计算机网络安全讲义.ppt

《计算机网络安全讲义.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全讲义.ppt（69页珍藏版）》请在金锄头文库上搜索。

1、计算机网络安全讲义第四讲：常见病毒及防范病毒的定义n一段程序n不宜察觉的n可以传播的n通常具有破坏性的病毒的基本特征n自我复制特征（这是最本质的特征）n潜伏特征（现在常见的病毒通常都没有耐心潜伏了）n破坏特征（现在最主要的表现是机器性能的大幅下降和部分资源无法正常使用）n隐蔽性（这是病毒最讨厌的特征，找不到）当前病毒的主要目标n种植木马以获取利益（盗号，如QQ号，网游帐号，抓肉鸡等），以磁碟机，木马群为代表的木马下载器就是典型例子n恶意的商业推广行为，如网站的恶意推广，恶意获取广告点击流量等n有少数的纯熟实验性的开玩笑，比如女鬼病毒，只是显示一个吓人的图片病毒的传播途径n目前主要有四条：系统漏

2、洞：如木马群利用Flash漏洞传播，只要你看了他的Flash就会中着邮件附件局域网共享资源移动存储介质木马通常也被做为病毒处理n木马技术有一部分和病毒技术是重叠的，如隐藏自己，因此木马和病毒常常是相互结合的。现在的杀毒软件通常将木马做为一类病毒处理，也没有必要清晰地区分木马和病毒常见的病毒分类n系统病毒 ：感染系统文件，通常在杀毒软件的报警中体现为Win32.*.*、PE.*.*, 如pe.cih.an这一类病毒编写技术要求比较高，通常具有比较高的危险性，但种类比较少，现在不多见常见的病毒分类n蠕虫病毒：利用网络，如邮件或系统漏洞进行大面积传播，典型危害是网络大面积堵塞，通常在杀毒软件的前缀是

3、worm。比较典型的如震荡波，冲击波等。一般以单一文件形式存在。常见的病毒分类n脚本病毒：以脚本编写而成，通过网页浏传播。这一类病毒的前缀一般是vbs,js等，典型的如红色代码，欢乐时光。通常这一类病毒比较喜欢劫持浏览器，有时候很讨厌。特别是可以通过邮件内容传播，不需打开附件，只要预览内容就能中毒常见的病毒分类n木马病毒：这个不用说了，这一类包括木马及黑客工具，一般具有远程控制能力，也有些只是窃取信息进行隐蔽传送，如著名的网银大盗，前缀是trojan或hack常见的病毒分类n宏病毒这一类病毒现在已经很少见,它是利用OFFICE软件的自动执行宏的功能编写的，危害通常是破坏OFFICE文档，著名的

4、如美丽莎，一般前缀为macro常见的病毒分类n后门病毒该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患，后门病毒的前缀是：Backdoor，著名的有Backdoor.IRCBot常见的病毒分类n病毒种植程序病毒，这是最讨厌的一类病毒，其功能是在你的机器上安装各种各样的病毒，如磁碟机，机器狗，木马群等等，前缀一般是Dropper或torjandownload常见的病毒分类n破坏性程序病毒:这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏,如杀手命令,c盘格式化等,前缀一般是harm常见的病毒分类n恶作剧病毒：这类病

5、毒的公有特性是本身具有好看的图标来诱惑用户点击，但一般不产生恶性结果，前缀一般是joker,比较著名的如Girlghost女鬼常见的病毒分类n捆绑机病毒：这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如QQ捆绑机常见的病毒介绍nAuto“U盘寄生虫” 采用Delphi编写，由某个木马程序释放出来的DLL木马组件文件，一般被注入EXPLORER.EXE”进程中加载运行，强行篡改被感染计算机上的系统时间，致使某些安全软件失效。修

6、改hosts文件，屏蔽某些安全站点，阻止用户对某些安全站点的访问。在被感染的计算机上搜索与安全相关的软件，一旦发现便强行将其关闭，在计算机硬盘的各盘符根目录下以及移动存储设备根目录下创建“autorun.inf”文件和蠕虫主程序文件“auto.exe”，会在后台秘密收集被感染计算机上的系统信息，并发送到骇客指定的远程服务器站点上。在被感染计算机上下载恶意程序并自动调用运行。常见病毒介绍n磁碟机病毒又名dummycom病毒，变种繁多，超过了100个，典型特征是关闭系统的安全软件，屏蔽安全站点，疯狂下载木马，感染系统中文件并改变图标，在每个盘下面建立autorun.inf等。采用进程注入和进程守护

