1. Normalbilledet.
Her er hvad du skal have styr på, og hvad du skal kontrollere når du har mistanke om at noget er galt. Jeg vil anbefale at du dokumentere dine ting, ved udskrifter, gemte filer og screen dumps. Denne diciplin kaldes også Baselining og er meget vigtig til mange ting.

-Start med dine logfiler. Disse logfiler bør du kontrollere jævnligt, idet der er her du vil finde de første tegn på at noget er i gang. Du skal helst fange hackeren mens han arbejder på at komme ind, hvis han er god, vil han, når han først er inde, kunne slette disse logfiler, overskrive dem, eller måske modificere dem, så du ikke kan se hvad der er sket. Hvis han installere et såkaldt rootkit, er du prisgivet, og vil ikke kunne opdage ham direkte. En lægmandsforklaring på hvad et rootkit gør, er at det gør hackeren til et spøgelse. Du kan ikke se hans filer, biblioteker eller de processer han starter. Du vil lige som med spøgelset kun opdage den kolde luft når han er på dit net. Du kan se pladsen på dine drev forsvinder, men ikke se hvorfor. Du kan se at din båndbredde og din processor kraft bruges, men ikke af hvad. Kontroller din ”Event Viewer” for underlige logon aktiviteter, services, der er fejlet eller mærkelige genstarter, og gem dine logfiler, e.v.t brændt ud på CD. Der kan sagtens gå noget tid før du opdager at noget er galt, så skal du kunne gå tilbage og se hvornår hvad er sket. Dette er også meget vigtigt hvis du vil anmelde noget til politiet.

MEGET VIGTIGT!!!!!!!
Sørg for at urene på dine systemer går rigtigt alle sammen. Brug gerne netværkstid, så de alle går ens og rigtigt. Dette er vigtigt hvis du vil anmelde, dine logfiler kan ikke bruges i en retssag hvid de går blot lidt forkert. Dine logfiler skal kunne sammenholdes med udbyders logfiler, og hvis det skal holde i retten, skal tiderne være sammenlignelige.

- Kontroller dine drev for mærkelige filer, eller om størrelsen af den frie plads pludselig er blevet mindre. Dette kræver at du holder øje med dit pladsforbrug på dine diske, og det bør du. Det drejer sig i det heletaget om at danne et normalbillede, så du opdagere ændringerne. Du vil under normale omstændigheder kunne finde gemte filer og mapper i stifinderen. vælg Vis, Mappeindstillinger, Vis alle filer . I MS DOS promt ses de gemte filer med kommandoen dir /ah.
Ligesom dine almindelige filer, bør du også holde øje med dine systemfiler. Du bør have overblik over versionsnumre, servicepackniveau, build nummer og den slags. Hvis hackeren er god, vil han ofte lukke huller og patche dit system, for at sikre at der ikke kommer andre ind og ødelægger det han har gang i. Du kan bruge programmer som Host Based Intrusion Detection, f.eks. Tripwire, MD5 eller andre kryptografiske checksum værktøjer.

C:/drever kan især være svært at holde øje med, da størrelsen ofte variere afhængig af størrelsen af dine mailfiler og dine Internet temp filer. Her er det vigtigt, at du over tid holder øje med hvordan diskforbruget udvikler sig i takt med at du modtager mail, og surfer på nettet, på den måde har du en chance for at opdage hvis der sker noget unormalt.

- kontroller om der er opretter nye brugere eller grupper, specielt Administrator gruppen og superbrugere. Se også efter om der er nogle af de kendte brugere eller grupper der pludselig har fået flere rettigheder end de bør have. Kontroller også dine policies og se om der er ændret noget. Hvia du skal kunne dette, bør du dokumentere dine indstillinger, så du kan følge med i hvad der sker

- kontroller også dine shares, herunder især dine skjulte shares/systemshares. Dette kan du gøre med de indbyggede Windows værktøjer, eller bruger netbios scanneren Leviathan, Brug helst begge. Du bør undersøge alle former for shares. Både fil, diske og print, da de alle kan udnyttes.

- Kontroller om der er ændret rettigheder på filer eller registry Keys. Hvis du har styr på din konfiguration kan du bruge de indbyggede værktøjer til at identificere ændringer, og du kan bruge XCACLS.EXE der er en del af NT Resource Kit. Denne kan kontrollere mange filer på en gang.

- Kontroller hvilke processor der køre på din maskine. Dette kan du gøre med taskmanageren (jobliste) eller med værktøjer som HijackThis. Du bør lave en HijackThis logfil af din rene maskine, og printe den ud, så har du et grundlag for sammenligning. Du kan også anvende "pulist.exe" og "tlist.exe" kommandoerne fra "NT resource kit" . Begge programmer startes fra en kommandopromt, Pulist.exe viser dig hvem, der har startet den enkelte proces, tlist.exe -t vise dig hvilke processer, der startede hvilke underprocesser. Services vil oftest være startet af SYSTEM kontoen.

- Kontroller hvilke programmer der startes op når din Windows startes. Du kan kikke i C:winntUsersMenuen StartProgrammerStart mappen (husk både at kontrollere den lokale brugers mappe og ” alle brugere” mappen). Se også under Start – Programmer – start for genveje til programmer der startes op

- Du er også nødt til at kontrollere din system- og netværkskonfigurationen for uautoriserede adgange. Kik på WINS, DNS og IP forwarding, f.eks. med Windows indbyggede værktøjer eller med ”ipconfig /all” fra en kommando promt. En "netstat -an" fra samme promt, vil fortælle dig om din maskine lytter på porte den ikke bør lytte på. (I DK-CERTs portliste, kan du se hvilke typer, af hændelser de enkelte portnumre oftest udsættes for.)

- Kontroller om der er Schedulerede opgaver på din maskine, f,eks, bagdøre der er sat til at åbne på bestemte tidspunkter om natten. Dette kan gøres fra en kommandopromt med ”AT” kommandoen eller med programmer WINAT fra "NT resource kittet

Written by :

Ronni K. G. Christiansen