11第十一章WindowsServer2003的深层安全防护ppt课件

1、 网络通讯平安管理员教程 2021年1月吴辰文等编著第十一章 Windows Server 2003 的深层平安防护本章学习要求：了解进程的概念；了解注册表的概念；了解注册表的构造；掌握效力的优化方法；掌握黑客经常攻击的端口以及防备方法；掌握封锁端口的方法；熟习端口查看命令及工具；掌握系统必要进程和非必要进程；熟习进程查看命令及工具；熟习注册表备份、复原及修正的方法；熟习基于进程和注册表的木马查杀方法。第十一章 Windows Server 2003 的深层平安防护11.1 Windows Server 2003效力解析 11.2 Windows Server 2003端口解析 11.3 Wi

2、ndows Server 2003进程解析 11.4 Windows Server 2003注册表解析 11.5 基于注册表和进程的木马查杀技术 11.1 Windows Server 2003 效力解析11.1.1 效力的概念Windows Server 2003中有很多效力，主要由效力运用程序、效力控制程序和效力控制管理器。效力控制管理器用来维护注册表中的数据。效力控制程序那么是控制效力运用程序的模块，是控制效力程序同效力管理器之间的纽带。效力运用程序是效力程序的主体程序，是一个或多个的可执行代码。11.1.2 效力的优化Windows Server 2003效力的优化主要有两个方面，改动

3、效力的启动顺序和禁用不用要的效力。 改动效力的启动顺序Windows Server 2003 效力的启动顺序可以经过注册表来实现下面引见两个与启动效力顺序相关的键值：1Group值：一个REG_SZ类型的值，用来描画效力属于哪一个效力组。2Tag值：一个REG_DWORD类型的值。用来描画效力的标识。翻开注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlServicesGroupOrder键的List值，这里保管了表示效力组启动顺序的信息，每一个效力组都是一个字符串，要想改动他们的启动顺序，只需改动他们位置就可以了。如图11-1所示。图11-

4、1 改动效力组界面翻开注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlGroupOr-derList键下有各效力组中各效力的启动顺序的信息，每个效力组的信息都被保管为一个REG_BINARY类型的值，如FSFilter System效力组，要想改动它们的加载顺序，只需编辑这个二进制字符串即可，如图11-2所示。图 11-2 改动组内加载顺序 禁用不用要的效力在引见系统不用要的效力之前，首先引见如何查看效力的依存效力至于效力的禁用、启动和重新启动，在第10章已作引见，这里不再反复，详细操作是：首先翻开“效力窗口，选中想要修正的效力，右键单击，

5、选择“属性命令，在弹出的界面上选择“依存关系选项卡，这里以 COM+ Event System为例，如图11-3所示。图11-3 依存关系界面下面来引见几个可以封锁的效力。检查不用的硬件。封锁Windows“主题。封锁警报效力。封锁防火墙。禁用远程注册。禁用Windows协助。11.2 Windows Server 2003端口解析11.2.1 端口的概念Windows中的端口是指TCP/IP协议中的端口，范围是从0 到65535。端口可以以为是一个队列，操作系统为各个进程分配了不同的队列，数据包按照目的端口被列入相应的队列中，等待被进程调用，在特殊的情况下，这个队列有能够溢出，不过操作系统允

6、许每个进程指定和调整本人队列的大小。不是只需接纳数据包的进程需求开启它本人的端口，发送数据包的进程也需求开启端口，这样，数据包中将会标识出源端口，以便接纳方能顺利的回传数据包到这个端口。11.2.2 端口的分类端口分类有两种分法：1按端口号可分为3大类：公认端口熟知端口：01023，它们专门为一些运用程序提供效力。注册端口：102449151，它们随机的为运用程序提供效力，许多效力绑定于这些端口，这些端口同样可以用于其它目的。动态和/或私有端口：从49152到65535，实践上，机器通常从1024起分配动态端口。2按对应的协议类型端口有两种： TCP端口和UDP端口。由于TCP和UDP 两个协

7、议是独立的，因此各自的端口号也相互独立，比如TCP有110端口，UDP也可以有110端口，两者并不冲突。 11.2.3 常被黑客利用的端口以下是计算机端口的引见的以及防止被黑客攻击的简要方法。 1端口：8080 效力：WWW代理效力阐明：8080端口同80端口，可以被各种病毒程序所利用，为了防止病毒的攻击，我们可以封锁该端口。 2端口：21 效力：FTP 阐明：FTP效力器所开放的端口，用于上传和下载。3端口：22 效力：SSH阐明：PcAnywhere建立的TCP和这一端口的衔接是为了寻觅SSH。这一效力有许多弱点，假设配置成特定的方式，许多运用RSAREF库的版本就会有不少的破绽存在。 4

