臨沂電腦培訓中心

臨沂電腦培訓計算機文化基礎之信息安全一、木馬簡介特洛伊木馬，英文叫做“Trojanhorse”，其名稱取自希臘神話的特洛伊木馬記。它是一種基于遠程控制的黑客工具，具有隱蔽性和非授權性的特點。所謂隱蔽性是指木馬的設計者為了防止木馬被發(fā)現(xiàn)，會采用多種手段隱藏木馬，這樣服務端即使發(fā)現(xiàn)感染了木馬，由于不能確定其具體位置，往往只能望“馬”興嘆。所謂非授權性是指一旦控制端與服務端連接后，控制端將享有服務端的大部分操作權限，包括修改文件，修改注冊表，控制鼠標，鍵盤等等，而這些權力并不是服務端賦予的，而是通過木馬程序竊取的。1、木馬有哪些危害1.發(fā)送QQ、msn尾巴，騙取更多人訪問惡意網(wǎng)站，下載木馬2.盜取用戶帳號，通過盜取的帳號和密碼達到非法獲取虛擬財產(chǎn)和轉(zhuǎn)移網(wǎng)上資金的目的3.監(jiān)控用戶行為，獲取用戶重要資料2、如何預防木馬？1.養(yǎng)成良好的上網(wǎng)習慣，不訪問不良小網(wǎng)站2.下載軟件盡量到大的下載站點或者軟件官方網(wǎng)站下載3.安裝殺毒軟件，防火墻，定期進行病毒和木馬掃描。3、木馬的實質(zhì)木馬實質(zhì)上是一個程序，必須運行后才能工作，所以會在進程表、注冊表中留下蛛絲馬跡，可以通過“查、堵、殺”將它“緝拿歸案”。（1）查檢查系統(tǒng)進程大部分木馬運行后會顯示在進程管理器中，所以對系統(tǒng)進程列表進行分析和過濾，可以發(fā)現(xiàn)可疑程序。特別是利用與正常進程的CPU資源占用率和句柄數(shù)的比較，發(fā)現(xiàn)異?，F(xiàn)象。3、木馬的實質(zhì)檢查注冊表、ini文件和服務

木馬為了能夠在開機后自動運行，往往在注冊表如下選項中添加注冊表項：HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunHKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnceHKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnceExHKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesHKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce

說明：木馬亦可在Win.ini和System.ini的“run=”、“l(fā)oad=”、“shell=”后面加載，如果在這些選項后面加載程序是你不認識的，就有可能是木馬。木馬最慣用的伎倆就是把“Explorer”變成自己的程序名，只需稍稍改“Explorer”的字母“l(fā)”改為數(shù)字“1”，或者把其中的“o”改為數(shù)字“0”，這些改變?nèi)绻蛔屑氂^察是很難被發(fā)現(xiàn)。3、木馬的實質(zhì)檢查開放端口遠程控制型木馬以及輸出Shell型的木馬，大都會在系統(tǒng)中監(jiān)聽某個端口，接收從控制端發(fā)來的命令，并執(zhí)行。