系統日誌源自航海日誌:當人們出海遠行的時候,總是要做好航海日誌,以便為以後的工作做出依據。日誌檔案作為微軟Windows系列作業系統中的一個比較特殊的檔案,在安全方面具有無可替代的價值。日誌每天為我們忠實的記錄著系統所發生一切,利用系統日誌檔案,可以使系統管理員快速對潛在的系統入侵作出記錄和預測,但遺憾的是目前絕大多數的人都忽略了它的存在。反而是因為駭客們光臨才會使我們想起這個重要的系統日誌檔案。7.1日誌檔案的特殊性要了解日誌檔案,首先就要從它的特殊性講起,說它特殊是因為這個檔案由系統管理,並加以保護,一般情況下普通使用者不能隨意更改。我們不能用針對普通TXT檔案的編輯方法來編輯它。例如WPS系列、Word系列、寫字板、Edit等等,都奈何它不得。我們甚至不能對它進行“重新命名”或“刪除”、“移動”操作,否則系統就會很不客氣告訴你:訪問被拒絕。當然,在純DOS的狀態下,可以對它進行一些常規操作(例如Win98狀態下),但是你很快就會發現,你的修改根本就無濟於事,當重新啟動Windows98時,系統將會自動檢查這個特殊的文字檔案,若不存在就會自動產生一個;若存在的話,將向該文字追加日誌記錄。7.1.1駭客為什麼會對日誌檔案感興趣駭客們在獲得伺服器的系統管理員許可權之後就可以隨意破壞系統上的檔案了,包括日誌檔案。但是這一切都將被系統日誌所記錄下來,所以駭客們想要隱藏自己的入侵蹤跡,就必須對日誌進行修改。最簡單的方法就是刪除系統日誌檔案,但這樣做一般都是初級駭客所為,真正的高階駭客們總是用修改日誌的方法來防止系統管理員追蹤到自己,網路上有很多專門進行此類功能的程式,例如Zap、Wipe等。7.1.2Windows系列日誌系統簡介1.Windows98的日誌檔案因目前絕大多數的使用者還是使用的作業系統是Windows98,所以本節先從Windows98的日誌檔案講起。Windows98下的普通使用者無需使用系統日誌,除非有特殊用途,例如,利用Windows98建立個人Web伺服器時,就會需要啟用系統日誌來作為伺服器安全方面的參考,當已利用Windows98建立個人Web伺服器的使用者,可以進行下列操作來啟用日誌功能。(1)在“控制面板”中雙擊“個人Web伺服器”圖示;(必須已經在配置好相關的網路協議,並新增“個人Web伺服器”的情況下)。(2)在“管理”選項卡中單擊“管理”按鈕;(3)在“Internet服務管理員”頁中單擊“WWW管理”;(4)在“WWW管理”頁中單擊“日誌”選項卡;(5)選中“啟用日誌”複選框,並根據需要進行更改。將日誌檔案命名為“Inetserver_event.log”。如果“日誌”選項卡中沒有指定日誌檔案的目錄,則檔案將被儲存在Windows資料夾中。普通使用者可以在Windows98的系統資料夾中找到日誌檔案schedlog.txt。我們可以透過以下幾種方法找到它。在“開始”/“查詢”中查詢到它,或是啟動“任務計劃程式”,在“高階”選單中單擊“檢視日誌”來檢視到它。Windows98的普通使用者的日誌檔案很簡單,只是記錄了一些預先設定的任務執行過程,相對於作為伺服器的NT作業系統,真正的駭客們很少對Windows98發生興趣。所以Windows98下的日誌不為人們所重視。2.WindowsNT下的日誌系統WindowsNT是目前受到攻擊較多的作業系統,在WindowsNT中,日誌檔案幾乎對系統中的每一項事務都要做一定程度上的審計。WindowsNT的日誌檔案一般分為三類:系統日誌:跟蹤各種各樣的系統事件,記錄由WindowsNT的系統元件產生的事件。例如,在啟動過程載入驅動程式錯誤或其它系統元件的失敗記錄在系統日誌中。應用程式日誌:記錄由應用程式或系統程式產生的事件,比如應用程式產生的裝載dll(動態連結庫)失敗的資訊將出現在日誌中。安全日誌:記錄登入上網、下網、改變訪問許可權以及系統啟動和關閉等事件以及與建立、開啟或刪除檔案等資源使用相關聯的事件。利用系統的“事件管理器”可以指定在安全日誌中記錄需要記錄的事件,安全日誌的預設狀態是關閉的。WindowsNT的日誌系統通常放在下面的位置,根據作業系統的不同略有變化。C:\systemroot\system32\config\sysevent.evtC:\systemroot\system32\config\secevent.evtC:\systemroot\system32\config\appevent.evtWindowsNT使用了一種特殊的格式存放它的日誌檔案,這種格式的檔案可以被事件檢視器讀取,事件檢視器可以在“控制面板”中找到,系統管理員可以使用事件檢視器選擇要檢視的日誌條目,檢視條件包括類別、使用者和訊息型別。3.Windows2000的日誌系統與WindowsNT一樣,Windows2000中也一樣使用“事件檢視器”來管理日誌系統,也同樣需要用系統管理員身份進入系統後方可進行操作,如圖7-1所示。圖7-1在Windows2000中,日誌檔案的型別比較多,通常有應用程式日誌,安全日誌、系統日誌、DNS伺服器日誌、FTP日誌、WWW日誌等等,可能會根據伺服器所開啟的服務不同而略有變化。啟動Windows2000時,事件日誌服務會自動啟動,所有使用者都可以檢視“應用程式日誌”,但是隻有系統管理員才能訪問“安全日誌”和“系統日誌”。系統預設的情況下會關閉“安全日誌”,但我們可以使用“組策略”來啟用“安全日誌”開始記錄。安全日誌一旦開啟,就會無限制的記錄下去,直到裝滿時停止執行。Windows2000日誌檔案預設位置:應用程式日誌、安全日誌、系統日誌、DNS日誌預設位置:%systemroot%\system32\config,預設檔案大小512KB,但有經驗的系統管理員往往都會改變這個預設大小。