计算机病毒防治教材教学课件.pptVIP

㈠、系统配置参数的修复 8、注册表被禁用 解决办法 用记事本建立以REG为后缀的文件，输入下面内容： REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]“DisableRegistryTools”=dwordWindows 2000 Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] DisableRegistryTools=dword四、系统恢复 ㈡、计算机病毒实例分析 蠕虫病毒 一个独立的计算机程序，不需要宿主 自我复制，自主传播（Mobile） 占用系统或网络资源、破坏其他程序 不伪装成其他程序，靠自主传播 利用系统漏洞； 利用电子邮件（无需用户参与） 二、计算机病毒分析 ㈡、计算机病毒实例分析 蠕虫病毒 传染机理 利用系统或服务的漏洞 传染目标 操作系统或应用服务 传染途径 网络、电子邮件 防治办法 使用具有实时监控功能的杀毒软件 不要轻易打开邮件附件 打最新补丁，更新系统 典型病毒 RedCode，尼姆达、冲击波等 二、计算机病毒分析 ㈡、计算机病毒实例分析 蠕虫病毒实例 ——莫里斯蠕虫事件 发生于1988年，当时导致大约6000台机器瘫痪 主要的攻击方法 Rsh，rexec：用户的缺省认证 Sendmail 的debug模式 Fingerd的缓冲区溢出 口令猜测 二、计算机病毒分析 ㈡、计算机病毒实例分析 蠕虫病毒实例 ——RedCode 红色代码病毒是一种结合了病毒、木马、DDOS机制的蠕虫。 2001年7月中旬，在美国等地大规模蔓延。 2001年8月初，出现变种coderedII，针对中文版windows系统，国内大规模蔓延。 通过80端口传播。 只存在与网络服务器的内存，不通过文件载体。 溢出利用IIS缓冲区漏洞（2001年6月18日发布 二、计算机病毒分析 ㈡、计算机病毒实例分析 蠕虫病毒实例 ——RedCode I 主要影响Windows NT系统和Windows 2000 主要影响国外网络 据CERT统计，至8月初已经感染超过25万台 主要行为 利用IIS 的Index服务的缓冲区溢出缺陷进入系统 检查c:\notworm文件是否存在以判断是否感染 中文保护（是中文windows就不修改主页） 攻击白宫！ 二、计算机病毒分析 ㈡、计算机病毒实例分析 在侵入一台服务器后，其运行步骤是： 设置运行环境，修改堆栈指针，设置堆栈大小为218h字节。接着GetProcAddress函数地址； 传染：如果C:\notworm在，不再进一步传染； 传染其他主机。创造100个线程，其中99个用户感染其他WEB服务器，被攻击IP通过一个算法计算得出； 篡改主页，如果系统默认语言为“美国英语”，第100个进程就将这台服务的主页改成“Welcome to !, Hacked By Chinese!”，并持续10个小时。(直接在内存中修改，而不是修改*.htm文件） 如果时间在20：00UTC和23：59UTC之间，将反复和白宫主页建立连接，并发送98k字节数据，形成DDOS攻击。 二、计算机病毒分析 ㈡、计算机病毒实例分析 蠕虫病毒实例——RedCode 病毒的检测和防范 针对安装IIS的windows系统； 是否出现负载显著增加（CPU/网络）的现象； 用netstat –an检查是否有许多对外的80端口连接 在web日志中检查是否有/default.ida?xxx..%u0078%u0000 ％u00=a HTTP/1.0这样的攻击记录； 查找系统中是否存在文件c:\explorer.exe或d:\explorer.exe以及root.exe； 检查注册表文件中是否增加了C和D虚拟目录，以及文件保护功能是否被禁止。 在任务管理器中检查是否存在两个explorer.exe进程 二、计算机病毒分析 ㈡、计算机病毒实例分析 特洛伊木马程序 名字来源：古希腊故事 通过伪装成其他程序、有意隐藏自己恶意行为的程序，通常留下一个远程控制的后门 没有自我复制的功能 非自主传播 用户主动发送给其他人 放到网站上由用户下载 二、计算机病毒分析 ㈡、计算机病毒实例分析 特洛伊木马程序 传播途径 通过网络下载、电子邮件 防治办法 使用具有实时监控功能的杀毒软件 不要轻易打开邮件附件 不要轻易运行来路不明的文件 典型例子 BO、BO2k、Subseven、冰河、广外女生等 二、计算机病毒分析