题词。字符串搜索可以在逻辑文件结构上执行，也可以在物理层次上执行。

3.鉴定未授权的用户帐号或组、“流氓”进程

检查用户管理器，寻找未授权的用户帐号；使用usrstat浏览域控制器中的域帐号，寻找可疑的项目；使用Event Viecser检查安全日志，筛选出事件为添加新帐号、启用用户帐号、改变帐号组和改变用户帐号的项目。

鉴定检查一个运行系统时，鉴定“流氓”进程是非常简单的。因为大部分“流氓”进程都要监听网络连接或探测网络以获得纯文本的用户ID和密码，这些进程很容易在执行过程中被发现。plist命令将列出正在运行的进程，listdlls将提供每个运行中进程的完整的命令行参数，fport将显示监听的进程以及他们所监听得到端口。对于未运行的系统上“流氓”进程，方法是在证据的整个逻辑卷内使用最新的病毒扫描程序进行扫描。如果选择在还原映象的文件系统上运行病毒检查工具，必须保证这个卷是只读的。

4.寻找隐藏文件和恢复被删除文件

所有的坏人都想隐藏一些事情，他们采取这样的办法：一旦一个内部攻击者选择在他的系统上执行未授权或不受欢迎的任务，他可能会让一些文件不可见。这些攻击者可能利用NTFS文件流，在合法文件后隐藏资料。还有可能改变文件的扩展名或特意将文件名命为重要系统文件的名字，最后还可以把文件删除。

我们知道被删除的文件并不是真正被删除了，它们只是被标记为删除。这就意味着这些文件仍保存完好，直到新数据的写入覆盖了这些被删除文文件所在硬盘驱动器的物理空间。也就是说越早尝试，恢复一个文件成功的机会就越大。File Scavenger甚至可能在硬盘被重新格式化后还能进行恢复。

5.检查未授权的访问点和安全标识符SID

当检查到一个受害系统时，必须鉴别系统的访问点以确定进行访问的方式，一些工具都是鉴别系统访问点的重要工具，它们使用API调用以读取内核及用户空间的TCP和UDP连接表的内容。如果想捕获这一信息，需要允许通过还原映象引导系统。如果想在检查运行系统时完成这一步，则要在关闭系统以进行映象之前，比较这两个操作的结果，它们的差异表明存在未授权的后台程序。

SID用于唯一地标识一个用户或一个组。每一个系统都有自己的标识符。计算机标识府和用户标识符一起构成了SID.因此SID可以唯一地标识用户帐号。所以我们需要比较在受害机器上发现的SID和在中央认证机构记录的SID。

6.检查Scheduler Service运行的任务

攻击者常用的一个策略是让调度事件为他们打开后门程序、改变审核策略或者完成更险恶的事。比如删除文件。恶意的调度作业通常是用at或soon工具调度它们的。不带命令行参数的at命令可以显示任何已调度的作业。

7.分析信任关系

WINDOWS NT系统支持不可传递的或单向的信任。这意味着只能单方向提供访问和服务。即使你的NT PDC信任其它域，这个被信任的域也不需要信任你的PDC,因此被信任域中的用户能使用你所在域的服务，但是反过来就不行。WINDOWS 2000则支持可传递的信仰。

三、“隐形”证据的查找

由于攻击者的诡密性日益提高，他们还使用隐蔽信道的方法躲避检测。我们将隐蔽信道定义为所有秘密的、隐藏的、难以检测的通信方式。所有与此相关的证据称为“隐形”证据。

1.难以检测、回放的行为

所捕捉或被监视到的，但是还需要进行进一步详细检查才能识别出的那些未经授权的流量。这些行为包括诸如Loki 2.0 HTTP命令信道和邮件隧道效应等ICMP和UDP隐蔽信道。查找办法就是仔细检查所监视到的流量，提高鉴别能力。包括任何类型通信中的那些利用任何工具都不能按人们可读的方式显示或重构的各种行为。查看会话的最常见阻碍就是加密。更多的经验丰富的攻击者可以建立加密信道，使得网络监视失效。许多网络协议本质上就是难以回放的，X Windows通信、Netbus通信和其它传输大量图形信息的远程会话都是很难再现的。监视加密通信并不是完全没用，因为它可以证明在确定的IP地址之间没有进行通信。所需的证据就在于这些端点上。

2.难以跟踪到源IP地址的攻击行为

它可以通过拒绝服务攻击得到最好的证明。源IP地址通常是被伪装的，这就使得通过源地址跟踪源计算机是非常困难的。以日志文件或嗅探器捕获文件形式保存的电子证据所报告的是错误数据。被伪装的邮件或欺骗性的电子邮件也对按电子邮件跟踪到这些消息的原始计算机提出了挑战。人们会发现中继电子邮件服务器位于一个法律上不合作的国家，并通过此服务器发送伪造电子邮件。这些中继电子邮件服务器通常记录了原始计算机的IP地址，但是由于位于不合作的外国，所以无法获得这些信息。加大在网络边界的监视，充分发挥网关的识别作用，才是解决此类问题的唯一所选。