8、端口：23 效力：Telnet 阐明：远程登录，入侵者可以搜索远程登录UNIX的效力。5端口：25 效力：SMTP 阐明：SMTP效力器所开放的端口，用于发送邮件。6端口：80 效力： 阐明：用于网页阅读。木马Executor开放此端口。 7端口：102 效力：Message transfer agentMTA-X.400 over TCP/IP 阐明：音讯传输代理。8端口：110 效力：Post Office Protocol -Version3 阐明：POP3效力器开放此端口，用于接纳邮件，客户端访问效力器端的邮件效力。9端口：111 效力：SUN公司的RPC效力中所包含的各种效力的端口

9、阐明：常见RPC效力有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等 10端口：119 效力：Network News Transfer Protocol 阐明：NEWS新闻组传输协议，承载USENET通讯。11端口：效力：Location Service 阐明：Microsoft在这个端口运转DCE RPC end-point mapper为它的DCOM效力。12端口：、 效力：NETBIOS Name Service 阐明：其中、是UDP端口，当经过网上邻居传输文件时用这个端口。13端口：161 效力：SNMP 阐明：SNMP允许远程管理设

10、备。一切配置和运转的信息都储存在数据库中，经过SNMP可获得这些信息14端口：177 效力：X Display Manager Control Protocol 阐明：许多入侵者经过它访问X-windows操作台，它同时需求翻开6000端口。 15端口：389 效力：LDAP、ILS 阐明：轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。11.2.4 端口的平安管理普通来说，查看端口的方法有两种：一种是利用系统内置的命令，一种是利用端口相关工具。下面简单引见几个命令、方法或工具。1端口重定向一种常见的技术是把一个端口重定向到另一个端口。实现重

11、定向是为了隐藏公认的默许端口，降低受破坏率。2netstat -an 运用该命令是查看本人所开放端口的最方便方法，可以在cmd中输入这个命令。3Visual Sniffer这个可以拦截网络数据包，查看正在开放的各个端口。该工具界面如图11-4所示。4FPORTFPort可以把本机开放的TCP/UDP端口同运用程序关联起来，和运用“netstat -an命令产生的效果类似，但是该软件还可以把端口和运转着的进程关联起来，并可以显示进程PID、称号和途径。图11-4 Visual Sniffer界面5ACTIVEPORT.EXE这个工具是一个用来查看本地主机开放端口的工具，除了具有上面两个程序的全部

12、功能外，还有两个更大的优点：图形界面和封锁端口。6SUPERSCAN 3.0 这个工具是一个端口扫描类软件，扫描速度快而且可以指定扫描的端口。11.3 Windows Server 2003进程解析11.3.1进程的概念进程是程序在计算机上的一次执行活动。显然，程序是静态的，进程是动态的。进程可以分为系统进程和用户进程。进程是运用程序的运转实例，是运用程序的一次动态执行。可以简单地了解为操作系统当前运转的执行程序。系统当前运转的执行程序里包括：系统管理计算机程序、各种操作所必需的程序、用户开启和执行的额外程序。危害较大的可执行病毒是以“进程方式出如今系统内部，那么及时查看并准确杀掉非法进程对于

13、手工杀毒有起着关键性的作用。11.3.2根本进程解析翻开“义务管理器，选择“进程选项卡，就可以看到本机当前运转的进程，如图11-5所示。下面来引见一下系统必要进程：1Winlogon.exe2Explorer.exe3Csrss.exe4System Idle5Smss.exe6Lsass.exe7Services.exe8Spoolsv.exe图11-5 义务管理器11.3.3 Svchost.exe进程的解析Svchost.exe是一个属于微软Windows操作系统的系统程序，用于执行DLL文件。这个程序对系统的正常运转是非常重要的。Svchost.exe是系统必不可少的一个进程，很多效力

14、都会用到它。可以看出把更多的系统内置效力以共享进程方式由Svchost启动是操作系统开展的一个趋势，这样做在一定程度上减少了系统资源的耗费，不过也带来一定的不稳定要素，由于任何一个共享进程的效力由于错误退出进程就会导致整个进程中的一切效力都退出。 Svchost的原理 Svchost本身只是作为效力宿主，并不实现任何效力功能，需求Svchost启动的效力以动态链接库方式实现，在安装这些效力时，把效力的可执行程序指向Svchost，启动这些效力时由Svchost调用相应效力的动态链接库来启动效力。 Svchost可以知道某一效力是由哪个动态链接库担任的，这不是由效力的可执行程序途径中的参数提供的

