云南龙网

  1. 首页 > 云知道 > >

隐藏在Windows XP安装盘上的安全工具( 二 )

云知道




图四

;;;;有时监视每一个进程打开了哪些文件也是非常有用的 。在以前的Windows中,我们可以安装资源工具包的oh.exe 。但在XP中,虽然Support Tools的帮助文件提到了oh.exe,安装好的Support Tools却不带oh.exe 。但是,XP提供了一个新的Openfiles命令行工具(Openfiles.exe),它能够报告进程打开的各个文件 。和oh.exe相似,Openfiles也要求打开系统内核监视,而这会消耗一些内存,降低文件、打印、邮件、数据库等操作的性能 。打开系统监视的命令是openfiles /local on,它会启用系统全局标志“维护对象列表”,需要重新启动系统才能生效(你可以执行gflags.exe查看Openfiles命令设置了哪些标志) 。

;;;;重新启动系统后,不带参数执行Openfiles就可以看到一个进程清单以及各个进程打开的文件(包括共享文件),图五就是Openfiles执行结果的一个片断 。如果要查看哪个用户正在运行打开文件的进程,执行openfiles /query /v,如图六 。


图五


图六

;;;;Openfiles还有其他一些命令行参数,主要用来控制输出格式,另外还可以用Openfiles来监视远程系统打开的文件,前提是远程系统必须启用监视功能 。

;;;;就监视系统状态而言,事件日志属于最难的部分 。在运行了大量应用软件或者启用了安全审计的系统上,审计/事件信息可能很快达到数兆之多,要在如此庞大的事件信息库中寻找特定的事件纪录是相当困难的——至少是相当耗时的 。XP新增了一个Eventtriggers工具(eventtriggers.exe),能够在事件日志中发生任意事件时执行指定的命令 。假设当有人试图登录系统但验证身份失败时,我们想要执行 C:AdminInvalidLogon.cmd脚本,可设置如下:eventtriggers /create /l security /eid 529 /tr“登录失败”/tk c:adminInvalidLogon.cmd /ru:administrator 。

;;;;InvalidLogon.cmd脚本将在本地系统管理员的身份下运行 。系统将要求为/ru参数指定的用户输入密码 。如果不指定运行InvalidLogon.cmd脚本的用户,系统默认使用“Local System”,但使用Local System可能导致某些命令无法执行,所以本人的建议是最好指定一个具有适当权限的用户 。经试验发现,从事件出现到触发/运行指定的命令之间会有约60秒的延迟 。就象许多其他XP新增的工具一样,eventtriggers也能够操作远程的XP系统 。

;;;;三、监视网络

;;;;如果你曾经排解过服务器/客户机之间的通信问题,可能已经熟悉网络监视工具Netmon.exe,不过这个工具是随着服务器操作系统提供的 。XP的Support Tools有一个Netcap工具(netcap.exe),它和Netmon.exe一样也能够捕获网络通信 。第一次运行Netcap时它会提示说正在安装网络监视驱动程序 。Netcap能够读取Netmon 2.0以上版本创建的筛选文件,Netmon也能够读取Netcap捕获的数据 。

;;;;在网络上运行IP Security(IPSec)的用户都知道,Ipsecmon是一个监视IPSec组件的实用工具 。奇怪的是,XP并没有提供这个工具,不过不必担心,在XP中Ipsecmon已被一个称为“IP安全监视器”的MMC管理单元替代,后者的监视功能进一步加强,而且兼具监视本地/远程系统的能力 。

;;;;选择菜单“文件”→“添加/删除管理单元”,点击“添加”打开“添加独立管理单元”对话框,从管理单元清单中找到并选中“IP安全监视器”,点击“添加”,再在“添加/删除管理单元”对话框中点击“确定”返回MMC控制台,如图七 。本地机器的节点包含两个子节点:主模式,快速模式 。两种模式分别对应IPSec协商过程的第一、二两个阶段 。


图七

;;;;四、管理系统

;;;;在以前的Windows中,使用Support Tools中的kill.exe工具可以关闭一个进程 。XP把kill.exe换成了taskkill.exe,增加了关闭远程系统上进程的能力,能够根据进程名称、窗口标题关闭进程,能够关闭子进程,甚至能够根据一组指定的条件关闭一系列进程,允许定义的条件包括:进程状态,内存使用情况,CPU使用情况,装入的DLL,用户名字,服务名字 。

推荐阅读


上一篇:电动车半年不充电电瓶还能用吗

下一篇:房产税如何增收