1、网络空间信息安全第第2 2章章 病毒防范技术病毒防范技术本章主要内容 2.1 计算机病毒及病毒防范技术概述 2.2 恶意代码 2.3 典型计算机病毒的检测与清除 2.4 病毒现象与其他故障的判别第第2章章 病毒防范技术病毒防范技术22.1 计算机病毒计算机病毒及病毒及病毒防范技术防范技术 1、科幻起源说 2、恶作剧起源说 3、游戏程序起源说 4、软件商保护软件起源说第第2章章 病毒防范技术病毒防范技术3 50年代年代:美国电报电话公司贝尔实验室的一些科学美国电报电话公司贝尔实验室的一些科学家开始用一种称为家开始用一种称为“核心大战(核心大战(Core War)”的计的计算机代码游戏进行实验。算
2、机代码游戏进行实验。计算机病毒的雏形。计算机病毒的雏形。 60年代:年代:有人开发了一种称为有人开发了一种称为“生存生存( Living)”的软的软件,该软件可进行自我复制。件,该软件可进行自我复制。被认为是玩笑。被认为是玩笑。 70年代:年代:计算机黑客们对这类程序的研究有了很大计算机黑客们对这类程序的研究有了很大的进展,但仍未有真正的病毒攻击。的进展,但仍未有真正的病毒攻击。 80年代:年代:真正的真正的“计算机病毒计算机病毒”出现在出现在1981年。该年。该病毒通过磁盘进行感染,但结果只是关掉显示器或病毒通过磁盘进行感染,但结果只是关掉显示器或让显示的文本闪烁或显示一大堆无意义的信息。让
3、显示的文本闪烁或显示一大堆无意义的信息。第第2章章 病毒防范技术病毒防范技术420世纪90年代至21世纪初:几乎年年都会出现新的病毒品种,其影响的范围越来越广,对计算机的硬件和软件的破坏性也越来越严重。2004年:“窃取账号病毒”、 网银大盗、证券大盗20052008年:木马流行 如今,计算机病毒变得更加活跃,木马、蠕虫、后门等层出不穷,甚至出现流氓软件。第第2章章 病毒防范技术病毒防范技术5主动性:病毒程序的目的就是侵害他人计算机系统或者网络系统,在计算机运行程序的过程中,病毒始终以功能过程的主体出现,而形式则可能是直接或间接的。传染性:基本特征,病毒的设计者总是希望病毒能够在较大的范围内实
4、现蔓延和传播。隐蔽性:计算机病毒都是一些可以直接或间接运行的具有较高技巧的程序,它们可以隐藏在操作系统中,也可以隐藏在可执行文件或数据文件中,目的是不让用户发现它的存在表现性:病毒一旦被启动,就会立刻开始进行破坏活动。为了能够在合适的时机开始工作,必须预先设置触发条件并且首先将其设置为不触发状态。破坏性:任何病毒只要侵入系统,都会对系统及应用程序产生不同程度的影响。第第2章章 病毒防范技术病毒防范技术61、依据病毒寄生的媒介分类 分为网络病毒、文件病毒和引导型病毒。2、依据其破坏性分类 良性病毒和恶性病毒。3、按其传染途径 驻留内存型病毒和非驻留内存型病毒。4、按其不同算法分类 伴随型病毒、“
5、蠕虫”型病毒、寄生型病毒、 练习型病毒等5、按传染对象不同分类 引导区型病毒、文件型病毒、混合型病毒、宏病毒第第2章章 病毒防范技术病毒防范技术72.2 恶意代码 恶意代码(Malicious Codes)是一种用来实现某些恶意功能的代码或程序。 通常,这些代码在不被用户察觉的情况下寄宿到另一段程序中,从而达到破坏被感染计算机数据、运行具有入侵性或破坏性的程序、破坏被感染的系统数据的安全性和完整性的目的。第第2章章 病毒防范技术病毒防范技术8恶 意 代 码恶 意 代 码类型类型定定 义义特点特点病毒病毒在计算机程序中插入的破坏计算机功能或数据,影响计算机使用,并能够自我复制的计算机程序代码传染
6、性、破坏性、潜伏性蠕虫蠕虫能够通过计算机网络进行自我复制,消耗计算机资源和网络资源的程序 扫描、攻击、传播木马木马能够与远程计算机建立连接,使远程计算机能够通过网络远程控制本地计算机的程序欺骗、隐藏、窃取信息 后门后门能够避开计算机的安全控制,使远程计算机能够连接本地计算机的程序潜伏逻辑炸弹逻辑炸弹能够嵌入计算机程序、通过一定条件触发破坏计算机的程序潜伏、破坏第第2章章 病毒防范技术病毒防范技术9 木马背景介绍木马背景介绍 “木马”一词来自于“特洛伊木马”,英文名称为“Trojan horse”。据说该名称来源于古希腊传说第第2章章 病毒防范技术病毒防范技术10 木马是一种可以驻留在对方服务器