通過檢查系統(tǒng)上開啟的一些“奇怪”的端口，從而發(fā)現(xiàn)木馬的蹤跡。在命令行中輸入“Netstat–na”，可以清楚地看到系統(tǒng)打開的端口和連接。監(jiān)視網(wǎng)絡通訊對于一些利用ICMP數(shù)據(jù)通訊的木馬，被控端沒有打開任何監(jiān)聽端口，無需反向連接，不會建立連接，采用第三種方法檢查開放端口的方法就行不通?？梢躁P閉所有網(wǎng)絡行為的進程，然后打開Sniffer軟件進行監(jiān)聽，如此時仍有大量的數(shù)據(jù)，則基本可以確定后臺正運行著木馬。3、木馬的實質(zhì)（2）堵堵住控制通路如果你的網(wǎng)絡連接處于禁用狀態(tài)后或取消撥號連接，反復啟動、打開窗口等不正常現(xiàn)象消失，那么可以判斷你的電腦中了木馬。通過禁用網(wǎng)絡連接或拔掉網(wǎng)線，就可以完全避免遠端計算機通過網(wǎng)絡對你的控制。當然，亦可以通過防火墻關閉或過濾UDP、TCP、ICMP端口。殺掉可疑進程如通過Pslist查看可疑進程，用Pskill殺掉可疑進程后，如果計算機正常，說明這個可疑進程通過網(wǎng)絡被遠端控制，從而使計算機不正常。3、木馬的實質(zhì)（3）“殺”手工刪除

對于一些可疑文件，不能立即刪除，有可能由于誤刪系統(tǒng)文件而使計算機不能正常工作。首先備份可疑文件和注冊表，接著用Ultraedit32編輯器查看文件首部信息，通過可疑文件里面的明文字符對木馬有一個大致了解。當然高手們還可以通過W32Dasm等專用反編譯軟件對可疑文件進行靜態(tài)分析，查看文件的導入函數(shù)列表和數(shù)據(jù)段部分，初步了解程序的主要功能。最后，刪除木馬文件及注冊表中的鍵值。軟件殺毒

由于木馬編寫技術的不斷進步，很多木馬有了自我保護機制。普通用戶最好通過專業(yè)的殺毒軟件如瑞星、金山毒霸等軟件進行殺毒，對于殺毒軟件，一定要及時更新，并通過病毒公告及時了解新木馬的預防和查殺絕技，或者通過下載專用的殺毒軟件進行殺毒。二、趕注重百網(wǎng)絡披安全糟打夸造基好礎防扯火墻網(wǎng)絡她安全界中談干到個織人上糕網(wǎng)時侮的安歷全，匯還是逗先把潑大家缸可能億會遇擔到的吹問題齡歸個衰類，滾我們姨遇到隱的入豬侵方匹式大敢概包寄括了國以下呀幾種寧：(1披)被他擴人盜呼取密鬼碼；(2閣)系統(tǒng)確被木拜馬攻惡擊；(3峰)瀏覽恨網(wǎng)頁培時被殖惡意利的ja亡va姥s潛cr怠pi憂t程序勢攻擊檔；(4親)袖QQ被攻兔擊或黨泄漏桂信息是；(5腹)病毒雖感染史；(6像)系統(tǒng)進存在賢漏洞果使他假人攻揭擊自默己(7笑)黑客偏的惡著意攻良擊。如何線有效巨的防扮范攻連擊察看醉本地召共享晝資源運行CM遇D輸入ne腥t興sh若ar活e，如驗果看辟到有乳異常嚷的共掛享，救那么財應該懲關閉捆。但趟是有牲時你哈關閉窗共享出下次閉開機遙的時壓候又陸出現(xiàn)煩了，伯那么椒你應喇該考順慮一政下，胳你的半機器憑是否盞已經(jīng)伸被黑膜客所崖控制濟了，顫或者義中了油病毒外。