信安综合实习报告.docx

《信安综合实习报告.docx》由会员分享，可在线阅读，更多相关《信安综合实习报告.docx（38页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、目录PE 病毒实验4一 实验目的4二 实验准备4三 预备知识43.1 病毒的重定位43.2 获取API函数地址53.3 文件搜索73.4 内存映射文件83.5 病毒如何通过添加新节感染其他文件93.5.1 感染文件的基本步骤93.5.2 文件操作相关API 函数103.6 病毒如何返回到Host程序11四 实验内容11完全脆弱图像水印17一 实验目的17二 实验环境17三 原理简介17四 实验步骤184.1Checksum水印嵌入184.2判断图像是否被修改或篡改21五 实验总结23联想网御N3000 IDS24一 实验目的及要求24二 实验环境24三 实验基础243.1产品组成及环境243.

2、1.1产品的组成243.1.2系统要求253.2安装前注意事项25四 实验步骤264.1安装控制台264.1.1 控制台安装位置264.1.2 架构网络环境264.1.3控制台安装步骤264.1.4 确认控制台安装314.2安装探测器324.2.1探测器的安装位置324.2.2 探测器安装前准备324.2.3安装探测器（配置IP地址和路由）334.3配置探测器354.4控制台的设置364.4.1生成完整性值364.4.2管理员登录364.4.3 注册探测器364.5实施网络监测37PE 病毒实验一 实验目的(1)掌握PE 病毒的传播原理。(2)掌握MASM 编译工具的使用。(3)掌握Ollyd

3、bg 调试工具的使用。二 实验准备(1)Windows 桌面系统。(2) MASM32。(3)Ollydbg 调试工具。(4)Stup_PE 等PE 文件修改工具。三 预备知识本节主要介绍PE 病毒的基本原理。本节中的例子均属于概念病毒（概念病毒主要是具有感染能力的病毒，可能有的病毒具有自动能力，但一般没有破坏性）。一个Win32 PE 病毒基本上需要具有以下几个功能，或者说需要解决如下几个问题。3.1 病毒的重定位call 指令一般用来调用一个子程序或用来进行转跳，当这个语句执行的时候，它会先将返回地址（即紧接着call 语句之后的那条语句在内存中的真正地址）压入堆栈，然后将IP 置为cal

4、l 语句所指向的地址。当子程序碰到ret 命令后，就会将堆栈顶端的地址弹出来，并将该地址存放在IP 中，这样，主程序就得以继续执行。以下代码通常用于重定位：call delta ;这条语句执行之后，堆栈顶端为delta 在内存中的真正地址delta: pop ebp ;这条语句将delta 在内存中的真正地址存放在ebp 寄存器中lea eax,ebp+(offset var1-offset delta);这时eax 中存放着var1 在内存中的真实地址当pop 语句执行完毕之后，ebp 中存放病毒程序中标号delta 处在内存中的真正地址。如果病毒程序中有一个变量var1，那么该变量在内存中

5、的实际地址应该是ebp+（offsetvar1-offset delta），即“参考量delta 在内存中的地址+其它变量与参考量之间的距离=其它变量在内存中的真正地址”。有时候我们也采用（ebp-offset delta）+offset var1的形式进行变量var1 的重定位。当然还有其它重定位的方法，但是它们的原理基本上都是一样的。3.2 获取API函数地址如何获取API 函数地址一直是病毒技术中的一个非常重要的话题。要获得API 函数地址，我们首先需要获得Kernel32 的基地址。下面介绍几种获得Kernel32 基地址的方法：(1) 利用程序的返回地址，在其附近搜索KERNEL32

6、 模块基地址。系统打开一个可执行文件时，它会调用Kernel32.dll 中的CreateProcess 函数，CreateProcess 函数在完成应用程序装载后，会先将返回地址压入到堆栈顶端，然后转向执行刚才装载的应用程序。当该应用程序结束后，会将返回地址弹出放到EIP 中，继续执行。而这个返回地址正处于Kernel32.dll 的地址空间之中。这样，利用PE 文件格式的相关特征（如03CH 偏移处内容存放着“PE”标志的内存地址等），在此地址的基础上往低地址方向逐渐搜索，必然可以找到KERNEL32.DLL 模块的首地址。不过这种暴力搜索方法比较费时，并且可能会碰到一些异常情况。(2)