7、系统中的一种程序。木马程序一般由服务器端程序客户端程序两部分构成。第第2章章 病毒防范技术病毒防范技术11 隐蔽性特点 非授权性特点第第2章章 病毒防范技术病毒防范技术121)远程控制型2)密码发送型3)键盘记录型4)DoS攻击型5)代理木马6)FTP木马7)程序杀手木马8)反弹端口型木马9)破坏性质的木马第第2章章 病毒防范技术病毒防范技术131)查看开放端口 当前最为常见的木马通常是基于TCP/UDP协议进行客户端与服务器端之间通信的,因此我们可以遁过查看在本机上开放的端口,看是否有可疑的程序打开了某个可疑的端口。 假如查看到有可疑的程序在利用可疑端口进行连接,则很有可能就是感染了木马。查
8、看端口的方法通常有以下几种:使用Windows本身自带的netstat命令。使用Windows下的命令行工具fporto 使用图形化界面工具Active PortSo第第2章章 病毒防范技术病毒防范技术142)查看和恢复Win.ini和Systemini系统配置文件 查看Winini和Systemini文件是否有被修改的地方。例如,有的木马通过修改Win.ini文件中Windows节下的“load=file.exe,run=file.exe语句进行自动加载,还可能修改System.ini中的boot节,实现木马加载。第第2章章 病毒防范技术病毒防范技术153)查看启动程序并删除可疑的启动程序
9、如果木马自动加载的文件是直接通过在Windows菜单中自定义添加的,一般都会放在主菜单的“开始” “程序”“启动”处,在Windows资源管理器里的位置是“C:Windowsstartmenuprograms启动”处。第第2章章 病毒防范技术病毒防范技术164)查看系统进程并停止可疑的系统进程 在对木马进行清除时,首先要停止木马程序的系统进程。例如,Hack.Rbot病毒除了将自册表,以便病毒可随时自启动。看到有木马程序在运行时,需要马上停止系统进程,并进行下一步操作,修改注册表和清除木马文件。第第2章章 病毒防范技术病毒防范技术175)查看和还原注册表 木马一旦被加载,一般都会对注册表进行修
10、改。 值得注意的是,可能有些木马会不允许执行Exe 文件,这时就要先将regedit.exe改成系统能够运行的形式,如改成R。第第2章章 病毒防范技术病毒防范技术186)使用杀毒软件和木马查杀工具检测和清除木马 最简单的检测和删除木马的方法是安装木马查杀软件例如KV 3000、瑞星、“木马克星”、“木马终结者”等。第第2章章 病毒防范技术病毒防范技术19木马预防方法和措施:(1)不随意打开来历不明的电子邮件,阻塞可疑邮件(2)不随意下载来历不明的软件(3)及时修补漏洞和关闭可疑的端口(4)尽量少用共享文件夹(5)运行实时监控程序(6)经常升级系统和更新病毒库(7)限制使用不必要的具有传输能力的
11、文件第第2章章 病毒防范技术病毒防范技术20u蠕虫则是一种通过网络进行传播的恶性代码。u蠕虫病毒和普通病毒有着很大的区别。u它具有普通病毒的一些共性,例如传播性、隐蔽性、破坏性等;同时也具有一些自己的特征,例如不利用文件寄生、可对网络造成拒绝服务、与黑客技术相标是网络内的所有计算机。第第2章章 病毒防范技术病毒防范技术211)根据使用者情况的不同,可将蠕虫病毒分为两类,即面向企业用户的蠕虫病毒和面向个人用户的蠕虫病毒。 2)按其传播和攻击特征,可将蠕虫病毒分为3类,即漏洞蠕虫、邮件蠕虫和传统蠕虫病毒。第第2章章 病毒防范技术病毒防范技术22(1)利用操作系统和应用程序的漏洞主动进行 攻击。 (