安全日誌檔案:c:\systemroot\system32\config\SecEvent.EVT系統日誌檔案:c:\systemroot\system32\config\SysEvent.EVT應用程式日誌檔案:c:\systemroot\system32\config\AppEvent.EVTInternet資訊服務FTP日誌預設位置:c:\systemroot\system32\logfiles\msftpsvc1\。Internet資訊服務WWW日誌預設位置:c:\systemroot\system32\logfiles\w3svc1\。Scheduler伺服器日誌預設位置:c:\systemroot\schedlgu.txt。該日誌記錄了訪問者的IP,訪問的時間及請求訪問的內容。因Windows2000延續了NT的日誌檔案,並在其基礎上又增加了FTP和WWW日誌,故本節對FTP日誌和WWW日誌作一個簡單的講述。FTP日誌以文字形式的檔案詳細地記錄了以FTP方式上傳檔案的檔案、來源、檔名等等。不過由於該日誌太明顯,所以高階駭客們根本不會用這種方法來傳檔案,取而代之的是使用RCP。FTP日誌檔案和WWW日誌檔案產生的日誌一般在c:\systemroot\system32\LogFiles\W3SVC1目錄下,預設是每天一個日誌檔案,FTP和WWW日誌可以刪除,但是FTP日誌所記錄的一切還是會在系統日誌和安全日誌裡記錄下來,如果使用者需要嘗試刪除這些檔案,透過一些並不算太複雜的方法,例如首先停止某些服務,然後就可以將該日誌檔案刪除。具體方法本節略。Windows2000中提供了一個叫做安全日誌分析器(CyberSafeLogAnalyst,CLA)的工具,有很強的日誌管理功能,它可以使使用者不必在讓人眼花繚亂的日誌中慢慢尋找某條記錄,而是透過分類的方式將各種事件整理好,讓使用者能迅速找到所需要的條目。它的另一個突出特點是能夠對整個網路環境中多個系統的各種活動同時進行分析,避免了一個個單獨去分析的麻煩。4.WindowsXP日誌檔案說WindowsXP的日誌檔案,就要先說說Internet連線防火牆(ICF)的日誌,ICF的日誌可以分為兩類:一類是ICF稽核透過的IP資料包,而一類是ICF拋棄的IP資料包。日誌一般存於Windows目錄之下,檔名是pfirewall.log。其檔案格式符合W3C擴充套件日誌檔案格式(W3CExtendedLogFileFormat),分為兩部分,分別是檔案頭(HeadInformation)和檔案主體(BodyInformation)。檔案頭主要是關於Pfirewall.log這個檔案的說明,需要注意的主要是檔案主體部分。檔案主體部分記錄有每一個成功透過ICF稽核或者被ICF所拋棄的IP資料包的資訊,包括源地址、目的地址、埠、時間、協議以及其他一些資訊。理解這些資訊需要較多的TCP/IP協議的知識。ICF生成安全日誌時使用的格式是W3C擴充套件日誌檔案格式,這與在常用日誌分析工具中使用的格式類似。當我們在WindowsXP的“控制面板”中,開啟事件檢視器,如圖7-2所示。就可以看到WindowsXP中同樣也有著系統日誌、安全日誌和應用日誌三種常見的日誌檔案,當你單擊其中任一檔案時,就可以看見日誌檔案中的一些記錄,如圖7-3所示。圖7-2圖7-3在高階裝置中,我們還可以進行一些日誌的檔案存放地址、大小限制及一些相關操作,如圖7-4所示。圖7-4若要啟用對不成功的連線嘗試的記錄,請選中“記錄丟棄的資料包”複選框,否則禁用。另外,我們還可以用金山網鏢等工具軟體將“安全日誌”匯出和被刪除。5.日誌分析當日志每天都忠實的為使用者記錄著系統所發生的一切的時候,使用者同樣也需要經常規範管理日誌,但是龐大的日誌記錄卻又令使用者茫然失措,此時,我們就會需要使用工具對日誌進行分析、彙總,日誌分析可以幫助使用者從日誌記錄中獲取有用的資訊,以便使用者可以針對不同的情況採取必要的措施。7.2系統日誌的刪除因作業系統的不同,所以日誌的刪除方法也略有變化,本文從Windows98和Windows2000兩種有明顯區別的作業系統來講述日誌的刪除。7.2.1Windows98下的日誌刪除在純DOS下啟動計算機,用一些常用的修改或刪除命令就可以消除Windows98日誌記錄。當重新啟動Windows98後,系統會檢查日誌檔案的存在,如果發現日誌檔案不存在,系統將自動重建一個,但原有的日誌檔案將全部被消除。7.2.2Windows2000的日誌刪除Windows2000的日誌可就比Windows98複雜得多了,我們知道,日誌是由系統來管理、保護的,一般情況下是禁止刪除或修改,而且它還與登錄檔密切相關。在Windows2000中刪除日誌首先要取得系統管理員許可權,因為安全日誌和系統日誌必須由系統管理員方可檢視,然後才可以刪除它們。我們將針對應用程式日誌,安全日誌、系統日誌、DNS伺服器日誌、FTP日誌、WWW日誌的刪除做一個簡單的講解。要刪除日誌檔案,就必須停止系統對日誌檔案的保護功能。我們可以使用命令語句來刪除除了安全日誌和系統日誌外的日誌檔案,但安全日誌就必須要使用系統中的“事件檢視器”來控制它,開啟“控制面板”的“管理工具”中的“事件檢視器”。在選單的“操作”項有一個名為“連線到另一臺計算機”的選單,點選它如圖7-5所示。圖7-5輸入遠端計算機的IP,然後需要等待,選擇遠端計算機的安全性日誌,點選屬性裡的“清除日誌”按鈕即可。7.3發現入侵蹤跡如何當入侵者企圖或已經進行系統的時候,及時有效的發現蹤跡是目前防範入侵的熱門話題之一。發現入侵蹤跡的前題就是應該有一個入侵特徵資料庫,我們一般使用系統日誌、防火牆、檢查IP報頭(IPheader)的來源地址、檢測Email的安全性以及使用入侵檢測系統(IDS)等來判斷是否有入侵跡象。我們先來學習一下如何利用埠的常識來判斷是否有入侵跡象:電腦在安裝以後,如果不加以調整,其預設開放的埠號是139,如果不開放其它埠的話,駭客正常情況下是無法進入系統的。