入侵检测的几个小工具

1、进程运行信息
调查人员感兴趣的第一个不稳定信息是受害计算机的进程运行状况，我们可以使用下面的几种软件来获取相关信息：
Pslist.exe：产自SysInternals公司，提供一个全面的进程信息列表，包括进程的PID、内核时间（kernel time）、用户时间（user time）以及内存使用状况。

Pulist.exe：出自NT Resource Kit，列出每个进程的PID标识和用户。

Fport.exe：产自FoundStone，列出系统中所有打开的TCP/IP和UDP端口，以及它们对应应用程序的完整路径、PID标识、进程名称等信息。
Listdlls.exe：产自SysInternals，列出系统中每个进程使用中的DLL文件信息，包括基地址、大小、版本、DLL文件的完整路径。
Psloggedon.exe：产自SysInternals，报告本地登录受害计算机的用户信息，以及共享资源信息。

Psuptime.exe：产自SysInternals，显示系统运行的时间。



Pclip.exe：产自UnxUtils.zip，可以将剪贴板的内容发送到标准输出设备。 我们也可以通过管道命令联合使用Pclip和netcat或cryptcat，比如：在诊断工作站执行命令"nc -l -p 12345 > c:\caseid\\pclip.dat"，负责接收输出信息；在受害计算机执行命令"pclip \| nc 12.34.56.78 12345"收集剪贴板信息。

2、待执行任务信息
受害计算机上有可能运行了AT命令，因此调查人员有必要执行"AT"命令，确认一下受害计算机是否还有任务等待运行。

3、网络连接信息
要获取网络连接信息，不需要另外的工具直接使用Windows内置命令就可以实现，它们是"netstat -a"，"nbtstat -c"以及带各种参数的net命令。将它们通过管道命令与netcat或cryptcat联合使用，输出信息就可以方便地传送到诊断工作站。

返 回