12、2)传播方式多样化。(3)病毒制作技术与传统病毒不同。 4)与黑客技术相结合。第第2章章 病毒防范技术病毒防范技术23 1、“要命的” 端口 2、“敌人的”进程 3、“小心”!远程管理软件 4、“专业人士”帮你免费检测 5、自己扫描自己 6、别小瞧Windows Update 第第2章章 病毒防范技术病毒防范技术24 1、“要命的” 端口 2、“敌人的”进程 3、“小心”!远程管理软件 4、“专业人士”帮你免费检测 5、自己扫描自己 6、别小瞧Windows Update 第第2章章 病毒防范技术病毒防范技术25 1、“要命的” 端口 计算机要与外界进行通信,必须通过一些端口。别人要想入侵和控
13、制网络计算机,也要从某些端口连接进来。只要查看一下系统,就会发现其开放了139、445、3389、4899等重要端口,要知道这些端口都可以为黑客入侵提供便利,尤其是4899,可能是入侵者安装的后门工具Radmin打开的,入侵者可以通过这个端口取得系统的完全控制权。 第第2章章 病毒防范技术病毒防范技术26 1、“要命的” 端口 在Windows 环境下,通过“开始”“运行”选项,打开“运行”窗口,输入“command”(Windows 2000/XP/2003/7下在“运行”中输入“cmd”),进入命令提示窗口,然后输入netstat/an,就可以看到本机端口开放和网络连接情况。 怎么关闭这些
14、端口呢?因为计算机的每个端口都对应着某个服务或者应用程序,因此只要停止该服务或者卸载该程序,这些端口就自动关闭了。例如,可以在“计算机”“控制面板”“计算机管理”“服务”中停止Radmin服务,就可以关闭4899端口了。第第2章章 病毒防范技术病毒防范技术27 2、“敌人的”进程 在Windows 7下,可以通过同时按“Ctrl+Alt+Delete”键调出任务管理器来查看和关闭进程;但在Windows环境下按“Ctrl+Alt+Delete”键只能看到部分应用程序,有些服务级的进程却被隐藏而无法看到了,但通过系统自带的工具msinfo32还是可以看到的。在“开始”“运行”里输入msinfo3
15、2,进入“Microsoft 系统信息”界面,在“软件环境”的“正在运行任务”下可以看到本机的进程。但是在Windows 环境下要想终止进程,还要通过第三方的工具来实现。很多系统优化软件带有查看和关闭进程的工具,如春光系统修改器等。第第2章章 病毒防范技术病毒防范技术28 3、“小心”!远程管理软件 现在很多人喜欢在自己的机器上安装远程管理软件,如Pcanywhere、Radmin、VNC或者Windows自带的远程桌面,这确实方便了远程管理维护和办公,但同时远程管理软件也带来了很多安全隐患。例如,Pcanywhere 10.0及更早的版本存在着口令文件*.CIF容易被解密(解码而非爆破)的问
16、题,一旦入侵者通过某种途径得到了*.CIF文件,就可以用一款被称为Pcanywherepwd的工具破解出管理员账号和密码。第第2章章 病毒防范技术病毒防范技术29 3、“小心”!远程管理软件 要安全地远程使用它就要进行IP限制。这里以Windows 7远程桌面为例,介绍6129端口(DameWare Mini Remote Control使用的端口)的IP限制:进入天网“自定义IP规则”界面,单击“增加规则”按钮添加一条新的规则。在“数据包方向”中选择“接受”,在“对方IP地址”中选择“指定地址”,然后填写自己的IP地址,在TCP选项卡的本地端口中填写从6129到0,对方端口填写从0到0,在“
17、当满足上面条件时”中选择“通行”,这样除了自己指定的那个IP地址(这里假定为192.168.1.70)之外,其他人都连接不到此计算机了。 安装最新版的远程控制软件也有利于提高安全性,如最新版的Pcanywhere的密码文件采用了较强的加密方案,如流行的灰鸽子。第第2章章 病毒防范技术病毒防范技术30 4、“专业人士”帮你免费检测 很多安全站点都提供了在线检测,可以帮助人们发现系统的问题,如天网安全在线推出的在线安全检测系统天网医生,它能够检测用户的计算机存在的一些安全隐患,并且根据检测结果判断系统的级别,引导用户进一步解决系统中可能存在的安全隐患。 第第2章章 病毒防范技术病毒防范技术31 4