刪除擋共享ne觀t辜sh漂ar孝e遷ad難mi丈n$鋸/泰de頸le克tene駁t屬sh帳ar稻e劉c$凈/浙de鳴le法tene曾t輩sh掃ar洞e純d$治/踩de引le團te（如晌果有e，f，……可以振繼續(xù)脂刪除閥）刪除ip買c$空連考接在運次行內(nèi)袍輸入re醫(yī)ge秧di脅t，在罪注冊敢表中繭找到HK章EY池-L媽OC白AL究_M全AC俘HI類NE返SY跑ST碼EM府Cu緣瑞rr救en柱tC元on費tr碌oS攜et撞Co榜nt滲ro晴lL老SA項里孟數(shù)值狂名稱Re龍st俘ri鹽ct剖An穴on賭ym循ou私s的數(shù)狡值數(shù)卵據(jù)由0改為1。如何瞞有效絞的防蒼范攻艷擊關閉接自己賭的13峰9端口蒜，Ip塔c和RP賭C漏洞銜存在逢于此!關閉13過9端口臭的方肥法是趟在“脖網(wǎng)絡貿(mào)和撥烈號連哪接”抄中“橫本地惹連接牙”中喝選取前“In按te借rn末et協(xié)議(T志CP司/I逢P)姥”屬性尊，進淋入“代高級TC寨P/涼IP設置咬”“Wi鐘nS設置兇”里客面有詳一項摔“禁律用TC殿P/各IP的NE恥TB投IO據(jù)S”，打餐勾就賢關閉扔了13事9端口渠。防止Rp關c漏洞打開北管理儲工具——服務——找到RP兔C(梳Re毒mo蘋tePr樂oc沿ed殖ur災e芽Ca耐ll但(評RP壯C)齡L哲oc盟at例or筆)服務——將故脾障恢蒸復中柄的第茂一次愁失敗羊，第擺二次曬失敗躲，后泛續(xù)失嚼敗，陽都設氧置為困不操絮作。如何譯有效玻的防耍范攻脹擊44墻5端口絨的關賊閉修改菠注冊響表，頑添加兼一個技鍵值HK堡EY眾_L議OC企AL般_M爺AC銷HI芹NE敲\S足ys裝te猛m\腰Cu釀rr話en翻tC傘on宇tr承ol盡Se雙t\茫Se枯rv叉ic靈es究\N筋et光BT想\P們ar示am奔et稅er伍s在右源面的驅(qū)窗口鑄建立集一個SM孩BD壩ev本ic冰eE柏na甜bl猛ed為RE說G_害DW榮OR枯D類型歡鍵值雄為0這樣連就ok了。33毛89的關瘋閉我的咸電腦痕上點勵右鍵睜選屬揪性--尼>遠程仗，將箱里面翠的遠萄程協(xié)螞助和現(xiàn)遠程語桌面父兩個枝選項這框里盯的勾委去掉液。48飯99的防斷范48淘99其實搏是一叮個遠藝程控讀制軟翼件所漿開啟且的服院務端贏端口億，由鳴于這榆些控閃制軟稅件功傾能強露大，條所以茶經(jīng)常秧被黑燭客用句來控繼制，座而且兆這類功軟件痛一般汁不會神被殺另毒軟捉件查稀殺，桌比后血門還即要安雖全。48取99不象33況89那樣息，是獵系統(tǒng)手自帶賀的服易務。頑需要呆自己圓安裝倚，而豎且需袖要將離服務快端上般傳到羊入侵龜?shù)碾娞涯X并考運行圣服務種，才瓶能達享到控第制的賭目的舒。三、Wi肥n株XP服務佛中的頸漏洞1.捧Ne島tM葛ee艘ti膊ng隊R妄em臉ot李e目De庫sk打to安p益Sh練ar兩in勇g：允許方受權葡的用淺戶通疾過Ne魄tM宗ee換ti酷ng在網(wǎng)然絡上思互相訊訪問之對方丹。這歇項服弊務對湊大多如數(shù)個派人用針戶并親沒有主多大瞎用處晶，況凱且服辦務的星開啟音還會吧帶來帝安全調(diào)問題需，因柄為上騎網(wǎng)時阻該服殿務會趣把用燈戶名伯以明祖文形武式發(fā)白送到慰連接爪它的纏客戶駝端，艷黑客蝦的嗅術探程死序很被容易貓就能罩探測抱到這育些賬景戶信間息。三、Wi坊n亭XP服務買中的收漏洞2.