如果平常系統經常進行病毒檢查的話,而突然間電腦上網的時候會感到有反應緩慢、滑鼠不聽使喚、藍色畫面、系統宕機及其它種種不正常的情況,我們就可以判斷有駭客利用電子信件或其它方法在系統中植入的特洛伊木馬。此時,我們就可以採取一些方法來清除它,具體方法在本書的相關章節可以查閱。7.3.1遭受入侵時的跡象入侵總是按照一定的步驟在進行,有經驗的系統管理員完全可以透過觀察到系統是否出現異常現象來判斷入侵的程度。1.掃描跡象當系統收到連續、反覆的埠連線請求時,就可能意味著入侵者正在使用埠掃描器對系統進行外部掃描。高階駭客們可能會用秘密掃描工具來躲避檢測,但實際上有經驗的系統管理員還是可以透過多種跡象來判斷一切。2.利用攻擊當入侵者使用各種程式對系統進行入侵時,系統可能報告出一些異常情況,並給出相關檔案(IDS常用的處理方法),當入侵者入侵成功後,系統總會留下或多或少的破壞和非正常訪問跡象,這時就應該發現系統可能已遭遇入侵。3.DoS或DDoS攻擊跡象這是當前入侵者比較常用的攻擊方法,所以當系統性能突然間發生嚴重下降或完全停止工作時,應該立即意識到,有可能系統正在遭受拒絕服務攻擊,一般的跡象是CPU佔用率接近90%以上,網路流量緩慢、系統出現藍色畫面、頻繁重新啟動等。7.3.2合理使用系統日誌做入侵檢測系統日誌的作用和重要性大家透過上幾節的講述,相信明白了不少,但是雖然系統自帶的日誌完全可以告訴我們系統發生的任何事情,然而,由於日誌記錄增加得太快了,最終使日誌只能成為浪費大量磁碟空間的垃圾,所以日誌並不是可以無限制的使用,合理、規範的進行日誌管理是使用日誌的一個好方法,有經驗的系統管理員就會利用一些日誌稽核工具、過濾日誌記錄工具,解決這個問題。要最大程度的將日誌檔案利用起來,就必須先制定管理計劃。1.指定日誌做哪些記錄工作?2.制定可以得到這些記錄詳細資料的觸發器。7.3.3一個比較優秀的日誌管理軟體要想迅速的從繁多的日誌檔案記錄中查詢到入侵資訊,就要使用一些專業的日誌管理工具。SurfstatsLogAnalyzer4.6就是這麼一款專業的日誌管理工具。網路管理員透過它可以清楚的分析“log”檔案,從中看出網站目前的狀況,並可以從該軟體的“報告”中,看出有多少人來過你的網站、從哪裡來、在系統中大量地使用了哪些搜尋字眼,從而幫你準確地瞭解網站狀況。這個軟體最主要的功能有:1、整合了查閱及輸出功能,並可以定期用螢幕、檔案、FTP或E-mail的方式輸出結果;2.可以提供30多種彙總的資料;3.能自動偵測檔案格式,並支援多種通用的log檔案格式,如MSIIS的W3Extendedlog格式;4.在“密碼保護”的目錄裡,增加認證(Authenticated)使用者的分析報告;5.可按每小時、每星期、或每月的模式來分析;6.DNS資料庫會儲存解析(Resolved)的IP地址;7.每個分析的畫面都可以設定不同的背景、字型、顏色。發現入侵蹤跡的方法很多,如入侵檢測系統IDS就可以很好的做到這點。下一節我們將講解詳細的講解入侵檢測系統。7.4做好系統入侵檢測7.4.1什麼是入侵檢測系統在人們越來越多和網路親密接觸的同時,被動的防禦已經不能保證系統的安全,針對日益繁多的網路入侵事件,我們需要在使用防火牆的基礎上選用一種協助防火牆進行防患於未然的工具,這種工具要求能對潛在的入侵行為作出實時判斷和記錄,並能在一定程度上抗擊網路入侵,擴充套件系統管理員的安全管理能力,保證系統的絕對安全性。使系統的防範功能大大增強,甚至在入侵行為已經被證實的情況下,能自動切斷網路連線,保護主機的絕對安全。在這種情形下,入侵檢測系統IDS(IntrusionDetectionSystem)應運而生了。入侵檢測系統是基於多年對網路安全防範技術和駭客入侵技術的研究而開發的網路安全產品它能夠實時監控網路傳輸,自動檢測可疑行為,分析來自網路外部入侵訊號和內部的非法活動,在系統受到危害前發出警告,對攻擊作出實時的響應,並提供補救措施,最大程度地保障系統安全。NestWatch這是一款運行於WindowsNT的日誌管理軟體,它可以從伺服器和防火牆中匯入日誌檔案,並能以HTML的方式為系統管理員提供報告。7.4.2入侵檢測系統和日誌的差異系統本身自帶的日誌功能可以自動記錄入侵者的入侵行為,但它不能完善地做好入侵跡象分析記錄工作,而且不能準確地將正常的服務請求和惡意的入侵行為區分開。例如,當入侵者對主機進行CGI掃描時,系統安全日誌能提供給系統管理員的分析資料少得可憐,幾乎全無幫助,而且安全日誌檔案本身的日益龐大的特性,使系統管理員很難在短時間內利用工具找到一些攻擊後所遺留下的痕跡。入侵檢測系統就充分的將這一點做的很好,利用入侵檢測系統提供的報告資料,系統管理員將十分輕鬆的知曉入侵者的某些入侵企圖,並能及時做好防範措施。7.4.3入侵檢測系統的分類目前入侵檢測系統根據功能方面,可以分為四類:1.系統完整性校驗系統(SIV)SIV可以自動判斷系統是否有被駭客入侵跡象,並能檢查是否被系統入侵者更改了系統檔案,以及是否留有後門(駭客們為了下一次光顧主機留下的),監視針對系統的活動(使用者的命令、登入/退出過程,使用的資料等等),這類軟體一般由系統管理員控制。2.網路入侵檢測系統(NIDS)NIDS可以實時的對網路的資料包進行檢測,及時發現埠是否有駭客掃描的跡象。監視計算機網路上發生的事件,然後對其進行安全分析,以此來判斷入侵企圖;分散式IDS透過分佈於各個節點的感測器或者代理對整個網路和主機環境進行監視,中心監視平臺收集來自各個節點的資訊監視這個網路流動的資料和入侵企圖。3.日誌分析系統(LFM)日誌分析系統對於系統管理員進行系統安全防範來說,非常重要,因為日誌記錄了系統每天發生的各種各樣的事情,使用者可以透過日誌記錄來檢查錯誤發生的原因,或者受到攻擊時攻擊者留下的痕跡。