18、、“专业人士”帮你免费检测 天网医生可以提供木马检测、系统安全性检测、端口扫描检测、信息泄漏检测等4个安全检测项目,可能得出4种结果:极度危险、中等危险、相当安全和超时或有防火墙。其他知名的在线安全检测站点还有千禧在线以及蓝盾在线检测。另外,IE的安全性也是非常重要的,一不小心就有可能中毒,这些网站就是专门检测IE是否存在安全漏洞的站点,大家可以根据提示操作。第第2章章 病毒防范技术病毒防范技术32 5、自己扫描自己 天网医生主要针对网络新手,而且是远程检测,速度比不上本地,所以如果用户有一定的基础,最好使用安全检测工具(漏洞扫描工具)手工检测系统漏洞。 黑客在入侵他人系统之前,常常用自动化工
19、具对目标机器进行扫描,也可以借鉴这个思路,在另一台计算机上用漏洞扫描器对自己的机器进行检测。功能强大且容易上手的国产扫描器首推X-Scan。 第第2章章 病毒防范技术病毒防范技术335、自己扫描自己 例如,用X-Scan对某台计算机进行完全扫描之后,发现了如下漏洞: 192.168.1.70: 端口135开放: Location Service 192.168.1.70: 端口139开放: Net BIOS Session Service 192.168.1.70: 端口445开放: Mi crosoft-DS 192.168.1.70: 发现 NT-Server弱口令: user/空口令 1
20、92.168.1.70: 发现 “NetBIOS信息” 从中我们可以发现Windows 7弱口令的问题,这是一个很严重的漏洞。NetBIOS信息暴露也给黑客的进一步进攻提供了方便,解决办法是给User账号设置一个复杂的密码,并在天网防火墙中关闭135139端口。第第2章章 病毒防范技术病毒防范技术34 6、别小瞧Windows Update 微软通常会在病毒和攻击工具泛滥之前开发出相应的补丁工具,只要选择“开始”“Windows Update”选项,即可转到微软的Windows Update网站,在这里下载最新的补丁程序。所以每周访问Windows Update网站及时更新系统一次,基本上就能
21、把黑客和病毒拒之门外。第第2章章 病毒防范技术病毒防范技术35 U盘病毒与autoruninf文件分析方法 经常使用U盘的用户可能已经多次遭遇了U盘病毒,U盘病毒是一种新病毒,主要通过U盘、移动硬盘传播。目前,几乎所有这类的病毒的最大特征都是利用autorun.inf文件来侵入,而事实上autorun.inf相当于一个传染途径,经过这个途径入侵的病毒,理论上是“任何”病毒。因此,大家可以在网上发现,当搜索到autorun.inf之后,附带的病毒往往有不同的名称。就像身体上有个创口,有可能进入的细菌不止一种一样,在不同环境下进入的细菌可以不同,甚至可能是AIDS病毒。这个autorun.inf就
22、是创口。因此,目前无法单纯说U盘病毒就是具体的什么病毒,也因此导致在查杀上会存在混乱,因为U盘病毒不止一种或几十种。第第2章章 病毒防范技术病毒防范技术36 U盘病毒与autoruninf文件分析方法 1解析autorun.inf 首先,autorun.inf文件是很早就存在的,在Windows 7以前的其他Windows系统,若需要让光盘、U盘插入到机器中自动运行,就要靠autorun.inf。这个文件是保存在驱动器的根目录下的(是一个隐藏的系统文件),它保存着一些简单的命令,告诉系统这个新插入的光盘或硬件应该自动启动什么程序。第第2章章 病毒防范技术病毒防范技术37 U盘病毒与autoru
