如何检测这台机器有没有装一些入侵者的工具或后门呢？

　　查看端口(偏好命令行程序，舒服)

　　1、fport.exe－－－>查看那些端口都是那些程序在使用。有没有非法的程序，和端口 winshell.exe 8110 晕倒～后门 net use 谁在用这个连接我？

　　2、netstat -an ---->查看那些端口与外部的ip相连。 23 x.x.x.x 没有开23端口，怎么自己打开了？？黑客！？

　　3、letmain.exe \\ip -admin -d 列出本机的administrators组的用户名查看是否有异常。 怎么多了一个hacker用户？？<＝＝>net user id

　　4、pslist.exe---->列出进程<==>任务管理器

　　5、pskill.exe---->杀掉某个进程，有时候在任务管理器中无法中止程序那就用这个工具来停止进程吧。

　　6、login.exe ---->列出当前都有那些用户登录在你的机器上，不要你在检测的同时，入侵者就在破坏:

　　7、查看日志文件--->庞大的日志文件--->需要借助第三方软件来分析日志 记录了入侵者扫描的信息和合法用户的正确请求

　　Find “scirpts/..” C:\WINNT\system32\LogFiles\W3SVC1\ex010705.log --解码漏洞？？谁在扫描我？

　　8、查看 Web 目录下文件改动与否 留没有留 asp php 后门……查看存放日志文件的目录 GUI 查看显示所有文件和文件夹 z[-6QwE

　　技巧：查看文件的修改日期，我两个月没有更新站点了(好懒：)，怎么 Web 目录下有最近修改文件的日期？？奇怪吧？：) "DYN}

　　＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃ 驱动器 C 中的卷是 system Server D7

　　卷的序列号是 F4EE-CE39

　　R-hgl8F

　　C:\WINNT\system32\LogFiles\W3SVC1 的目录 ?

　　2001-07-05 02:43 1,339 ex010704.log

　　2001-07-05 23:54 52,208 ex010705.log

　　2001-07-07 22:59 0 ex010707.log

　　2001-07-08 22:45 0 ex010708.log

　　2001-07-10 08:00 587 ex010709.log

　　恩？奇怪？怎么没有 2001-07-06 那天的日志文件？？可疑……2001-07-07、2001-07-08 两天的日志文件大小为零，我得网站访问量怎么两天都是空？？没有那么惨吧：(好奇怪？！＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃

　　驱动器 D 中的卷是 新加卷

　　卷的序列号是 28F8-B814 D:\win 2000 的目录

　　2001-06-03 17:43

　　2001-06-03 17:43
..

　　2001-06-03 17:43
CLIENTS

　　2001-06-03 17:43
BOOTDISK

　　2001-06-03 17:43
I386

　　2001-06-03 17:46
PRINTERS

　　2001-06-03 17:46
SETUPTXT

　　2001-06-03 17:46
SUPPORT

　　2001-06-03 17:46
VALUEADD

　　2000-01-10 20:00 45 AUTORUN.INF

　　2000-01-10 20:00 304,624 BOOTFONT

　　2000-01-10 20:00 5 CDROM_IS.5

　　2000-01-10 20:00 5 CDROM_NT.

　　2000-01-10 20:00 12,354 READ1ST

　　2000-01-10 20:00 465,408 README.DOC

　　2000-01-10 20:00 267,536 SETUP.EXE

　　2001-06-04 17:37
SP1

　　2001-06-27 16:03
sp2

　　2001-07-06 00:05
system --->从来没有修改或安装什么文件程序啊 什么时候多了system目录？这个是我安装 win 2000 的安装文件。 日期怎么不对 2001-07-06，日志文件也没有 2001-07-06 的这一天的记录，可疑…….

　　7 个文件 1,049,977 字节 12 个目录 10,933,551,104 可用字节

　＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃ 总的来说入侵检测包括：

　　一、基于80端口入侵的检测 CGI IIS 程序漏洞……

　　二、基于安全日志的检测 工作量庞大

　　三、文件访问日志与关键文件保护 )

　　四、进程监控 后门什么的

　　五、注册表校验 木马

　　六、端口监控 21 23 3389 …

　　七、用户 我觉得这个很重要，因为入侵者进入系统以后，为了方便以后的“工作”通常会加一个用户或者激活guest帐号提升为管理员的

　　/************** 借助第三方软件协助分析 IDS Firewall …..***********************/

　　对 unix & linux 入侵检测说几句

　　有必要先用扫描器扫描一下系统，搜集一下资料 CGI RPC TELNETD FTP ……本地远程溢出漏洞……

　　1、检查 suid sgid 程序

　　find / -user root -perm -4000 -print --常用

　　find / -group kmem -perm -2000 -print 

　　2、查看系统的二进制文件是否被更改

　　如：ls su telnet netstat ifconfig