信息安全工程师综合知识真题考点：系统自身检测

系统自身监测的方法包括：

1、网络通信状态监测

用netstat命令、TCPView、HTTPNetworkSniffer等显示当前受害机器的网络监听程序及网络连接。

2、操作系统进程活动状态监测

在Linux/UNIX系统中，用ps命令查看受害机器的活动进程。在Windows系统中，可用Autoruns、Process Explorer、ListDLLs等查看系统进程活动状况。

3、用户活动状况监测

用who命令显示受害系统的在线用户信息。

4、地址解析状况监测

用arp命令查看受害机器的地址解析缓存表。

5、进程资源使用状况监测

在UNIX/Linux系统中可用lsof工具检查进程使用的文件、tcp/udp端口、用户等相关信息。在Windows系统下，可以使用fport工具对相关进程和端口号进行关联。

注：详见《信息安全工程师教程》(第2版)365-367页

考点相关真题