日誌分析系統的主要功能有:審計和監測、追蹤侵入者等。日誌檔案也會因大量的記錄而導致系統管理員用一些專業的工具對日誌或者報警檔案進行分析。此時,日誌分析系統就可以起作用了,它幫助系統管理員從日誌中獲取有用的資訊,使管理員可以針對攻擊威脅採取必要措施。4.欺騙系統(DS)普通的系統管理員日常只會對入侵者的攻擊作出預測和識別,而不能進行反擊。但是欺騙系統(DS)可以幫助系統管理員做好反擊的鋪墊工作,欺騙系統(DS)透過模擬一些系統漏洞來欺騙入侵者,當系統管理員透過一些方法獲得駭客企圖入侵的跡象後,利用欺騙系統可以獲得很好的效果。例如重新命名NT上的administrator賬號,然後設立一個沒有許可權的虛假賬號讓駭客來攻擊,在入侵者感覺到上當的時候,管理員也就知曉了入侵者的一舉一動和他的水平高低。7.4.4入侵檢測系統的檢測步驟入侵檢測系統一般使用基於特徵碼的檢測方法和異常檢測方法,在判斷系統是否被入侵前,入侵檢測系統首先需要進行一些資訊的收集。資訊的收集往往會從各個方面進行。例如對網路或主機上安全漏洞進行掃描,查詢非授權使用網路或主機系統的企圖,並從幾個方面來判斷是否有入侵行為發生。檢測系統接著會檢查網路日誌檔案,因為駭客非常容易在會在日誌檔案中留下蛛絲馬跡,因此網路日誌檔案資訊是常常作為系統管理員檢測是否有入侵行為的主要方法。取得系統管理權後,駭客們最喜歡做的事,就是破壞或修改系統檔案,此時系統完整性校驗系統(SIV)就會迅速檢查系統是否有異常的改動跡象,從而判斷入侵行為的惡劣程度。將系統執行情況與常見的入侵程式造成的後果資料進行比較,從而發現是否被入侵。例如:系統遭受DDoS分散式攻擊後,系統會在短時間內效能嚴重下降,檢測系統此時就可以判斷已經被入侵。入侵檢測系統還可以使用一些系統命令來檢查、搜尋系統本身是否被攻擊。當收集到足夠的資訊時,入侵檢測系統就會自動與本身資料庫中設定的已知入侵方式和相關引數匹配,檢測準確率相當的高,讓使用者感到不方便的是,需要不斷的升級資料庫。否則,無法跟上網路時代入侵工具的步伐。入侵檢測的實時保護功能很強,作為一種“主動防範”的檢測技術,檢測系統能迅速提供對系統攻擊、網路攻擊和使用者誤操作的實時保護,在預測到入侵企圖時本身進行攔截和提醒管理員預防。7.4.5發現系統被入侵後的步驟1.仔細尋找入侵者是如何進入系統的,設法堵住這個安全漏洞。2.檢查所有的系統目錄和檔案是否被篡改過,儘快修復。3.改變系統中的部分密碼,防止再次因密碼被暴力破解而生產的漏洞。7.4.6常用入侵檢測工具介紹1.NetProwler作為世界級的網際網路安全技術廠商,賽門鐵克公司的產品涉及到網路安全的方方面面,特別是在安全漏洞檢測、入侵檢測、網際網路內容/電子郵件過濾、遠端管理技術和安全服務方面,賽門鐵克的先進技術的確讓人驚歎!NetProwler就是一款賽門鐵克基於網路入侵檢測開發出的工具軟體,NetProwler採用先進的擁有專利權的動態訊號狀態檢測(SDSI)技術,使使用者能夠設計獨特的攻擊定義。即使最複雜的攻擊也可以由它直觀的攻擊定義介面產生。(1)NetProwler的體系結構NetProwler具有多層體系結構,由Agent、Console和Manager三部分組成。Agent負責監視所在網段的網路資料包。將檢測到的攻擊及其所有相關資料傳送給管理器,安裝時應與企業的網路結構和安全策略相結合。Console負責從代理處收集資訊,顯示所受攻擊資訊,使你能夠配置和管理隸屬於某個管理器的代理。Manager對配置和攻擊警告資訊響應,執行控制檯釋出的命令,將代理發出的攻擊警告傳遞給控制檯。當NetProwler發現攻擊時,立即會把攻擊事件記入日誌並中斷網路連線、建立一個報告,用檔案或E-mail通知系統管理員,最後將事件通知主機入侵檢測管理器和控制檯。(2)NetProwler的檢測技術NetProwler採用具有專利技術的SDSI(StatefulDynamicSignatureInspection狀態化的動態特徵檢測)入侵檢測技術。在這種設計中,每個攻擊特徵都是一組指令集,這些指令是由SDSI虛處理器透過使用一個快取記憶體入口來描述目前使用者狀態和當前從網路上收到資料包的法執行。每一個被監測的網路伺服器都有一個小的相關攻擊特徵集,這些攻擊特徵集都是基於伺服器的操作和伺服器所支援的應用而建立的。Stateful根據監視的網路傳輸內容,進行上下文比較,能夠對複雜事件進行有效的分析和記錄基於SDSI技術的NetProwler工作過程如下:第一步:SDSI虛擬處理器從網路資料中獲取當今的資料包;第二步:把獲取的資料包放入屬於當前使用者或應用會話的狀態緩衝中;第三步:從特別為最佳化伺服器效能的特徵緩衝中執行攻擊特徵;第四步:當檢測到某種攻擊時,處理器立即觸發響應模組,以執行相應的響應措施。(3)NetProwler工作模式因為是網路型IDS,所以NetProwler根據不同的網路結構,其資料採集部分(即代理)有多種不同的連線形式:如果網段用匯流排式的集線器相連,則可將其簡單的接在集線器的一個埠上即可。(4)系統安裝要求使用者將NetProwlerAgent安裝在一臺專門的WindowsNT工作站上,如果NetProwler和其他應用程式執行在同一臺主機上,則兩個程式的效能都將受到嚴重影響。網路入侵檢測系統佔用大量的資源,因此製造商一般推薦使用專門的系統執行驅動引擎,要求它有128MRAM和主頻為400MHz的IntelPentiumII或Pentium私密日誌獨立密碼就是在你寫的私密日誌裡又加了一層密碼,即便是主人想開啟自己寫的私密日誌也需要密碼,打上密碼就可以開啟自己的私密日誌了,如果想要關閉的話,在私密日誌的上方會有,如果你設定了私密日誌密碼,就點“關閉私密日誌獨立密碼”就可以了,以後你再開啟私密日誌的話就不需要密碼了。
