安装基本的Windows入侵检测系统（WinIDS）预安装任务提示：下列任务这些必须在安装WinIDS前完成提示：1．在一些情况下微软系统默认安装IIS。

要保证在开始安装WinIDS前IIS已被移除。

2．进入到C:\Windows\system32\drivers\etc下，适用写字板打开hosts文件，将’本机ip winids’加入到文件中（如下所示），保存退出，在命令行中使用’ping winids’测试。

3．将下载的AIO软件包解压缩安装WinPcap一路next，accept，finish即可安装和配置Snort１．安装Snort程序到c:\snort提示：在安装开始的第二个步“Install Options”处，由于Snort的所有Windows版本已经默认支持将日志记录到Mysql和ODBC数据库服务器，所以此处可以选择第一个单选按钮或者可以选择其它两个以添加额外的数据库支持。

Snort安装第二步图示2．进入c:\snort\etc下，使用写字板编辑snort.conf文件提示：使用写字板中的“查找”寻找下列变量。

更改内容如下所示：Original: var HOME_NET anyChange: var HOME_NET 192.168.1.0/24（需更改）Original: var EXTERNAL_NET anyChange: var EXTERNAL_NET !$HOME_NETOriginal: var RULE_PATH ../rulesChange: var RULE_PATH c:\snort\rulesOriginal: # config detection: search-method lowmemChange: config detection: search-method lowmemOriginal: dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/Change: dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessorOriginal: dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.soChange: dynamicengine c:\ snort\lib\snort_dynamicengine\sf_engine.dll提示：查找条目'preprocessor stream4_reassemble' (less the quotes), 并添加下一行到该条目之下。

preprocessor stream4_reassemble: both.ports 21 23 25 53 80 110 111 139 143 445 513 1433 提示：查找条目'Preprocessor sfportscan' (less the quotes)并改变下一行。

Original: sense_level { low }Change: sense_level { low } \在上一行下加入：logfile { portscan.log }提示：在'# output log_tcpdump: tcpdump.log' 下插入下一行：output alert_fast: alert.idsOriginal: # output database: log, mysql, user=root password=test dbname=db host=localhost Change: output database: log, mysql, user=snort password=snort dbname=snort host=winids sensor_name=WinIDSOriginal: include classification.configChange: include c:\snort\etc\classification.configOriginal: include reference.configChange: include c: \snort\etc\reference.configOriginal: # include threshold.confChange: include c:\snort\etc\threshold.conf保存并退出。

测试Snort安装打开命令行，在提示符下输入‟cd c:\snort\bin‟回车。

在命令提示符下输入‟snort –W‟，回车。

提示：当‟-W‟参数被使用的时候，Snort将探测多个接口，并且以数字（1-x）形式显示。

Snort 需要知道有哪些接口可以监控，如果没有发现网络接口，安装必须停止直到问题解决。

When the -W switch was used in the above run line, Snort may have detect multiple interfaces, and displayed then by numbers (1-x). Snort will need to know which interface to monitor. If No interface are found, the install MUST stop until the problem is corrected.提示：下面的过程需要将WinIDS连接到网络，并且需要产生通讯。

这通常可以通过Web浏览器打开一个远程站点来达成。

从命令行输入‟snort –v –i2‟，回车。

提示：这将以详细输出模式运行snort，并在接口1上探测通讯。

现在打开一个Web浏览器产生一些Web通讯。

提示：如果只有一个网卡，因为通讯的产生我们应该会在命令行窗口看到流经的数据统计，如果探测器上装有多个网卡并且在命行行窗口看不到数据统计，而且snort也在运行中，那么从任务管理器停止snort，然后改变‟snort –v –iN‟中N的值再次运行snort，直到有通讯数据统计出现在命令行窗口中。

提示：N的值需要记住，以备配置文件中使用命令行中使用‟CTRL+C‟或者通过任务管理器来结束Snort使用虚拟机获取的Snort –w效果图Snort –v –i2效果图安装Apache Web Server我们这里对安装过程不做赘述，假设安装到了c:\apache目录下。

提示：安装好Apache后在系统托盘处会出现一个Apache的图标，我们可以通过它来对Apache 服务进行控制。

提示：如上图所示，最后两个单选项，是选择将apache安装为服务使用80端口自动启动，还是手动启动使用8080端口，自己定夺。

使用写字板打开c:\apache\conf\httpd.conf文件。

使用查找定位到配置文件‟LoadModule ssl_module modules/mod_ssl.so‟ 处，并在其下添加如下三行：LoadModule php5_module c:\php\php5apache2_2.dllAddType application/x-httpd-php .phpPHPIniDir c:\php安装并配置PHP将php的windows压缩文件包解压到c:\php下。

完成后：1．将c:\php\libmysql.dll拷贝到c:\windows\system32下。

2．使用c:\php\php.ini-dist拷贝生成c:\php\php.ini使用写字板编辑c:\php\php.ini所做更改如下所示：Original: max_execution_time = 30Change: max_execution_time = 60Original: display_errors = OnChange: display_errors = OffOriginal: ;include_path = ".;c:\php\includes"Change: include_path = "d:\win-ids\php\pear"Original: extension_dir = "./"Change: extension_dir = "d:\win-ids\php\ext"Original: ; extension=php_gd2.dllChange: extension=php_gd2.dllOriginal: ; extension=php_mysql.dllChange: extension=php_mysql.dllOriginal: ; session.save_path = "/tmp"Change: session.save_path = "c:\ temp"提示：保证‟session.save_path=‟变量指向正确并且存在的‟c:\temp目录。

保证Everyone拥有上述目录的使用权限。

Everyone 完全控制测试Apache和PHP的安装将压缩包中的test.php拷贝到‟c:\apache\htdocs‟中，然后重起apache服务。

打开浏览器输入‟http://winids/test.php‟生成如下所示页面。

提示：1．检查php.ini的位置、extension_dir、include_path及session.save_path等设定是否与我们先前设定相符。

2．检查是否有gd,mysql等已经被enable的项。

将snort配置为系统服务1．在命令行提示符下切换当前目录至‟c:\snort\bin‟下。

2．在命令行提示符下输入：‟snort /SERVICE /INSTALL -c “c:\snort\etc\snort.conf”-l “c:\snort\log” -K ascii –i2‟，回车。

（注意-ix中的x代表snort所探测的NIC的序号也就是前面所说的N值）提示：我们应该看到服务添加成功的消息。

打开“开始/运行”对话框，输入‟services.msc‟，确定。

提示：如果snort服务已经成功安装，可以找到‟Snort‟条目，将其设置为‟automatic‟退出。

Snort服务更改为自动安装和配置MySQL安装时提示：1．选择“Standard Configuration”，复选“Include Bin Directory in Windows Path”，设置好root用户的密码。