7、通过SEH 链获得KERNEL32 模块内地址遍历SEH 链，在链中查找prev 成员等于0xFFFFFFFF 的EXCEPTION_REGISTER 结构，该结构中handler 值指向系统异常处理例程，它总是位于KERNEL32 模块中！根据这一特性，然后配合类似(1)的向前搜索方法就可以查找KERNEL32.DLL 在内存中的基地址。(3) 通过PEB 相关数据结构获取。fs:0指向TEB 结构，首先从fs:30h获得PEB 地址，然后通过PEB0x0c获得PEB_LDR_DATA 数据结构地址, 然后通过从PEB_LDR_DATA0x1c 获取InInitializationOrder

8、ModuleList.Flink 地址，最后在Flink0x08中得到KERNEL32.DLL模块的基地址。这种方法比较通用，适用于2K/XP/2003。在Exploit 的编写中，也通常采用这种方式。(4) 对相应操作系统分别给出固定的KERNEL32 模块的基地址，对于不同的Windows 操作系统来说，KERNEL32 模块的地址是固定的，甚至一些API 函数的大致位置都是固定的。譬如，Windows 98 为BFF70000,Windows 2000 为77E80000,WindowsXP 为77E60000。病毒在先对目标操作系统进行大致判断之后，可以直接使用相关KERNEL32模块

9、的基地址。在得到了Kernel32 的模块地址以后，我们就可以在该模块中搜索我们所需要的API 地址。对于给定的API，搜索其地址可以直接通过Kernel32.dll 的引出表信息搜索，同样我们也可以先搜索出GetProcAddress 和LoadLibrary 两个API 函数的地址，然后利用这两个API 函数得到我们所需要的API 函数地址。关于各个关键项的具体含义我们在课本PE 文件格式一节中详细描述过,这里不再重复。解决了以上问题之后，我们就知道如何从引出表结构查找我们需要函数的地址了。下面给出已知API 函数的函数名搜索API 函数地址的过程：定位到PE 文件头。从PE 文件头中的可

10、选文件头中取出数据目录表的第一个数据目录，得到导出表的地址。从导出表的NumberOfNames 字段得到以命名函数的总数，并以这个数字做微循环的次数来构造一个循环。从AddressOfNames 字段指向的函数名称地址表的第一项开始，在循环中将每一项定义的函数名与要查找的函数名比较，如果没有任何一个函数名符合，说明文件中没有指定名称的函数。如果某一项定义的函数名与要查找的函数名符合，那么记住这个函数名在字符串地址表中的索引值（如x），然后在AddressOfNameOrdinals 指向的数组中以同样的索引值x 去找数组项中的值，假如该值为m。以m 值作为索引值，在AddressOfFunc

11、tions 字段指向的函数入口地址表中获取的RVA就是函数的入口地址，当函数被装入内存后，这个RVA 值加上模块实际装入的基址(ImageBase)，就得到了函数真正的入口地址。对病毒来说，通常是通过API 函数名称来查找API 函数地址。找到某一函数名称之后，可以通过与目标函数名直接进行字符串比较来判断是否找到所需要的函数；也可以事先对API 函数名称进行相关计算得到一个特征值，以后每次找到某一函数名称之后，对该函数名称用同样的算法计算特征值，如果两值相等，则说明找到需要的目标函数。后者相对而言节省了空间，但可能耗费更多时间。3.3 文件搜索搜索目标文件是病毒技术中一个非常重要的功能。在Wi

12、n32 汇编中，通常用到了几个关键的API 函数和一个WIN32_FIND_DATA 结构：FindFirstFile：该函数根据文件名查找文件,如果该函数执行成功，其返回一个搜索句柄。如果出错，返回一个INVALID_HANDLE_VALUE 常数，一旦不再需要，应该用FindClose函数关闭这个句柄。FindNextFile：该函数根据调用FindFirstFile 函数时指定的一个文件名查找下一个文件，返回值非零表示成功，零表示失败。如不再有与指定条件相符的文件，会将GetLastError设置成ERROR_NO_MORE_FILES。FindClose：该函数用来关闭由FindFir

13、stFile 函数创建的一个搜索句柄，返回值非零表示成功，零表示失败。会设置GetLastError。WIN32_FIND_DATA 结构中存放着找到的文件的详细信息，具体结构如下所示：WIN32_FIND_DATA STRUCTdwFileAttributes DWORD ? /文件属性，/如果改值为FILE_ATTRIBUTE_DIRECTORY，则说明是目录ftCreationTime FILETIME /文件创建时间ftLastAccessTime FILETIME /文件或目录的访问时间ftLastWriteTime FILETIME /文件最后一次修改时间，对于目录是创建时间nFi

