计算机病毒和入侵检测 实验报告三

    首先使用“快照X”恢复Linux系统环境。一．查看连接时间日志    连接时间日志是保持用户登录进入和退出时间的文件。 1. 查看系统已登录用户（使用工具查看/var/run/utmp日志）     （1）进入实验平台，单击工具栏“控制台”按钮进入工作目录。输入命令：w，查看系统已登录用户。显示信息如图4-4-1所示。

显示信息第一行是汇总信息，包括系统当前时间、系统启动到现在的时间、登录用户数目、系统在最近1秒、5秒和15秒的平均负载。     其后每行显示的是每个用户的各项数据，其中包括：登录帐号、登录终端名称，远程主机名称，登录时间、空闲时间，JCPU、PCPU、当前正在运行的命令行。其中JCPU时间指的是和该终端(tty)连接的所有进程占用的时间。这个时间里并不包括过去的后台作业时间，但却包括当前正在运行的后台作业所占用的时间。而PCPU时间则是指当前进程所占用的时间。     （2）同组主机telnet登录本机（用户名：guest；口令：guestpass），本机再次通过w命令查看系统已登录用户。     （3）与“w”命令功能相似的命令还有“who”、“users”命令，请在控制台中运行这两个命令并查看运行结果与“w”命令的异同。

第一题的三个小题的实验结果截图 2. 查看登录用户历史（使用工具查看/var/log/wtmp日志）     （1）在控制台中输入命令：last，查看近期用户或终端的登录情况。显示信息如图4-4-2所示。

图4-4-2  登录用户历史

    显示信息中包括用户登录时间。如果关心某一个用户的登录历史，可以在“last”命令后面加上用户名参数，上例中使用“last root”命令就会得到关于用户root的登录信息。     （2）在实验中我们会发现，last命令会列出好多用户登录历史，这样不利于我们查找，有时候我们只希望打印出最近的用户登录历史，选项n用来打印出最近的n个用户的登录历史，在控制台输入命令：last -n 5，能够得到最近5个用户的登录历史。 3. 查看用户的上一次登录历史（使用工具查看/var/log/lastlog日志）     在控制台输入命令：lastlog，查看所有用户的最近登录情况，如图4-4-3所示。

…… …… 余下全文