我曾经不止一次的看到有人在讨论如何让后门感染系统文件,以便穿透防火墙或是达到隐藏自身的目的。还有,当黑客拿到webshell后总是喜欢在网页文件里加入一句话木马或是挂马的代码。这就要求网管要重视文件的完整性检验,否则,这些比较隐蔽的威胁会造成超乎想象的损失,这是那些摆在明面上的威胁所望尘莫及的。
一.微软校验工具FXIC
fciv是微软出品的一个小程序,它可以帮助我们生成文件校验结果为xml格式的文件,方便以后检查文件是否被改动了。
如果我们要将目录C:\Inetpub\wwwroot\dvbbs以及子目录下的文件都校验一下,并将结果写入db.xml,就写入命令feiv.exe C:\Inetpub\wwwroot\dvbbs -r -xml db.xml,生成的db.xml文件很快就显示出来。
然后我们修改某个文件,再来校验一下,输入命令feiv.exe -v -xml db.xml,果然查出来了,如果没有文件被改动的话,结果就会显示为正常。
二.MD5Check
目前许多网站上提供的工具下载,为了防止被人篡改,一般在提供下载的同时,还会给出这个文件的MD5值,很多安全网站都是这样的。如果想要知道某个文件的MD5值,可以使用一个界面更友好的程序——MD5Check。这个程序的使用非常简单,通常浏览来选中目标文件,点击计算按钮就行了。
三.世界上最强大的校验工具Fsum
为什么说它强大呢?因为这个程序支持的运算方式太多了,很多我们都没听说过,比如crc32、shal。
比如要想校验C:\Inetpub\wwwroot\dvbbs以及子文件夹里的所有文件,并把结果导入1.txt,就输入命令fsum -r -dC:\Inetpub\wwwroot\dvbbs *.*>1.txt(注意: -d后面没有空格,*.*前面有空格)。
我们再来改变某个文件,然后输入命令fsum -dC:\Inetpub\wwwroot\dvbbs -jf -c C:\查出被感染的文件\1.txt,修改过的文件马上被查了出来。
如果大家想让fsum针对当前目录的每个文件把所有的算法都用上,那么我们就输入fsum.exe -crc32 -md5 -sha1 -tiger -rmd -panama -adler -edonkey *.*,结果都会非常壮观的。
以上三款小工具,对于大家来说,应该是最常用到的是MD5Check,在网上下载的时候经常会检查MD5值,看看有没有被改动过,另外两个工具则适合对网站、服务器和个人电脑文件的安全校验,比如把中毒后的文件校验结果和中毒前的一比较,被改动的文件就会立刻现身了。