23、ninf文件分析方法 但要注意到,上面反复提到“自动”,这就是关键。病毒作者可以利用这一点,让移动设备在用户系统完全不知情的情况下,“自动”执行任何命令或应用程序。因此,通过autorun.inf文件,可以放置正常的启动程序,如经常使用的各种教学光盘,一插入计算机就自动安装或自动演示;也可以通过此种方式,放置任何可能的恶意内容。第第2章章 病毒防范技术病毒防范技术38 U盘病毒与autoruninf文件分析方法 目前,相关的U盘病毒的隐藏方式如下。 有了启动方法,病毒作者肯定需要将病毒主体放进光盘或者U盘里才能使其运行,但是堂而皇之的放在U盘里肯定会被用户发现而删除,所以,病毒肯定会隐藏起来存
24、放在一般情况下看不到的地方。一种是假回收站方式:病毒通常在U盘中建立一个“RECYCLER”的文件夹,然后把病毒藏在里面很深的目录中,一般人以为这就是回收站,而事实上,回收站的名称是“Recycled”,而且两者的图标是不同的。 另一种是假冒杀毒软件方式,病毒在U盘中放置一个程序,改名“RavMonE.exe”,这很容易让人以为是瑞星的程序,其实是病毒。第第2章章 病毒防范技术病毒防范技术39 U盘病毒与autoruninf文件分析方法 通常的系统安装,默认是会隐藏一些文件夹和文件的,病毒就会将自己改造成系统文件夹、隐藏文件等,一般情况下看不到。要让自己能看到隐藏的文件,怎么办呢?此时,应打开
25、“计算机”窗口,选择“工具”“文件夹选项”选项,弹出一个对话框,选择“查看”选项卡。 如果U盘带有上述病毒,还会出现一个现象,当点击U盘时,会发现多了一些东西。 带病毒的U盘右键多了“自动播放”、“Open”、“Browser”等项目;杀毒后则没有这些项目。第第2章章 病毒防范技术病毒防范技术40 U盘病毒与autoruninf文件分析方法 2RavMonE.exe病毒解决方法 RavMonE.exe病毒运行后,会出现同名的一个进程,该程序貌似并没有显著危害。程序大小为3.5MB,貌似用Python写的,一般会占用1920MB的资源,在Windows目录内隐藏为系统文件,且自动添加到系统启动项
26、内。其生成的Log文件常含有不同的六位数字,可能有窃取帐号、密码之类的危害,由于该疑似病毒文件过于巨大,一般随移动存储器传播。第第2章章 病毒防范技术病毒防范技术41 U盘病毒与autoruninf文件分析方法 2RavMonE.exe病毒解决方法 解决方法: (1)打开任务管理器,终止所有ravmone.exe进程。 (2)进入C:windows,删除其中的RavMonE.exe。 (3)进入C:windows,运行regedit.exe,在左边依次打开HK_Local_Machinesoftware MicrosoftwindowsCurrentVersionRun,在右边可以看到一项数值
27、是C:windowsravmone.exe,将其删除即可。 (4)完成后,病毒就被清除了。第第2章章 病毒防范技术病毒防范技术42 U盘病毒与autoruninf文件分析方法 3查杀U盘中的病毒的方法 对移动存储设备,如果中毒,则在文件夹选项中取消勾选隐藏受保护的操作系统文件,勾选显示所有文件和文件夹,单击“确定”按钮,然后在移动存储设备中会看到如下几个文件autorun.inf、msvcr71.dl、ravmone.exe,都删除即可,还有一个扩展名为.tmp的文件,也可以删除,完成后,病毒就清除了。第第2章章 病毒防范技术病毒防范技术43 U盘病毒与autoruninf文件分析方法 3查杀