系統日誌源自航海日誌:當人們出海遠行的時候,總是要做好航海日誌,以便為以後的工作做出依據。日誌檔案作為微軟Windows系列作業系統中的一個比較特殊的檔案,在安全方面具有無可替代的價值。日誌每天為我們忠實的記錄著系統所發生一切,利用系統日誌檔案,可以使系統管理員快速對潛在的系統入侵作出記錄和預測,但遺憾的是目前絕大多數的人都忽略了它的存在。反而是因為駭客們光臨才會使我們想起這個重要的系統日誌檔案。7.1日誌檔案的特殊性要了解日誌檔案,首先就要從它的特殊性講起,說它特殊是因為這個檔案由系統管理,並加以保護,一般情況下普通使用者不能隨意更改。我們不能用針對普通TXT檔案的編輯方法來編輯它。例如WPS系列、Word系列、寫字板、Edit等等,都奈何它不得。我們甚至不能對它進行“重新命名”或“刪除”、“移動”操作,否則系統就會很不客氣告訴你:訪問被拒絕。當然,在純DOS的狀態下,可以對它進行一些常規操作(例如Win98狀態下),但是你很快就會發現,你的修改根本就無濟於事,當重新啟動Windows98時,系統將會自動檢查這個特殊的文字檔案,若不存在就會自動產生一個;若存在的話,將向該文字追加日誌記錄。7.1.1駭客為什麼會對日誌檔案感興趣駭客們在獲得伺服器的系統管理員許可權之後就可以隨意破壞系統上的檔案了,包括日誌檔案。但是這一切都將被系統日誌所記錄下來,所以駭客們想要隱藏自己的入侵蹤跡,就必須對日誌進行修改。最簡單的方法就是刪除系統日誌檔案,但這樣做一般都是初級駭客所為,真正的高階駭客們總是用修改日誌的方法來防止系統管理員追蹤到自己,網路上有很多專門進行此類功能的程式,例如Zap、Wipe等。7.1.2Windows系列日誌系統簡介1.Windows98的日誌檔案因目前絕大多數的使用者還是使用的作業系統是Windows98,所以本節先從Windows98的日誌檔案講起。Windows98下的普通使用者無需使用系統日誌,除非有特殊用途,例如,利用Windows98建立個人Web伺服器時,就會需要啟用系統日誌來作為伺服器安全方面的參考,當已利用Windows98建立個人Web伺服器的使用者,可以進行下列操作來啟用日誌功能。(1)在“控制面板”中雙擊“個人Web伺服器”圖示;(必須已經在配置好相關的網路協議,並新增“個人Web伺服器”的情況下)。(2)在“管理”選項卡中單擊“管理”按鈕;(3)在“Internet服務管理員”頁中單擊“WWW管理”;(4)在“WWW管理”頁中單擊“日誌”選項卡;(5)選中“啟用日誌”複選框,並根據需要進行更改。將日誌檔案命名為“Inetserver_event.log”。如果“日誌”選項卡中沒有指定日誌檔案的目錄,則檔案將被儲存在Windows資料夾中。普通使用者可以在Windows98的系統資料夾中找到日誌檔案schedlog.txt。我們可以透過以下幾種方法找到它。在“開始”/“查詢”中查詢到它,或是啟動“任務計劃程式”,在“高階”選單中單擊“檢視日誌”來檢視到它。Windows98的普通使用者的日誌檔案很簡單,只是記錄了一些預先設定的任務執行過程,相對於作為伺服器的NT作業系統,真正的駭客們很少對Windows98發生興趣。所以Windows98下的日誌不為人們所重視。2.WindowsNT下的日誌系統WindowsNT是目前受到攻擊較多的作業系統,在WindowsNT中,日誌檔案幾乎對系統中的每一項事務都要做一定程度上的審計。WindowsNT的日誌檔案一般分為三類:系統日誌:跟蹤各種各樣的系統事件,記錄由WindowsNT的系統元件產生的事件。例如,在啟動過程載入驅動程式錯誤或其它系統元件的失敗記錄在系統日誌中。應用程式日誌:記錄由應用程式或系統程式產生的事件,比如應用程式產生的裝載dll(動態連結庫)失敗的資訊將出現在日誌中。安全日誌:記錄登入上網、下網、改變訪問許可權以及系統啟動和關閉等事件以及與建立、開啟或刪除檔案等資源使用相關聯的事件。利用系統的“事件管理器”可以指定在安全日誌中記錄需要記錄的事件,安全日誌的預設狀態是關閉的。WindowsNT的日誌系統通常放在下面的位置,根據作業系統的不同略有變化。C:\systemroot\system32\config\sysevent.evtC:\systemroot\system32\config\secevent.evtC:\systemroot\system32\config\appevent.evtWindowsNT使用了一種特殊的格式存放它的日誌檔案,這種格式的檔案可以被事件檢視器讀取,事件檢視器可以在“控制面板”中找到,系統管理員可以使用事件檢視器選擇要檢視的日誌條目,檢視條件包括類別、使用者和訊息型別。3.Windows2000的日誌系統與WindowsNT一樣,Windows2000中也一樣使用“事件檢視器”來管理日誌系統,也同樣需要用系統管理員身份進入系統後方可進行操作,如圖7-1所示。圖7-1在Windows2000中,日誌檔案的型別比較多,通常有應用程式日誌,安全日誌、系統日誌、DNS伺服器日誌、FTP日誌、WWW日誌等等,可能會根據伺服器所開啟的服務不同而略有變化。啟動Windows2000時,事件日誌服務會自動啟動,所有使用者都可以檢視“應用程式日誌”,但是隻有系統管理員才能訪問“安全日誌”和“系統日誌”。系統預設的情況下會關閉“安全日誌”,但我們可以使用“組策略”來啟用“安全日誌”開始記錄。安全日誌一旦開啟,就會無限制的記錄下去,直到裝滿時停止執行。Windows2000日誌檔案預設位置:應用程式日誌、安全日誌、系統日誌、DNS日誌預設位置:%systemroot%\system32\config,預設檔案大小512KB,但有經驗的系統管理員往往都會改變這個預設大小。