计算机网络安全讲义

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,计算机网络安全讲义,第四讲：常见病毒及防范,病毒的定义,一段程序,不宜察觉的,可以传播的,通常具有破坏性的,病毒的基本特征,自我复制特征（这是最本质的特征）,潜伏特征（现在常见的病毒通常都没有耐心潜伏了）,破坏特征（现在最主要的表现是机器性能的大幅下降和部分资源无法正常使用）,隐蔽性（这是病毒最讨厌的特征，找不到）,当前病毒的主要目标,种植木马以获取利益（盗号，如QQ号，网游帐号，抓肉鸡等），以磁碟机，木马群为代表的木马下载器就是典型例子,恶意的商业推广行为，如网站的恶意推广，恶意获取广告点击流量等,有少数的纯熟实验性的开玩笑，比如女鬼病毒，只是显示一个吓人的图片,病毒的传播途径,目前主要有四条：,系统漏洞：如木马群利用,Flash,漏洞传播，只要你看了他的,Flash,就会中着,邮件附件,局域网共享资源,移动存储介质,木马通常也被做为病毒处理,木马技术有一部分和病毒技术是重叠的，如隐藏自己，因此木马和病毒常常是相互结合的。现在的杀毒软件通常将木马做为一类病毒处理，也没有必要清晰地区分木马和病毒,常见的病毒分类,系统病毒,：感染系统文件，通常在杀毒软件的报警中体现为,Win32.*.*、PE.*.*,如,pe.cih.a,这一类病毒编写技术要求比较高，通常具有比较高的危险性，但种类比较少，现在不多见,常见的病毒分类,蠕虫病毒：利用网络，如邮件或系统漏洞进行大面积传播，典型危害是网络大面积堵塞，通常在杀毒软件的前缀是worm。比较典型的如震荡波，冲击波等。一般以单一文件形式存在。,常见的病毒分类,脚本病毒：以脚本编写而成，通过网页浏传播。这一类病毒的前缀一般是vbs,js等，典型的如红色代码，欢乐时光。通常这一类病毒比较喜欢劫持浏览器，有时候很讨厌。特别是可以通过邮件内容传播，不需打开附件，只要预览内容就能中毒,常见的病毒分类,木马病毒：这个不用说了，这一类包括木马及黑客工具，一般具有远程控制能力，也有些只是窃取信息进行隐蔽传送，如著名的网银大盗，前缀是trojan或hack,常见的病毒分类,宏病毒 这一类病毒现在已经很少见,它是利用OFFICE软件的自动执行宏的功能编写的，危害通常是破坏OFFICE文档，著名的如美丽莎，一般前缀为macro,常见的病毒分类,后门病毒 该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患，后门病毒的前缀是：Backdoor，著名的有Backdoor.IRCBot,常见的病毒分类,病毒种植程序病毒，这是最讨厌的一类病毒，其功能是在你的机器上安装各种各样的病毒，如磁碟机，机器狗，木马群等等，前缀一般是Dropper或torjandownload,常见的病毒分类,破坏性程序病毒 :这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏,如杀手命令,c盘格式化等,前缀一般是harm,常见的病毒分类,恶作剧病毒：这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，但一般不产生恶性结果，前缀一般是joker,比较著名的如Girlghost女鬼,常见的病毒分类,捆绑机病毒：这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如QQ捆绑机,常见的病毒介绍,Auto,“U,盘寄生虫”,采用,Delphi,编写，由某个木马程序释放出来的,DLL,木马组件文件，一般被注入,EXPLORER.EXE”,进程中加载运行，强行篡改被感染计算机上的系统时间，致使某些安全软件失效。修改,hosts,文件，屏蔽某些安全站点，阻止用户对某些安全站点的访问。在被感染的计算机上搜索与安全相关的软件，一旦发现便强行将其关闭，在计算机硬盘的各盘符根目录下以及移动存储设备根目录下创建“,autorun.inf”,文件和蠕虫主程序文件“,auto.exe”，,会在后台秘密收集被感染计算机上的系统信息，并发送到骇客指定的远程服务器站点上。在被感染计算机上下载恶意程序并自动调用运行。,常见病毒介绍,磁碟机病毒又名,dummycom,病毒,，变种繁多，超过了100个，典型特征是关闭系统的安全软件，屏蔽安全站点，疯狂下载木马，感染系统中文件并改变图标，在每个盘下面建立,autorun.inf,等。采用进程注入和进程守护技术,，,百杀不死，杀毒的办法主要是利用专杀工具，现在也有免疫工具,常见病毒介绍,器狗木马病毒是用一个,C,语言编写的木马病毒。病毒运行后会删除系统目录下的,userinit.exe，,并建立一个包含病毒的,userinit.exe，,随系统每次启动时加载到系统中。