15、，而是效力在注册表中的参数设置的，注册表中效力下边有一个Parameters子键，其中的ServiceDll阐明该效力由哪个动态链接库担任。这些效力是运用共享进程方式由Svchost启动的。 Svchost启动效力的设置 要经过svchost调用启动的效力，就一定要在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost下有该效力名，可以经过如下方式来实现： 添加一个新的效力组，在组里添加效力名。在现有组里添加效力名。直接运用现有效力组里的一个效力名，但本机没有安装的效力。 修正现有效力组里的现有效力，把它的Serv

16、iceDll指向本人。 11.3.4 进程工具引见这里引见下Windows自带的命令和Process Explorer工具。1Tasklist命令Tasklist命令能检查当前进程的情况。运用命令tasklist /v后执行结果如图11-6所示。2Process ExplorerProcess Explorer是比较好的进程监视工具，且是免费的。它不仅可以监视、暂停、终止进程，还可以查看进程调用的DLL文件，遇到不熟习的进程还可以直接经过 google 或 MSN 搜索。该工具的界面如图11-7所示。 图11-6 进程运用资源界面图11-7 进程查看器界面11.4 Windows Server

17、 2003 注册表解析11.4.1 注册表概述Windows的注册表Registry本质上是一个庞大的分层数据库，它记录了用户安装在机器上的软件和每个程序的相互关联关系，包含了软、硬件的有关配置和形状信息，运用程序和资源管理器外壳的初始条件、首选项和卸载数据。注册表中存放着各种参数，直接控制着Windows的启动，在整个系统中起着至关重要的作用，包括：1软、硬件的有关配置和形状信息，注册表中保管有运用程序和资源管理器外壳的初始条件、首选项和卸载数据等。2联网计算机整个系统的设置和各种答应，文件扩展名与运用程序的关联，硬件部件的描画、形状和属性。3性能记录和其他底层的系统形状信息，以及其他数据。

18、注册表的特点有：1注册表允许对硬件、系统参数、运用程序和设备驱动程序进展跟踪配置，这使得修正某些设置后不用重新启动成为能够。2注册表中登录的硬件部分数据可以支持高版本Windows的即插即用特性。3管理人员和用户经过注册表可以在网络上检查系统的配置和设置，使得远程管理得以实现。11.4.2 注册表的构造 注册表文件在Windows95/98中，注册表由两个文件组成：System.dat和User.dat，保管在Windows所在的文件夹中，它们是由二进制数据组成的。在Windows 2000和Windows Server 2003中的注册表也分为两个部分，但是包括多个文件。其中，用户的配置文件

19、保管在根目录“Documents and Setting下的用户名目录中，包括Ntuser.dat和Ntuser.dat.log文件。系统配置文件位于系统目录下的“system32config中，包括Default、Software、System、Appevent.evt、Sysevent.evt等多个隐藏文件及其相应的log文件和.sav文件。 注册表键和子键在Windows系统中，注册表是采用“关键字和其“键值来描画登录项及其数据的。一切的关键字都是以“HKEY作为前缀开头，在注册表中，关键字可以分为两类：一类由系统定义，普通称为“预定义关键字；另一类由运用程序定义的，由于安装的运用软件不

20、同，所以登录项也不同。在“运转中输入“regedit，就可翻开注册表，如图11-8所示。注册表物理上是由假设干文件组成，是一个树状、分层的数据库结果。图 11-8注册表编辑器可以看出在Windows Server 2003下，注册表被分为5大根键，它们是：1HKEY_CLASSES_ROOT2HKEY_CURRENT_USER3HKEY_LOCAL_MACHINE4HKEY_USERS5HKEY_CURRENT_CONFIG 注册表键值类型注册表由键、子键和值项构成。注册表经过键和子键来管理各种信息。这些键值数据可以分为三种类型。1二进制BINARY 在注册表中，二进制是没有长度限制的，可以是

21、恣意长度的字节。双击键值名，就会弹出“编辑二进制数值对话框，如图11-9所示。2DWORD值DWORD DWORD值是一个32位长度的数值。在注册表编辑器中，双击键名，就会弹出“编辑二进制数值对话框，如图11-10所示。3字符串值SZ在注册表中，字符串值普通用来表示文件的描画和硬件标识等。同样经过双击键值名，在弹出的对话框可以进展修正，如图11-11所示。图11-9 编辑二进制数值图11-10 编辑DWORD值图11-11 编辑字符串 注册表数据类型注册表的键中包含着各种不同格式的数据。数据类型可以分为以下三种：通用数据类型。Windows NT 公用数据类型。组件运用程序公用的特殊数据类型。