14、leSizeHigh DWORD ? /文件大小的高位nFileSizeLow DWORD ? /文件大小的地位dwReserved0 DWORD ? /保留dwReserved1 DWORD ? /保留cFileName BYTE MAX_PATH dup(?) /文件名字符串，以0 结尾cAlternate BYTE 14 dup(?) /8.3 格式的文件名WIN32_FIND_DATA ENDS通过该结构的第一个字段，我们可以判断该找到的文件是目录还是文件，通过cFileName 我们可以获得该文件的文件名，继而可以对找到的文件进行操作。文件搜索一般采用递归算法进行搜索，也可以采用非递

15、归搜索方法，这里我们仅介绍第一种算法：FindFile Proc指定找到的目录为当前工作目录开始搜索文件(*.*)该目录搜索完毕？是则返回，否则继续找到文件还是目录？是目录则调用自身函数FindFile，否则继续是文件，如符合感染条件，则调用感染模块，否则继续搜索下一个文件(FindNextFile)，转到C 继续FindFile Endp3.4 内存映射文件内存映射文件提供了一组独立的函数，这组内存映射文件函数将磁盘上的文件的全部或者部分映射到进程虚拟地址空间的某个位置，以后对文件内容的访问就如同在该地址区域内直接对内存访问一样简单。这样，对文件中数据的操作便是直接对内存进行操作，大大地提高

16、了访问的速度，这对于计算机病毒来说，对减少资源占有是非常重要的。在计算机病毒中，通常采用如下几个步骤：调用CreateFile 函数打开想要映射的HOST 程序，返回文件句柄hFile。调用CreateFileMapping 函数生成一个建立基于HOST 文件句柄hFile 的内存映射对象，返回内存映射对象句柄hMap。调用MapViewOfFile 函数将整个文件（一般还要加上病毒体的大小）映射到内存中。得到指向映射到内存的第一个字节的指针(pMem)。用刚才得到的指针pMem 对整个HOST 文件进行操作，对HOST 程序进行病毒感染。调用UnmapViewFile 函数解除文件映射，传入

17、参数是pMem。调用CloseHandle 来关闭内存映射文件，传入参数是hMap。调用CloseHandle 来关闭HOST 文件，传入参数是hFile。3.5 病毒如何通过添加新节感染其他文件PE 病毒感染其他文件的方法之一是在文件中添加一个新节，然后往该新节中添加病毒代码和病毒执行后的返回Host 程序的代码， 并修改文件头中代码开始执行位置（AddressOfEntryPoint）指向新添加的病毒节的代码入口，以便程序运行后先执行病毒代码。下面我们具体分析一下感染文件步骤（这种方法将会在后面的例子中有具体代码介绍）。3.5.1 感染文件的基本步骤(1)判断目标文件开始的两个字节是否为“

18、MZ”。(2)判断PE 文件标记“PE”。(3)判断感染标记，如果已被感染过则跳出继续执行HOST 程序，否则继续。(4)获得Directory（数据目录）的个数，（每个数据目录信息占8 个字节）。(5)得到节表起始位置。(Directory 的偏移地址+数据目录占用的字节数=节表起始位置)(6)得到目前最后节表的末尾偏移（紧接其后用于写入一个新的病毒节）节表起始位置+节的个数*(每个节表占用的字节数28H)=目前最后节表的末尾偏移。(7)写入节表和修改PE 文件其他相关首部写入节名（8 字节）。写入节的实际字节数（4 字节）。写入新节在内存中的开始偏移地址（4 字节），同时可以计算出病毒入口

19、位置。上节在内存中的开始偏移地址+（上节大小/节对齐+1）节对齐=本节在内存中的开始偏移地址。写入本节（即病毒节）在文件中对齐后的大小。写入本节在文件中的开始位置。上节在文件中的开始位置+上节对齐后的大小=本节（即病毒）在文件中的开始位置。修改映像文件头中的节表数目。修改AddressOfEntryPoint（即程序入口点指向病毒入口位置），同时保存旧的AddressOfEntryPoint，以便返回HOST 继续执行。更新SizeOfImage（内存中整个PE 映像尺寸=原SizeOfImage+病毒节经过内存节对齐后的大小）。写入感染标记（后面例子中是放在PE 头中）。(8)写入病毒代码到