此文件运行后会在系统的,SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options,下添加一系列反病毒软件和安全工具的键值，使这些软件和工具无法正常运行。另外病毒还会尝试注入,IE,进程通过互联网下载病毒的更新，达到躲避查杀与侦测的目的,常见病毒介绍,机器狗病毒的判断方法：打开,system32,文件夹 ，找到,userinit.exe、explorer.exe,点击右键查看文件的属性，若在属性窗口中看不到文件的版本标签则说明该文件已经被病毒替换系统已经染毒。,机器狗可穿透硬件还原，在网吧里最好用，可以用专杀工具清除，也有免疫工具,常见病毒介绍,木马群病毒：这两天比较流行，利用,flash,漏洞传播，,篡改系统文件，伪装进程加载； 关闭杀毒软件，阻止杀毒软件的安装和升级，关闭杀毒辅助软件，疯狂下载并运行木马，禁用进程管理器和注册表编辑器，中毒后系统几乎无法运行。可以利用专杀工具清除，并应打,flash,补丁,常见病毒介绍,代理木马”变种,cm,“代理木马”变种,cm,是一种内嵌在正常网页中的木马下载器，假如用户电脑没有及时安装微软发布的相应漏洞补丁，那么当用户使用浏览器访问带有“代理木马”变种,cm,的恶意网页时，就会在当前用户电脑的后台连接骇客指定的远程服务器站点，下载恶意程序并在被感染电脑上自动调用运行。一般安装杀毒软件后即可防范和清除,常见病毒介绍,威金（,Worm.Viking）”,属于网络蠕虫病毒,可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒，同时病毒运行后枚举内网的所有可用共享，并尝试通过弱口令方式连接感染目标计算机，影响到的操作平台,Windows 95/98/ME， Windows NT/2000/XP/2003,系,常见病毒介绍,威金的症状,机器使用变得极慢,会捆绑所有的,EXE,文件，只要一运用应用程序，在,windows,或,winnt(win2000,系统)下的,logo1.exe,图标就会相应变成应用程序图标，并且,winrar,压缩文件图标模糊不清。 3、可执行程序被感染后，应用程序启动出错，或被强行退出，例如,QQ。 4、,阻止以下杀毒软件的运行,包括卡巴斯基、金山公司的毒霸、瑞星等杀毒软件的正常运行。5、使用任务管理器查看当前系统运行的进程可以发现“,Logo1_.exe、rundl132.exe”,进程,。,常见病毒介绍,威金可以采用专杀工具清除,常见病毒介绍,新欢乐时光,脚本类病毒,和欢乐时光“,VBS.HappyTime”,一样，该病毒采用,VBScript,语言编写，在互联网上通过电子邮件进行传播，也可以通过文件感染；感染后的机器系统资源被大量消耗，速度变慢；利用,Windows,系统的“资源管理器”进行寄生与感染,常见病毒介绍,每个检查到的文件夹下生成“,desktop.ini”,和“,folder.htt”,文件； 在注册表,HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,下生成“,Kernel32”,键值，并指向“,Kernel.dll”,或者“,Kernel32.dll”,文件；在,system,目录下生成“,kjwall.gif”,文件,常见病毒介绍,打开注册表，删除,HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunKernel32,键值； 对照其它没中毒的电脑，恢复,HKEY_CLASSES_ROOTdllFile,下的键值； 对照其它电脑，恢复,HKEY_CURRENT_USERIdentities & UserID & SoftwareMicrosoftOutlook Express & OEVersion &Mail,下的相关键值；,常见病毒介绍,对照其它电脑，恢复,HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsMail,下的相关键值； 对照其它电脑，恢复,HKEY_CURRENT_USERSoftwareMicrosoftOffice10.0OutlookOptionsMail,下的相关键值；,常见病毒介绍,二、删除带毒文件（建议在,DOS,状态下进行） 对照其它电脑，恢复,Windowsweb,目录下“,folder.htt”,文件； 删除“,Kernel32.dll”,或“,Kernel.dll”,文件； 删除“,kjwall.gif”；,查找所有带有“,KJ_start”,字符串的文件，并删除文件尾部的病毒代码。,常见病毒介绍,熊猫烧香（武汉男孩，尼姆亚,）,其实是一种蠕虫病毒的变种，而且是经过多次变种而来的。