计算机恶意代码与防护剖析.ppt

* * * * * * 什么是恶意代码 恶意代码（malicious code）：恶意代码是一种程序，它通过把代码在不被察觉的情况下嵌入另一段程序中，从而达到运行具有入侵性或破坏性的程序。破坏被感染电脑数据的安全性和完整性的目的。 课程内容 恶意代码类型 恶意代码防护 恶意代码攻击实例 防病毒系统 恶意代码的主要类型 病毒：具有破坏性，复制性和传染性。 木马：通常包括服务器端和客户端。 冰河 灰鸽子 ………… 蠕虫：自我复制，恶意占用可用资源。 间谍软件：秘密收集信息的程序（广告软件）。 移动代码：从主机传到客户端并执行的代码。 计算机恶意代码分析 磁盘文件数目增多 系统的RAM空间变小 文件的日期/时间值被改变 可执行程序长度增加 磁盘上出现坏簇 平时可执行的程序因RAM区不足而不能加载 程序加载时间比平均时间长 硬盘启动系统失败 恶意代码感染迹象与处理 禁止使用电脑 格式化硬盘 下载运行木马程序 注册表锁定 恶意代码分析 （IE) 默认主页修改 篡改IE标题栏 篡改默认搜索引擎 IE右键修改 篡改地址栏文字 启动时弹出对话框 IE窗口定时弹出 计算机恶意代码防护 操作系统和应用软件升级补丁 安装杀毒软件，并及时更新病毒库代码库，使用专杀工具 使用防火墙及其它访问控制工具 IE中禁用未识别和未签名的ActiveX控件 安装邮件防病毒系统 安装入侵检测系统 恶意代码防治策略 防止病毒的侵入要比病毒入侵后再去发现和消除它重要。防止病毒的侵入为主动防治，病毒入侵后再去发现和除它是被动处理。因此，原则上，计算机病毒防治应该采取“主动预防为主，被动处理结合。” 恶意代码预防技术 病毒预防技术 病毒检测技术 病毒消除技术 病毒免疫技术 预防计算机病毒 封堵漏洞，查杀病毒 不要随意点击、下载和运行来历不明的程序和脚本。 重视文件的备份，常做文件备份，重要文件要多做几份。 可移动存储介质在使用之前先杀毒。 保证主机的物理安全，防止他人运行未授权的程序。 集中式病毒管理 “集中式管理、分布式杀毒”技术，使安装在网络系统中的每台计算机上的杀毒软件构筑成协调一致的立体防护体系，而网络管理员只需通过控制台，就可实时掌握全网各节点的病毒监测状况，也可远程指挥每台计算机杀毒软件的工作方式。 克服网络杀毒产品不能全网统一杀毒的缺陷，杜绝了因部分计算机未能及时杀毒而留下的隐患。 建议安装网络企业版杀毒软件，比如：Symantec AntiVirus企业版 木马的故事 特洛伊木马的传说 希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城 木马攻击 完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。 服务器程序用于监听被侵入主机的端口或监视用户活动，控制器端程序则用于接收服务器程序返回的信息并可控制远程主机。 木马常入侵途径，网站，捆绑等 木马的特点 隐蔽性 自动运行性，执行时很难停止，会打开特别的端口 包含具有未公开并且可能产生危险后果的功能的程序 具备自动恢复功能 未经授权就可获得目标计算机的使用权 程序小，执行时不占用太多资源 一次执行后，就会在系统中驻留，之后每次在系统加载时自动执行 一次执行后，就会自动变更文件名 木马的类型 破坏型 密码发送型 远程访问型 键盘记录木马 DoS攻击木马 代理木马 FTP木马 程序杀手木马 反弹端口型木马 木马的危害 窃取密码 文件操作 修改注册表 系统操作 非法服务 非法服务会在系统上开启一个秘密的端口，提供未经许可的服务，这和很多木马的工作原理是一样的。 常见的非法服务包括： Net Bus Back Orifice 和 Back Orifice 2000 灰鸽子 冰河2.X ……… 木马的识别与清除 木马的识别 人工识别 软件识别 木马的清除 手工清除 软件清除 人工识别 1.利用netstat命令 2.注册表启动项目的检查 3.利用msconfig查看启动程序  木马的手工清除 结束木马进程 查找并删除木马主程序 H.exe 删除或恢复Windows注册表 软件识别和清除 利用主流杀毒软件 利用木马专杀软件 木马防御方法总结 木马的预防 不去不明网站下载软件 不随意浏览附件 不浏览不良网站 及时升级杀毒软件 妥善保存机密文件和资料 主流防病毒系统 Symantec AntiVirus 企业版 McAfee VirusScan 企业版 巴斯基（Kaspersky）企业版