浅析流行病毒的清除课件(PPT 30页).pptx
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《浅析流行病毒的清除课件(PPT 30页).pptx》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 浅析流行病毒的清除课件PPT 30页 浅析 流行 病毒 清除 课件 PPT 30
- 资源描述:
-
1、浅析流行病毒的清除浅析流行病毒的清除-江民科技培训2008.03第1页,共30页。这个页面看有什么异常这个页面看有什么异常第2页,共30页。流行病毒流行病毒 No.6 No.6ARP病毒ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的病毒,该病毒一般属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多。ARP协议的基本功能:通过目标设备的IP地址,查询目标设备的MAC地址。ARP缓存表:在局域网的任何一台主机中,都有一个ARP缓存表,该表中保存这网络中各个电脑的IP地址和M
2、AC地址的对照关系。当一台主机向同局域网中另外的主机发送数据的时候,会根据ARP缓存表里的对应关系进行发送。第3页,共30页。ARP病毒的实现机理病毒的实现机理假设一个只有三台电脑组成的局域网,该局域网由交换机假设一个只有三台电脑组成的局域网,该局域网由交换机(Switch)(Switch)连接。其中连接。其中一个电脑名叫一个电脑名叫A A,代表攻击方;一台电脑叫,代表攻击方;一台电脑叫S S,代表源主机,即发送数据的电脑;,代表源主机,即发送数据的电脑;另一台电脑名叫另一台电脑名叫D D,代表目的主机,即接收数据的电脑。,代表目的主机,即接收数据的电脑。第4页,共30页。准备发送数据准备发送
3、数据(1 1)首先查询自身的)首先查询自身的ARPARP缓存表内是否有目标机的缓存表内是否有目标机的ARPARP数据记录。数据记录。第5页,共30页。(2 2)S S电脑会向网内发送广播,询问电脑会向网内发送广播,询问“我的我的IPIP是是192.168.1.2192.168.1.2,硬件地址是,硬件地址是MAC2MAC2,我想知道,我想知道IPIP地址为地址为192.168.1.3192.168.1.3的电脑的硬件地址是多少?的电脑的硬件地址是多少?”准备发送数据准备发送数据第6页,共30页。正常的数据回复正常的数据回复 (3 3)这时,全网络的电脑都收到该)这时,全网络的电脑都收到该ARP
4、ARP广播包了,包括广播包了,包括A A电脑和电脑和D D电脑。电脑。第7页,共30页。实施实施ARP欺骗欺骗 ()但是当此时,沉默寡言的()但是当此时,沉默寡言的A A电脑也回话了:电脑也回话了:“我的我的IPIP地址是地址是192.168.1.3192.168.1.3,我的硬件地,我的硬件地址是址是 MAC1”MAC1”。第8页,共30页。ARP欺骗成功欺骗成功()这样就导致以后凡是()这样就导致以后凡是IPIP地址为地址为192.168.1.2192.168.1.2的的S S电脑要发送给电脑要发送给D D电脑,都将会发送给电脑,都将会发送给MACMAC地址为地址为MAC1MAC1的的A
5、A电脑。电脑。A A电脑竟然劫持了由电脑竟然劫持了由S S电脑发送给电脑发送给D D电脑的数据!这就是电脑的数据!这就是ARPARP欺骗的欺骗的过程。过程。第9页,共30页。ARP病毒检测工具病毒检测工具(1)现在网上有很多ARP病毒定位工具,其中做得较好的是Anti ARP Sniffer(现在已更名为ARP防火墙)Anti ARP Sniffer这个工具软件可以较为快捷的定位ARP中毒电脑 第10页,共30页。ARP病毒检测工具病毒检测工具启动防火墙后,其会自动识别到网关MAC地址,并记录网络内的ARP数据信息。如发现有ARP攻击,其在任务栏的图标会有闪烁并辅以弹出气泡的提示。第11页,共
6、30页。ARP病毒检测工具病毒检测工具 局域网中存在ARP欺骗时,该数据包会被Anti ARP Sniffer记录,该软件会以气泡的形式报警。这时,我们再根据欺骗机的MAC地址,对比查找全网的IPMAC地址对照表,即可快速定位出中毒电脑。上图为通过上图为通过ARPARP防火墙检测出感染防火墙检测出感染ARPARP病毒的电脑病毒的电脑MACMAC和和IPIP地址信息。该防火墙还可将攻击日志地址信息。该防火墙还可将攻击日志保存为文本,以便进行打印后核对。保存为文本,以便进行打印后核对。第12页,共30页。ARP病毒检测工具病毒检测工具(2)当局域网中有ARP病毒欺骗时,往往伴随着大量的ARP欺骗广
7、播数据包,这时,流量检测机制应该能够很好的检测出网络的异常举动,此时Ethereal 这样的抓包工具就能派上用场。第13页,共30页。ARP病毒检测工具病毒检测工具从红色框内的信息可以看出,192.168.0.109 这台电脑正向全网发送大量的ARP广播包,一般的讲,局域网中有电脑发送ARP广播包的情况是存在的,但是如果不停的大量发送,就很可疑了。而这台192.168.0.109 电脑正是一个ARP中毒电脑。第14页,共30页。双剑合璧双剑合璧 以上两种方法有时需要结合使用,互相印证,这样可以快速准确的将ARP中毒电脑定位出来。第15页,共30页。流行病毒流行病毒 No.5 No.5 镜像劫持
8、病毒(进程镜像劫持类病毒)病毒样本名称:trojandownloader.agent.qwctrojandownloader.agent.qwc 病毒特点:强力关闭安全软件,使其无法运行。第16页,共30页。镜像劫持病毒的特征镜像劫持病毒的特征 病毒运行后会自我复制到被感染计算机的系统目录下system32目录,并重新命名为“dllhos.exe”。修改被感染计算机中的注册表键值HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options,其采用进程映像劫持技术,使接近五十种杀毒、安全软件开启时都会按照注册表
展开阅读全文