病毒与木马防范课件.ppt

1、病毒与木马防范病毒与木马防范v计算机病毒防范计算机病毒防范v计算机木马防范计算机木马防范v计算机病毒定义计算机病毒定义v计算机病毒分类与特征计算机病毒分类与特征v计算机病毒防范与清除计算机病毒防范与清除v杀毒软件使用杀毒软件使用病毒病毒未授权的内部访问未授权的内部访问系统入侵系统入侵偷窥私人信息偷窥私人信息电信欺骗电信欺骗金融欺骗金融欺骗破坏破坏被动搭线窃听被动搭线窃听主动搭线窃听主动搭线窃听笔记本电脑盗窃笔记本电脑盗窃内部人员对网络的滥用内部人员对网络的滥用736857391020304050607080021731614131391计算机病毒的危害计算机病毒的危害 据CSI/FBI计算机犯

2、罪和安全调查报告中对攻击的分类调查显示，计算机病毒占所有攻击类型的首位.KV3000的硬盘盘工具非常强大，可以搜索硬盘任一扇区的内容，并修改之。的硬盘盘工具非常强大，可以搜索硬盘任一扇区的内容，并修改之。当进入当进入KV3000的功能菜单画面后，按的功能菜单画面后，按F6即进入硬盘救护箱。进入后的第一屏就即进入硬盘救护箱。进入后的第一屏就是硬盘的是硬盘的MBR扇区的内容。其中红色闪烁的扇区的内容。其中红色闪烁的80 01和和55 AA之间的内容就是硬盘分区之间的内容就是硬盘分区表（如果硬盘只有一个活动分区和一个扩展分区的话）。表（如果硬盘只有一个活动分区和一个扩展分区的话）。画面上方的菜单功能

3、：画面上方的菜单功能：F1HDPT查看查看MBR扇区内容扇区内容F2BOOT查看查看BOOT扇区内容扇区内容F3Input 直接输入要查看的扇区直接输入要查看的扇区NO.F4=Search 直接输入要搜索的直接输入要搜索的ASCII值或值或16进制代码进制代码画面的下方的菜单功能：画面的下方的菜单功能：F5Edit进入磁盘进入磁盘硬盘逻辑锁硬盘逻辑锁Ctrl+F10=Write写硬盘扇区功能。在按写硬盘扇区功能。在按F5之前按此键，可对硬盘之前按此键，可对硬盘扇区批量改写。使用功能时一定要确定无误，否则后果严重。当你对扇区批量改写。使用功能时一定要确定无误，否则后果严重。当你对硬盘某一个扇区修

4、改完毕后，可按此键进行存储。当你按下硬盘某一个扇区修改完毕后，可按此键进行存储。当你按下Ctrl+_F10后，屏幕会有提示：后，屏幕会有提示：“Warning！Exit(Y/N)（绿色字符）（绿色字符）“如果你确定写盘操作，请按如果你确定写盘操作，请按N，放弃退出后，再按，放弃退出后，再按Y确定写盘。如果你确定写盘。如果你发觉自己的误操作时，可以按发觉自己的误操作时，可以按N放弃。放弃。瑞星 360杀毒软件赛门铁克 V 计算机木马防范计算机木马防范v木马定义木马定义v木马入侵途径木马入侵途径v木马防范木马防范v木马查杀木马查杀木马定义木马定义木马定义木马定义 木马发展：木马发展：第一代木马第一

5、代木马个将自己伪装成特殊的程序或文件的软件，如本身伪装成一个用户登陆窗口，当用户运行了木马伪装的登陆窗口，个将自己伪装成特殊的程序或文件的软件，如本身伪装成一个用户登陆窗口，当用户运行了木马伪装的登陆窗口，输入用户名与密码后，木马将自动记录数据并转发给供给者，入侵者借此来获得用户的重要信息，达到自己的目输入用户名与密码后，木马将自动记录数据并转发给供给者，入侵者借此来获得用户的重要信息，达到自己的目的。的。第二代木马第二代木马有能够进行的远程控制操作有能够进行的远程控制操作第三代木马第三代木马由原来的服务端被动连接变为服务端主动连接由原来的服务端被动连接变为服务端主动连接第四代木马第四代木马远