安全日誌檔案:c:\systemroot\system32\config\SecEvent.EVT系統日誌檔案:c:\systemroot\system32\config\SysEvent.EVT應用程式日誌檔案:c:\systemroot\system32\config\AppEvent.EVTInternet資訊服務FTP日誌預設位置:c:\systemroot\system32\logfiles\msftpsvc1\。Internet資訊服務WWW日誌預設位置:c:\systemroot\system32\logfiles\w3svc1\。Scheduler伺服器日誌預設位置:c:\systemroot\schedlgu.txt。該日誌記錄了訪問者的IP,訪問的時間及請求訪問的內容。因Windows2000延續了NT的日誌檔案,並在其基礎上又增加了FTP和WWW日誌,故本節對FTP日誌和WWW日誌作一個簡單的講述。FTP日誌以文字形式的檔案詳細地記錄了以FTP方式上傳檔案的檔案、來源、檔名等等。不過由於該日誌太明顯,所以高階駭客們根本不會用這種方法來傳檔案,取而代之的是使用RCP。FTP日誌檔案和WWW日誌檔案產生的日誌一般在c:\systemroot\system32\LogFiles\W3SVC1目錄下,預設是每天一個日誌檔案,FTP和WWW日誌可以刪除,但是FTP日誌所記錄的一切還是會在系統日誌和安全日誌裡記錄下來,如果使用者需要嘗試刪除這些檔案,透過一些並不算太複雜的方法,例如首先停止某些服務,然後就可以將該日誌檔案刪除。具體方法本節略。Windows2000中提供了一個叫做安全日誌分析器(CyberSafeLogAnalyst,CLA)的工具,有很強的日誌管理功能,它可以使使用者不必在讓人眼花繚亂的日誌中慢慢尋找某條記錄,而是透過分類的方式將各種事件整理好,讓使用者能迅速找到所需要的條目。它的另一個突出特點是能夠對整個網路環境中多個系統的各種活動同時進行分析,避免了一個個單獨去分析的麻煩。4.WindowsXP日誌檔案說WindowsXP的日誌檔案,就要先說說Internet連線防火牆(ICF)的日誌,ICF的日誌可以分為兩類:一類是ICF稽核透過的IP資料包,而一類是ICF拋棄的IP資料包。日誌一般存於Windows目錄之下,檔名是pfirewall.log。其檔案格式符合W3C擴充套件日誌檔案格式(W3CExtendedLogFileFormat),分為兩部分,分別是檔案頭(HeadInformation)和檔案主體(BodyInformation)。檔案頭主要是關於Pfirewall.log這個檔案的說明,需要注意的主要是檔案主體部分。檔案主體部分記錄有每一個成功透過ICF稽核或者被ICF所拋棄的IP資料包的資訊,包括源地址、目的地址、埠、時間、協議以及其他一些資訊。理解這些資訊需要較多的TCP/IP協議的知識。ICF生成安全日誌時使用的格式是W3C擴充套件日誌檔案格式,這與在常用日誌分析工具中使用的格式類似。當我們在WindowsXP的“控制面板”中,開啟事件檢視器,如圖7-2所示。就可以看到WindowsXP中同樣也有著系統日誌、安全日誌和應用日誌三種常見的日誌檔案,當你單擊其中任一檔案時,就可以看見日誌檔案中的一些記錄,如圖7-3所示。圖7-2圖7-3在高階裝置中,我們還可以進行一些日誌的檔案存放地址、大小限制及一些相關操作,如圖7-4所示。圖7-4若要啟用對不成功的連線嘗試的記錄,請選中“記錄丟棄的資料包”複選框,否則禁用。另外,我們還可以用金山網鏢等工具軟體將“安全日誌”匯出和被刪除。5.日誌分析當日志每天都忠實的為使用者記錄著系統所發生的一切的時候,使用者同樣也需要經常規範管理日誌,但是龐大的日誌記錄卻又令使用者茫然失措,此時,我們就會需要使用工具對日誌進行分析、彙總,日誌分析可以幫助使用者從日誌記錄中獲取有用的資訊,以便使用者可以針對不同的情況採取必要的措施。7.2系統日誌的刪除因作業系統的不同,所以日誌的刪除方法也略有變化,本文從Windows98和Windows2000兩種有明顯區別的作業系統來講述日誌的刪除。7.2.1Windows98下的日誌刪除在純DOS下啟動計算機,用一些常用的修改或刪除命令就可以消除Windows98日誌記錄。當重新啟動Windows98後,系統會檢查日誌檔案的存在,如果發現日誌檔案不存在,系統將自動重建一個,但原有的日誌檔案將全部被消除。7.2.2Windows2000的日誌刪除Windows2000的日誌可就比Windows98複雜得多了,我們知道,日誌是由系統來管理、保護的,一般情況下是禁止刪除或修改,而且它還與登錄檔密切相關。在Windows2000中刪除日誌首先要取得系統管理員許可權,因為安全日誌和系統日誌必須由系統管理員方可檢視,然後才可以刪除它們。我們將針對應用程式日誌,安全日誌、系統日誌、DNS伺服器日誌、FTP日誌、WWW日誌的刪除做一個簡單的講解。要刪除日誌檔案,就必須停止系統對日誌檔案的保護功能。我們可以使用命令語句來刪除除了安全日誌和系統日誌外的日誌檔案,但安全日誌就必須要使用系統中的“事件檢視器”來控制它,開啟“控制面板”的“管理工具”中的“事件檢視器”。在選單的“操作”項有一個名為“連線到另一臺計算機”的選單,點選它如圖7-5所示。圖7-5輸入遠端計算機的IP,然後需要等待,選擇遠端計算機的安全性日誌,點選屬性裡的“清除日誌”按鈕即可。7.3發現入侵蹤跡如何當入侵者企圖或已經進行系統的時候,及時有效的發現蹤跡是目前防範入侵的熱門話題之一。發現入侵蹤跡的前題就是應該有一個入侵特徵資料庫,我們一般使用系統日誌、防火牆、檢查IP報頭(IPheader)的來源地址、檢測Email的安全性以及使用入侵檢測系統(IDS)等來判斷是否有入侵跡象。我們先來學習一下如何利用埠的常識來判斷是否有入侵跡象:電腦在安裝以後,如果不加以調整,其預設開放的埠號是139,如果不開放其它埠的話,駭客正常情況下是無法進入系統的。