[防病毒管理.pptVIP

利用钓鱼网站 病毒的传播及其防范 2 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 主要内容 1 2 病毒的传播及其防范 3 5 病毒的潜伏隐藏机制 病毒在内网的扩散及其防范 病毒概述 4 病毒的高级检测和查杀技术 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 病毒的潜伏隐藏机制 病毒入侵后，面对的将是敏锐的管理员和防火墙杀毒软件入侵检测系统诸如此类的东西，一个小小的闪失都有可能造成被查杀的命运。 端口隐藏 潜伏 使用IP协议族中的其它协议而非TCP/UDP来进行通讯，从而瞒过Netstat和端口扫描软件。一种比较常见的潜伏手段是使用ICMP协议。 寄生 找一个已经打开的端口，寄生其上，平时只是监听，遇到特殊的指令就进行解释执行，如指令是不可辨认的，则交给系统正常处理，如符合特征，则木马激活运行，执行完毕后再度隐藏。因为木马实际上是寄生在已有的系统服务之上的，因此，在扫描或查看系统端口的时候是没有任何异常的。 3 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 当然，仅仅隐藏端口是不够的，想要不被发觉，关键还需要隐藏进程。 进程欺骗 PSAPI（Process Status API），PDH（Performance Data Helper），ToolHelp API 如果我们能够欺骗用户或入侵检测软件用来查看进程的函数（例如截获相应的API调用，替换返回的数据），我们就完全能实现进程隐藏 不使用进程 编写一个木马DLL，并且通过别的进程来运行它，那么无论是入侵检测软件还是进程列表中，都只会出现那个进程而并不会出现木马DLL （1）远程线程技术 CreateRemoteThread也同样可以在另一个进程内创建新线程 （2）挂接API －－HOOK 当调用被挂钩的API时，病毒代码能立刻被执行 病毒的潜伏隐藏机制 3 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 病毒与反病毒就是攻与防的对立统一－－高隐藏性恶意程序及其检测的演示 病毒的潜伏隐藏机制 3 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 主要内容 1 2 病毒的传播及其防范 3 5 病毒的潜伏隐藏机制 病毒在内网的扩散及其防范 病毒概述 4 病毒的高级检测和查杀技术 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 病毒在内网的扩散及其防范 病毒入侵后在内网的扩散技术 基于文件的传播 移动介质的传播 演示： U盘等 病毒的主动传播技术 利用漏洞实施内网的自动扩散 演示：内网扫描 ARP欺骗扩散技术 截获用户名和口令之外，还在回传网页中嵌入恶意脚本，实施病毒在内网传播 演示：欺骗性的ARP包分析 4 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. Evaluation o