28、U盘中的病毒的方法 但对于上面的处理U盘中的病毒的方法,在删除autorun.inf、msvcr71.dl、RavMonE.exe这3个文件时,直接删除可能会无法删除,要先到进程管理器中结束RavMonE.exe进程,再删除这3个文件,如果还无法删除,可以在安全模式里删除。第第2章章 病毒防范技术病毒防范技术44 热点聚焦“成绩单”病毒的检测与清除 近日,一款名为“伪成绩单”的恶意病毒越来越多的在公众面前曝光。随着假期将至,学生期末考试成绩陆续出炉,许多家长的手机也随即成为病毒短信的重灾区。有不少家长收到了署名“班主任”的陌生号码发来的成绩单短信,其内容为“家长您好,这是XX考试成绩单eqnz
29、av.tk,请下载查阅!成绩明显退步,希望家长假期之间多关心孩子的学习情况【班主任】”。第第2章章 病毒防范技术病毒防范技术45 热点聚焦“成绩单”病毒的检测与清除 据了解,这是一条诈骗分子精心设计的病毒短信,家长们一旦点开短信中的网址链接,将会在手机上下载安装一种名为a.privacy.emial.d的病毒,该病毒启动后会拦截手机短信,并将短信转发给指定号码,有可能导致短信中的银行账户或密码泄露,对手机和财产安全造成威胁。第第2章章 病毒防范技术病毒防范技术46 热点聚焦“成绩单”病毒的检测与清除 针对此类手机木马病毒,我们应如何防范呢? 一款新的病毒诞生,一个病毒查杀工具也会很快应运而生。
30、针对该名为“伪成绩单”病毒,很快多家手机安全软件就研发出了查杀方案。程序可通过对应用名称进行比对分析的方式,判断真伪,去除病毒的伪装层,找到真正的病毒代码,对其进行查杀。目前,百度手机卫士已对“伪成绩单”病毒进行了全面查杀。第第2章章 病毒防范技术病毒防范技术47 作为手机用户,在遇到类似手机木马病毒的时候,到底怎样做才能保护自己的利益呢? 主要有以下两种方式。 1手机已存在木马病毒 很多此类手机病毒会伪装为正常软件或者诱惑性名称,存在系统分区中,恢复出厂设置是无法删除的,若怀疑手机中存在木马或者病毒,一般的表现是手机自动下载其他推广软件、手机卡顿发热、出现有遮挡的广告等。可尝试按照以下步骤进
31、行清除。第第2章章 病毒防范技术病毒防范技术48 作为手机用户,在遇到类似手机木马病毒的时候,到底怎样做才能保护自己的利益呢? (1)请尝试安装一款安全软件(如手机管家等)。 (2)(以手机管家为例)打开手机管家,点击主界面上的“一键体检”按钮即可自动检测手机中存在的问题,并且给出处理建议,点击“一键清除”按钮即可删除病毒程序。 (3)若重启手机发现病毒依然存在或者提示无法删除,则可先获取ROOT权限再进行深度查杀,获取ROOT可以使用PC端的一键ROOT工具进行。也可以尝试使用专门的病毒专杀工具进行一键查杀,若发现手机存在问题,应尽快进行处理,防止产生财产损失。第第2章章 病毒防范技术病毒防
32、范技术49 作为手机用户,在遇到类似手机木马病毒的时候,到底怎样做才能保护自己的利益呢? 2遇到可疑信息或链接 针对教师节、儿童节前夕频发的电话、短信诈骗,当收到此类电话或信息时,要做到遇到“急事”不要急,尤其不要在着急的时候汇钱或者透露与金融相关的信息。在接到来历不明的“老师”、“学校”来电后,家长要保持冷静,最好马上打电话给孩子学校的班主任或任课老师核实情况;而在收到诸如“学生成绩单”等短信时,也不要急于点击短信中的链接或回拨短信中的电话号码,应与班主任取得联系确认后再做操作。总结起来,就是遇到“急事”不着急,提到敏感、私密信息要留心,凡事多确认,诈骗无处藏。第第2章章 病毒防范技术病毒防
33、范技术50 杀杀毒软件工作毒软件工作原理原理 网络安全管理员需要审时度势,灵活地依据企业自身的特点来不断调整安全策略,加强与反病毒厂商的密切合作,才能长期确保信息安全。 很多网管都在为病毒犯愁,为什么安装了杀毒软件还不能防毒?这是国内企业网络管理员在管理网络安全中普遍存在的问题。如能解决这个问题,一个企业真正的安全管理方案也就建立起来了。第第2章章 病毒防范技术病毒防范技术51 杀杀毒软件工作毒软件工作原理原理 企业网络的管理员应该选择网络版杀毒软件构建自己的网络安全防御系统。目前的网络版杀毒软件针对不同类型、不同规模的企业产品,在功能上进行了细分。管理员要针对本企业的特性来选择对应的产品才能
