北大青鸟CSP_PPT_chap3_V1.2.pptVIP

Chapter 木马查杀及Windows注册表的使用 第3章 第2章内容回顾 计算机病毒定义 病毒的分类及防范 Symantec企业版的安装、部署、策略应用 本章目标 木马的概念及原理 了解常见木马的识别方法 清除木马的方法 利用Windows注册表加强系统安全性 本章结构 木马概述 什么是木马 木马的特点 木马的组成 木马的工作原理 木马的故事 特洛伊木马的传说 希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城 木马的概念 什么是木马 驻留在目标计算机里 随计算机自动启动并在某一端口进行侦听 对目标计算机执行特定操作 木马的特点 未经授权就可获得目标计算机的使用权 程序小，执行时不占用太多资源 执行时很难停止 一次执行后，就会在系统中驻留，之后每次在系统加载时自动执行 一次执行后，就会自动变更文件名，甚至隐形 木马的组成 客户端程序 服务端程序 连接部分 冰河木马简介 冰河工作原理 执行过程 木马的危害 窃取密码 文件操作 修改注册表 系统操作 木马的识别与清除 木马的识别 人工识别 软件识别 木马的清除 手工清除 软件清除 人工识别 利用netstat命令 注册表启动项目的检查 利用msconfig查看启动程序 软件识别 利用主流杀毒软件 利用木马专杀软件 木马的手工清除 结束木马进程 查找并删除木马主程序 Kernel32.exe Sysexplr.exe 恢复Windows注册表 软件清除 利用木马克星清除 扫描硬盘及内存 拦截木马选项 查看系统当前进程 木马防御方法总结 木马的预防 不去不明网站下载软件 不随意浏览附件 不浏览不良网站 及时升级杀毒软件 妥善保存机密文件和资料 阶段总结 了解木马概念 了解木马组成 了解木马的工作原理 能够用手工方法清除木马 端口扫描 查看连接 查找文件 检查注册表 利用木马克星清除木马 阶段练习 背景 BENET北京公司的服务器怀疑受到了木马程序的侵袭 查看服务器开放的端口 找到可疑端口查看启动项目 查看注册表中启动项目 利用木马克星或其他查杀工具进行清除 目标 确认服务器是否受到了木马的入侵 注册表概述 存储关于计算机配置信息的数据库 系统操作时不断引用的信息 每个用户配置文件 计算机硬件配置信息 文件后缀为*.reg 注册表结构2-1 注册表结构2-2 每个注册表项和子项都可以包含称为值项的数据 存储每个用户的信息 存储计算机的信息 值项包括三部分 数据类型 修改注册表 Regedit命令或Regedt32命令 利用注册表增加系统安全性 禁止CD-ROM的自动运行 关闭默认共享 禁止建立空连接 注册表安全性 注册表访问控制权限 保护注册表 禁止对注册表的远程访问 注册表备份 使用注册表编辑器 使用NTbackup 注册表恢复 使用注册表编辑器 使用NTbackup 阶段练习 背景 利用注册表加强BENET公司员工计算机的安全性 目标 禁止默认共享 禁止建立空连接 本章总结 实验 任务1 冰河木马的清除 任务2 利用注册表加强系统安全性 完成标准 冰河木马的清除 客户端能够通过冰河木马程序控制服务器端 手工将冰河程序从服务器端成功删除 利用注册表加强系统安全性 成功利用Windows注册表编辑器巩固Windows Server 2003安全性 木马概述 木马查杀及注册表应用 木马概念 木马原理及应用 木马危害 注册表备份与恢复 注册表概述 利用注册表加强系统安全性 注册表组成 注册表的使用 木马的查杀 利用netstat查看本机开放端口；中止木马进程，删除程序及恢复注册表 由5个项以及各个子项和其数据类型组成 Page */34 Version 2.0 注册表的使用 木马概述 木马查杀及注册表应用 木马概念 木马原理及应用 木马危害 注册表备份与恢复 注册表概述 利用注册表加强系统安全性 注册表组成 木马的查杀  攻击者利用TCP发起连接 服务端打开本地端口响应连接，攻击者开始远程控制 客户端程序 服务器端程序 冰河程序的执行过程  计算机系统使