主机入侵检测_第1页
主机入侵检测_第2页
主机入侵检测_第3页
主机入侵检测_第4页
主机入侵检测_第5页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

实验五主机入侵检测【实验目的】掌握Sentinel的安装与基本功能的使用了解HIDS的基本原理【实验人数】每组1人【系统环境】Windows【网络环境】交换网络结构【实验工具】Sentinel【实验步骤】本练习每人一组。首先使用“快照X”恢复Windows系统环境。1.启动Sentinel单击“Sentinel”按钮,启动Sentinel工具。首次运行Sentinel,提示是否要扫描保存状态,选确定,它会第一次扫描并且保存系统的状态,以后它就根据这个来对比。默认情况下只检查%SYSTEMROOT%system32目录下的文件。2.使用Sentinel进行扫描当我们觉得系统有异常或者想做一个例行检查的时候,只需要运行一下,然后选择“扫描”页签,选择要扫描的文件类型(DLL,DRV,SYS,OCX,EXE,COM,PIF,SCR),一般情况下就是全选,然后单击“立刻扫描文件夹”。Sentinel接下来就会扫描所有文件,并且跟以前的文件状态进行比较,可以比较清楚看到它的扫描状态:图28-5-1图28-5-2扫描完毕,显示已经扫描的文件、新文件数、失败的文件数(即更该的文件)等。接着点那个修复和更新失败的文件按钮,下一张图就显示所有变化的文件。文件后门有一个*NEW*说明是新增加的,否则就是被更改的文件。你可以根据这个信息来进一步判断,新增或者更改的文件是否是合法的、有效的。我们在C:\WINDOWS\system32目录下新建一个xxx.dll来验证一下。图28-5-3图28-5-4除了默认的SYSTEM32目录之外,还可以自定义多达20个其它目录,这样可以根据需要,来监视相应的目录文件变化情况。图28-5-53.Sentinel的其它功能使用Sentinel除了文件完整性检查之外,还有一个“注册表检测”的功能,可以显示当前的启动项。可以在此删除注册启动项的一些子项,可以对启动项的变化进行警告,还可以进行病毒扫描。还有一个“程序检测”功能,来查看当前的窗口句柄。“选项”中除了一些选项外还可以查看以前生成的日志。4.测试Sentinel在C:\目录下新建一个文件夹,在文件夹内添加一个文件xxx.dll,使用记事本打开该文件并输入123并保存。运行Sentinel将此文件夹添加到受保护目录

人人文库> 全部分类> 教育资料 > 辅导培训

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论