34、达到事半功倍的效果。 杀毒软件应用指导与建议:调查显示,80%部署了网络版杀毒软件的用户没有合理运用自己的产品,使得企业网络出现了致命的漏洞,被病毒乘虚而入。第第2章章 病毒防范技术病毒防范技术52 杀杀毒软件工作毒软件工作原理原理 有哪些工作是网管日常需要注意有哪些工作是网管日常需要注意的?的? 1 1及时更新软件及时更新软件版本版本 2 2运用好软件的管理运用好软件的管理工具工具 在杀毒软件网络版中,内置了大量的安全管理功能。通过这些管理功能可以高效地对网络进行统一的安全管理。 3 3掌握软件的特性掌握软件的特性功能功能第第2章章 病毒防范技术病毒防范技术53 杀杀毒软件工作毒软件工作原理
35、原理 有哪些工作是网管日常需要注意有哪些工作是网管日常需要注意的?的? 3 3掌握软件的特性掌握软件的特性功能功能 利用系统漏洞攻击已经成为病毒传播的一个新型和重要的途径。由于操作系统和应用软件的漏洞层出不穷,修补漏洞已经成为网络管理员重要的日常工作之一。但是,在复杂的企业网络中,由管理员逐一对计算机排查修补几乎是不可能实现的,因为这样不但工作效率低,而且会影响用户的正常工作。第第2章章 病毒防范技术病毒防范技术54 杀毒软件工作原理杀毒软件工作原理 有哪些工作是网管日常需要注意的?有哪些工作是网管日常需要注意的? 3 3掌握软件的特性掌握软件的特性功能功能 瑞星杀毒软件网络版2006的漏洞扫
36、描和修补功能已经将“全网远程漏洞的发现与修补”、“漏洞库的升级与自我更新”、“全网漏洞日志”等功能完全集成。利用该功能,管理员可以定期对全网漏洞进行修补,使得病毒通过漏洞攻击的途径被完全封闭,并通过日志发现网络中的薄弱环节。第第2章章 病毒防范技术病毒防范技术552.4 病毒病毒现象与其他故障的判别现象与其他故障的判别1.屏幕显示异常,屏幕显示出不是由正常程序产生的画面或字符串,屏幕显示混乱;2.程序装入时间增长,文件运行速度下降;3 .用户没有访问的设备出现工作信号;4.磁盘出现莫名其妙的文件和坏块,卷标发生变化;第第2章章 病毒防范技术病毒防范技术565.系统自行引导;6.丢失数据或程序,
37、文件字节数发生变化;7.内存空间、磁盘空间减小;8.异常死机;9.磁盘访问时间比平时增长;10.系统引导时间增长。第第2章章 病毒防范技术病毒防范技术57 与病毒现象类似的硬件故障 1、系统的硬件配置 2、电源电压不稳定 3、插件接触不良 4、软驱故障 5、关于CMOS的问题第第2章章 病毒防范技术病毒防范技术58 与与病毒现象类似的软件病毒现象类似的软件故障故障 1、出现“Invalid drive specification”(非法驱动器号) 2 2、软件程序已被破坏(非病毒) 3、引导过程故障 4、用不同的编辑软件程序第第2章章 病毒防范技术病毒防范技术59恶 意 代 码恶 意 代 码类
38、型类型定定 义义特点特点病毒病毒在计算机程序中插入的破坏计算机功能或数据,影响计算机使用,并能够自我复制的计算机程序代码传染性、破坏性、潜伏性蠕虫蠕虫能够通过计算机网络进行自我复制,消耗计算机资源和网络资源的程序 扫描、攻击、传播木马木马能够与远程计算机建立连接,使远程计算机能够通过网络远程控制本地计算机的程序欺骗、隐藏、窃取信息 后门后门能够避开计算机的安全控制,使远程计算机能够连接本地计算机的程序潜伏逻辑炸弹逻辑炸弹能够嵌入计算机程序、通过一定条件触发破坏计算机的程序潜伏、破坏第第2章章 病毒防范技术病毒防范技术60 木马背景介绍木马背景介绍 “木马”一词来自于“特洛伊木马”,英文名称为“
