攻击者在入侵中或者入侵成功后，会在系统文件上做文章隐藏保护入侵工具(一般是木马的客户端)。其主要手段是替换同名的系统文件(exe和dll文件)，或者实施系统文件与木马的捆绑。

　　检测系统文件，笔者建议在Server 2003系统安装完毕之后用“dir *.exe /s >1.txt”将系统盘所有的exe文件列表保存下来。这样，在检测时，先该命令生成一份当前Server 2003系统盘文件列表，然后用FC命令比较两个文件从而发现可疑文件，对于dll文件的检测方法类似。需要注意的是打补丁或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。(图5)

　　对于被捆绑的系统文件的安全检测，笔者建议可以通过SFC命令还原纯净的系统文件。必要时可运行一次杀毒程序对系统盘进行一次扫描处理。

　　4.检查目录权限

　　Server 2003支持NTFS文件格式，我们一般要对磁盘、目录的权限往往经过严格的设置。这些设置加固了系统的安全，限制的攻击者的入侵。因此，攻击者在攻击过程中或者攻击完成后，往往要对目录的权限进行调整，以方便自己后期的使用。比如攻击者在获得一Web站点的webshell后，就要进行进一步的渗透、提权等操作，其中对于目录权限的突破是一个手段。所以，对于磁盘、目录权限的检测也是系统入侵检测的一个重要方面。(图6)

　　(1).需要检查权限的磁盘、目录有：系统盘及其它分区，%windir%、%windir%\system32、%windir%\system32\inetsrv、%windir%\system32\inetsrvdata、"documents Settings"，如果是虚拟主机还应该有每个Web站点的目录。

　　(2).对于用serv-u部署的FTPServer 2003，需要查看serv-u安装目录的权限是否做过变动。

　　(3).检查system32下的某些重要系统命令的权限有无更改，这些命令文件是：cmd、net、ftp、tftp、cacls等。