嗎Un梁iv店er滑sa秀l誕Pl味ug沃a云nd息P缺la員y諸De游vi伯ce孟H怎os敢t：此服揉務是烈為通友用的幟即插趁即用柏設備給提供刊支持孕。這摔項服狼務存戶在一克個安類全漏搏洞，彼運行勻此服唇務的點計算鉤機很貌容易叫受到誰攻擊訓。攻懶擊者別只要獄向某秘個擁阻有多無臺Wi客n兼XP系統(tǒng)畝的網(wǎng)促絡發(fā)紫送一重個虛磁假的UD互P包，弱就可好能會勵造成競這些Wi英n塑XP主機偶對指痕定的掀主機競進行咸攻擊煮（DD膚oS）。跟另外至如果匠向該儲系統(tǒng)19分00端口叮發(fā)送圣一個UD收P包，疼令“Lo估ca孕ti謊on拍”域的餓地址闊指向瓶另一盈系統(tǒng)聰?shù)腸h千ar鎮(zhèn)ge站n端口灘，就帆有可影能使者系統(tǒng)閣陷入陸一個狗死循士環(huán)，控消耗銳掉系稼統(tǒng)的雙所有四資源犬。三、Wi皇n脂XP服務裁中的蟲漏洞3.肌Me廊ss障en躁ge生r：俗稱益信使腸服務是，電肅腦用欲戶在奸局域樹網(wǎng)內(nèi)紙可以翼利用絨它進丸行資齊料交篩換（態(tài)傳輸剃客戶勿端和謀服務跳器之不間的Ne須t骨Se糾nd和Al兄er拳te偉r服務承消息脹，此別服務水與Wi倒nd指ow丟s窄Me北ss框en穩(wěn)ge襖r無關犧。如臨果服減務停請止，Al片er吩te肚r消息黃不會軌被傳城輸）孕。這禿是一躲個危支險而嗓討厭括的服守務，Me稅ss疏en脅ge箏r服務渡基本瓶上是跌用在涌企業(yè)心的網(wǎng)霸絡管瓦理上島，但登是垃糠圾郵泰件和泥垃圾脅廣告柔廠商勞，也哭經(jīng)常常利用褲該服北務發(fā)伶布彈忌出式挺廣告仍，標脊題為未“信貿(mào)使服詳務”棟。而配且這廟項服木務有校漏洞鹿，MS明Bl為as廣t和Sl良am濕me塊r病毒騰就是褲用它毫來進發(fā)行快免速傳辛播的蒙。三、Wi喚n鎖XP服務搬中的熄漏洞4.劇Te加rm權in贈al機S循er隙vi賢ce疤s：允許勵多位硬用戶達連接襯并控怕制一裹臺機遍器，削并且老在遠捏程計槍算機膚上顯岡示桌鋼面和液應用既程序柜。如負果你飛不使嶺用Wi欠n勇XP的遠役程控某制功繁能，闖可以商禁止暗它。5.欣Re潔mo昂te捎R胳eg辯is唇tr茂y：使遠撿程用茶戶能缺修改棕此計舅算機榴上的貍注冊乘表設訊置。新注冊陳表可悟以說內(nèi)是系腥統(tǒng)的櫻核心畜內(nèi)容嚇，一低般用便戶都配不建面議自棍行更初改，礙更何吃況要俯讓別團人遠險程修芝改，循所以漆這項注服務膨是極恥其危淚險的兩。三、Wi得n攻XP服務暖中的搖漏洞6.樸Fa輛st幅U點se觀r聰Sw稈it老ch所in優(yōu)g臣Co跌mp旬a(chǎn)t牽ib常il雷it疼y：在多駱用戶至下為順需要禽協(xié)助冤的應瓜用程鋼序提知供管珍理。Wi友nd凍ow赴s打XP允許甘在一窄臺電燙腦上次進行許多用偏戶之債間的炭快速問切換煩，但授是這壤項功哪能有球個漏太洞，獲當你頂點擊斑“開辣始→注銷→快速肉切換改”，健在傳情統(tǒng)登串錄方譜式下河重復吹輸入杯一個脈用戶疑名進衛(wèi)行登幫錄時額，系威統(tǒng)會序認為盟是暴狹力破倦解，磁而鎖眨定所鎮(zhèn)有非斯管理饒員賬招戶。盒如果季不經(jīng)優(yōu)常使提用，俘可以姥禁止帆該服