信息设备与其环境安全与评估.pptVIP

典型恶意软件及其防范和清除技术 教学目的 了解不同恶意软件的特点 了解防范和清除恶意软件的一般方法 熟悉发现并手工清除恶意软件的方法 内容 宏病毒 邮件蠕虫 木马 网页木马 流氓软件 手工清除恶意软件 宏病毒 宏是组织在一起的命令集合，可以作为一个单独命令完成一个特定任务 在Microsoft Office中，可以使用以Visual Basic编写的宏。宏病毒指用Visual Basic编写的具有病毒特点的代码。它能够通过.doc和.dot文件进行传播 宏病毒的防范和清除 宏病毒的防范 使用防病毒软件 设置宏安全性为中以上，打开Office文档遇到宏病毒警告框时，要保持高度警惕 宏病毒的清除 使用防病毒软件 手动清除。对于普通文档，可以使用“另存为”，并选择不含宏的文件格式 比如在Word中，可以选择RTF格式 邮件蠕虫 蠕虫是一种常见的恶意软件。与一般病毒不同，蠕虫不需要将其自身附着到宿主程序上，它是一个独立的程序 蠕虫利用网络进行复制和传播，可利用的传播途径包括电子邮件、Web服务器、网络共享等 邮件蠕虫 邮件蠕虫通过电子邮件传播 大多数邮件蠕虫在感染本机后，会自动打开Outlook Express的地址薄，把自己发送给地址薄上的每一个邮件地址 邮件蠕虫通常存在于邮件附件中 邮件蠕虫的防范和清除 邮件蠕虫的防范 利用防病毒软件检查邮件 不要轻易相信一些邮件，不要轻易打开邮件附件 邮件蠕虫的清除 使用防病毒软件 木马 木马是目前比较流行的恶意软件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装成实用软件来吸引用户下载执行 一个完整的木马包含两个部分：服务器端和客户端。感染木马的计算机是服务器端，黑客利用客户端进入运行了服务器端的计算机，进而毁坏、窃取被植入木马的计算机上的文件，甚至远程操控感染木马的计算机 木马与远程控制软件有些相似，不过远程控制软件是“善意”的控制，因此通常不具有隐蔽性，木马则完全相反。木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的 木马隐藏技术 隐藏木马文件 伪装文件名称，给一个非执行扩展名 利用了Windows默认不显示已知扩展名 伪装图标 伪装成系统文件，比如svch0st.exe 隐藏木马进程 伪装成可信任的进程，把自己的进程名称改为与系统进程类似的名字 把木马写成DLL文件，使用系统程序Rundll32.exe或Rundll.exe调用，在“任务管理器”中将看不到木马进程 木马的发现 木马需要自动运行，以下是它可利用启动位置 autoexec.bat、config.sys win.ini、system.ini “启动”程序组 注册表项HKEY_LOCAL_MACHINE\... \CurrentVersion\Run 木马需要连接端口，留心不明端口 木马利用通信端口的两种方法：寄生，潜伏 木马的防范和清除 木马的防范 使用防病毒软件 及时更新系统补丁 不轻易下载软件，不轻易浏览邮件附件 木马的清除 使用防病毒软件 手动清除（未必总有效） 在保护模式下，删除或修改注册表中与木马相关的项，删除木马文件（后有叙述） 网页木马 网页木马实际上是一个HTML网页，与其它网页不同的是，该网页中的脚本巧妙地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马（或蠕虫）并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始 网页木马的防范 使用防病毒软件和防火墙 及时更新系统补丁 卸载不安全的ActiveX控件（IE插件） 在命令提示符下输入命令“regsvr32.exe 插件文件 /u/s” 如果想恢复，使用命令“regsvr32.exe 插件文件 /i/s” 提高IE的安全级别，禁用脚本和ActiveX控件 “Internet 属性” →“安全” ，把Internet区域设置为较高安全级别，或者点击“自定义级别”，在打开的对话框上禁用脚本，禁用ActiveX控件 把恶意网站加入到受限站点 “Internet 属性” →“安全” →“受限站点” →“站点” 流氓软件 流氓软件是介于病毒、蠕虫、木马等恶意软件和正规软件之间的软件 流氓软件有时也被称为间谍软件（spyware）、恶意共享软件（malicious shareware） 流氓软件 流氓软件一般同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来实质性危害 与病毒、蠕虫、木马不同，很多流氓软件不是由小团体或者个人秘密编写和传播的，有很多知名企业和团体也涉嫌此类软件 流氓软件的防范 及时更新补丁程序 禁用ActiveX脚本