【计算机】安全的艺术.pptVIP

安全的艺术 基本、实用 目 录 一、系统安全设置：基本安全 基本安全设置 系统补丁——Windows Update 杀毒软件——优先使用网络杀毒、全网防毒 防火墙——Sp2/ZoneAlarm 安全级别——默认级别或以上 病毒免疫 ActiveX 标志免疫——Guardio等 流氓程序目录/文件免疫——文件/目录权限、软件策略 恶意程序文件免疫——软件策略 网站免疫 站点限制免疫——Internet选项的站点限制 HOSTS 免疫——HOSTS文件及作用 一、系统安全设置：工具安全 使用较安全的浏览器 Maxthon/Gexplorer/ FireFox/Opera 使用安全文件管理器 Total Commander 使用安全的系统工具 改造的 Taskmgr.exe、Registry Workshop——改造原理和方法 一、系统安全设置：认知安全 警惕安全问题的误区 几大典型误区—— ●把流氓当救星（160个流氓典型） ●病毒扫描可以防毒（某杀软的自动扫描问题） ●多套杀毒共享可增强效果 ●经常发现本地病毒是杀软有效的表现 ●正版的就是最好的 ●能杀就行，疏于防护 ●格式化系统能够彻底清除病毒 ● “功能增强”、“助手”、“免费”都是好东西 二、安全状态检测：常规检测 常规进程检测 任务管理器、Autoruns…… 隐藏进程检测 IceSword、Syscheck 端口及连接检测 Netstat –an； Syscheck；TCPView…… 文件检测 IceSword、WindowsPE、Total Commander 日期、类型与位置、大小 二、安全状态检测：自动加载检测 自动加载项目实时检测 Regedit、Registry Workshop、 IceSword、Syscheck 自动加载项目离线检测 Windows PE、第二操作系统 危险自动加载项目位置示例——Winpooch规则 二、安全状态检测：流氓检测 流氓程序的若干表现 以“专家”、“助手”、“增强”、“秘书”“XX霸”等项目出现 部分以安全工具的面目出现，贼喊捉贼 系统资源高度占用 添加不明进程 植入驱动 Hook系统函数 干扰输入操作 接管搜索引擎 植入浏览器工具栏、右键菜单 接管浏览器部分功能 阻挠用户顺利卸载 卸载后保留后门文件 与免费或共享软件大量捆绑 部分流氓软件存在官方背景 二、安全状态检测：流氓检测 流氓程序检测 流氓进程检测 流氓文件检测 注册表流氓项目检测 浏览器流氓插件检测 流氓行为在线搜索检测 综合检测工具：HijackThis 二、安全状态检测：病毒行为跟踪分析 静态跟踪分析Whatchanged——系统更改状态监测Advanced Registry Tracer——注册表更改状态监测Dir /s c:\list.txt 命令+FC命令对照系统状态更改文件二进制比较目录同步比较 动态跟踪分析 Regmon FileMon TcpView 防火墙规则捕获 代码级分析 OllyDebug、W32SAM 三、病毒及流氓清除：常规清除 在线清除 尝试卸载 进程清除注册表项清除（关闭瑞星！）病毒文件清除安全模式的运用 三、病毒及流氓清除：离线清除 离线清除 适应场合：顽固流氓程序 典型：CNNIC、3721 第二系统处理 如第二套Windows等 PE光盘引导处理 如“深山红叶袖珍PE工具箱” 改名的妙用 三、病毒及流氓清除： Rootkit清除 隐藏进程（Rootkit）清除 ●使用IceSword禁止线程创建后检测、清除●使用SysCheck还原系统函数入口●使用 Totalcommander查看文件●使用专杀工具处理 三、病毒及流氓清除： Rootkit 清除 顽固文件清除 ●充分运用软件限制策略●使用KillBox●通过第二套系统清除●使用PE光盘清除 四、安全事件处理基本流程 五、安全风险预防：重视日常备份 重视早期安全部署 重视用户数据转移 严禁在系统分区保存用户数据——转移的方法 多层次、多方面备份 系统状态备份——System State 注册表备份——EruNT 系统分区备份——Ghost 用户数据备份——自动同步工具BackupOnDemand 恰当选择安全工具 杀毒软件的选择——网络杀毒、卡巴斯基等 防火墙的选择——SP2/ZoneAlarm等 其他辅助工具的选择 （Wi