20、新添加的节中。ECX =病毒长度ESI =病毒代码位置（并不一定等于病毒执行代码开始位置）EDI=病毒节写入位置（后面例子是在内存映射文件中的相应位置）(9)将当前文件位置设为文件末尾。3.5.2 文件操作相关API 函数(1) CreateFile该函数可打开和创建文件、管道、邮槽、通信服务、设备以及控制台，如执行成功，则返回值为文件句柄。返回值INVALID_HANDLE_VALUE 则表示出错。即使函数成功，但若文件存在， 且指定了CREATE_ALWAYS 或 OPEN_ALWAYS ， GetLastError 也会设为ERROR_ALREADY_EXISTS。(2) SetFile

21、Pointer该函数在一个文件中设置当前的读写位置。(3) ReadFile该函数用来从文件中读取数据。(4) WriteFile该函数用来将数据写入文件。(5) SetEndOfFile该函数针对一个打开的文件，将当前文件位置设为文件末尾。(6) GetFileSize该函数用来返回指定文件的长度。(7) FlushFileBuffers该函数将指定的文件句柄对应文件的缓冲区的所有内容写入到文件之中，并刷新内部文件缓冲区。3.6 病毒如何返回到Host程序为了提高自己的生存能力，病毒是不应该破坏HOST 程序的，既然如此，病毒应该在病毒执行完毕后，立刻将控制权交给HOST 程序，病毒如何做到

22、这一点呢？返回HOST 程序相对来说比较简单，病毒在修改被感染文件代码开始执行位置（AddressOfEntryPoint）时，会保存原来的值，这样，病毒在执行完病毒代码之后用一个跳转语句跳到这段代码处继续执行即可。四 实验内容在实验之前，必须关闭防病毒软件。否则实验可能无法正常完成。(1) 使用RadASM 或者Masm32 自带的QEDITOR 编辑和编译程序源代码。下载Masm32V8，并将其安装到C 盘根目录中（C:masm32），进入C:masm32，打开QEDITOR.EXE 编写源代码，并保存为.asm 文件（例子中有4 个asm 文件，这4 个asm 文件应该在同一个目录下，其

23、中main.asm 为主文件）。也可以选择其他编辑软件编写好汇编代码之后，然后用QEDITOR.EXE 打开该asm文件。打开main.asm，选择QEDITOR 的菜单栏进行masm 和link 将会得到最终的可执行程序（main.exe）。发现编译通不过：查看源代码，找出错误并修改：然后重新编译，完成后则可生成main.exe的可执行病毒程序：病毒程序由于需要对自身代码节进行修改，但默认情况下代码节是不可写的，因此要将代码节的属性进行修改。这里给出利用PE 修改工具直接修改可执行程序的方法。编译完毕之后，利用PE 修改工具对目标文件代码节的属性进行修改。我们可以通过Stud_PE 等程序来

24、修改C:masm32main.exe 程序的.text 节的属性为可写（选中“MEM_WRITE”，然后保存即可）。利用Sutd_PE 对PE 可执行程序的节属性进行修改(2) 编译或者任意选择一个简单的PE 可执行程序（例如功能为“弹出一个窗口”的程序或随便选择一个小游戏等），作为被感染的目标程序，将该程序放在病毒程序指定的目录，并以指定的文件名命令。在这里的感染中，被感染程序命名为test.exe，并且和病毒感染程序main.exe 在同一个目录之中。(3) 执行编译出来的病毒程序main.exe。(4) 如果顺利，则现在的test.exe 程序应该已被感染，它将首先执行病毒程序的代码，执

25、行完毕之后将继续执行原有程序的功能代码。(5) 打开Ollydbg（或Ollydbg，SoftIce，W32dasm）对编译出来的可执行文件进行调试。如果感染程序功能不正常，则通过Ollydbg 来寻找原因，并对源程序进行修正。(6) 跟踪API 函数的获取以及添加新节的过程。(7) 利用UltraEdit 或者其他PE 编辑工具恢复被感染的程序。观察病毒文件代码，打开被感染文件：可以看到，文件中插入了病毒的那段代码。对其进行修改即可还原文件。完全脆弱图像水印一 实验目的了解什么是脆弱性水印和半脆弱性水印，掌握实现半脆弱水印和脆弱水印的原理，设计并实现一种完全脆弱水印的实验方法。二 实验环境（

