摘要:
数据库是电子商务、金融以及erp系统的基础,通常都保存着重要的商业伙伴和客户信息。大多数企业、组织以及政府部门的电子数据都保存在各种数据库中,他们用这些数据库保存一些个人资料,比如员工薪水、个人资料等等。数据库服务器还掌握着敏感的金融数据。包括交易记录、商业事务和帐号数据,战......
摘要:
相信2000的用户都知道我说的是什么了.在windows2000中,服务基本上是一个在启动时运行的程序,它的运行和任何用户都无关,一台服务器所执行的大多数功能,例如文件共享等都是以服务得形式来运行.而且大多数十以system特权运行的,这样黑客们通过非法的途径利用某个服务获得......
高级WIN2KROOTKIT检测技术
摘要:本文描述了一种检测内核与用户级rootkit的新技术.此技术利用处理器的单步执行模式,来测定系统内核与dll中执行指令的数量,从而达到检测rootkit与后门的目的.同时还讨论了其在win2k下的代码实现. 【程序编程相关:
Win2000故障解决一览
】 【推荐阅读:
Windows2000的多语言支持
】 【扩展信息:
安装多操作系统软件引起崩溃的解决
】 --背景知识 一个在计算机安全领域中重要的问题是,如何判断给定的主机是否已被入侵.由于以下两点这项工作变的非常困难: 1.攻击者可以利用未知漏洞进入系统. 2.当进入系统后,入侵者可通过安装rootkit与后门来隐藏自身(例如:隐藏进程,通讯渠道,文件等).本文将集中讨论在win2k系统下rootkit的检测问题. --传统rootkit检测技术中的一些问题 传统的rootkit检测程序(那些我们经常在unix系统中见到的)只能检测一些已知的rootkit(这点使它变的像反病毒程序)或进行一些内核存储的扫描.例如linux中就有一些工具扫描内核中的syscall table.这显然不够好,因为已经有了很多并不更改syscall table的rootkit,而win2k下也可开发出类似的rootkit. 那检测程序是不是还应该扫描内核代码空间?这样我们就有了一个运行在内核模式中的tripwire.但这还不够好,因为在大多数的操作系统中,我们可以写出即不更改sst(syscall table)也不更改代码的内核级rootkit.在系统中有很多可以勾连的函数指针(例见[2]). 以我看,存储扫描技术决不会成为rootkit检测的终结.这主要是因为我们不能确定具体的监测存储区域. 那到底怎样检测出我们系统中的入侵者呢? 首先我们以rootkit中所使用的技术,将其分为两类: *通过更改系统结构来隐藏某对象的(如运行的进程)与 *更改内核执行路径(例:勾连那些负责枚举活动进程的内核函数)来达到同样目的的. --更改系统数据结构的rootkit ...
下一页 摘要:
用nt(2000)建立的web站点在所有的网站中占了很大一部分比例,但nt的安全问题也一直比较突出,使得一些每个基于nt的网站都有一种如履薄冰的感觉,然而微软并没有明确的坚决方案,只是推出了一个个补丁程序,各种安全文档上对于nt的安全描述零零碎碎,给人们的感觉是无所适从。于是......
