008病毒與木馬防范課件

病毒與木馬防范計(jì)算機(jī)病毒防范計(jì)算機(jī)木馬防范計(jì)算機(jī)病毒定義計(jì)算機(jī)病毒分類與特征計(jì)算機(jī)病毒防范與清除殺毒軟件使用計(jì)算機(jī)病毒防范計(jì)算機(jī)病毒定義在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中定義為：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。計(jì)算機(jī)病毒是一種“計(jì)算機(jī)程序”，它不僅能破壞計(jì)算機(jī)系統(tǒng)，而且還能傳播、感染到其他系統(tǒng)。它通常隱藏在其他看起來無害的程序中，能生成自身的拷貝并且插入其他的程序中，執(zhí)行惡意的行動(dòng)。病毒未授權(quán)的內(nèi)部訪問系統(tǒng)入侵偷窺私人信息電信欺騙金融欺騙破壞被動(dòng)搭線竊聽主動(dòng)搭線竊聽筆記本電腦盜竊內(nèi)部人員對(duì)網(wǎng)絡(luò)的濫用73％68％57％39％10％20％30％40％50％60％70％80％021％73％16％14％13％13％9％1％

計(jì)算機(jī)病毒的危害據(jù)CSI/FBI計(jì)算機(jī)犯罪和安全調(diào)查報(bào)告中對(duì)攻擊的分類調(diào)查顯示，計(jì)算機(jī)病毒占所有攻擊類型的首位.計(jì)算機(jī)病毒分類與特征1.按感染形式分類文件病毒：通過在執(zhí)行系列中插入指令把自己依附在可執(zhí)行文件上，此種病毒感染文件，并寄生在文件中，進(jìn)而造成文件損壞。引導(dǎo)區(qū)病毒：潛伏在軟盤的引導(dǎo)扇區(qū)，或在硬盤的引導(dǎo)區(qū)，或主引導(dǎo)紀(jì)錄（分區(qū)扇區(qū)）中插入指令。如果計(jì)算機(jī)用被感染的軟盤引導(dǎo)時(shí)，病毒就會(huì)感染到引導(dǎo)硬盤，并把自己的代碼調(diào)入內(nèi)存?；旌闲筒《荆壕哂幸龑?dǎo)型和文件型兩種病毒的特性。CIH病毒就是這種混合型病毒。宏病毒：即感染可執(zhí)行文件和一般文件。雖無嚴(yán)重的危害，但對(duì)系統(tǒng)的性能及用戶工作效率有影響，在網(wǎng)絡(luò)中進(jìn)行交叉感染?！懊利悮⑹帧本褪且环N宏病毒計(jì)算機(jī)病毒分類與特征2.按寄生方式分類代替式計(jì)算機(jī)病毒：計(jì)算機(jī)病毒用自身代碼的部分或全部替代常規(guī)程序的部分或全部，且替代后依然能完成被替代的合法程序的功能。連接式計(jì)算機(jī)病毒：這種方式一般以傳染文件為主，即病毒與宿主文件相連接時(shí)宿主文件的字節(jié)長(zhǎng)度增加，但不破壞原合法程序的代碼。轉(zhuǎn)儲(chǔ)式計(jì)算機(jī)病毒：病毒將原合法的程序代碼轉(zhuǎn)儲(chǔ)到存儲(chǔ)介質(zhì)的其他部位，而用病毒代碼占據(jù)原合法程序的位置。充式計(jì)算機(jī)病毒：這種病毒有的傳染引導(dǎo)程序，有的傳染文件，病毒一般侵入宿的空閑存儲(chǔ)空間，這樣就不會(huì)改變宿主程序的字節(jié)長(zhǎng)度。計(jì)算機(jī)病毒分類與特征3．按攻擊方式分類這種方法劃分有利于分析病毒的攻擊對(duì)象和傳染范圍。源碼病毒:

存在的形式為源碼?？杉?xì)分為Shell型和語(yǔ)言型。機(jī)器碼病毒:指各種處理器的機(jī)器碼構(gòu)成的病毒，如Intel86系列病毒、Motorola的68000，系列病毒、Zilog系列病毒和acintosh系列病毒等?；旌洗a病毒:兩種形式都有則稱為混合碼病毒。計(jì)算機(jī)病毒分類與特征計(jì)算機(jī)病毒特征1.傳染性:計(jì)算機(jī)病毒也會(huì)通過各種媒體從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)。2.隱蔽性:計(jì)算機(jī)病毒隱蔽性是指計(jì)算機(jī)病毒不經(jīng)過程序代碼分析或計(jì)算機(jī)病毒代碼掃描，病毒程序與正常程序是不容易區(qū)別開來的。3.潛伏性:計(jì)算機(jī)病毒潛伏性是指病毒具有依附其他媒體而寄生的能力。潛伏性的一種表現(xiàn)指的是病毒程序如果不用專門的檢測(cè)程序是檢測(cè)，是檢查不來的，因此，病毒可以在磁盤、光盤或其他介質(zhì)上靜靜的呆上幾天，甚至是幾年。4.表現(xiàn)性:病毒的表現(xiàn)性是指當(dāng)病毒觸發(fā)條件滿足時(shí)，病毒在被計(jì)算機(jī)病毒感染的計(jì)算機(jī)上開始發(fā)作，表現(xiàn)出一定的癥狀和破壞性。計(jì)算機(jī)病毒防范與清除綜合防范措施（一）、安裝一個(gè)可靠的、干凈的系統(tǒng)，并做好Ghost備份。重裝系統(tǒng)時(shí)要注意防止重復(fù)感染。

(二）、安裝殺毒軟件和個(gè)人防火墻、更新升級(jí)、全盤掃描。（三）、安裝一個(gè)工具軟件（如360安全衛(wèi)士、瑞星卡卡、超級(jí)免子等）把系統(tǒng)的漏洞補(bǔ)丁打全。清理惡意代碼、木馬、惡評(píng)插件。注：安全衛(wèi)士等僅僅是個(gè)工具軟件，不能代替殺毒軟件計(jì)算機(jī)病毒防范與清除（四）、養(yǎng)成良好的使用習(xí)慣（如①使用U盤前先查殺毒，不輕易雙擊U盤盤符；②不隨意瀏覽不良網(wǎng)站或不熟悉的網(wǎng)站、不隨意下載安裝不明軟件或電子郵件附件③經(jīng)常升級(jí)殺軟，殺毒、清理系統(tǒng)拉圾④重要數(shù)據(jù)經(jīng)常做備份）（五）、使用盡量復(fù)雜的密碼（如系統(tǒng)超級(jí)用戶administrator密碼、其它賬號(hào)密碼）（六）、禁止所有磁盤自動(dòng)運(yùn)行：運(yùn)行輸入gpedit.msc-->用戶配置-->管理模板-->系統(tǒng)，雙擊右側(cè)列表里的【關(guān)閉自動(dòng)播放】，選擇“所有驅(qū)動(dòng)器”，然后選擇“已啟動(dòng)”。確定退出。計(jì)算機(jī)病毒防范與清除計(jì)算機(jī)病毒防范與清除部分病毒手動(dòng)清除方法例舉U盤病毒變種：該病毒將自己偽裝成U盤內(nèi)已有的一個(gè)文件夾，使用文件夾圖標(biāo)，并使用同樣的名稱，而真正的文件夾卻被隱藏起來。這樣，用戶以為是自己的文件夾而去點(diǎn)擊打開，觸發(fā)病毒程序運(yùn)行，它會(huì)將U盤內(nèi)的文件夾做同樣處理，并在C:\WINDOWS\system32下建立XP-****.EXE的變名下載器，訪問外網(wǎng)下載文件。只要手動(dòng)刪除XP-****.EXE文件即可。具體操作見圖計(jì)算機(jī)病毒防范與清除刪除更改系統(tǒng)時(shí)間的病毒計(jì)算機(jī)病毒防范與清除計(jì)算機(jī)病毒防范與清除利用KV3000修復(fù)硬盤邏輯鎖KV3000的硬盤盤工具非常強(qiáng)大，可以搜索硬盤任一扇區(qū)的內(nèi)容，并修改之。當(dāng)進(jìn)入KV3000的功能菜單畫面后，按F6即進(jìn)入硬盤救護(hù)箱。進(jìn)入后的第一屏就是硬盤的MBR扇區(qū)的內(nèi)容。其中紅色閃爍的8001和55AA之間的內(nèi)容就是硬盤分區(qū)表（如果硬盤只有一個(gè)活動(dòng)分區(qū)和一個(gè)擴(kuò)展分區(qū)的話）。畫面上方的菜單功能：

F1＝HDPT查看MBR扇區(qū)內(nèi)容

F2＝BOOT查看BOOT扇區(qū)內(nèi)容

F3＝Input直接輸入要查看的扇區(qū)NO.