26、1）Windows XP操作系统（2）MATLAB7.1科学计算软件（3）图像文件三 原理简介在保证多媒体信息一定感知质量的前提下，将数字、序列号、文字、图像标志等做为水印嵌入到多媒体数据中，当多媒体内容受到怀疑时，可将水印提取出来用于媒体内容的真假识别，并指出篡改位置，甚至攻击类型等。这种水印称为脆弱水印，脆弱水印分为完全脆弱水印和半脆弱水印。当原始载体内容发生改变时，被嵌入的水印信息就遭到破坏，因此图像的接收方就不能完整地提取水印信息。从而可以鉴定原始数据是否被篡改。完全脆弱水印主要用于完整性保护，图像不能发生任何修改，图像如果发生一个比特的修改都会影响水印信息的提取。而半脆弱水印对一般图

27、像处理（如：滤波、加噪声、压缩等）有较强的免疫能力（鲁棒性），但是能检测到对图像的恶意篡改，一般用于内容保护。完全脆弱水印系统要求图像的任何细微的变动都会做出拒绝判决。完全脆弱水印一般是从空域LSB水印算法演变过来，其中最有代表性的是校验和算法、公钥认证水印算法、查找表水印算法。 校验和算法原理如下：首先计算每个像素字节最高7位的checksum值，checksum值定义为一系列相同长度的二进制的模2和。此长度为8个连续像素中的最高7位的联合长度，共56位。在checksum值计算过程中，整幅图像中的每个像素都参与计算，但每个都只计算一次，最后结果为56位的数据。随后在图像中随机选取56个像素

28、，将每个像素的最低位变为与上述checksum比特位相同，以此存储checksum值，从而完成水印的嵌入。图像认证时，只需要将被检测图像的CHECKSUM值与提取的水印做比较，便可以知道图像是否衩篡改。在这个算法中，随机选择的存放Checksum值的图像位置以及Checksum值本身构成了水印信息。在提取水印时，只需计算图像的Checksum值并与水印信息中的Checksum值进行比较，便可知水印是否因遭受篡改而被破坏。四 实验步骤4.1Checksum水印嵌入根据以上所说的checksum算法，我在matlab7.0环境下面实现了该程序，由于win7的兼容性问题，程序只能是windows经典

29、模式下面可以运行：img = imread(C:Documents and SettingsAdministrator桌面1.bmp); x =rgb2gray(img);wide,high=size(x);temp=uint8(0) uint8(0) uint8(0) uint8(0) uint8(0) uint8(0) uint8(0) uint8(0);for ii=1:wide for jj=1:high if mod( (wide*(ii-1)+jj),8) = 0 temp(1)=bitxor(temp(1),x(ii,jj); elseif mod( (wide*(ii-1)+j

30、j),8) = 1temp(2)=bitxor(temp(2),x(ii,jj); elseif mod( (wide*(ii-1)+jj),8) = 2temp(3)=bitxor(temp(3),x(ii,jj);elseif mod( (wide*(ii-1)+jj),8) = 3temp(4)=bitxor(temp(4),x(ii,jj);elseif mod( (wide*(ii-1)+jj),8) = 4temp(5)=bitxor(temp(5),x(ii,jj);elseif mod( (wide*(ii-1)+jj),8) = 5temp(6)=bitxor(temp(6)

31、,x(ii,jj);elseif mod( (wide*(ii-1)+jj),8) = 6temp(7)=bitxor(temp(7),x(ii,jj);elseif mod( (wide*(ii-1)+jj),8) = 7 temp(8)=bitxor(temp(8),x(ii,jj); end endendtpwide=1;tphigh=1;counter=1;tp=0;for ii=1:8 for kk=1:7 if kk=1 tp=bitand(temp(ii),uint8(128); if tp = 0 if mod(x(counter),2) = 1 x(counter)=bita

32、nd( x(counter), uint8(254); end else if mod(x(counter),2) = 0 x(counter)=bitor(x(counter),uint8(1); end end elseif kk=2 tp=bitand(temp(ii),uint8(64); if tp = 0 if mod(x(counter),2) = 1 x(counter)=bitand( x(counter), uint8(254); end else if mod(x(counter),2) = 0 x(counter)=bitor(x(counter),uint8(1);

33、end end elseif kk=3 tp=bitand(temp(ii),uint8(32); if tp = 0 if mod(x(counter),2) = 1 x(counter)=bitand( x(counter), uint8(254); end else if mod(x(counter),2) = 0 x(counter)=bitor(x(counter),uint8(1); end end elseif kk=4 tp=bitand(temp(ii),uint8(16); if tp = 0 if mod(x(counter),2) = 1 x(counter)=bita

