信息設(shè)備及其環(huán)境安全與評(píng)估.ppt

典型惡意軟件 及其防范和清除技術(shù),教學(xué)目的,了解不同惡意軟件的特點(diǎn) 了解防范和清除惡意軟件的一般方法 熟悉發(fā)現(xiàn)并手工清除惡意軟件的方法,內(nèi)容,宏病毒 郵件蠕蟲 木馬 網(wǎng)頁(yè)木馬 流氓軟件 手工清除惡意軟件,宏病毒,宏是組織在一起的命令集合，可以作為一個(gè)單獨(dú)命令完成一個(gè)特定任務(wù) 在Microsoft Office中，可以使用以Visual Basic編寫的宏。宏病毒指用Visual Basic編寫的具有病毒特點(diǎn)的代碼。它能夠通過.doc和.dot文件進(jìn)行傳播,宏病毒的防范和清除,宏病毒的防范 使用防病毒軟件 設(shè)置宏安全性為中以上，打開Office文檔遇到宏病毒警告框時(shí)，要保持高度警惕 宏病毒的清除 使用防病毒軟件 手動(dòng)清除。對(duì)于普通文檔，可以使用“另存為”，并選擇不含宏的文件格式 比如在Word中，可以選擇RTF格式,郵件蠕蟲,蠕蟲是一種常見的惡意軟件。與一般病毒不同，蠕蟲不需要將其自身附著到宿主程序上，它是一個(gè)獨(dú)立的程序 蠕蟲利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，可利用的傳播途徑包括電子郵件、Web服務(wù)器、網(wǎng)絡(luò)共享等,郵件蠕蟲,郵件蠕蟲通過電子郵件傳播 大多數(shù)郵件蠕蟲在感染本機(jī)后，會(huì)自動(dòng)打開Outlook Express的地址薄，把自己發(fā)送給地址薄上的每一個(gè)郵件地址 郵件蠕蟲通常存在于郵件附件中,郵件蠕蟲的防范和清除,郵件蠕蟲的防范 利用防病毒軟件檢查郵件 不要輕易相信一些郵件，不要輕易打開郵件附件 郵件蠕蟲的清除 使用防病毒軟件,木馬,木馬是目前比較流行的惡意軟件，與一般的病毒不同，它不會(huì)自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝成實(shí)用軟件來吸引用戶下載執(zhí)行 一個(gè)完整的木馬包含兩個(gè)部分：服務(wù)器端和客戶端。感染木馬的計(jì)算機(jī)是服務(wù)器端，黑客利用客戶端進(jìn)入運(yùn)行了服務(wù)器端的計(jì)算機(jī)，進(jìn)而毀壞、竊取被植入木馬的計(jì)算機(jī)上的文件，甚至遠(yuǎn)程操控感染木馬的計(jì)算機(jī) 木馬與遠(yuǎn)程控制軟件有些相似，不過遠(yuǎn)程控制軟件是“善意”的控制，因此通常不具有隱蔽性，木馬則完全相反。木馬要達(dá)到的是“偷竊”性的遠(yuǎn)程控制，如果沒有很強(qiáng)的隱蔽性的話，那就是“毫無價(jià)值”的,木馬隱藏技術(shù),隱藏木馬文件 偽裝文件名稱，給一個(gè)非執(zhí)行擴(kuò)展名 利用了Windows默認(rèn)不顯示已知擴(kuò)展名 偽裝圖標(biāo) 偽裝成系統(tǒng)文件，比如svch0st.exe 隱藏木馬進(jìn)程 偽裝成可信任的進(jìn)程，把自己的進(jìn)程名稱改為與系統(tǒng)進(jìn)程類似的名字 把木馬寫成DLL文件，使用系統(tǒng)程序Rundll32.exe或Rundll.exe調(diào)用，在“任務(wù)管理器”中將看不到木馬進(jìn)程,木馬的發(fā)現(xiàn),木馬需要自動(dòng)運(yùn)行，以下是它可利用啟動(dòng)位置 autoexec.bat、config.sys win.ini、system.ini “啟動(dòng)”程序組 注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINE. CurrentVersionRun 木馬需要連接端口，留心不明端口 木馬利用通信端口的兩種方法：寄生，潛伏,木馬的防范和清除,木馬的防范 使用防病毒軟件 及時(shí)更新系統(tǒng)補(bǔ)丁 不輕易下載軟件，不輕易瀏覽郵件附件 木馬的清除 使用防病毒軟件 手動(dòng)清除（未必總有效） 