mf117 
级别:精灵王
威望:0
经验:0
货币:2217
体力:
来源:61.183.75.*
总发帖数:362
注册日期:2002-03-27
|
|
 查看  邮件  主页  QQ  消息  引用  复制  下载
1、进程运行信息
调查人员感兴趣的第一个不稳定信息是受害计算机的进程运行状况,我们可以使用下面的几种软件来获取相关信息:
Pslist.exe:产自SysInternals公司,提供一个全面的进程信息列表,包括进程的PID、内核时间(kernel
time)、用户时间(user time)以及内存使用状况。
Pulist.exe:出自NT Resource
Kit,列出每个进程的PID标识和用户。
Fport.exe:产自FoundStone,列出系统中所有打开的TCP/IP和UDP端口,以及它们对应应用程序的完整路径、PID标识、进程名称等信息。
Listdlls.exe:产自SysInternals,列出系统中每个进程使用中的DLL文件信息,包括基地址、大小、版本、DLL文件的完整路径。
Psloggedon.exe:产自SysInternals,报告本地登录受害计算机的用户信息,以及共享资源信息。
Psuptime.exe:产自SysInternals,显示系统运行的时间。
Pclip.exe:产自UnxUtils.zip,可以将剪贴板的内容发送到标准输出设备。
我们也可以通过管道命令联合使用Pclip和netcat或cryptcat,比如:在诊断工作站执行命令"nc -l -p 12345
> c:\caseid\\pclip.dat",负责接收输出信息;在受害计算机执行命令"pclip \| nc
12.34.56.78 12345"收集剪贴板信息。
2、待执行任务信息
受害计算机上有可能运行了AT命令,因此调查人员有必要执行"AT"命令,确认一下受害计算机是否还有任务等待运行。
3、网络连接信息
要获取网络连接信息,不需要另外的工具直接使用Windows内置命令就可以实现,它们是"netstat -a","nbtstat
-c"以及带各种参数的net命令。将它们通过管道命令与netcat或cryptcat联合使用,输出信息就可以方便地传送到诊断工作站。
|
首页 
小榕软件实验室 
刀光雪影 
入侵检测的几个小工具! 
将此页发给您的朋友
编辑
删除
发表于
2002-08-31.22:52:34 
IP: 