22、常见的与注册表有关的术语主要有：1HKEY：“根键或“主键。 2key键：它包含了附加的文件夹和一个或多个值。 3subkey子键：在某一个键父键下面出现的键子键。4branch分支：代表一个特定的子键及其所包含的一切。5value entry值项：带有一个称号和一个值的有序值。6字符串(REG_SZ)：通常它由字母和数字组成。注册表总是在引号内显示字符串。7二进制REG_BINARY：，是没有长度限制的二进制数值，在注册表编辑器中，二进制数据以十六进制的方式显示出来。8双字REG_DWORD：双字节值，由十六进制数据组成。9Default缺省值：每一个键至少包括一个值项，称为缺省值Defau

23、lt，它总是一个字串。 注册表分析下面让我们详细看看系统预定义的5个根键：1HKEY_CLASSES_ROOT：基层类别键，定义了系统中一切曾经注册的文件扩展名、文件类型、文件图标等。2HKEY_CURRENT_USER：定义了当前用户的一切权限，包含了当前用户的登录信息。3HKEY_LOCAL_MACHINE：定义了本地计算机的软硬件的全部信息。4HKEY_USERS：定义了一切的用户信息，它的大部分设置都可以经过控制面板来修正。5HKEY_CURRENT_CONFIG：定义了计算机的当前配置情况。下面对HKEY_LOCAL_MACHINE进展深化分析：HARDWARE子键：该子键下面存放一

24、些有关超文本终端、数学协处置器和串口等信息。SAM子键：系统自动将其维护起来。SECURITY子键：包含了平安设置的信息，同样也让系统维护起来。SOFTWARE子键：包含了系统软件、当前安装的运用软件及用户的有关信息。 SYSTEM子键：该子键存放的是启动时所运用的信息和修复系统时所需的信息，其中包括各个驱动程序的描画信息和配置信息等。System子键下面有一个CurrentControlSet子键，系统在这个子键下保管了当前的驱动程序控制集的信息。 Control子键：该子键中保管的是由控制面板中各个图标程序设置的信息。 Control子键包含以下的子键：1fontassoc子键：该子键存放

25、的是有关字体设置信息 2Nls子键：用来设置Windows的言语特性，如代码页、EUDC内码范围、言语分类等。3SessionManager子键：用于管理系统的会话。4MediaResources子键 ：用于设置多媒体资源。5MediaProperties子键：用于设置多媒体的属性。6FileSystem子键：主要对Windows文件系统进展设置。7shutdown子键：用于对Windows关机时的设置，里面有一个快速关机的设置。8keyboard layouts子键：主要对Windows的键盘规划或者键盘言语进展设置。9Update子键：此子键的功能与“控制面板窗口中的“查看菜单中的“刷新一

26、样。10TimeZoneInformation子键：用于设置时区信息。11Print子键：用于设置打印机。12IDConfigDB子键：用于显示硬件配置文件的配置数据、配置称号等其他信息。13ComputerName子键：该分层构造用于设置计算机称号。14SecurityProviders子键：用于设置网络供应商的平安功能。Services子键：在该子键下面的每个子键中存放相应效力的配置和描画信Services子键包括以下子键：1Class子键：该子键中保管的是Windows支持的不同种类硬件的信息。2VxD子键：该子键保管了Windows中一切虚拟设备驱动程序的信息。3WinSock子键：存

27、放的是当系统衔接Internet时运用的WinSock的信息。4WDMFS子键：用于设置WDMFSWDM文件系统。 5UPDATE子键：用于设置UPDATE更新效力。 6RemoteAccess子键：存放的是和Windows拨号网络有关的信息。 7MSNP32子键：该子键用于保管Microsoft网络用户的验证信息。 8NWNP32子键：该子键中存放的是Microsoft网络用户针对Netware网络时的验证信息。 9Arbitrators子键：该子键中保管的信息是用来处理不同的设备间资源冲突的问题。 10WinSock2子键：用于存放与Internet衔接时WinSock 2.0版本的有关信

28、息。 11wdmaud子键：用于存放WDM AudioWDM音频信息。12NPSTUB子键：该子键用于存放“Microsoft友好登录的有关信息。 13WebPost子键：该子键下面保管了一切与Internet Mail有关的信息。11.4.3 注册表的操作 注册表键值的添加和删除这里以HKEY_LOCAL_MACHINESoftware为例进展阐明。首先右键选中“HKEY_LOCAL_MACHINESoftware，在弹出的菜单项选择择“项命令，并命名为“new 1，接着右键选中“new 1，在弹出的菜单项选择择“项命令，并命名为“new 2，结果如图11-12所示。右键选中“new 2，在弹出的菜单中选择“字符串值，默许名为“新建#1，右键选中“新建#1，可进展重命名，至于新建其他值，读者可自行实际，如图11