第二步：非正常的目錄以及非正常的文件

        當黑客攻擊成功后，取得某個管理員帳戶之后，為了進一步加固自己的成果，會在系統(tǒng)中設(shè)置一些文件夾、目錄或者文件，以進行下一步的攻擊行為。如有一些攻擊者在取得系統(tǒng)的管理員軋帳戶與密碼之后，會在系統(tǒng)中建立一個文件夾，上傳一些木馬攻擊。并且設(shè)置相關(guān)的任務(wù)調(diào)度計劃，當某個特定的時間，運行這個文件夾中的程序等等。所以，我們?nèi)裟軌蚣霸绲陌l(fā)現(xiàn)這些非正常的文件夾以及文件信息，就可以及早的發(fā)現(xiàn)攻擊的跡象，從而及時采取相關(guān)的措施。

        所以，操作系統(tǒng)與應(yīng)用軟件中的目錄與文件、文件夾的非正常改變，包括增加、刪除、修改等等，特別是一般情況下受限制訪問的文件夾以及目錄非正常的改變，很可能是一種入侵產(chǎn)生的指示或者信號。

        《名易軟件超市倉庫軟件軟件》是一款專為服裝、內(nèi)衣、鞋帽零售行業(yè)量身定制的超市管理系統(tǒng)，免費服裝銷售軟件，超市管理軟件。

        1、軟件由進貨管理，銷售管理，庫存管理，商品管理，VIP會員管理，統(tǒng)計分析等幾大模塊組成；支持條碼標簽打印、手機短信群發(fā)、多樣性收款等功能；支持掃描槍、小票打印機、錢箱、顧客顯示屏、條碼打印機、盤點機等硬件。

        2、強大而操作簡單的報表分析功能，讓管理者清晰、明了地掌握商品銷售、庫存、經(jīng)營利潤等數(shù)據(jù)。

        3、軟件界面友好美觀、易學(xué)、易用、易管理，無需培訓(xùn)，即可快速上手，名易軟件軟件將助您輕輕松松做好店面日常銷售管理工作。

        【系統(tǒng)特點】

        ★易學(xué)，易用，易管理，無需培訓(xùn)，即可快速上手；

        ★用戶拿到商品無需復(fù)雜編碼，即可進行準確有效的銷售和庫存管理；

        ★簡單直觀的經(jīng)營利潤與倉庫進銷存軟件數(shù)據(jù)分析，通過交互式的數(shù)據(jù)中心，各項數(shù)據(jù)即點即現(xiàn)；

        ★整合條碼標簽編輯及打印功能，商品入庫與吊牌標簽打印，一站式完成，簡單高效；

        ★集成手機短信群發(fā)功能，群發(fā)促銷活動與節(jié)日問候短信，輕松搞定，省時省心；

        [名易軟件超市管理軟件，名易軟件服裝倉庫進銷存軟件軟件，名易軟件服裝銷售軟件，名易軟件服裝管理系統(tǒng)]_/

        一般來說，有如下幾種情況：

        一是應(yīng)用程序的執(zhí)行路徑發(fā)生了改變。如有些企業(yè)通過QQ跟客戶進行聯(lián)系。當非法攻擊者侵入企業(yè)網(wǎng)絡(luò)，取得某臺主機的管理員密碼之后，就可以改變用戶桌面上的QQ程序圖標的路徑。當用戶雙擊打開這個程序的話，打開的不是原來的QQ程序，而可能是一個綁有木馬的QQ程序，可以竊取用戶了聊天記錄、帳戶名與密碼等等。

        二是可疑的文件夾。當非法攻擊者取得管理員用戶名與密碼之后，利用TELENT程序遠程登陸，然后在主機上建立文件夾，上傳木馬或者其他的非法軟件，然后通過操作系統(tǒng)本身的任務(wù)調(diào)度命令，在一個特定的時刻運行這個文件夾中的程序。這是很多非法攻擊者常用的手段。所以，我們?nèi)裟軌蚣皶r的發(fā)現(xiàn)這些可疑的文件夾信息，就可以及早的發(fā)現(xiàn)攻擊的行為，從而減少由此帶來的損失，等等。一般來說，我們借助一些檢測軟件，如奇虎360,金山毒霸，諾頓等第三方軟件，就可以收集到這些信息。

        三是日志文件的非法修改。上面我們說過，非法攻擊者訪問過企業(yè)的網(wǎng)絡(luò)主機之后，肯定會在系統(tǒng)日志或者網(wǎng)絡(luò)日志中留下蛛絲馬跡。在他們攻擊得手之后，為了隱藏他們在系統(tǒng)中的表現(xiàn)以及攻擊的痕跡，都會盡力的去替換系統(tǒng)日志中的相關(guān)內(nèi)容。為此，若能夠及時的收集這些信息的話，則即使他們更改了日志中的內(nèi)容，我們也能夠及早的發(fā)現(xiàn)，從而采取對應(yīng)的措施。

        第三步：非正常程序的運行信息

        黑客攻擊企業(yè)網(wǎng)絡(luò)信息的話，往往不會只是取得管理員權(quán)限那么簡單。他們攻擊系統(tǒng)的最終目的，是為了竊取相關(guān)的信息，如密碼等等;或者把企業(yè)的網(wǎng)絡(luò)主機當作肉雞，作為攻擊其他網(wǎng)絡(luò)的跳板等等。無論是出于哪種目的，除非直接竊取電腦上的文件，不然的話，一般都需要通過在被攻擊的主機后臺運行一些程序，如鍵盤記錄工具軟件等等，才能夠達到類似的目的。

        所以，及時的收集這些非正常程序運行的信息，可以及早的發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)被攻擊的跡象。而一般來說，收集這些非正常的程序，就是需要收集一些進程信息。

        因為在每個系統(tǒng)上執(zhí)行的程序都是由一到幾個進程來實現(xiàn)的。而且，一個進程的執(zhí)行行為又是由他運行時執(zhí)行的操作來表現(xiàn)的。操作執(zhí)行的方式不同，利用系統(tǒng)資源也就不同。若在系統(tǒng)進程中，出現(xiàn)了一個我們不希望看到的進程，或者個這個進程出現(xiàn)了我們網(wǎng)絡(luò)管理員不期望的行為，如試圖往注冊表中加入一些非法的信息等等，如建立隱形帳戶等等，這就表示有攻擊者存在。

        若我們感到網(wǎng)絡(luò)速度明顯變慢的時候，可以通過查看系統(tǒng)的進程來了解相關(guān)的信息。但是，若靠手工收集這些進程信息的話，是不怎么現(xiàn)實的。一方面工作量比較大，另一方面這些非法的進程往往不會時刻都運行著。當他執(zhí)行完一定的任務(wù)之后，就會迅速的退出，防止為我們發(fā)現(xiàn)。所以，我們就需要通過一些工具，實時的收集這些進程信息。如此的話，我們就可以迅速的找到入侵者的蹤跡，在他們在還