7、技术，百杀不死，杀毒的办法主要是利用专杀工具，现在也有免疫工具常见病毒介绍n器狗木马病毒是用一个C语言编写的木马病毒。病毒运行后会删除系统目录下的userinit.exe，并建立一个包含病毒的userinit.exe，随系统每次启动时加载到系统中。此文件运行后会在系统的SOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions下添加一系列反病毒软件和安全工具的键值，使这些软件和工具无法正常运行。另外病毒还会尝试注入IE进程通过互联网下载病毒的更新，达到躲避查杀与侦测的目的常见病毒介绍n机器狗病毒的判断方法：打开system

8、32文件夹，找到userinit.exe、explorer.exe点击右键查看文件的属性，若在属性窗口中看不到文件的版本标签则说明该文件已经被病毒替换系统已经染毒。n机器狗可穿透硬件还原，在网吧里最好用，可以用专杀工具清除，也有免疫工具常见病毒介绍n木马群病毒：这两天比较流行，利用flash漏洞传播，篡改系统文件，伪装进程加载； 关闭杀毒软件，阻止杀毒软件的安装和升级，关闭杀毒辅助软件，疯狂下载并运行木马，禁用进程管理器和注册表编辑器，中毒后系统几乎无法运行。可以利用专杀工具清除，并应打flash补丁常见病毒介绍n代理木马”变种cm “代理木马”变种cm是一种内嵌在正常网页中的木马下载器，假如

9、用户电脑没有及时安装微软发布的相应漏洞补丁，那么当用户使用浏览器访问带有“代理木马”变种cm的恶意网页时，就会在当前用户电脑的后台连接骇客指定的远程服务器站点，下载恶意程序并在被感染电脑上自动调用运行。一般安装杀毒软件后即可防范和清除常见病毒介绍n威金（Worm.Viking）” 属于网络蠕虫病毒,可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机，影响到的操作平台Windows 95/98/ME， Windows NT/2000/XP/2003系常见病毒介绍n威金的症状机器使用变得极慢会捆绑所有的EXE文

10、件，只要一运用应用程序，在windows或winnt(win2000系统)下的logo1.exe图标就会相应变成应用程序图标，并且winrar压缩文件图标模糊不清。 3、可执行程序被感染后，应用程序启动出错，或被强行退出，例如QQ。 4、阻止以下杀毒软件的运行,包括卡巴斯基、金山公司的毒霸、瑞星等杀毒软件的正常运行。5、使用任务管理器查看当前系统运行的进程可以发现“Logo1_.exe、rundl132.exe”进程。常见病毒介绍n威金可以采用专杀工具清除常见病毒介绍n新欢乐时光 脚本类病毒,和欢乐时光“VBS.HappyTime”一样，该病毒采用VBScript语言编写，在互联网上通过电子邮

11、件进行传播，也可以通过文件感染；感染后的机器系统资源被大量消耗，速度变慢；利用 Windows 系统的“资源管理器”进行寄生与感染常见病毒介绍n每个检查到的文件夹下生成“desktop.ini”和“folder.htt”文件； 在注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下生成“Kernel32”键值，并指向“Kernel.dll”或者“Kernel32.dll”文件；在system目录下生成“kjwall.gif”文件常见病毒介绍n打开注册表，删除HKEY_LOCAL_MACHINESoftwareMicros

12、oftWindowsCurrentVersionRunKernel32键值； 对照其它没中毒的电脑，恢复 HKEY_CLASSES_ROOTdllFile下的键值； 对照其它电脑，恢复 HKEY_CURRENT_USERIdentities & UserID & SoftwareMicrosoftOutlook Express & OEVersion &Mail下的相关键值； 常见病毒介绍n对照其它电脑，恢复 HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsMail下的相关键值； 对照其它电脑，恢复 HKEY_CURRENT_U

13、SERSoftwareMicrosoftOffice10.0OutlookOptionsMail下的相关键值； 常见病毒介绍n二、删除带毒文件（建议在 DOS 状态下进行） 对照其它电脑，恢复Windowsweb目录下“folder.htt”文件； 删除“Kernel32.dll”或“Kernel.dll”文件； 删除“kjwall.gif”； 查找所有带有“KJ_start”字符串的文件，并删除文件尾部的病毒代码。常见病毒介绍n熊猫烧香（武汉男孩，尼姆亚）n其实是一种蠕虫病毒的变种，而且是经过多次变种而来的。尼姆亚变种(Worm.Nimaya.w)，由于中毒电脑的可执行文件会出现“熊猫烧香”

