网络安全员培训-5计算机恶意代码与防护.ppt

第五章计算机恶意代码与防护

什么是恶意代码恶意代码〔maliciouscode〕：恶意代码是一种程序，它通过把代码在不被觉察的情况下嵌入另一段程序中，从而到达运行具有入侵性或破坏性的程序。破坏被感染电脑数据的平安性和完整性的目的。

课程内容恶意代码类型恶意代码防护恶意代码攻击实例防病毒系统

恶意代码的主要类型病毒：具有破坏性，复制性和传染性。木马：通常包括效劳器端和客户端。冰河灰鸽子…………蠕虫：自我复制，恶意占用可用资源。间谍软件：秘密收集信息的程序〔广告软件〕。移动代码：从主机传到客户端并执行的代码。

计算机恶意代码分析磁盘文件数目增多系统的RAM空间变小文件的日期/时间值被改变可执行程序长度增加磁盘上出现坏簇平时可执行的程序因RAM区缺乏而不能加载程序加载时间比平均时间长硬盘启动系统失败

恶意代码感染迹象与处理禁止使用电脑格式化硬盘下载运行木马程序注册表锁定

恶意代码分析〔IE)默认主页修改篡改IE标题栏篡改默认搜索引擎IE右键修改篡改地址栏文字启动时弹出对话框IE窗口定时弹出

计算机恶意代码防护

恶意代码防治策略防止病毒的侵入要比病毒入侵后再去发现和消除它重要。防止病毒的侵入为主动防治，病毒入侵后再去发现和除它是被动处理。因此，原那么上，计算机病毒防治应该采取“主动预防为主，被动处理结合。〞

预防计算机病毒封堵漏洞，查杀病毒不要随意点击、下载和运行来历不明的程序和脚本。重视文件的备份，常做文件备份，重要文件要多做几份。可移动存储介质在使用之前先杀毒。保证主机的物理平安，防止他人运行未授权的程序。

集中式病毒管理

木马的故事特洛伊木马的传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城，让敌人将其作为战利品拖入城内。木马内的士兵那么乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城

木马攻击完整的木马程序一般由两个部份组成：一个是效劳器程序，一个是控制器程序。效劳器程序用于监听被侵入主机的端口或监视用户活动，控制器端程序那么用于接收效劳器程序返回的信息并可控制远程主机。木马常入侵途径，网站，捆绑等

木马的特点隐蔽性自动运行性，执行时很难停止，会翻开特别的端口包含具有未公开并且可能产生危险后果的功能的程序具备自动恢复功能未经授权就可获得目标计算机的使用权程序小，执行时不占用太多资源一次执行后，就会在系统中驻留，之后每次在系统加载时自动执行一次执行后，就会自动变更文件名

木马的类型破坏型密码发送型远程访问型键盘记录木马DoS攻击木马代理木马FTP木马程序杀手木马反弹端口型木马

木马的危害窃取密码文件操作修改注册表系统操作

非法效劳非法效劳会在系统上开启一个秘密的端口，提供未经许可的效劳，这和很多木马的工作原理是一样的。常见的非法效劳包括：NetBusBackOrifice和BackOrifice2000灰鸽子冰河2.X………

木马的识别与去除木马的识别人工识别软件识别木马的去除手工去除软件去除

人工识别1.利用netstat命令2.注册表启开工程的检查3.利用msconfig查看启动程序

木马的手工去除结束木马进程查找并删除木马主程序删除或恢复Windows注册表

软件识别和去除利用主流杀毒软件利用木马专杀软件

木马防御方法总结

木马的预防

主流防病毒系统SymantecAntiVirus企业版McAfeeVirusScan企业版巴斯基〔Kaspersky〕企业版

防病毒策略病毒历史记录和事件日志管理病毒扫描策略设置效劳器和客户端的防病毒策略设置病毒文件升级策略设置