恶意软件的深度防护【ppt】.ppt

恶意软件的深度防护 现在病毒或木马程序通过邮件附件传输的途经非常多，不一定要是发送邮件者特意制造，而完全可能是由其使用的计算机环境自己加上的。就像我们平常在用QQ聊天过程中就发现，对方每次回答都是严重的不符逻辑，或者还不断地向自己发来带病毒的文件，可一问，对方说没有，由此可推断这是由于这些网吧计算机感染了病毒。还有，尽管我们安装最新版的防病毒软件，而且从理论上来说，该软件应该可以及时查杀最新的病毒，但是此防病毒还没来得及支持，无奈。还有，服务器系统的安全漏洞这么多，而且还在不时的出现，我们如何知道我们的服务器需要安装什么样的补丁程序？这一切，其实都是与没有从深层防护这类恶意软件紧密相关。对于我们这些专业的网络管理员就应当尽可能从深层方面来了解恶意软件入侵、攻击的原理，然后找出更安全的防护策略。这就是本章所要介绍的主题。 本章重点如下： 什么是恶意软件？它们的主要特征及运行机制是什么？ 端口的检测与木马的清除方法 蠕虫的检测与清除方法 恶意代码和网络蠕虫的防护 Windows系统TCP/IP堆栈强化措施 恶意软件的深层防护方法 2.1 认识恶意软件 2.1.1 什么是恶意软件？ “恶意软件”通俗地讲是指代凡是自身可执行恶意任务，会给目标系统带来破坏性的软件。从大的方面来划分的话就包括计算机病毒程序和黑客程序两类，细分的话可以分为计算病毒（Virus）、蠕虫（Worm）、木马程序（Trojan Horse）、后门程序（Backdoor）、逻辑炸弹（Logic Bomb）等）几类。  1.特洛伊木马 特洛伊木马属于黑客程序的一种，它的作用是潜入目标计算机系统收集有关信息，然后再把这些信息通过一定的方式反馈给在远程监控的黑客。 2.网络蠕虫  网络蠕虫可以通过网络连接自动将其自身从一台计算复制机分发到另一台计算机上，这与计算机病毒非常类似，所以有人把它划分为计算机病毒类型。 3. 计算机病毒 计算机病毒是我们最常见的一种恶意软件，其代码的明确意图就是自行通过感染其它文件进行复制，然后破坏其它正常文件。病毒尝试将其自身附加到宿主程序，以便在计算机之间进行传播。宿主程序执行时，病毒代码也随之运行，并会感染新的宿主，有时还会传递额外负载。它可能会损害硬件、软件或数据。 区分是病毒，还是蠕虫、木马的方法很简单。如果恶意代码将其自身的副本添加到文件、文档或磁盘驱动器的启动扇区来进行复制，则认为它是计算机病毒，否则如果能自身复制，则是网络蠕虫，不能复制的则是特洛伊木马。计算机病毒复制的副本可以是原始病毒的直接副本，也可以是原始病毒的修改版本。 计算机病毒通常会将其包含的负载（例如特洛伊木马）放置在一个本地计算机上，然后执行一个或多个恶意操作（例如删除用户数据）。但是，仅进行复制且不具有负载的计算机病毒仍是恶意软件问题，因为该病毒自身在其复制时可能会损坏数据、消耗系统资源并占用网络带宽。 本节详细内容参见书本P42~P43页。 2.1.2 什么是非恶意软件 以前我们通常是这样理解恶意软件，那就是对我们可能造成威胁的都应算是恶意软件，其实现在通常不这么认为。有许多存在的威胁并不被认为是恶意软件，因为它们不是具有恶意的计算机程序。常见类型的非恶意软件如下： 玩笑软件 恶作剧 欺诈软件 垃圾邮件 间谍软件 弹出广告软件 Internet Cookie 本节详细内容参见书本P44~P45页。 2.1.3 恶意软件的主要特征 每类恶意软件可以表现出来的各种特征通常非常类似。例如，病毒和蠕虫可能都会使用网络作为传输机制。然而，病毒会寻找文件以进行感染，而蠕虫仅尝试复制其自身。以下分别从攻击环境组件、携带者对象、传播方式、入侵或攻击方式、触发机制和防护机制等几个方面说明恶意软件的一些典型特征。 1.攻击环境组件通常情况下，恶意软件在攻击宿主系统时所需的组件包括：宿主系统、运行平台和攻击目标三个。 2.携带者对象  如果恶意软件是病毒，它会试图将携带者对象作为攻击对象（也称为宿主）。可使用的目标携带者对象数量和类型因恶意软件的不同而不同，最常用的恶意软件目标携带者包括：可执行文件、脚本和控件、宏、启动扇区和内存等。 3. 传播方式  在恶意软件传播中主要存在：可移动媒体、网络共享、网络扫描、对等（P2P）网络、电子邮件和安全漏洞几种途经。 4. 入侵或攻击方式 一旦恶意软件通过传输到达了宿主计算机，它通常会执行相应的入侵或攻击，在专业上称之为“负载”操作。入侵和攻击方式可以有许多类型，常