F4=Search直接輸入要搜索的ASCII值或16進(jìn)制代碼畫面的下方的菜單功能：

F5＝Edit進(jìn)入磁盤硬盤邏輯鎖

Ctrl+F10=Write寫硬盤扇區(qū)功能。在按F5之前按此鍵，可對(duì)硬盤扇區(qū)批量改寫。使用功能時(shí)一定要確定無誤，否則后果嚴(yán)重。當(dāng)你對(duì)硬盤某一個(gè)扇區(qū)修改完畢后，可按此鍵進(jìn)行存儲(chǔ)。當(dāng)你按下Ctrl+_F10后，屏幕會(huì)有提示：“Warning?。?！Exit

(Y/N)（綠色字符）“如果你確定寫盤操作，請(qǐng)按N，放棄退出后，再按Y確定寫盤。如果你發(fā)覺自己的誤操作時(shí)，可以按N放棄。計(jì)算機(jī)病毒防范與清除利用KV3000修復(fù)硬盤邏輯鎖殺毒軟件使用著名殺毒軟件公司的站點(diǎn)地址瑞星/download.htm冠群金辰信源北京江民新技術(shù)公司（KV3000）

360殺毒軟件賽門鐵克/region/tw/Mcafee

Virusscan/down金山毒霸/ks/index.jspNorton

殺毒軟件使用瑞星殺毒軟件安裝殺毒軟件使用瑞星殺毒軟件啟動(dòng)殺毒軟件使用瑞星殺毒軟件快速查殺殺毒軟件使用瑞星殺毒軟件設(shè)置計(jì)算機(jī)木馬防范

木馬定義木馬入侵途徑木馬防范木馬查殺木馬定義“木馬”指一些程序設(shè)計(jì)人員在其可從網(wǎng)絡(luò)上下載的應(yīng)用程序或游戲中，包含了可以控制用戶的計(jì)算機(jī)系統(tǒng)的程序，可能造成用戶的系統(tǒng)被破壞甚至癱瘓。木馬原則上和Laplink、PCanywhere

等程序一樣，只是一種遠(yuǎn)程管理工具木馬本身不帶傷害性，也沒有感染力，所以不能稱之為病毒(也有人稱之為第二代病毒)木馬種類：鍵盤記錄型木馬主要用來截取用戶的密碼資料信息，類似于QQ、msn、魔獸世界等大多網(wǎng)游或即使通訊程序的密碼，當(dāng)然，對(duì)于用戶網(wǎng)上銀行的資料記錄，這類木馬也能夠記錄下來。遠(yuǎn)程監(jiān)控型木馬Dos攻擊木馬木馬定義典型的C/S結(jié)構(gòu)，隱蔽性差隱藏、自啟動(dòng)和操縱服務(wù)器等技術(shù)上有長(zhǎng)足進(jìn)步

隱藏、自啟動(dòng)和數(shù)據(jù)傳遞技術(shù)上有根本性進(jìn)步，出現(xiàn)了以ICMP進(jìn)行數(shù)據(jù)傳輸?shù)哪抉R

采用改寫和替換系統(tǒng)文件的做法

木馬發(fā)展：第一代木馬個(gè)將自己偽裝成特殊的程序或文件的軟件，如本身偽裝成一個(gè)用戶登陸窗口，當(dāng)用戶運(yùn)行了木馬偽裝的登陸窗口，輸入用戶名與密碼后，木馬將自動(dòng)記錄數(shù)據(jù)并轉(zhuǎn)發(fā)給供給者，入侵者借此來獲得用戶的重要信息，達(dá)到自己的目的。第二代木馬有能夠進(jìn)行的遠(yuǎn)程控制操作第三代木馬由原來的服務(wù)端被動(dòng)連接變?yōu)榉?wù)端主動(dòng)連接第四代木馬遠(yuǎn)程線程插入技術(shù)，將木馬線程插入DLL線程中，增加了隱藏進(jìn)程技術(shù)木馬定義電子郵件、來歷不明的文件、下載或安裝的軟件中附帶、網(wǎng)頁(yè)掛馬。共享入侵、漏洞入侵、惡意代碼入侵。木馬入侵途徑木馬入侵途徑木馬連接方式:傳統(tǒng)方式

