网络安全员培训-5计算机恶意代码与防护

第五章计算机恶意代码与防护什么是恶意代码恶意代码（maliciouscode）：恶意代码是一种程序，它通过把代码在不被察觉的情况下嵌入另一段程序中，从而达到运行具有入侵性或破坏性的程序。破坏被感染电脑数据的安全性和完整性的目的。课程内容恶意代码类型恶意代码防护恶意代码攻击实例防病毒系统恶意代码的主要类型病毒：具有破坏性，复制性和传染性。木马：通常包括服务器端和客户端。冰河灰鸽子…………蠕虫：自我复制，恶意占用可用资源。间谍软件：秘密收集信息的程序（广告软件）。移动代码：从主机传到客户端并执行的代码。计算机恶意代码分析磁盘文件数目增多系统的RAM空间变小文件的日期/时间值被改变可执行程序长度增加磁盘上出现坏簇平时可执行的程序因RAM区不足而不能加载程序加载时间比平均时间长硬盘启动系统失败恶意代码感染迹象与处理禁止使用电脑化硬盘下载运行木马程序注册锁定恶意代码分析（IE)默认主页修改篡改IE标题栏篡改默认搜索引擎IE右键修改篡改地址栏文字启动时弹出对话框IE窗口定时弹出计算机恶意代码防护操作系统和应用软件升级补丁安装杀毒软件，并及时更新病毒库代码库，使用专杀工具使用防火墙及其它访问控制工具IE中禁用未识别和未签名的ActiveX控件安装邮件防病毒系统安装入侵检测系统恶意代码防治策略防止病毒的侵入要比病毒入侵后再去发现和消除它重要。防止病毒的侵入为主动防治，病毒入侵后再去发现和除它是被动处理。因此，原则上，计算机病毒防治应该采取“主动预防为主，被动处理结合。”恶意代码预防技术病毒预防技术病毒检测技术病毒消除技术病毒免疫技术预防计算机病毒封堵漏洞，查杀病毒不要随意点击、下载和运行来历不明的程序和脚本。重视文件的备份，常做文件备份，重要文件要多做几份。可移动存储介质在使用之前先杀毒。保证主机的物理安全，防止他人运行未授权的程序。集中式病毒管理“集中式管理、分布式杀毒”技术，使安装在网络系统中的每台计算机上的杀毒软件构筑成协调一致的立体防护体系，而网络管理员只需通过控制台，就可实时掌握全网各节点的病毒监测状况，也可远程指挥每台计算机杀毒软件的工作方式。克服网络杀毒产品不能全网统一杀毒的缺陷，杜绝了因部分计算机未能及时杀毒而留下的隐患。建议安装网络企业版杀毒软件，比如：SymantecAntiVirus企业版木马的特洛伊木马的传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城木马攻击完整的木马程序一般由两个部份组成：一个是服务器程序，一个是控制器程序。服务器程序用于监听被侵入主机的端口或监视用户活动，控制器端程序则用于接收服务器程序返回的信息并可控制远程主机。木马常入侵途径，网站，捆绑等木马的特点隐蔽性自动运行性，执行时很难停止，会打开特别的端口包含具有未公开并且可能产生危险后果的功能的程序具备自动恢复功能未经授权就可获得目标计算机的使用权程序小，执行时不占用太多资源一次执行后，就会在系统中驻留，之后每次在系统加载时自动执行一次执行后，就会自动变更文件名木马的类型破坏型密码发送型远程访问型键盘记录木马DoS攻击木马代理木马FTP木马程序杀手木马反弹端口型木马木马的危害窃取密码文件操作修改注册表系统操作非法服务非法服务会在系统上开启一个秘密的端口，提供未经许可的服务，这和很多木马的工作原理是一样的。常见的非法服务包括：NetBusBackOrifice和BackOrifice2000灰鸽子冰河2.X………木马的识别与清除木马的识别人工识别软件识别木马的清除手工清除软件清除人工识别1.利用netstat命令2.注册表启动项目的检查3.利用msconfig查看启动程序木马的手工清除结束木马进程查找并删除木马主程序Hacker.com.cn.exe删除或恢复Windows注册表软件识别和清除利用主流杀毒软件利用木马专杀软件木马防御方法总结木马的预防不去不明网站下载软件不随意浏览附件不浏览不良网站及时升级杀毒软件妥善保存机密文件和资料主流防病毒系统SymantecAntiVirus企业版McAfeeVirusScan企业版巴斯基（Kaspersky）企业版防病毒策略病毒历史记录和事件日志管理病毒扫描策略设置服务器和客户端的防病毒策略设置病毒文件升级策略设置