34、nd( x(counter), uint8(254); end else if mod(x(counter),2) = 0 x(counter)=bitor(x(counter),uint8(1); end end elseif kk=5 tp=bitand(temp(ii),uint8(8); if tp = 0 if mod(x(counter),2) = 1 x(counter)=bitand( x(counter), uint8(254); end else if mod(x(counter),2) = 0 x(counter)=bitor(x(counter),uint8(1); e

35、nd end elseif kk=6 tp=bitand(temp(ii),uint8(4); if tp = 0 if mod(x(counter),2) = 1 x(counter)=bitand( x(counter), uint8(254); end else if mod(x(counter),2) = 0 x(counter)=bitor(x(counter),uint8(1); end end elseif kk=7 tp=bitand(temp(ii),uint8(2); if tp = 0 if mod(x(counter),2) = 1 x(counter)=bitand(

36、 x(counter), uint8(254); end else if mod(x(counter),2) = 0 x(counter)=bitor(x(counter),uint8(1); end end end counter=counter+1; end %forend% for 4.2判断图像是否被修改或篡改原始图像如下：用上述程序处理图像，得到的部分水印信息如下：对图像做改动，效果如下：水印信息随之改变：五 实验总结从实验结果上看，水印的嵌入与提取都是正确的，在改变了图像信息之后，用于校验的水印也随之改变，从而使得发现图像被修改的信息。联想网御N3000 IDS一 实验目的及要求（

37、1）掌握IDS的基本知识和技术（包括探测器、规则匹配、事件分析等）（2）掌握联想网御N3000的基本技术（3）能够进行N3000的基本配置及检测报表分析并能从中理解IDS在网络安全防护中的重要作用。二 实验环境硬件设备：PC、实验室信息安全拓扑环境软件环境：Windows 2000、联想网御N3000 IDS三 实验基础有关联想网御N3000 IDS请在上实验课时及时向任课教师索取，同学们应对照该技术文档逐步掌握该款IDS的功能，并能进行一系列的参数配置。下面就一些基本情况做一下介绍。网御IDS入侵检测系统 V3.2.5是基于网络的实时入侵检测及响应系统(Intrusion Detection

38、 and Response System)。网御IDS入侵检测系统 V3.2.5 提供24小时网络监视功能，实时检测从外部及内部访问的非法用户及入侵行为，提前通知管理员，同时根据危险情况自动与防火墙的联动，保护网络安全。 3.1产品组成及环境3.1.1产品的组成网御IDS入侵检测系统由下列成份组成：控制台安装光盘一张、详细管理说明书、一套探测器。探测器具有五个网卡。从右至左依次为通讯口（eth0），监听口（千兆电口|eth4），备用口（eth3），监听口（千兆光纤|eth2），备用口（eth1）。接口顺序为eth1|eth2|eth3/eth4/前面板上同时布置了Console口。面板的中间分

39、别有电源和探测器工作状态指示灯。如图： 3.1.2系统要求探测器和控制台分别安装在不同的操作平台上。以下是以太网络环境中以40%网络使用量为基准时所需的系统配置。系统要求：项目控制台操作系统Windows 2000 Professional(SP4)CPUIntel Pentium III 700MHz以上内存512MB网络接口10/100M Ethernet card 1只HDD40GB以上其他硬件CDROM、备份装备(DAT)网络协议TCP/IP3.2安装前注意事项 安装前确认列表：确认重要程度项 目确认硬盘格式为NTFS确认管理员账号及密码关闭或删除其它账号确认关闭Guest账号泄漏本地

40、安全权限设置安全密码设置管理员账号锁定功能设置管理员账号删除不必要共享文件在必要的共享文件中设置适当的ACL安装最新的Service Pack安装最新的post-Service Pack删除不必要服务四 实验步骤4.1安装控制台4.1.1 控制台安装位置一个中央控制台可以控制位于一个网络或远程网络的探测器，中央控制台实时从探测器收到入侵检测结果，安全管理员及时做出响应。如果不是特殊的原因，推荐探测器和控制台不要安装在同一个操作平台上，因为控制台工作中占用很多系统资源，会影响探测器的检测及质量效率。4.1.2 架构网络环境开始菜单中的设置网络及拨号连接中配置网络。一个网卡时，其它设置采用默认设置。两个网卡时必须只对其中通讯口的网卡安装TCP/IP协议。因为外网的主机试图与控制台连接4.1.3控制台安装步骤执行安装程序： 把安装盘放入光驱，自动运行安装程序或手动选择执行“Install