安全03-网络病毒与恶意软件的清除与预防.ppt

项目3 网络病毒与恶意软件的清除与预防  了解病毒的种类、定义、一般特征、发展历史和危害 知道常见的病毒检测软件以及计算机感染病毒的症状 学会恶意软件与病毒的区别和联系 掌握清除病毒和恶意软件的方法 技能目标 掌握常见病毒感染的症状和特征，能根据计算机和网络的反应很快识别病毒 熟练掌握常见防病毒软件和恶意软件清除工具的使用 学会构建病毒防护策略 项目描述 2010年1月20日上午，蝴蝶软件公司市场部（IP 地址段为～8，网关为00）的网络运行状况很不正常。该部门的所有计算机配置相同，都连接在同一台交换机上，网络主要的症状如下。 随机出现几台计算机频繁掉线。 网络时通时断。 掉线后，将网卡禁用后再启用或者重新启动计算机后，又能正常上网，但过一会儿又会掉线。 上网速度非常缓慢，基本不能共享文件。 打开的网页中插入了其他标签。 任务实施过程 任务一：常见病毒的清除与预防 任务1-1 ARP病毒的清除与预防 了解ARP病毒症状 命令检测 防范ARP攻击 任务实施过程 任务一：常见病毒的清除与预防 任务1-1 ARP病毒的清除与预防 了解ARP病毒症状（address resolution protocol 地址解析协议) 病毒攻击的核心： 破坏网络设备的ARP表内容，使得设备无法查到IP对应的正确MAC地址，导致报文发送错误，从而造成网络瘫痪。 病毒的症状 MAC地址表错误，不能正常上网 路由器ARP表错误，不能正常上网 PC机一会能上网，一会不能上网 网络中用户上不了网或网速很慢，但ARP表无错，切能在网络上抓取多个ARP流量 任务实施过程 任务一：常见病毒的清除与预防 任务1-1 ARP病毒的清除与预防 了解ARP病毒症状（address resolution protocol 地址解析协议) 病毒攻击的核心： 病毒的症状 命令检测 Arp –a或ARP –G 用于查看高速缓存中的所有项目。 Arp –s ip 物理地址 用于手动绑定网络地址与MAC地址 Arp –d ip 删除一个静态项目 任务实施过程 任务一：常见病毒的清除与预防 任务1-1 ARP病毒的清除与预防 了解ARP病毒症状（address resolution protocol 地址解析协议) 病毒攻击的核心： 病毒的症状 命令检测 查看进程 打开“windows资源管理器”，选择“进程”，在列表中查看是否有“MIR0.dat”进程，若有说明已中毒。 任务实施过程 任务一：常见病毒的清除与预防 任务1-1 ARP病毒的清除与预防 了解ARP病毒症状（address resolution protocol 地址解析协议) 病毒攻击的核心： 病毒的症状 命令检测 查看进程 防范ARP攻击 静态绑定（工作量大） 使用防护软件 任务实施过程 任务1-2 网络蠕虫病毒的清除与预防 了解感染震荡波病毒症状 概念： 指某些恶意程序代码会像蠕虫般在计算机网络中爬行，从一台计算机爬到另外一台计算机 传播方式： 利用网络进行复制和传播的一种常见的计算机病毒。 病毒 熊猫烧香、蠕虫王、冲击波，爱虫，求职信，Worm-ackantta.c,dconficker,w32.rixobot等。 例：震荡波蠕虫病毒的清除与防范 任务实施过程 任务1-2 网络蠕虫病毒的清除与预防 例：震荡波蠕虫病毒的清除与防范 了解震荡波病毒的症状 出现系统错误对话框 能过系统日志查看是否中毒 “管理工具”—“事件查看器”—“系统”—“winlogon”—“属性” 通过“任务管理器”查看—“avserver.exe”的进程 通过系统安装目录查看—在“c:\winnt”目录下是否存在“avserver.exe”的文件。 查看注册表 在“HKEY_LOCAL_MACHINE\SOFTWAER\Microsoft\windows\currentVersion\run”中有“avserver.exe”=“%windows%\avserver.exe” 任务实施过程 任务1-2 网络蠕虫病毒的清除与预防 例：震荡波蠕虫病毒的清除与防范 了解震荡波病毒的症状 清除振荡波病毒 手工清除 断网打补丁 /security/incident/asser.asp 清除内存中的病毒进程：在“任务管理器”中找到“avserver.exe”或“avserver2.exe”、“skynettave.exe”等进程，并结束这些进程。 使用命令“ntsd –p PID”来终止进程。 PID号：在“任务管理器”的“查看”菜单选择“选择列”—选中“PID”，显示每个进程的PID号。 删除病毒文件 删除注册表项。 使用专杀工具清除。 任务实施过程 任务1-2 网络蠕虫病毒的清除与预防 例：“熊猫