6、程线程插入技术，将木马线程插入远程线程插入技术，将木马线程插入DLL 线程中，增加了隐藏进程技术线程中，增加了隐藏进程技术木马定义木马定义电子邮件、来历不明的文件、下载或安装的软件中附带、电子邮件、来历不明的文件、下载或安装的软件中附带、网页挂马。网页挂马。共享入侵、漏洞入侵、恶意代码入侵共享入侵、漏洞入侵、恶意代码入侵。木马连接方式木马连接方式:传统方式传统方式 端口反弹方式端口反弹方式木马运行机制木马运行机制第一步：木马客户端会将自己的第一步：木马客户端会将自己的IP 地址以及监听端口发送给一地址以及监听端口发送给一个个“中间机器中间机器”，如某网页文件，如某网页文件，http:/ 地址和

7、端口信息。地址和端口信息。第三步：木马服务端主动向客户端发出连接请求，直至双方建第三步：木马服务端主动向客户端发出连接请求，直至双方建立连接成功立连接成功（一）、删除不必要的共享（一）、删除不必要的共享显示共享：显示共享：net share删除共享：删除共享：net share 共享名共享名/delete（二）、关闭非必须的系统服务（二）、关闭非必须的系统服务（三）、关闭不必要的服务端口（三）、关闭不必要的服务端口（见图）（见图）木马查杀木马查杀木马查杀木马查杀手工查杀木马手工查杀木马清除灰鸽子的服务；清除灰鸽子的服务；删除灰鸽子程序文件，重启系统，进入删除灰鸽子程序文件，重启系统，进入“安全

8、模式安全模式”设置显示所有文件设置显示所有文件在系统目录下，找到在系统目录下，找到Setupdll.dll和和Setupapi.dll修改注册表值修改注册表值HKEY_LOCAL_MACHINGSYSTEMCurrentControlSetServices，以点击查找找到灰鸽子对应的服务选项，以点击查找找到灰鸽子对应的服务选项(GrayPigeon)来删来删除灰鸽子的自启动服务。除灰鸽子的自启动服务。木马查杀木马查杀木马查杀工具木马查杀工具IceSword木马查杀木马查杀木马查杀工具木马查杀工具AVG Anti-Spyware所谓所谓“硬盘逻辑锁硬盘逻辑锁”是使用了某些是使用了某些DOS的的

9、一个错误制成的一个错误制成的。它采用了。它采用了“循循环分区表环分区表”的的 技术，使某些有这技术，使某些有这 个错误的个错误的 DOS无法用任何设备启动，包无法用任何设备启动，包括软盘等移动设括软盘等移动设 备。当备。当DOS启动时，系统会自动搜索硬盘中的启动时，系统会自动搜索硬盘中的 各个分区各个分区的的 信息，如类型、大小等，以使系统能够识别硬盘，分别分配为信息，如类型、大小等，以使系统能够识别硬盘，分别分配为C、D、E、F等驱动器，并使用户能对其等驱动器，并使用户能对其 进行各种操作。而进行各种操作。而“逻辑锁逻辑锁”正是利用了正是利用了这这 一点，通过修改硬盘的一点，通过修改硬盘的

10、分区表使分区表发生循环，即把扩展分区的分区表使分区表发生循环，即把扩展分区的 第第一个逻辑盘指向自身，使某些一个逻辑盘指向自身，使某些DOS系统启动时查找系统启动时查找 分区时发生死循环而分区时发生死循环而无法启动。无法启动。某些笔记本硬盘可以设置密码就是采用此法，因此一旦密码丢失硬盘将无某些笔记本硬盘可以设置密码就是采用此法，因此一旦密码丢失硬盘将无法使用。法使用。附：硬盘逻辑锁附：硬盘逻辑锁1186:03D0 81 08 05 7F FF 0C 00 FC-3F 00 80 1D 20 00 00 00 1186:03E0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 1186:03F0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 55 AA 附：硬盘逻辑锁附：硬盘逻辑锁下面是一个正常的分区信息，硬盘逻辑锁通常会修改红色部分（硬盘下面是一个正常的分区信息，硬盘逻辑锁通常会修改红色部分（硬盘加密会修改不同地方）。加密会修改不同地方）。谢谢大家！