如果平常系統經常進行病毒檢查的話,而突然間電腦上網的時候會感到有反應緩慢、滑鼠不聽使喚、藍色畫面、系統宕機及其它種種不正常的情況,我們就可以判斷有駭客利用電子信件或其它方法在系統中植入的特洛伊木馬。此時,我們就可以採取一些方法來清除它,具體方法在本書的相關章節可以查閱。7.3.1遭受入侵時的跡象入侵總是按照一定的步驟在進行,有經驗的系統管理員完全可以透過觀察到系統是否出現異常現象來判斷入侵的程度。1.掃描跡象當系統收到連續、反覆的埠連線請求時,就可能意味著入侵者正在使用埠掃描器對系統進行外部掃描。高階駭客們可能會用秘密掃描工具來躲避檢測,但實際上有經驗的系統管理員還是可以透過多種跡象來判斷一切。2.利用攻擊當入侵者使用各種程式對系統進行入侵時,系統可能報告出一些異常情況,並給出相關檔案(IDS常用的處理方法),當入侵者入侵成功後,系統總會留下或多或少的破壞和非正常訪問跡象,這時就應該發現系統可能已遭遇入侵。3.DoS或DDoS攻擊跡象這是當前入侵者比較常用的攻擊方法,所以當系統性能突然間發生嚴重下降或完全停止工作時,應該立即意識到,有可能系統正在遭受拒絕服務攻擊,一般的跡象是CPU佔用率接近90%以上,網路流量緩慢、系統出現藍色畫面、頻繁重新啟動等。7.3.2合理使用系統日誌做入侵檢測系統日誌的作用和重要性大家透過上幾節的講述,相信明白了不少,但是雖然系統自帶的日誌完全可以告訴我們系統發生的任何事情,然而,由於日誌記錄增加得太快了,最終使日誌只能成為浪費大量磁碟空間的垃圾,所以日誌並不是可以無限制的使用,合理、規範的進行日誌管理是使用日誌的一個好方法,有經驗的系統管理員就會利用一些日誌稽核工具、過濾日誌記錄工具,解決這個問題。要最大程度的將日誌檔案利用起來,就必須先制定管理計劃。1.指定日誌做哪些記錄工作?2.制定可以得到這些記錄詳細資料的觸發器。7.3.3一個比較優秀的日誌管理軟體要想迅速的從繁多的日誌檔案記錄中查詢到入侵資訊,就要使用一些專業的日誌管理工具。SurfstatsLogAnalyzer4.6就是這麼一款專業的日誌管理工具。網路管理員透過它可以清楚的分析“log”檔案,從中看出網站目前的狀況,並可以從該軟體的“報告”中,看出有多少人來過你的網站、從哪裡來、在系統中大量地使用了哪些搜尋字眼,從而幫你準確地瞭解網站狀況。這個軟體最主要的功能有:1、整合了查閱及輸出功能,並可以定期用螢幕、檔案、FTP或E-mail的方式輸出結果;2.可以提供30多種彙總的資料;3.能自動偵測檔案格式,並支援多種通用的log檔案格式,如MSIIS的W3Extendedlog格式;4.在“密碼保護”的目錄裡,增加認證(Authenticated)使用者的分析報告;5.可按每小時、每星期、或每月的模式來分析;6.DNS資料庫會儲存解析(Resolved)的IP地址;7.每個分析的畫面都可以設定不同的背景、字型、顏色。發現入侵蹤跡的方法很多,如入侵檢測系統IDS就可以很好的做到這點。下一節我們將講解詳細的講解入侵檢測系統。7.4做好系統入侵檢測7.4.1什麼是入侵檢測系統在人們越來越多和網路親密接觸的同時,被動的防禦已經不能保證系統的安全,針對日益繁多的網路入侵事件,我們需要在使用防火牆的基礎上選用一種協助防火牆進行防患於未然的工具,這種工具要求能對潛在的入侵行為作出實時判斷和記錄,並能在一定程度上抗擊網路入侵,擴充套件系統管理員的安全管理能力,保證系統的絕對安全性。使系統的防範功能大大增強,甚至在入侵行為已經被證實的情況下,能自動切斷網路連線,保護主機的絕對安全。在這種情形下,入侵檢測系統IDS(IntrusionDetectionSystem)應運而生了。入侵檢測系統是基於多年對網路安全防範技術和駭客入侵技術的研究而開發的網路安全產品它能夠實時監控網路傳輸,自動檢測可疑行為,分析來自網路外部入侵訊號和內部的非法活動,在系統受到危害前發出警告,對攻擊作出實時的響應,並提供補救措施,最大程度地保障系統安全。NestWatch這是一款運行於WindowsNT的日誌管理軟體,它可以從伺服器和防火牆中匯入日誌檔案,並能以HTML的方式為系統管理員提供報告。7.4.2入侵檢測系統和日誌的差異系統本身自帶的日誌功能可以自動記錄入侵者的入侵行為,但它不能完善地做好入侵跡象分析記錄工作,而且不能準確地將正常的服務請求和惡意的入侵行為區分開。例如,當入侵者對主機進行CGI掃描時,系統安全日誌能提供給系統管理員的分析資料少得可憐,幾乎全無幫助,而且安全日誌檔案本身的日益龐大的特性,使系統管理員很難在短時間內利用工具找到一些攻擊後所遺留下的痕跡。入侵檢測系統就充分的將這一點做的很好,利用入侵檢測系統提供的報告資料,系統管理員將十分輕鬆的知曉入侵者的某些入侵企圖,並能及時做好防範措施。7.4.3入侵檢測系統的分類目前入侵檢測系統根據功能方面,可以分為四類:1.系統完整性校驗系統(SIV)SIV可以自動判斷系統是否有被駭客入侵跡象,並能檢查是否被系統入侵者更改了系統檔案,以及是否留有後門(駭客們為了下一次光顧主機留下的),監視針對系統的活動(使用者的命令、登入/退出過程,使用的資料等等),這類軟體一般由系統管理員控制。2.網路入侵檢測系統(NIDS)NIDS可以實時的對網路的資料包進行檢測,及時發現埠是否有駭客掃描的跡象。監視計算機網路上發生的事件,然後對其進行安全分析,以此來判斷入侵企圖;分散式IDS透過分佈於各個節點的感測器或者代理對整個網路和主機環境進行監視,中心監視平臺收集來自各個節點的資訊監視這個網路流動的資料和入侵企圖。3.日誌分析系統(LFM)日誌分析系統對於系統管理員進行系統安全防範來說,非常重要,因為日誌記錄了系統每天發生的各種各樣的事情,使用者可以透過日誌記錄來檢查錯誤發生的原因,或者受到攻擊時攻擊者留下的痕跡。