放假的两天,朋友就说自己的电脑很不正常,好象是被入侵了。因为放假本来时间就少,所以匆匆赶到朋友家,一看,WinXP PRO,SP2,天网和诺顿都是最新版的,按理来说安全性是很强的。好,一步步检查下去:
1、先查看本机日志,没什么可疑的系统用户,组,管理登陆等信息。(入侵者一般不会给你留下有用的日志的)
2、NETSTAT,看看端口的情况,也是一切正常。
3、再检查开启的服务,看到朋友的IPSEC安全策略是启动的,而且朋友有一定的计算机知识,也配置了IP安全策略。再往下看,朋友的Remote Access Auto Connection Manager和Remote Access Connection Manager两项服务已经启动。我们都知道,此服务是当某个程序引用一个远程DNS或NETBIOS名或者地址的时候建立远程网络连接用的,但是此服务开启也很正常,没有可以利用的端口是无法连接的,朋友的135,137,138,139,445端口是关闭的。
4、检查IPC$,朋友的IPC$是开启的,危险,但是又想到防火墙和IP安全策略,能连接的可能性几乎为零。
作为一台个人使用PC来说,朋友的安全性是不错的,正准备往下查的时候,看到一台NB摆在旁边,朋友说公司的NB,拿回来COPY资料。我看了下NB,因为配置问题装的98,于是想起98和XP互连,朋友估计装了NETBEUI协议的,于是继续检查。
装了NETBIOS协议,并没有NETBEUI,但是朋友说曾经装过,但是卸了。
NETBEUI协议其实是NETBIOS的本地延伸,用于不同的计算机网络互通的, 但是我记得NETBEUI协议的卸载不是那么简单从协议组中就卸了的,于是发现了点问题的可疑点。
再次检查日志,发现了可疑点:
Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7000
Date: 3/26/2005
Time: 9:54:24 AM
User: N/A
Computer: KK
Description:
The NetBEUI Protocol service failed to start due to the following error:
The system cannot find the file specified.
