第6章 计算机病毒、木马和间谍软件与防治2［新版］.ppt

.新. 2．通过网页进行触发的蠕虫 蠕虫的编写技术与传统的病毒有所不同，许多蠕虫是利用当前最新的编程语言与编程技术来编写的，而且同一蠕虫程序易于修改，从而产生新的变种，以逃避反病毒软件的搜索。现在大量的蠕虫用Java、ActiveX、VB Script等技术，多潜伏在HTML页面文件里，当打开相应的网页时则自动触发。 3． 蠕虫与黑客技术相结合 现在的许多蠕虫不仅仅是单独对系统破坏，而是与黑客技术相结合，为黑客入侵提供必要的条件。 * .新. 6.2.4 实验操作--蠕虫的防治方法 1． 更新系统补丁 Windows Update分为在线更新和自动更新两种方法。在线更新方式如图6-3所示。 图6-3 Windows Update更新列表 * .新. 除自动更新之外，系统还提供了“下载更新”和“下载通知”两个功能。如图6-4所示，如果选择了“下载更新，但是由我来决定什么时间来安装”一项，系统会随时到Windows Update网站下载被丁程序，之后会提示用户是否要安装该补丁程序；当选择了“有可用下载时通知我，但是不要自动下载或安装更新”一项时，如果Windows Update网站有新的补丁发布，系统会提示用户来下载并安装该补丁程序，如图6-5所示。用户可以选择“快速安装”来安装所有的补丁程序，也可以选择“自定义安装”来选择安装部分补丁程序。 * .新. 图6-4 windows update的自动更新配置对话框 图6-5 “下载通知”操作对话框 * .新. 2． 加强对系统账户名称及密码的管理 现在的一些蠕虫已经具备了黑客程序的一些功能，有些蠕虫会通过暴力破解的方法来获得系统管理员的账户名称和密码，从而以系统管理员人身份来入侵系统，并对其进行破坏。为此，我们必须加强对系统管理员账户及密码的管理。 3． 取消共享连接 文件和文件夹共享及IPC（ Internet Process Connection）连接是蠕虫常使用的入侵途径。所以，为了防止蠕虫入侵，建议关闭不需要的共享文件或文件夹以及IPC。 * .新. 6.3 脚本病毒的清除和防治方法 脚本（Script）是使用一种特定的描述性语言，依据一定的格式编写的可执行文件，又称作宏或批处理文件。脚本通常可以由应用程序临时调用并执行。因为脚本不仅可以减小网页的规模和提高网页浏览速度，而且可以丰富网页的表现（如动画、声音等），所以各类脚本目前被广泛地应用于网页设计中。也正因为脚本的这些特点，所以往往被一些别有用心的人所利用。 * .新. 6.3.1 脚本的特征 脚本语言能够嵌入到HTML文件中，同时具有解释执行功能。根据脚本语言的工作原理，可以将其分为两大类：服务器端脚本和客户端脚本。其中： 服务器端脚本。是指由Web服务器负责解释执行的脚本，客户端的浏览器只需要显示服务器端的执行结果。ASP、PHP和JSP是常用的服务器端脚本语言。 客户端脚本。是指由浏览器负责解释执行的脚本。常见的客户端脚本语言有Visual Basic Script（简称为VBS）语言和Java Script（简称为JS）语言。 * .新. 6.3.2 脚本病毒的特征 总的来说，脚本病毒具有以下的特点 编写简单。 破坏力大。 感染力强。 病毒源代码容易被获取，且变种较多。 欺骗性强。 * .新. 6.3.3 实验操作--脚本病毒的防治方法 * .新. 6.4 木马的清除和防治方法 特洛伊木马（简称为“木马”，英文为trojan）由于不感染其他的文件，也不破坏计算机系统，同时也不进行自我的复制，所以木马不具有传统计算机病毒的特征。由于目前市面上的杀病毒软件一般都直接支持对木马的查杀，所以大家习惯于将木马称为“木马病毒”。木马主要用来作为远程控制、窃取密码的工具，它是一个具有内外连接功能的后门程序。 * .新. 6.4.1 木马的特征 一般的木马程序包括客户端和服务器端两个程序，其中客户端用于攻击者远程控制植入木马的计算机（即服务器端），而服务器端即是植入木马程序的远程计算机。当木马程序或带有木马的其他程序执行后，木马首先会在系统中潜伏下来，并修改系统的配置参数，每次启动系统时都能够实现木马程序的自动加载。 * .新. 如图6-22所示，运行木马的客户端和服务器端在工作方式上属于客户机/服务器模式（Client/Server，C/S），其中，客户端在本地主机执行，用来控制服务器端。而服务器端则在远程主机上执行，一旦执行成功该主机就中了木马，就可以成为一台服务器，可以被控制者进