3.使得证据难以收集

通过下列方式可以使证据难以收集——加密文件、安装可装载的核心模块以便利用你的操作系统来对付你，以及对二进制文件使用“特洛伊木马”使攻击者的痕迹不过于明显。攻击者阻碍收集证据的另一个技巧是不断改变远程系统的端口。当攻击者以一种看起来随机的方式频繁地修改端口以初始化与受攻击系统的连接时，调查员很难实施获得相关信息的过程。

对于此种证据的查找，我们采取在线被动的网络监视办法以及通过IDS、 防火墙和其他信息源知道有关攻击的多种标志,同时不断总结有效的分析网络通信的调查方法。在网络中发现非法的服务器或通信的非法通道，这是最有效的方法。它为确定可疑行为的程度和确定以非法方式通信的相关系统提供了一种方法，以便确定将系统保持在线状态所冒的风险和系统脆弱程度。根据这些信息，可以采取适当的后续步骤或防范措施。同时并加大培训力度，不断提高监视技巧，加强有力的自动分析工具的开发。

4.免受监视的行为

包括ICMP通信、SMTP通信、POP通信、Usenet通信、在外部介质保存文件、看上去无害的Web通信，以及源于内部IP地址的通信。查找此类证据的唯一方法就是监视尽可能多的通信。

为了维持对攻击者的优势，预见攻击的变革是十分必要的。只有了解攻击者的目标才能知道可能遭受攻击的地方。只有了解这些目标才有可能预见到在网络上发生的攻击，由此我们既要熟悉合法通信的标准，又要深入了解各种网络协议本身然后进行网络监视并仔细检查网络通信以便确认各种不同类型的隐蔽通道，查找出不同的隐形证据。

计算机取证技术的研究是一个相当复杂的课题，本文力图从两个方面来对计算机取证技术的过程和步骤进行探讨，提出了一种较为完善的由易到难、由简单到复杂的方法。我们可以通过对“显形”证据查找的办法支持在小局域网、军队网进行计算机取证，也支持在英特网上查找一些简易的取证，通过对“隐形”证据查找的办法支持在大的局域网甚至在英特网上查找复杂的取证，为调查人员提供重要的调查线索和证据来源。

http://www.taoshaw.com/soft/ScanWebshell.rar
默认密码是taoshaw

FTP资源扫描器：

共享资源扫描器：:
shed

让注册者回答随机问题
 

显然，这是上个思路的一点改进。至于在效果上是否有区别，还未实践证明。

这里我给出了修改方法。蓝色代码为已存在代码，红色代码是新增加代码。

1.
 进入后台，风格界面模板总管理，page_login,template.html(13)

<TR>
<TD class=tablebody1><B>密码问题</B>：<BR>忘记密码的提示问题</TD>
 

在此两句上面添加如下代码

<TR>
<TD class=tablebody1>
<div style="color:red"><b>反论坛群发必填项:</b></div>
<div>为了防止群发软件的恶意注册，</div>
<div>请回答以下问题</div>
<div style="color:blue;font-size=12px">{$EvilQuesion}</div>
 

</TD>
<TD class=tablebody1><INPUT size=12 name=evilanswer> </TD>
</TR>
 

2. 打开reg.asp，找到
<!--#include file="inc/md5.asp"-->
在其下添加
<!--#include file="inc/CheckEvil.asp"-->
找到
TempLateStr=Replace(TempLateStr,"{$user_belief}",Selectinfo(5))
在其下添加
Randomize
Session("EvilID")=int(Rnd*QuesionNum)
TempLateStr=Replace(TempLateStr,"{$EvilQuesion}", QuesionArray(Session("EvilID")))
找到
Else
quesion=Request.form("quesion")
End If
在其下添加
If Request.Form("EvilAnswer")="" Then
ErrCodes=ErrCodes+"<li>"+"请填写防恶意注册问题!"
End If

If Not CheckEvil(Request.Form("EvilAnswer")) Then
ErrCodes=ErrCodes+"<li>"+ "防恶意注册问题回答错误，请返回重试。"
End If
 

3. 增加一个新文件CheckEvil.asp，填写如下代码，并上传到论坛inc目录下，即 /inc/CheckEvil.asp。
<%
Dim QuesionArray(100)
Dim AnswerArray(100)
Dim QuesionNum
QuesionNum=5 '请在这里正确设置问题的总数
 

Function CheckEvil(Answer)
Dim TrueAnswer
If Session("EvilID")="" Then
CheckEvil=False
Exit Function
End If
TrueAnswer=CStr(AnswerArray(Session("EvilID")))
If Answer=TrueAnswer Then
CheckEvil=true
End If
 

End Function
 

QuesionArray(0)="12的平方是多少？（数字）"
AnswerArray(0)="144"
QuesionArray(1)="中国最长的河流叫什么名字？"
AnswerArray(1)="长江"
QuesionArray(2)="“举头望明月”的下句是什么？（提示：低头??乡）"
AnswerArray(2)="低头思故乡"
QuesionArray(3)="“举头望明月”的下句是什么？（提示：低头??乡）"
AnswerArray(3)="低头思故乡"
QuesionArray(4)="中国史上唯一的女皇是谁？（提示：武?天）"
AnswerArray(4)="武则天"

%>