39、Trojan horse”。据说该名称来源于古希腊传说第第2章章 病毒防范技术病毒防范技术61 木马是一种可以驻留在对方服务器系统中的一种程序。木马程序一般由服务器端程序客户端程序两部分构成。第第2章章 病毒防范技术病毒防范技术62 隐蔽性特点 非授权性特点第第2章章 病毒防范技术病毒防范技术631)远程控制型2)密码发送型3)键盘记录型4)DoS攻击型5)代理木马6)FTP木马7)程序杀手木马8)反弹端口型木马9)破坏性质的木马第第2章章 病毒防范技术病毒防范技术641)查看开放端口 当前最为常见的木马通常是基于TCP/UDP协议进行客户端与服务器端之间通信的,因此我们可以遁过查看在本机上开
40、放的端口,看是否有可疑的程序打开了某个可疑的端口。 假如查看到有可疑的程序在利用可疑端口进行连接,则很有可能就是感染了木马。查看端口的方法通常有以下几种:使用Windows本身自带的netstat命令。使用Windows下的命令行工具fporto 使用图形化界面工具Active PortSo第第2章章 病毒防范技术病毒防范技术652)查看和恢复Win.ini和Systemini系统配置文件 查看Winini和Systemini文件是否有被修改的地方。例如,有的木马通过修改Win.ini文件中Windows节下的“load=file.exe,run=file.exe语句进行自动加载,还可能修改S
41、ystem.ini中的boot节,实现木马加载。第第2章章 病毒防范技术病毒防范技术663)查看启动程序并删除可疑的启动程序 如果木马自动加载的文件是直接通过在Windows菜单中自定义添加的,一般都会放在主菜单的“开始” “程序”“启动”处,在Windows资源管理器里的位置是“C:Windowsstartmenuprograms启动”处。第第2章章 病毒防范技术病毒防范技术674)查看系统进程并停止可疑的系统进程 在对木马进行清除时,首先要停止木马程序的系统进程。例如,Hack.Rbot病毒除了将自册表,以便病毒可随时自启动。看到有木马程序在运行时,需要马上停止系统进程,并进行下一步操作,
42、修改注册表和清除木马文件。第第2章章 病毒防范技术病毒防范技术685)查看和还原注册表 木马一旦被加载,一般都会对注册表进行修改。 值得注意的是,可能有些木马会不允许执行Exe 文件,这时就要先将regedit.exe改成系统能够运行的形式,如改成R。第第2章章 病毒防范技术病毒防范技术696)使用杀毒软件和木马查杀工具检测和清除木马 最简单的检测和删除木马的方法是安装木马查杀软件例如KV 3000、瑞星、“木马克星”、“木马终结者”等。第第2章章 病毒防范技术病毒防范技术70木马预防方法和措施:(1)不随意打开来历不明的电子邮件,阻塞可疑邮件(2)不随意下载来历不明的软件(3)及时修补漏洞和
43、关闭可疑的端口(4)尽量少用共享文件夹(5)运行实时监控程序(6)经常升级系统和更新病毒库(7)限制使用不必要的具有传输能力的文件第第2章章 病毒防范技术病毒防范技术71u蠕虫则是一种通过网络进行传播的恶性代码。u蠕虫病毒和普通病毒有着很大的区别。u它具有普通病毒的一些共性,例如传播性、隐蔽性、破坏性等;同时也具有一些自己的特征,例如不利用文件寄生、可对网络造成拒绝服务、与黑客技术相标是网络内的所有计算机。第第2章章 病毒防范技术病毒防范技术721)根据使用者情况的不同,可将蠕虫病毒分为两类,即面向企业用户的蠕虫病毒和面向个人用户的蠕虫病毒。 2)按其传播和攻击特征,可将蠕虫病毒分为3类,即漏洞蠕虫、邮件蠕虫和传统蠕虫病毒。第第2章章 病毒防范技术病毒防范技术73(1)利用操作系统和应用程序的漏洞主动进行 攻击。 (2)传播方式多样化。(3)病毒制作技术与传统病毒不同。 4)与黑客技术相结合。第第2章章 病毒防范技术病毒防范技术74习题与思考题 2.1 试述网络安全所面临的主要潜在威胁。 2.2 怎么样合理应用杀毒软件? 2.3 什么是蠕虫病毒?怎样查杀? 2.4 木马有哪些特征?如何防范? 2.5 简述你所知道的系统安全工具。 2.6 怎样用最简单的方法查杀“伪成绩单”病毒?第第2章章 病毒防范技术病毒防范技术75 谢谢!第第2章章 病毒防范技术病毒防范技术76