14、图案，所以也被称为“熊猫烧香”病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，使用专杀工具清除常见病毒介绍nSxs病毒（落雪）可以通过可移动磁盘传播，主要危害是盗取QQ帐户和密码，并且会终止大量反病毒软件的进程，降低系统的安全等级,典型特征是无法查看隐藏文件，在文件夹选项里设置也不能显示隐藏常见病毒介绍n断开网络连接，打开“任务管理器”，应该有个SVOHOST.EXE进程，把它结束掉。到C:WINDOWSsystem32里找到SOVHOST.EXE

15、把它删除nHKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL中的CheckedValue，检查它的类型是否为REG_DWORD，如果不是则删掉CheckedValue，然后单击右键“新建”-“Dword值”，并命名为CheckedValue，然后修改它的键值为1常见病毒介绍n打开各硬盘（“我的电脑”里右键“打开”或“资源管理器”右侧选择），“文件夹选项”“查看”选择“显示所有文件和文件夹”，并把“隐藏受保护的系统文件”复选框去除选择。可以看到各个硬盘根目录下都有a

16、utorun.inf和sxs.exe文件，把它们都删掉。常见病毒介绍n灰鸽子n灰鸽子(backdoor.gpigeon)是国内一款著名后门。backdoor.gpigeon可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，是一款优秀的远程控制软件。但如果拿它做一些非法的事，backdoor.gpigeon就成了很强大的黑客工具。常见病毒介绍n灰鸽子一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件，因此检测灰鸽子的操作一定要在安全模式下进行，需要取消“隐

17、藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹，打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录常见病毒介绍n如发现了如发现了*_Hook._Hook.dlldll的文件，检查系统的文件，检查系统安装目录下是否还会有安装目录下是否还会有*.exe*.exe和和*.*.dlldll文件文件。，。，如有则说明有灰鸽子了，在注如有则说明有灰鸽子了，在注册表编辑器里查找册表编辑器里查找*.*.exe,exe,删除所有项，删除所有项，再删除程序文件即可清除灰鸽子再删除程序文件即可清除灰鸽子其他的常见病毒n

18、病毒和多，我只是挑了一些在我们机房中常见的病毒介绍了一下，我的教案里附了常见的病毒名称及主要对应进程名，有兴趣可以去看看对于预防病毒的几个要点n及时打补丁n少开共享，开了要加强口令强度n安装ARP防火墙下面的这几点是关键n移动存储介质是病毒传播的主要途径，因此U盘使用时一定要小心n关闭U盘的自动运行功能n显示所有的文件n显示所有的文件后缀n加入U盘免疫对于预防病毒的几个要点n看看也有可能中毒，所以少乱逛n管住自己的手，一定搞清了是什么再点击，不是知道有问题的不点，是知道没问题的才点n外来的东西坚持先杀毒，这样可以避免多数中毒n安装病毒软件，经常升级，开启监控对于预防病毒的几个要点n通常中毒后要

19、在安全模式下杀毒，杀毒时最好拔掉网线（在明确有问题的前提下）手动清除病毒的一般过程n通常病毒发作是很容易体现出来的，所以容易发现n中毒后要首先观察进程，找出有问题的进程或线程，记住他的名字n重起计算机到安全模式，检查该进程是否存在，如存在就结束它n更改注册表内容，将对应的项目删除，有时会有很多处。删除键值前做好备份，后果不好预计手动清除病毒的一般过程n删除进程对应的文件n重起计算机n很多时候这种办法不顶用，如病毒采用进程保护技术后就无法结束进程，可以下载专杀工具来杀。一般难杀的病毒都有专杀工具一些常见问题的解决办法n我们有时候会遇到一些特殊情况，比如说注册表管理器被禁用，一些程序不能运行等，使

20、我们的修复工作无法继续。其实就是注册表被改动了，一些键值被禁用而已，只要该过来就好了。恢复注册表的方法n你可以自己编写一个注册表文件，用任意一个文本编辑器都可以，只要是纯文本文档就可以，把后缀名设为.reg，然后双击这个文件，注册表的值就会恢复注册表文件的格式nREGEDIT4类型nHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem键n“DisableRegistryTools”=dword:00000000值常见的被修改的键值n禁用注册表n键：HKEY_CURRENT_USERSoftwareMicros

21、oftWindowsCurrentVersionPoliciesSystemn值：“DisableRegistryTools“，0为可用，1位不可用默认主页被修改n默认主页n键：HKEY_LOCAL_MACHINESoftwareMicrosoftInternetExplorerMainn值Default_Page_URL被修改的页面n这里要注意，有若干处可以设定主页，你可以查找被修改的页面的url，然后删除它的值修改修改IE浏览器缺省主页，并且浏览器缺省主页，并且锁定设置项，禁止用户更改锁定设置项，禁止用户更改nHKEY_CURRENT_USERSoftwarePoliciesMicroso