在保護(hù)模式下，刪除或修改注冊(cè)表中與木馬相關(guān)的項(xiàng)，刪除木馬文件（后有敘述）,網(wǎng)頁(yè)木馬,網(wǎng)頁(yè)木馬實(shí)際上是一個(gè)HTML網(wǎng)頁(yè)，與其它網(wǎng)頁(yè)不同的是，該網(wǎng)頁(yè)中的腳本巧妙地利用了IE瀏覽器的漏洞，讓IE在后臺(tái)自動(dòng)下載黑客放置在網(wǎng)絡(luò)上的木馬（或蠕蟲）并運(yùn)行（安裝）這個(gè)木馬，也就是說，這個(gè)網(wǎng)頁(yè)能下載木馬到本地并運(yùn)行（安裝）下載到本地電腦上的木馬，整個(gè)過程都在后臺(tái)運(yùn)行，用戶一旦打開這個(gè)網(wǎng)頁(yè)，下載過程和運(yùn)行（安裝）過程就自動(dòng)開始,網(wǎng)頁(yè)木馬的防范,使用防病毒軟件和防火墻 及時(shí)更新系統(tǒng)補(bǔ)丁 卸載不安全的ActiveX控件（IE插件） 在命令提示符下輸入命令“regsvr32.exe 插件文件 /u/s” 如果想恢復(fù)，使用命令“regsvr32.exe 插件文件 /i/s” 提高IE的安全級(jí)別，禁用腳本和ActiveX控件 “Internet 屬性” “安全” ，把Internet區(qū)域設(shè)置為較高安全級(jí)別，或者點(diǎn)擊“自定義級(jí)別”，在打開的對(duì)話框上禁用腳本，禁用ActiveX控件 把惡意網(wǎng)站加入到受限站點(diǎn) “Internet 屬性” “安全” “受限站點(diǎn)” “站點(diǎn)”,流氓軟件,流氓軟件是介于病毒、蠕蟲、木馬等惡意軟件和正規(guī)軟件之間的軟件 流氓軟件有時(shí)也被稱為間諜軟件（spyware）、惡意共享軟件（malicious shareware）,流氓軟件,流氓軟件一般同時(shí)具備正常功能（下載、媒體播放等）和惡意行為（彈廣告、開后門），給用戶帶來實(shí)質(zhì)性危害 與病毒、蠕蟲、木馬不同，很多流氓軟件不是由小團(tuán)體或者個(gè)人秘密編寫和傳播的，有很多知名企業(yè)和團(tuán)體也涉嫌此類軟件,流氓軟件的防范,及時(shí)更新補(bǔ)丁程序 禁用ActiveX腳本 “Internet 屬性” “安全” “自定義級(jí)別” (Internet) 把惡意網(wǎng)站加入到受限站點(diǎn) “Internet 屬性” “安全” “受限站點(diǎn)” “站點(diǎn)” 使用專用工具進(jìn)行免疫或防范,流氓軟件的清除,使用專用工具，比如Spy Sweeper、超級(jí)兔子、瑞星卡卡上網(wǎng)安全助手，或者金山清理專家等 很多流氓軟件以ActiveX插件的形式安裝到用戶的計(jì)算機(jī)中，對(duì)于此類流氓軟件 使用IE的“管理加載項(xiàng)”功能禁用流氓軟件插件 使用IE插件管理專家Upiea.exe禁用或刪除流氓軟件插件,手工清除惡意軟件,主要內(nèi)容,認(rèn)識(shí)Windows系統(tǒng)中的進(jìn)程 查看和結(jié)束進(jìn)程 清除惡意軟件文件 使用Attrib命令發(fā)現(xiàn)并刪除隱藏的惡意文件,進(jìn)程,程序（包括惡意軟件程序）運(yùn)行前以文件的形式存在于磁盤上，運(yùn)行后以進(jìn)程的形式存在于內(nèi)存中 進(jìn)程是指一個(gè)具有獨(dú)立功能的程序在某個(gè)數(shù)據(jù)集合上的一次運(yùn)行活動(dòng),它是系統(tǒng)進(jìn)行資源分配和調(diào)度的一個(gè)基本單位。簡(jiǎn)單地說，進(jìn)程指操作系統(tǒng)當(dāng)前運(yùn)行的程序,Windows中最基本的系統(tǒng)進(jìn)程,此類系統(tǒng)進(jìn)程是系統(tǒng)運(yùn)行的必備條件，只有這些進(jìn)程處于活動(dòng)狀態(tài)，系統(tǒng)才能正常運(yùn)行 Windows中最基本的系統(tǒng)進(jìn)程包括：winlogon.exe；csrss.exe；smss.exe；services.exe；lsass.exe；explorer.exe； svchost.exe；system；system Idle Process等,Windows中最基本的系統(tǒng)進(jìn)程,System Idle Process：這個(gè)進(jìn)程是作為單線程運(yùn)行在每個(gè)處理器上，并在系統(tǒng)不處理其它線程的時(shí)候分派處理器的時(shí)間 system：系統(tǒng)核心進(jìn)程，控制著系統(tǒng)Kernel