网络--安全意识和-案例分析.ppt

* * * 强制安装：指未明确提示用户或未经用户许可，在用户计算机或其他终端上安装软件的行为。 难以卸载：指未提供通用的卸载方式，或在不受其他软件影响、人为破坏的情况下，卸载后仍然有活动程序的行为。 浏览器劫持：指未经用户许可，修改用户浏览器或其他相关设置，迫使用户访问特定网站或导致用户无法正常上网的行为。 广告弹出：指未明确提示用户或未经用户许可，利用安装在用户计算机或其他终端上的软件弹出广告的行为。 恶意收集用户信息：指未明确提示用户或未经用户许可，恶意收集用户信息的行为。 恶意卸载：指未明确提示用户、未经用户许可，或误导、欺骗用户卸载其他软件的行为。 恶意捆绑：指在软件中捆绑已被认定为恶意软件的行为。 * 瑞星，江民等网站都有近期高危病毒分析报告 养成使用计算机的良好习惯：不随意安装软件，先对U盘杀毒，再打开等 * * * * * 灰鸽子木马 * * * * * 专杀工具， 类似卡卡、奇虎360 演示防火墙， * * * * 不安装多余组件，里面可以被利用，类远程终端。 安装补丁：系统内有，优先。 * * 挑出几个常用的服务讲解 Indexing Service DHCP client Remote Registry Service Telnet * * * * * * * * * * * * * * * * * * * 操作系统是负责对计算机硬件直接控制及管理的系统软件。 硬件与应用软件间的平台 运行应用：office 联网：内部网、外部网，获取信息 * * * 传统的病毒，CIH，小球， 在文件传播。不是独立 * 举病毒名称，现象 求职信病毒：EXE， 欢乐时光？ OCX:ActiveX控件 sys是system的缩写,就是系统的意思,sys是Windows的系统文件。如安装文件，日志文件，驱动文件，备份文件，操作如播放等文件，还有些垃圾文件等诸如此类。 都是这类sys后缀名的 * 到目前为止我们已经看到了病毒能够在同一台计算机中进行传播，为了实现其复制的潜能，病毒需要将自身复制到含有未被感染目标的新系统中 RAV.exe 瑞星。 熊猫烧香 * 熊猫发作现象： 1、病毒体执行后，将自身拷贝到系统目录：?????????%SystemRoot%\system32\FuckJacks.exe?????????HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run?Userinit?C:\WIN2K\system32\SVCH0ST.exe?????2、添加注册表启动项目确保自身在系统重启动后被加载：?????????键路径：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run?????键名：FuckJacks?????键值：C:\WINDOWS\system32\FuckJacks.exe?????????键路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run?????键名：svohost?????键值：C:\WINDOWS\system32\FuckJacks.exe?????????3、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。?????????C:\autorun.inf?1KB?RHS?????C:\setup.exe?230KB?RHS?????????4、关闭众多杀毒软件和安全工具。?????5、连接*****.3322.org下载某文件，并根据该文件记录的地址，去www.****.com下载某ddos程序，下载成功后执行该程序。?????6、刷新，某QQ秀链接。?????7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE?等程序。? * pif是Dos程序在Windows中的快捷方式扩展名 src文件：源文件 * 这些现象并不完全是病毒现象，但应引起注意。有意识 系统突然蓝屏 * * 蠕虫病毒是一种自含程序（或一组程序），可将本身的功能或程序代码的一部分散播到其它计算机。这种病毒通常是通过网络联机或电子邮件的附件散播。清除蠕虫病毒的方法是直接删除它们。 * * 冲击波，“冲击波克星”以杀病毒、补漏洞的面目出现,用正面的形象来隐藏自己的真正用意,达到自己传播的目的。以虫治虫 冲击波病毒利用RPC漏洞，RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