22、ftInternetExplorerControlPaneln“Settings”=dword:1禁止0允许nLinks=dword:1禁止0允许SecAddSites=dword:1禁止0允许IE的默认首页灰色按扭不可选nHKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternetExplorerControlPaneln“homepage”=dword:1禁止0允许IE标题栏被修改nHKEY_LOCAL_MACHINESOFTWAREMicrosoftInternetExplorerMainn“WindowTitle”=“窗口标题”nHKEY_CU

23、RRENT_USERSoftwareMicrosoftInternetExplorerMainn“WindowTitle”=“窗口标题”IE右键菜单被修改右键菜单被修改nHKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMenuExtn删除不需要的选项IE默认搜索引擎被修改默认搜索引擎被修改n键HKEY_LOCAL_MACHINESoftwareMicrosoftInternetExplorerSearchn值：CustomizeSearchnSearchAssistant系统启动时弹出对话框系统启动时弹出对话框nHKEY_LOCAL_MACH

24、INESoftwareMicrosoftWindowsCurrentVersionWinlogonnLegalNoticeCaptionnLegalNoticeTextIE中鼠标右键失效中鼠标右键失效nHKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternetExplorerRestrictionsnNoBrowserContextMenu“=dword:1禁止0允许查看查看“源文件源文件”菜单被禁用菜单被禁用nHKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternetExplorerRestrictionsn

25、“NoViewSource”=dword:1禁止0允许进程管理器被禁用nHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableTaskmgr=dword:00000000n0是许可1是禁用进程管理器被禁用n利用组策略：开始/运行/gpedit.msc,在用户配置-管理模板-系统-CTRL+ALT+DELE选项，在左边找到“删除任务管理器”双击打开，设置为未配置，或者禁用预防病毒感染的原则n这些原则我们都讲过了N遍n这些原则都是血的教训换来的n这些原则需要你们牢牢记住，这是一个计算机专业人员的基本素

26、质，良好的使用习惯是专业人士的必备品质预防病毒感染的原则n第一条：安全意识排第一，没有安全意识，所有的技术手段都是虚设。做事之前先考虑一下是否安全可以让你少做很多不安全的事。预防病毒感染的原则n第二条：及时打上补丁，包括操作系统补丁和应用系统补丁。依赖于系统漏洞传播的病毒是最可怕的，他可以在你没有任何操作的情况下感染你。这些攻击都是“拳打不识”，有了准备他们就无奈我何了预防病毒感染的原则n第三条：切断病毒传播的通道，包括不乱逛，不乱下，少共享，强密码，不乱插U盘。n特别是U盘，现在病毒的一个主要传播渠道就是U盘，别人的U盘要先杀再用，自己的U盘在别人的机器上用过也要先杀，关闭U盘的自动播放，习

27、惯用右键打开U盘等习惯才是良好的习惯预防病毒感染的原则n第三条：提高安全等级到适当的高度可以避免很多麻烦。OutlookExpress作为收发电子函件软件，也应当进行一些必要的设置。选择“工具”菜单中的“选项”命令，在“阅读”中不选中“在预览窗格中自动显示新闻邮件”和“自动显示新闻邮件中的图片附件”。在“安全”中设置“附件的安全性”为“高”；在“其他”中按“高级选项”按钮，按“加载项管理器”按钮，不选中“服务器脚本运行”。最后按“确定”按钮保存设置。预防病毒感染的原则n在IE的安全选项中对ActiveX插件，applet小程序应用等的安全等级要至少为提示预防病毒感染的原则n第四条：坚持不知道的不动，安全的才执行。现在我们的原则是什么都动，不安全的才不动。要记住世上决没有免费的午餐，越美的诱惑越可怕。这包括只浏览熟悉的网站，只从熟悉的站点下载，只运行明确知道作用的程序等等预防病毒感染的原则n第五条：一定要有杀毒软件，一定要定时升级，一定要定时查杀，一定要打开监控，这笔钱很值。不要以为自己是高手就可以对付一切，病毒技术的发展总会超过你的想象预防病毒感染的原则n第六条：经常去安全网站去看一下最近的病毒趋势，通常在你被攻击前他们就会有相应的病毒爆发信息，如果你在看到前被攻击，那就去买彩票吧。nhttp:/nhttp:/