网络工程师网络安全3.pptVIP

木马查杀及Windows注册表的使用 第3章 第2章内容回顾 计算机病毒定义 病毒的分类及防范 Symantec企业版的安装、部署、策略应用 Page 2/34 本章目标 木马的概念及原理 了解常见木马的识别方法 清除木马的方法 利用Windows注册表加强系统安全性 Page 3/34 本章结构 Page 4/34 注册表的使用 木马概述 木马概念 木马原理及应用 木马危害 注册表备份与恢复 注册表概述 利用注册表加强系统安全性 注册表组成 木马的查杀 木马概述 什么是木马 木马的特点 木马的组成 木马的工作原理 Page 5/34 木马的故事 特洛伊木马的传说 希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城 Page 6/34 木马的概念 什么是木马 驻留在目标计算机里 随计算机自动启动并在某一端口进行侦听 对目标计算机执行特定操作 Page 7/34 木马的特点 未经授权就可获得目标计算机的使用权 程序小，执行时不占用太多资源 执行时很难停止 一次执行后，就会在系统中驻留，之后每次在系统加载时自动执行 一次执行后，就会自动变更文件名，甚至隐形 Page 8/34 木马的组成 客户端程序 服务端程序 连接部分 Page 9/34  攻击者利用TCP发起连接 服务端打开本地端口响应连接，攻击者开始远程控制 冰河木马简介 冰河工作原理 执行过程 Page 10/34 冰河程序的执行过程 木马的危害 窃取密码 文件操作 修改注册表 系统操作 Page 11/34 木马的识别与清除 木马的识别 人工识别 软件识别 木马的清除 手工清除 软件清除 Page 12/34 人工识别 利用netstat命令 注册表启动项目的检查 利用msconfig查看启动程序 Page 13/34  软件识别 利用主流杀毒软件 利用木马专杀软件 Page 14/34 木马的手工清除 结束木马进程 查找并删除木马主程序 Kernel32.exe Sysexplr.exe 恢复Windows注册表 Page 15/34 软件清除 利用木马克星清除 扫描硬盘及内存 拦截木马选项 查看系统当前进程 Page 16/34 木马防御方法总结 Page 17/34 木马的预防 不去不明网站下载软件 不随意浏览附件 不浏览不良网站 及时升级杀毒软件 妥善保存机密文件和资料 Page 18/34 阶段总结 了解木马概念 了解木马组成 了解木马的工作原理 能够用手工方法清除木马 端口扫描 查看连接 查找文件 检查注册表 利用木马克星清除木马 Page 19/34 阶段练习 背景 BENET北京公司的服务器怀疑受到了木马程序的侵袭 查看服务器开放的端口 找到可疑端口查看启动项目 查看注册表中启动项目 利用木马克星或其他查杀工具进行清除 目标 确认服务器是否受到了木马的入侵 Page 20/34 注册表概述 存储关于计算机配置信息的数据库 系统操作时不断引用的信息 每个用户配置文件 计算机硬件配置信息 文件后缀为*.reg Page 21/34 注册表结构2-1 HKEY_LOCAL_MACHINE 本地计算机系统的信息，包括硬件和操作系统数据 HKEY_CLASSES_ROOT 各种 OLE 技术和文件类关联数据的信息 HKEY_CURRENT_USER 用户配置文件，包括环境变量、桌面设置、网络连接、打印机和程序首选项等 HKEY_USERS 动态加载的用户配置文件和默认的配置文件的信息 HKEY_CURRENT_CONFIG 计算机系统使用的硬件配置文件的相关信息。用于配置一些设置，如要加载的设备驱动程序、显示时要使用的分辨率 Page 22/34 键值 说明 注册表结构2-2 每个注册表项和子项都可以包含称为值项的数据 存储每个用户的信息 存储计算机的信息 值项包括三部分 Page 23/34 数据类型 数据类型 说明 REG_BINARY 二进制值 REG_DWORD 双字节值 REG_EXPAND_SZ 可扩展字符串 REG_MULTI_SZ 多重字符串 REG_SZ 数据字符串 Page 24/34 修改注册表 Regedit命令或Regedt32命令 Page 25/34 利用注册表增加系统安全性 禁止CD-ROM的自动运行