Mode 的操作 winlogon.exe：管理用戶登錄 csrss.exe：子系統(tǒng)服務(wù)器進(jìn)程，負(fù)責(zé)控制Windows創(chuàng)建或刪除線程以及16位的虛擬DOS環(huán)境,Windows中最基本的系統(tǒng)進(jìn)程,smss.exe：會(huì)話管理子系統(tǒng)，負(fù)責(zé)啟動(dòng)用戶會(huì)話 services.exe：系統(tǒng)服務(wù)管理工具，包含很多系統(tǒng)服務(wù) lsass.exe：本地的安全授權(quán)服務(wù)，管理 IP 安全策略以及啟動(dòng) ISAKMP / Oakley (IKE) 和 IP 安全驅(qū)動(dòng)程序,Windows中最基本的系統(tǒng)進(jìn)程,explorer.exe：資源管理器，顯示桌面圖標(biāo)和任務(wù)欄 spoolsv.exe：管理緩沖區(qū)中的打印和傳真作業(yè)，將文件加載到內(nèi)存中以便遲后打印 svchost.exe：共享進(jìn)程，用于啟動(dòng)其他服務(wù)。多個(gè)svchost.exe如果同時(shí)運(yùn)行，則表明當(dāng)前有多組服務(wù)處于活動(dòng)狀態(tài)，多個(gè)DLL文件在調(diào)用它,svchost.exe進(jìn)程,svchost.exe是NT核心系統(tǒng)的非常重要的進(jìn)程，對(duì)于2000、XP來說，不可或缺 在基于NT內(nèi)核的Windows操作系統(tǒng)家族中，不同版本的Windows系統(tǒng)，存在不同數(shù)量的“svchost”進(jìn)程，用戶使用“任務(wù)管理器”可查看其進(jìn)程數(shù)目。一般來說，Win2000有兩個(gè)svchost進(jìn)程，WinXP中則有四個(gè)或四個(gè)以上的svchost進(jìn)程，而Win2003 server中則更多,svchost.exe進(jìn)程,svchost.exe文件存在于“%systemroot% system32”目錄下，它屬于共享進(jìn)程。隨著Windows系統(tǒng)服務(wù)不斷增多，為了節(jié)省系統(tǒng)資源，微軟把很多服務(wù)做成共享方式，交由 svchost.exe進(jìn)程來啟動(dòng) svchost進(jìn)程只作為服務(wù)宿主，并不能實(shí)現(xiàn)任何服務(wù)功能，即它只能提供條件讓其他服務(wù)在這里被啟動(dòng)，而它自己卻不能給用戶提供任何服務(wù) 其他系統(tǒng)服務(wù)是以動(dòng)態(tài)鏈接庫(kù)（dll）的形式實(shí)現(xiàn)的，它們把可執(zhí)行程序指向 svchost，由svchost調(diào)用相應(yīng)服務(wù)的動(dòng)態(tài)鏈接庫(kù)來啟動(dòng)服務(wù),svchost.exe進(jìn)程,svchost進(jìn)程提供很多系統(tǒng)服務(wù)，如：rpcss服務(wù)(remote procedure call)、dmserver服務(wù)(logical disk manager)、dhcp服務(wù)(dhcp client)等 如果要了解每個(gè)svchost進(jìn)程到底提供了多少系統(tǒng)服務(wù)，可以在Win2000的命令提示符窗口中輸入“tlist -s”命令來查看，該命令是Win2000 support tools提供的。在WinXP則使用“tasklist /svc”命令,svchost.exe進(jìn)程,因?yàn)閟vchost進(jìn)程啟動(dòng)各種服務(wù)，所以病毒、木馬也想盡辦法來利用它，企圖利用它的特性來迷惑用戶，達(dá)到感染、入侵、破壞的目的 如沖擊波變種病毒“w32.welchia.worm”,svchost.exe進(jìn)程,在受感染的機(jī)器中到底哪個(gè)是惡意軟件進(jìn)程呢？ 