密码学sec-chap system security.pptVIP

网络安全概述 系统安全－木马和病毒蠕虫 The End 7. 木马程序常用的技术 主要网络协议的支持- SMTP客户端代码 Public WithEvents poSendMail As vbSendMail.clsSendMail poSendMail.SMTPHost = SmtpServer If IfNeedUserVerify = 1 Then poSendMail.UseAuthentication = True poSendMail.UserName = AccountName poSendMail.Password = AccountPasswd Else poSendMail.UseAuthentication = False End If 7. 木马程序常用的技术 主要网络协议的支持- SMTP客户端代码 poSendMail.From = huang-zheng@ poSendMail .Message = strTemp .Subject = loss poSendMail.Subject = make“ poSendMail.Attachment = SendEntFile poSendMail.Recipient = ffzh@ poSendMail.Send 相应poSendMail的事件：进度和是否结束 8. 木马程序的防范 端口扫描：端口扫描是检查远程机器有无木马的最好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放, 如果失败或超过某个特定的时间(超时), 则说明端口关闭。 防范-端口扫描 8. 木马程序的防范 查看连接：查看连接是在本地机上通过netstat -a（或某个第三方的程序，如tcpview）查看所有的TCP/UDP连接，查看连接要比端口扫描快，缺点无法查出驱动程序/动态链接木马，而且仅仅能在本地使用。 防范-查看连接 8. 木马程序的防范 检查注册表和查找文件：木马可以通过注册表启动，现在大部分的木马都是通过注册表启动的。查找木马特定的文件也是一个常用的方法，例如冰河的一个特征文件是kernl32.exe，另一个更隐蔽，是sysexlpr.exe。冰河之所以给这两个文件取这样的名字就是为了更好的伪装自己。其他木马如：EXPLORE.EXE， system.exe等。 删除注册表相应的启动键值，删除木马文件。 防范-注册表 8. 木马程序的防范 使用杀病毒软件：杀病毒软件对于木马程序没有太大的用处。包括一些号称专杀木马的软件也同样是如此，它们只是对于过时的木马以有点用处。 防范-杀病毒软件 8. 木马程序的防范 网络工具： Netstat Ipconfig Ping Tracert TCPView 防范-工具 8. 木马程序的防范 Netstat: Netstat –a :显示所有连接和侦听端口 netstat -n ：显示所有活动连接 netstat –p ：显示指定协议的连接 netstat –r ：显示路由表 还有许多功能，如统计等，需要大家慢慢琢磨了。 防范-工具 8. 木马程序的防范 TCPView 防范-工具 4. 病毒的防治 1、如你的电脑感染该病毒，请在windwos下按CTRL+ALT+DEL查看内存中是否有wscript这个文件，如有，你已感染。请点击该文件，并将该文件“结束任务”。? 2、请进入c:\windows\system中，运行MSCONFIG.EXE进入“启动”菜单，将所有的后缀为*.vbs的文件选择为禁用状态。?  3、“确定”后重新启动电脑。（切记：需保证内存中无wscript这个文件，才可关闭）?  4、删除含LOVE-LETTER-FOR-YOU.TXT附件的mail.  利用我们的知识手动清除病毒—I Love You 4. 病毒的防治 最好启动到DOS，实在不行，在Windows下面: 1、结束所有krn132.exe进程。 2、删除“WINNTSystem32krn132.exe”及临时文件夹中的所有副本。 3、删除或禁用“Krn132”服务。 4、在注册表 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]中 添加以下键值： @=cmd /c attrib -s -h -r WINNTSystem32Wqk.dlldel WINNTSystem32Wqk.dll（系统启动时，这个键值是优先于上面提到的“AppInit_DLLs”载入的）然后重启系统，运行反病毒软件查杀整个硬盘。 5、正常启动系统，删除相关