网络恶意代码攻击和防御33.pptVIP

遭受恶意代码后的修复 1.IE首页被改 找到[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]，将子键“Start Page”改为你的IE首页。 2.禁止修改IE首页 找到[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]和[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Control Panel]，删除子键“Homepage”。 3.IE标题栏被改 找到[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]，删除子键Window Title，当然也可以改为你喜欢的标题。 4.禁止使用Regedit.exe修改注册表 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \System]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies \System]下，找到子键DisableRegistryTools，置零或删除该子键。 5.IE右键菜单被改 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\MenuExt]下，找到多余的子键，删除即可。  6.修改登录时的警告信息 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Winlogon]下，找到子键“LegalNoticeCaption”和“LegalNoticeText”，删除即可。 7.系统限制 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \Explorer]和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies \Explorer]下 NoClose＝1，禁止[关闭计算机] NoRun＝1，禁止[运行] NoLogOff＝1，禁止[注销] 设置为0或者直接删除即可解除限制。 * 目标机不开放端口，主动与控制端连接，以访问网页的形式，通过80端口。 第七章 恶意代码攻击和防御 1 概述 什么是恶意代码？ 恶意代码是指独立的程序或者嵌入到其它程序中的代码，它在不被用户察觉的情况下启动，达到破坏电脑安全性和完整性的目的。 恶意代码的分类 木马、rootkit、病毒、蠕虫和网页恶意代码 蠕虫与病毒的区别 蠕虫指的是能够在网络上完全地复制自身的独立可执行代码。蠕虫技术融合了自复制技术、扫描技术以及缓冲区溢出等攻击技术。著名的蠕虫有1988 年的Morris 蠕虫、2001 年的Code-Red 蠕虫、2003 年的SQL Slammer 蠕虫和Blaster 蠕虫、2004 年的Sasser 蠕虫等。 病毒需要宿主程序通过某种方式将其激活。目前的病毒也逐渐融入将一些网络攻击的技术，如著名的Nimda 病毒通过电子邮件、共享目录以及主动攻击IIS 缓冲区溢出漏洞等形式达到广泛传播的效果。 远程控制技术 概念 危害性 发展历程 技术类型 特洛伊木马的来历 希腊人攻打特洛伊城十年，始终未获成功，后来建造了一个大木马，并假装撤退，希腊将士却暗藏于马腹中。特洛伊人以为希腊人已走，就把木马当作是献给雅典娜的礼物搬入城中。晚上，木马中隐藏的希腊将士冲出来打开城门，希腊将士里应外合毁灭了特洛伊城。后来我们把进入敌人内部攻破防线的手段叫做木马计，木马计中使用的里应外合的工具叫做特洛伊木马 来源于希腊神话中的特洛伊战争 特洛伊木马 属于客户/服务模式。 客户端：主控端，向服务器发送连接请求。 服务端：被控端，提供服务，一般会打开一个默认端口进行监听，当