一般來說，XP操作系統(tǒng)下有5個(gè)左右的svchost.exe進(jìn)程，比如 SYSTEM用戶名下有3個(gè)svchost.exe NETWORK SERVICE用戶名下有2個(gè)svchost.exe LOCAL SERVICE用戶名下有1個(gè)svchost.exe 其他系統(tǒng)也是大致如此，它們的用戶名都是SYSTEM、NETWORK SERVICE、LOCAL SERVICE這三個(gè)，如果不是這三個(gè)用戶名那么就有可能是惡意軟件,svchost.exe進(jìn)程,正常的svchost.exe程序存放在windowssystem32這個(gè)目錄下。如果其它目錄下有svchost.exe文件，那一定是惡意軟件 “任務(wù)管理器”中svchost.exe進(jìn)程的個(gè)數(shù)不重要，關(guān)鍵看他是什么用戶名而且位置是不是在windowssystem32這個(gè)目錄下,Windows中的其他進(jìn)程,Windows中，有些進(jìn)程不是必需的，可以根據(jù)服務(wù)管理的需要來結(jié)束它們，比如 mstask.exe：Windows計(jì)劃任務(wù)，用于指定在什么時(shí)候運(yùn)行任務(wù) alg.exe：應(yīng)用層網(wǎng)關(guān)服務(wù)，是網(wǎng)絡(luò)鏈接共享和Windows防火墻的一部分 internat.exe：用于更改類似國(guó)家設(shè)置、鍵盤類型和日期格式,Windows中的其他進(jìn)程,mdm.exe：Debug除錯(cuò)管理，用于調(diào)試應(yīng)用程序和Microsoft Office中的Microsoft Script Editor腳本編輯器 regsvc.exe：遠(yuǎn)程注冊(cè)表服務(wù)，用于訪問遠(yuǎn)程計(jì)算機(jī)的注冊(cè)表 taskmgr.exe：Windows任務(wù)管理器，是Windows任務(wù)管理執(zhí)行者,Windows中的其他進(jìn)程,tcpsvcs.exe：Windows網(wǎng)絡(luò)組件的一部分。這個(gè)系統(tǒng)進(jìn)程用于計(jì)算機(jī)使用專用的TCP/IP網(wǎng)絡(luò)服務(wù)，例如DHCP，簡(jiǎn)單TCP和打印服務(wù) wuauclt.exe：負(fù)責(zé)Windows自動(dòng)升級(jí)的系統(tǒng)進(jìn)程，可以在線檢測(cè)最近Windows更新，如果沒有開啟自動(dòng)升級(jí)的話就不會(huì)有這個(gè)進(jìn)程，而且就算你開啟了它，它也不是任何時(shí)候都運(yùn)行的 ctfmon.exe：Microsoft Office產(chǎn)品套裝的一部分，是有關(guān)輸入法的一個(gè)可執(zhí)行程序,在Windows中查看一般的進(jìn)程,使用“任務(wù)管理器”查看進(jìn)程 “任務(wù)管理器”還可以終止一般的進(jìn)程 在提示符下使用命令“tasklist”查看進(jìn)程 使用“系統(tǒng)信息”中的“正在運(yùn)行任務(wù)” 使用“netstat”命令查看網(wǎng)絡(luò)連接情況及發(fā)起的程序 使用 netstat abnov命令,查看隱藏進(jìn)程和遠(yuǎn)程進(jìn)程,可以使用“隱藏進(jìn)程查看工具”查看隱藏進(jìn)程 使用如下命令可以查看遠(yuǎn)程進(jìn)程 Task /s IP /u username /p password,強(qiáng)制結(jié)束進(jìn)程,使用“任務(wù)管理器”。但它無法結(jié)束某些進(jìn)程 使用ntsd命令強(qiáng)制結(jié)束進(jìn)程 ntsd是從Win2000開始系統(tǒng)自帶的用戶態(tài)調(diào)試工具。被調(diào)試器附著(attach)的進(jìn)程會(huì)隨調(diào)試器一起退出，所以可以用來在命令行下終止進(jìn)程。使用ntsd自動(dòng)就獲得了debug權(quán)限，從而能殺掉大部分的進(jìn)程。只有System、Smss.exe和Csrss.exe不能殺 ntsd -c q -p PID 或 ntsd -c q -pn imagename 使用taskkill命令強(qiáng)制結(jié)束進(jìn)程 taskkill /im imagename /f，或 taskkill /pid ProcessID /f,清除惡意軟件文件,首先使用前面提到的方法結(jié)束惡意軟件進(jìn)程 然后利用惡意軟件