1、第五章 计算机恶意代码与防护什么是恶意代码什么是恶意代码恶意代码(恶意代码(malicious code):恶意代码是一种程序,它):恶意代码是一种程序,它通过把代码在不被察觉的情况下嵌入另一段程序中,从而通过把代码在不被察觉的情况下嵌入另一段程序中,从而达到运行具有入侵性或破坏性的程序。破坏被感染电脑数达到运行具有入侵性或破坏性的程序。破坏被感染电脑数据的安全性和完整性的目的。据的安全性和完整性的目的。课程内容课程内容l 恶意代码类型恶意代码类型l 恶意代码防护恶意代码防护l 恶意代码攻击实例恶意代码攻击实例l 防病毒系统防病毒系统恶意代码的主要类型恶意代码的主要类型病毒:具有破坏性,复制性
2、和传染性。病毒:具有破坏性,复制性和传染性。木马:通常包括服务器端和客户端。木马:通常包括服务器端和客户端。l 冰河冰河l 灰鸽子灰鸽子l 蠕虫:自我复制,恶意占用可用资源。蠕虫:自我复制,恶意占用可用资源。间谍软件:秘密收集信息的程序(广告软件)。间谍软件:秘密收集信息的程序(广告软件)。移动代码:从主机传到客户端并执行的代码。移动代码:从主机传到客户端并执行的代码。计算机恶意代码分析计算机恶意代码分析1. 磁盘文件数目增多磁盘文件数目增多2. 系统的系统的RAM空间变小空间变小3. 文件的日期文件的日期/时间值被改变时间值被改变4. 可执行程序长度增加可执行程序长度增加5. 磁盘上出现坏簇
3、磁盘上出现坏簇6. 平时可执行的程序因平时可执行的程序因RAM区不足而不能加载区不足而不能加载7. 程序加载时间比平均时间长程序加载时间比平均时间长8. 硬盘启动系统失败硬盘启动系统失败恶意代码感染迹象与处理恶意代码感染迹象与处理l 禁止使用电脑禁止使用电脑l 格式化硬盘格式化硬盘l 下载运行木马程序下载运行木马程序l 注册表锁定注册表锁定恶意代码分析恶意代码分析 (IE)IE)l 默认主页修改默认主页修改l 篡改篡改IE标题栏标题栏l 篡改默认搜索引擎篡改默认搜索引擎l IE右键修改右键修改l 篡改地址栏文字篡改地址栏文字l 启动时弹出对话框启动时弹出对话框l IE窗口定时弹出窗口定时弹出计
4、算机恶意代码防护计算机恶意代码防护操作系统和应用软件升级补丁操作系统和应用软件升级补丁安装杀毒软件,并及时更新病毒库代码库,使用专杀工具安装杀毒软件,并及时更新病毒库代码库,使用专杀工具使用防火墙及其它访问控制工具使用防火墙及其它访问控制工具IE中禁用未识别和未签名的中禁用未识别和未签名的ActiveX控件控件安装邮件防病毒系统安装邮件防病毒系统安装入侵检测系统安装入侵检测系统恶意代码防治策略恶意代码防治策略防止病毒的侵入要比病毒入侵后再去发现和消除它重要。防防止病毒的侵入要比病毒入侵后再去发现和消除它重要。防止病毒的侵入为主动防治,病毒入侵后再去发现和除它是被止病毒的侵入为主动防治,病毒入侵
5、后再去发现和除它是被动处理。因此,原则上,计算机病毒防治应该采取动处理。因此,原则上,计算机病毒防治应该采取“主动预主动预防为主,被动处理结合。防为主,被动处理结合。”恶意代码预防技术恶意代码预防技术l 病毒预防技术病毒预防技术l 病毒检测技术病毒检测技术l 病毒消除技术病毒消除技术l 病毒免疫技术病毒免疫技术预防计算机病毒预防计算机病毒 l封堵漏洞,查杀病毒封堵漏洞,查杀病毒l不要随意点击、下载和运行来历不明的程序和脚本。不要随意点击、下载和运行来历不明的程序和脚本。l重视文件的备份,常做文件备份,重要文件要多做几份。重视文件的备份,常做文件备份,重要文件要多做几份。l可移动存储介质在使用之
6、前先杀毒。可移动存储介质在使用之前先杀毒。l保证主机的物理安全,防止他人运行未授权的程序。保证主机的物理安全,防止他人运行未授权的程序。集中式病毒管理集中式病毒管理“集中式管理、分布式杀毒集中式管理、分布式杀毒”技术,使安装在网络系统中的技术,使安装在网络系统中的每台计算机上的杀毒软件构筑成协调一致的立体防护体系,每台计算机上的杀毒软件构筑成协调一致的立体防护体系,而网络管理员只需通过控制台,就可实时掌握全网各节点的而网络管理员只需通过控制台,就可实时掌握全网各节点的病毒监测状况,也可远程指挥每台计算机杀毒软件的工作方病毒监测状况,也可远程指挥每台计算机杀毒软件的工作方式。式。 克服网络杀毒产
