第四讲 恶意软件及其防护解读.pptVIP

4.3 木马的工作原理及其检测 计算机木马的发展趋势 隐蔽性增加 非常规协议封装的IP数据包携带了盗取的信息 寄生在TCP端口，与正常通信流混合传送 传输方式多样化（如网页挂马） 编程机制多样化（针对网卡或Modem的底层通信编程，跳过防火墙） 跨平台性（一个木马程序可兼容不同公司不同版本的操作系统） 模块化设计（易于组装） 更新更强的感染模式（像病毒一样感染） 即时通知（E-mail即时通知控制端木马的安装情况，以应对服务端IP动态变化的局面） 商业病毒木马的泛滥（如木马点击器Clicker病毒，侵入用户电脑后，会根据病毒编写者预先设定的网址，去点击网上的广告，如百度竞价排名、Google AdSense等，让广告主支付更多的广告费，而病毒犯罪团伙及其合作伙伴则会分享这些额外的“利润”。 ） 4.3 木马的工作原理及其检测 被木马感染后的紧急措施 断开网络，木马就没有的连线的威胁 更改所有的账号和密码 删除硬盘上所有原来没有的东西（通过系统还原实现） 利用杀毒软件清理 木马检测 用netstat -an查看开放端口，也可使用Active Ports工具 查win.ini和system.ini系统配置文件 查启动程序 查系统进程 查注册表 使用专业木马检测软件 4.3 木马的工作原理及其检测 木马的防治 防止木马修改系统注册表（注册表锁定）HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system新建DWORD值，名称DisableRegistryTools=1 注册表解锁：组策略管理器（gpedit.msc）→本地计算机策略→用户配置→管理模板→系统→阻止访问注册表编辑工具→钩选“已禁止” 4.3 木马的工作原理及其检测 木马的防治 IE设置中有选择地禁用ActiveX控件和插件以及Java脚本 停止services.msc中的Server服务 停用Guest账户 使用屏幕键盘输入密码（运行→osk.exe或在“附件”→“辅助功能”中查找执行） 4.3 木马的工作原理及其检测 木马的清除技巧 解除非法的文件关联：HKEY_CLASSES_ROOT\***file\shell\Open\Command exe文件的正确关联值 %1 %* txt、ini、inf文件的正确关联值 C:\WINDOWS\System32\NOTEPAD.EXE %1 显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN→CheckedValue=2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL→CheckedValue=1 4.4 流氓软件和不良信息过滤 反流氓软件行动已成过去时 2006年9月4日，反流氓软件联盟开始正式起诉流氓软件厂商，时隔8年，流氓软件已销声匿迹，反流氓软件联盟也只剩官方博客在线 据中国互联网协会对流氓软件定义：未经用户允许强行安装后，无法正常或完全卸载的软件。具备自我复制性，软件的正常功能与恶意行为并存 强制安装：未明确提示用户、未经用户许可 难以卸载：未提供通用的卸载方式、卸载不彻底 浏览器劫持（绑架）：修改用户浏览器的设置，迫使用户访问特点网站或导致不能正常上网的行为 弹出广告 恶意收集用户信息，记录用户计算机操作行为 恶意捆绑软件：捆绑其他已经认定为恶意软件的软件 恶意卸载：诱骗用户卸载非恶意的软件，达到不可告人的商业目的 有侵害用户的虚拟财产安全潜在因素 4.4 流氓软件和不良信息过滤 网络钓鱼 黑客利用欺骗性的电子邮件和伪造Web站点进行诈骗活动，受骗者往往会泄露自己的财务数据，如信用卡号、账户用和口令、社保编号等内容 诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌，在所有接触诈骗信息的用户中，有高达5%的人都会对这些骗局做出响应 网络不良信息过滤技术——技术层面下的网络道德 不良信息的传播泛指一切在互联网上散布违法或攻击性的内容、反动言论以及色情信息的行为。网络成了一个“潘多拉盒子”！ 网民的行为特征 注意力呈现“马太效应”，注意力越来越集中在少数的知名网站 对色情信息存在猎奇心理 4.4 流氓软件和不良信息过滤 过滤技术（IP地址阻塞、页面内容分级等等） Web页面内容定级：起源于电影的分级审查制度 互联网内容选择平台PICS（Platform for Intern