尼姆亚变种,(Worm.Nimaya.w)，,由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，使用专杀工具清除,常见病毒介绍,Sxs,病毒（落雪,）,可以通过可移动磁盘传播，主要危害是盗取,QQ,帐户和密码，并且会终止大量反病毒软件的进程，降低系统的安全等级,典型特征是无法查看隐藏文件，在文件夹选项里设置也不能显示隐藏,常见病毒介绍,断开网络连接，打开“任务管理器”，应该有个,SVOHOST.EXE,进程，把它结束掉。到,C:WINDOWSsystem32,里找到,SOVHOST.EXE,把它删除,HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL,中的,CheckedValue，,检查它的类型是否为,REG_DWORD，,如果不是则删掉,CheckedValue，,然后单击右键“新建”-“,Dword,值”，并命名为,CheckedValue，,然后修改它的键值为1,常见病毒介绍,打开各硬盘（“我的电脑”里右键“打开”或“资源管理器”右侧选择），“文件夹选项”“查看”选择“显示所有文件和文件夹”，并把“隐藏受保护的系统文件”复选框去除选择。可以看到各个硬盘根目录下都有autorun.inf和sxs.exe文件，把它们都删掉。,常见病毒介绍,灰鸽子,灰鸽子(,backdoor.gpigeon),是国内一款著名后门。,backdoor.gpigeon,可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，是一款优秀的远程控制软件。但如果拿它做一些非法的事，,backdoor.gpigeon,就成了很强大的黑客工具。,常见病毒介绍,灰鸽子一般都会在操作系统的安装目录下生成一个以“_,hook.dll”,结尾的文件，因此检测灰鸽子的操作一定要在安全模式下进行，需要取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹，打开,Windows,的“搜索文件”，文件名称输入“_,hook.dll”，,搜索位置选择,Windows,的安装目录,常见病毒介绍,如发现了*,_Hook.dll,的文件，检查系统安装目录下是否还会有,*.exe,和,*.dll,文件,。，,如有则说明有灰鸽子了，在注册表编辑器里查找*.,exe,删除所有项，再删除程序文件即可清除灰鸽子,其他的常见病毒,病毒和多，我只是挑了一些在我们机房中常见的病毒介绍了一下，我的教案里附了常见的病毒名称及主要对应进程名，有兴趣可以去看看,对于预防病毒的几个要点,及时打补丁,少开共享，开了要加强口令强度,安装,ARP,防火墙,下面的这几点是关键,移动存储介质是病毒传播的主要途径，因此U盘使用时一定要小心,关闭U盘的自动运行功能,显示所有的文件,显示所有的文件后缀,加入U盘免疫,对于预防病毒的几个要点,看看也有可能中毒，所以少乱逛,管住自己的手，一定搞清了是什么再点击，不是知道有问题的不点，是知道没问题的才点,外来的东西坚持先杀毒，这样可以避免多数中毒,安装病毒软件，经常升级，开启监控,对于预防病毒的几个要点,通常中毒后要在安全模式下杀毒，杀毒时最好拔掉网线（在明确有问题的前提下）,手动清除病毒的一般过程,通常病毒发作是很容易体现出来的，所以容易发现,中毒后要首先观察进程，找出有问题的进程或线程，记住他的名字,重起计算机到安全模式，检查该进程是否存在，如存在就结束它,更改注册表内容，将对应的项目删除，有时会有很多处。删除键值前做好备份，后果不好预计,手动清除病毒的一般过程,删除进程对应的文件,重起计算机,很多时候这种办法不顶用，如病毒采用进程保护技术后就无法结束进程，可以下载专杀工具来杀。一般难杀的病毒都有专杀工具,一些常见问题的解决办法,我们有时候会遇到一些特殊情况，比如说注册表管理器被禁用，一些程序不能运行等，使我们的修复工作无法继续。其实就是注册表被改动了，一些键值被禁用而已，只要该过来就好了。,恢复注册表的方法,你可以自己编写一个注册表文件，用任意一个文本编辑器都可以，只要是纯文本文档就可以，把后缀名设为.reg，然后双击这个文件，注册表的值就会恢复,注册表文件的格式,REGEDIT4,类型,HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem,键,“,DisableRegistryTools”=dword:00000000,值,常见的被修改的键值,禁用注册表,键：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem,值：“DisableRegistryTools“，0为可用，1位不可用,默认主页被修改,默认主页,键：,HKEY_LOCAL_MACHINESoftwareMicrosoftInternet Explorer