7、品不能全网统一杀毒的缺陷,杜绝了因部分克服网络杀毒产品不能全网统一杀毒的缺陷,杜绝了因部分计算机未能及时杀毒而留下的隐患。计算机未能及时杀毒而留下的隐患。 建议安装网络企业版建议安装网络企业版杀毒软件,比如:杀毒软件,比如:Symantec AntiVirus企业版企业版木马的故事木马的故事特洛伊木马的传说特洛伊木马的传说 希腊人围攻特洛伊城,久久不能得手。后来想出了一个木马计,让希腊人围攻特洛伊城,久久不能得手。后来想出了一个木马计,让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城,让敌人将其作为战利品拖入城内。木马内
8、的士兵则乘夜晚敌人庆祝,让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来,与城外的部队里应外合而攻胜利、放松警惕的时候从木马中爬出来,与城外的部队里应外合而攻下了特洛伊城下了特洛伊城 木马攻击木马攻击完整的木马程序一般由两个部份组成:一个是服务器程序,完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序。一个是控制器程序。 服务器程序用于监听被侵入主机的端口或监视用户活动,控服务器程序用于监听被侵入主机的端口或监视用户活动,控制器端程序则用于接收服务器程序返回的信息并可控制远程制器端程序则用于接收服务器程序返回的信息并可控制远程主机。
9、主机。木马常入侵途径,网站,捆绑等木马常入侵途径,网站,捆绑等木马的特点木马的特点隐蔽性隐蔽性 自动运行性,执行时很难停止,会打开特别的端口自动运行性,执行时很难停止,会打开特别的端口包含具有未公开并且可能产生危险后果的功能的程序包含具有未公开并且可能产生危险后果的功能的程序具备自动恢复功能具备自动恢复功能未经授权就可获得目标计算机的使用权未经授权就可获得目标计算机的使用权程序小,执行时不占用太多资源程序小,执行时不占用太多资源一次执行后,就会在系统中驻留,之后每次在系统加载时自一次执行后,就会在系统中驻留,之后每次在系统加载时自动执行动执行一次执行后,就会自动变更文件名一次执行后,就会自动变
10、更文件名木马的类型木马的类型破坏型破坏型 密码发送型密码发送型远程访问型远程访问型键盘记录木马键盘记录木马DoSDoS攻击木马攻击木马代理木马代理木马FTPFTP木马木马程序杀手木马程序杀手木马反弹端口型木马反弹端口型木马木马的危害木马的危害窃取密码窃取密码文件操作文件操作修改注册表修改注册表系统操作系统操作非法服务非法服务非法服务会在系统上开启一个秘密的端口,提供未经许可非法服务会在系统上开启一个秘密的端口,提供未经许可的服务,这和很多木马的工作原理是一样的。的服务,这和很多木马的工作原理是一样的。常见的非法服务包括:常见的非法服务包括:lNet BusNet BuslBack Orific
11、e Back Orifice 和和 Back Orifice 2000Back Orifice 2000l灰鸽子灰鸽子l冰河冰河2.X2.Xl木马的识别与清除木马的识别与清除木马的识别木马的识别n人工识别人工识别n软件识别软件识别木马的清除木马的清除n手工清除手工清除n软件清除软件清除人工识别人工识别1.1.利用利用netstatnetstat命令命令2.2.注册表启动项目注册表启动项目的检查的检查3.3.利用利用msconfigmsconfig查查看启动程序看启动程序 木马的手工清除木马的手工清除结束木马进程结束木马进程查找并删除木马主程序查找并删除木马主程序nH.exeH.exe删除或恢复
12、删除或恢复WindowsWindows注册注册表表软件识别和清除软件识别和清除利用主流杀毒软件利用主流杀毒软件利用木马专杀软件利用木马专杀软件木马防御方法总结木马防御方法总结木马的预防木马的预防不去不明网站下载软件不去不明网站下载软件不随意浏览附件不随意浏览附件不浏览不良网站不浏览不良网站及时升级杀毒软件及时升级杀毒软件妥善保存机密文件和资料妥善保存机密文件和资料主流防病毒系统主流防病毒系统Symantec AntiVirus Symantec AntiVirus 企业版企业版McAfee VirusScan McAfee VirusScan 企业版企业版巴斯基(巴斯基(KasperskyKaspersky)企业版)企业版防病毒策略防病毒策略 病毒历史记录和事件日志管理病毒历史记录和事件日志管理病毒扫描策略设置病毒扫描策略设置服务器和客户端的防病毒策略设置服务器和客户端的防病毒策略设置病毒文件升级策略设置病毒文件升级策略设置