日誌分析系統的主要功能有:審計和監測、追蹤侵入者等。日誌檔案也會因大量的記錄而導致系統管理員用一些專業的工具對日誌或者報警檔案進行分析。此時,日誌分析系統就可以起作用了,它幫助系統管理員從日誌中獲取有用的資訊,使管理員可以針對攻擊威脅採取必要措施。4.欺騙系統(DS)普通的系統管理員日常只會對入侵者的攻擊作出預測和識別,而不能進行反擊。但是欺騙系統(DS)可以幫助系統管理員做好反擊的鋪墊工作,欺騙系統(DS)透過模擬一些系統漏洞來欺騙入侵者,當系統管理員透過一些方法獲得駭客企圖入侵的跡象後,利用欺騙系統可以獲得很好的效果。例如重新命名NT上的administrator賬號,然後設立一個沒有許可權的虛假賬號讓駭客來攻擊,在入侵者感覺到上當的時候,管理員也就知曉了入侵者的一舉一動和他的水平高低。7.4.4入侵檢測系統的檢測步驟入侵檢測系統一般使用基於特徵碼的檢測方法和異常檢測方法,在判斷系統是否被入侵前,入侵檢測系統首先需要進行一些資訊的收集。資訊的收集往往會從各個方面進行。例如對網路或主機上安全漏洞進行掃描,查詢非授權使用網路或主機系統的企圖,並從幾個方面來判斷是否有入侵行為發生。檢測系統接著會檢查網路日誌檔案,因為駭客非常容易在會在日誌檔案中留下蛛絲馬跡,因此網路日誌檔案資訊是常常作為系統管理員檢測是否有入侵行為的主要方法。取得系統管理權後,駭客們最喜歡做的事,就是破壞或修改系統檔案,此時系統完整性校驗系統(SIV)就會迅速檢查系統是否有異常的改動跡象,從而判斷入侵行為的惡劣程度。將系統執行情況與常見的入侵程式造成的後果資料進行比較,從而發現是否被入侵。例如:系統遭受DDoS分散式攻擊後,系統會在短時間內效能嚴重下降,檢測系統此時就可以判斷已經被入侵。入侵檢測系統還可以使用一些系統命令來檢查、搜尋系統本身是否被攻擊。當收集到足夠的資訊時,入侵檢測系統就會自動與本身資料庫中設定的已知入侵方式和相關引數匹配,檢測準確率相當的高,讓使用者感到不方便的是,需要不斷的升級資料庫。否則,無法跟上網路時代入侵工具的步伐。入侵檢測的實時保護功能很強,作為一種“主動防範”的檢測技術,檢測系統能迅速提供對系統攻擊、網路攻擊和使用者誤操作的實時保護,在預測到入侵企圖時本身進行攔截和提醒管理員預防。7.4.5發現系統被入侵後的步驟1.仔細尋找入侵者是如何進入系統的,設法堵住這個安全漏洞。2.檢查所有的系統目錄和檔案是否被篡改過,儘快修復。3.改變系統中的部分密碼,防止再次因密碼被暴力破解而生產的漏洞。7.4.6常用入侵檢測工具介紹1.NetProwler作為世界級的網際網路安全技術廠商,賽門鐵克公司的產品涉及到網路安全的方方面面,特別是在安全漏洞檢測、入侵檢測、網際網路內容/電子郵件過濾、遠端管理技術和安全服務方面,賽門鐵克的先進技術的確讓人驚歎!NetProwler就是一款賽門鐵克基於網路入侵檢測開發出的工具軟體,NetProwler採用先進的擁有專利權的動態訊號狀態檢測(SDSI)技術,使使用者能夠設計獨特的攻擊定義。即使最複雜的攻擊也可以由它直觀的攻擊定義介面產生。(1)NetProwler的體系結構NetProwler具有多層體系結構,由Agent、Console和Manager三部分組成。Agent負責監視所在網段的網路資料包。將檢測到的攻擊及其所有相關資料傳送給管理器,安裝時應與企業的網路結構和安全策略相結合。Console負責從代理處收集資訊,顯示所受攻擊資訊,使你能夠配置和管理隸屬於某個管理器的代理。Manager對配置和攻擊警告資訊響應,執行控制檯釋出的命令,將代理發出的攻擊警告傳遞給控制檯。當NetProwler發現攻擊時,立即會把攻擊事件記入日誌並中斷網路連線、建立一個報告,用檔案或E-mail通知系統管理員,最後將事件通知主機入侵檢測管理器和控制檯。(2)NetProwler的檢測技術NetProwler採用具有專利技術的SDSI(StatefulDynamicSignatureInspection狀態化的動態特徵檢測)入侵檢測技術。在這種設計中,每個攻擊特徵都是一組指令集,這些指令是由SDSI虛處理器透過使用一個快取記憶體入口來描述目前使用者狀態和當前從網路上收到資料包的法執行。每一個被監測的網路伺服器都有一個小的相關攻擊特徵集,這些攻擊特徵集都是基於伺服器的操作和伺服器所支援的應用而建立的。Stateful根據監視的網路傳輸內容,進行上下文比較,能夠對複雜事件進行有效的分析和記錄基於SDSI技術的NetProwler工作過程如下:第一步:SDSI虛擬處理器從網路資料中獲取當今的資料包;第二步:把獲取的資料包放入屬於當前使用者或應用會話的狀態緩衝中;第三步:從特別為最佳化伺服器效能的特徵緩衝中執行攻擊特徵;第四步:當檢測到某種攻擊時,處理器立即觸發響應模組,以執行相應的響應措施。(3)NetProwler工作模式因為是網路型IDS,所以NetProwler根據不同的網路結構,其資料採集部分(即代理)有多種不同的連線形式:如果網段用匯流排式的集線器相連,則可將其簡單的接在集線器的一個埠上即可。(4)系統安裝要求使用者將NetProwlerAgent安裝在一臺專門的WindowsNT工作站上,如果NetProwler和其他應用程式執行在同一臺主機上,則兩個程式的效能都將受到嚴重影響。網路入侵檢測系統佔用大量的資源,因此製造商一般推薦使用專門的系統執行驅動引擎,要求它有128MRAM和主頻為400MHz的IntelPentiumII或Pentium私密日誌獨立密碼就是在你寫的私密日誌裡又加了一層密碼,即便是主人想開啟自己寫的私密日誌也需要密碼,打上密碼就可以開啟自己的私密日誌了,如果想要關閉的話,在私密日誌的上方會有,如果你設定了私密日誌密碼,就點“關閉私密日誌獨立密碼”就可以了,以後你再開啟私密日誌的話就不需要密碼了。