Main,值,Default_Page_URL,被修改的页面,这里要注意，有若干处可以设定主页，你可以查找被修改的页面的,url，,然后删除它的值,修改,IE,浏览器缺省主页，并且锁定设置项，禁止用户更改,HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel,“Settings”=dword:1禁止 0 允许,Links=dword:1禁止 0 允许SecAddSites=dword:1禁止 0 允许,IE,的默认首页灰色按扭不可选,HKEY_USERS.DEFAULTSoftwarePoliciesMicrosoftInternet ExplorerControl Panel,“homepage”=dword :1禁止 0 允许,IE,标题栏被修改,HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain,“Window Title”=“窗口标题”,HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain,“Window Title”=“窗口标题”,IE,右键菜单被修改,HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt,删除不需要的选项,IE,默认搜索引擎被修改,键HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearch,值：CustomizeSearch,SearchAssistant,系统启动时弹出对话框,HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon,LegalNoticeCaption,LegalNoticeText,IE,中鼠标右键失效,HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions,NoBrowserContextMenu“= dword :1禁止 0 允许,查看“源文件”菜单被禁用,HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions,“NoViewSource” = dword :1禁止 0 允许,进程管理器被禁用,HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem DisableTaskmgr=dword:00000000,0是许可 1是禁用,进程管理器被禁用,利用组策略： 开始/运行/gpedit.msc, 在用户配置-管理模板-系统-CTRL+ALT+DELE选项，在左边找到“删除任务管理器” 双击打开，设置为未配置，或者禁用,预防病毒感染的原则,这些原则我们都讲过了N遍,这些原则都是血的教训换来的,这些原则需要你们牢牢记住，这是一个计算机专业人员的基本素质，良好的使用习惯是专业人士的必备品质,预防病毒感染的原则,第一条：安全意识排第一，没有安全意识，所有的技术手段都是虚设。做事之前先考虑一下是否安全可以让你少做很多不安全的事。,预防病毒感染的原则,第二条：及时打上补丁，包括操作系统补丁和应用系统补丁。依赖于系统漏洞传播的病毒是最可怕的，他可以在你没有任何操作的情况下感染你。这些攻击都是“拳打不识”，有了准备他们就无奈我何了,预防病毒感染的原则,第三条：切断病毒传播的通道，包括不乱逛，不乱下，少共享，强密码，不乱插U盘。,特别是U盘，现在病毒的一个主要传播渠道就是U盘，别人的U盘要先杀再用，自己的U盘在别人的机器上用过也要先杀，关闭U盘的自动播放，习惯用右键打开U盘等习惯才是良好的习惯,预防病毒感染的原则,第三条：提高安全等级到适当的高度可以避免很多麻烦。,Outlook Express,作为收发电子函件软件，也应当进行一些必要的设置。选择“工具”菜单中的“选项”命令，在“阅读”中不选中“在预览窗格中自动显示新闻邮件”和“自动显示新闻邮件中的图片附件”。,在“安全”中设置“附件的安全性”为“高”；在“其他”中按“高级选项”按钮，按“加载项管理器”按钮，不选中“服务器脚本运行”。最后按“确定”按钮保存设置 。,预防病毒感染的原则,在IE的安全选项中对ActiveX插件，applet小程序应用等的安全等级要至少为提示,预防病毒感染的原则,第四条：坚持不知道的不动，安全的才执行。现在我们的原则是什么都动，不安全的才不动。要记住世上决没有免费的午餐，越美的诱惑越可怕。这包括只浏览熟悉的网站，只从熟悉的站点下载，只运行明确知道作用的程序等等,预防病毒感染的原则,第五条：一定要有杀毒软件，一定要定时升级，一定要定时查杀，一定要打开监控，这笔钱很值。不要以为自己是高手就可以对付一切，病毒技术的发展总会超过你的想象,预防病毒感染的原则,第六条：经常去安全网站去看一下最近的病毒趋势，通常在你被攻击前他们就会有相应的病毒爆发信息，如果你在看到前被攻击，那就去买彩票吧。,