端口反彈方式木馬運(yùn)行機(jī)制第一步：木馬客戶端會(huì)將自己的IP地址以及監(jiān)聽端口發(fā)送給一個(gè)“中間機(jī)器”，如某網(wǎng)頁(yè)文件，http:///ip.txt，第二步：木馬服務(wù)端會(huì)連接“中間機(jī)器”，獲取服務(wù)端目前的IP地址和端口信息。第三步：木馬服務(wù)端主動(dòng)向客戶端發(fā)出連接請(qǐng)求，直至雙方建立連接成功木馬入侵途徑木馬欺騙方式：捆綁欺騙把木馬服務(wù)端和某個(gè)游戲，或者flash文件捆綁成一個(gè)文件郵件冒名欺騙壓縮包偽裝網(wǎng)頁(yè)欺騙利用netsend欺騙木馬入侵途徑木馬隱藏方式：在任務(wù)欄里隱藏任務(wù)欄中隱藏文件圖標(biāo)在任務(wù)管理器隱藏把木馬設(shè)置為“系統(tǒng)服務(wù)”，通信端口的隱藏加載方式最新隱身技術(shù)通過修改虛擬設(shè)備驅(qū)動(dòng)程序(VXD)或修改動(dòng)態(tài)鏈接庫(kù)(DLL)來加載木馬木馬入侵途徑木馬啟動(dòng)：在win.ini中啟動(dòng)在system.ini中啟動(dòng)通過啟動(dòng)組實(shí)現(xiàn)自啟動(dòng)*.ini修改文件關(guān)聯(lián)捆綁文件反彈技術(shù)木馬潛伏時(shí)的常見癥狀網(wǎng)速突然很慢，系統(tǒng)性能顯著下降系統(tǒng)進(jìn)程中出現(xiàn)陌生進(jìn)程瀏覽器經(jīng)常彈出網(wǎng)頁(yè)窗口計(jì)算機(jī)莫名重啟或關(guān)機(jī)木馬入侵途徑木馬防范（一）、刪除不必要的共享顯示共享：netshare刪除共享：netshare共享名/delete（二）、關(guān)閉非必須的系統(tǒng)服務(wù)（三）、關(guān)閉不必要的服務(wù)端口（見圖）木馬防范木馬防范木馬防范木馬防范木馬防范木馬防范木馬防范木馬防范木馬防范木馬防范木馬防范木馬查殺手工查殺木馬1.查看計(jì)算機(jī)啟動(dòng)時(shí)啟動(dòng)的所有程序有無陌生進(jìn)程2.查看系統(tǒng)服務(wù)，有無非自身安裝的服務(wù)。3.找到上述兩種方式查找出的木馬以及其相關(guān)程序路徑。4.結(jié)束木馬進(jìn)程，刪除木馬啟動(dòng)項(xiàng)以及木馬本身。木馬查殺手工查殺木馬清除灰鴿子的服務(wù)；刪除灰鴿子程序文件，重啟系統(tǒng)，進(jìn)入“安全模式”設(shè)置顯示所有文件在系統(tǒng)目錄下，找到Setupdll.dll和Setupapi.dll修改注冊(cè)表值HKEY_LOCAL_MACHING\SYSTEM\CurrentControlSet\Services，以點(diǎn)擊查找找到灰鴿子對(duì)應(yīng)的服務(wù)選項(xiàng)(GrayPigeon)來刪除灰鴿子的自啟動(dòng)服務(wù)。木馬查殺木馬查殺工具－IceSword木馬查殺木馬查殺工具——AVGAnti-Spyware所謂“硬盤邏輯鎖”是使用了某些DOS的一個(gè)錯(cuò)誤制成的。它采用了“循環(huán)分區(qū)表”的技術(shù)，使某些有這個(gè)錯(cuò)誤的DOS無法用任何設(shè)備啟動(dòng)，包括軟盤等移動(dòng)設(shè)備。當(dāng)DOS啟動(dòng)時(shí)，系統(tǒng)會(huì)自動(dòng)搜索硬盤中的各個(gè)分區(qū)的信息，如類型、大小等，以使系統(tǒng)能夠識(shí)別硬盤，分別分配為C、D、E、F等驅(qū)動(dòng)器，并使用戶能對(duì)其進(jìn)行各種操作。而“邏輯鎖”正是利用了這一點(diǎn)，通過修改硬盤的分區(qū)表使分區(qū)表發(fā)生循環(huán)，即把擴(kuò)展分區(qū)的第一個(gè)邏輯盤指向自身，使某些DOS系統(tǒng)啟動(dòng)時(shí)查找分區(qū)時(shí)發(fā)生死循環(huán)而無法啟動(dòng)。某些筆記本硬盤可以設(shè)置密碼就是采用此法，因此一旦密碼丟失硬盤將無法使用。附：硬盤