信息設(shè)備及其環(huán)境安全與評估.ppt

典型惡意軟件 及其防范和清除技術(shù),教學(xué)目的,了解不同惡意軟件的特點 了解防范和清除惡意軟件的一般方法 熟悉發(fā)現(xiàn)并手工清除惡意軟件的方法,內(nèi)容,宏病毒 郵件蠕蟲 木馬 網(wǎng)頁木馬 流氓軟件 手工清除惡意軟件,宏病毒,宏是組織在一起的命令集合，可以作為一個單獨命令完成一個特定任務(wù) 在Microsoft Office中，可以使用以Visual Basic編寫的宏。宏病毒指用Visual Basic編寫的具有病毒特點的代碼。它能夠通過.doc和.dot文件進行傳播,宏病毒的防范和清除,宏病毒的防范 使用防病毒軟件 設(shè)置宏安全性為中以上，打開Office文檔遇到宏病毒警告框時，要保持高度警惕 宏病毒的清除 使用防病毒軟件 手動清除。對于普通文檔，可以使用“另存為”，并選擇不含宏的文件格式 比如在Word中，可以選擇RTF格式,郵件蠕蟲,蠕蟲是一種常見的惡意軟件。與一般病毒不同，蠕蟲不需要將其自身附著到宿主程序上，它是一個獨立的程序 蠕蟲利用網(wǎng)絡(luò)進行復(fù)制和傳播，可利用的傳播途徑包括電子郵件、Web服務(wù)器、網(wǎng)絡(luò)共享等,郵件蠕蟲,郵件蠕蟲通過電子郵件傳播 大多數(shù)郵件蠕蟲在感染本機后，會自動打開Outlook Express的地址薄，把自己發(fā)送給地址薄上的每一個郵件地址 郵件蠕蟲通常存在于郵件附件中,郵件蠕蟲的防范和清除,郵件蠕蟲的防范 利用防病毒軟件檢查郵件 不要輕易相信一些郵件，不要輕易打開郵件附件 郵件蠕蟲的清除 使用防病毒軟件,木馬,木馬是目前比較流行的惡意軟件，與一般的病毒不同，它不會自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝成實用軟件來吸引用戶下載執(zhí)行 一個完整的木馬包含兩個部分：服務(wù)器端和客戶端。感染木馬的計算機是服務(wù)器端，黑客利用客戶端進入運行了服務(wù)器端的計算機，進而毀壞、竊取被植入木馬的計算機上的文件，甚至遠程操控感染木馬的計算機 木馬與遠程控制軟件有些相似，不過遠程控制軟件是“善意”的控制，因此通常不具有隱蔽性，木馬則完全相反。木馬要達到的是“偷竊”性的遠程控制，如果沒有很強的隱蔽性的話，那就是“毫無價值”的,木馬隱藏技術(shù),隱藏木馬文件 偽裝文件名稱，給一個非執(zhí)行擴展名 利用了Windows默認(rèn)不顯示已知擴展名 偽裝圖標(biāo) 偽裝成系統(tǒng)文件，比如svch0st.exe 隱藏木馬進程 偽裝成可信任的進程，把自己的進程名稱改為與系統(tǒng)進程類似的名字 把木馬寫成DLL文件，使用系統(tǒng)程序Rundll32.exe或Rundll.exe調(diào)用，在“任務(wù)管理器”中將看不到木馬進程,木馬的發(fā)現(xiàn),木馬需要自動運行，以下是它可利用啟動位置 autoexec.bat、config.sys win.ini、system.ini “啟動”程序組 注冊表項HKEY_LOCAL_MACHINE. CurrentVersionRun 木馬需要連接端口，留心不明端口 木馬利用通信端口的兩種方法：寄生，潛伏,木馬的防范和清除,木馬的防范 使用防病毒軟件 及時更新系統(tǒng)補丁 不輕易下載軟件，不輕易瀏覽郵件附件 木馬的清除 使用防病毒軟件 手動清除（未必總有效） 在保護模式下，刪除或修改注冊表中與木馬相關(guān)的項，刪除木馬文件（后有敘述）,網(wǎng)頁木馬,網(wǎng)頁木馬實際上是一個HTML網(wǎng)頁，與其它網(wǎng)頁不同的是，該網(wǎng)頁中的腳本巧妙地利用了IE瀏覽器的漏洞，讓IE在后臺自動下載黑客放置在網(wǎng)絡(luò)上的木馬（或蠕蟲）并運行（安裝）這個木馬，也就是說，這個網(wǎng)頁能下載木馬到本地并運行（安裝）下載到本地電腦上的木馬，整個過程都在后臺運行，用戶一旦打開這個網(wǎng)頁，下載過程和運行（安裝）過程就自動開始,網(wǎng)頁木馬的防范,使用防病毒軟件和防火墻 及時更新系統(tǒng)補丁 卸載不安全的ActiveX控件（IE插件） 在命令提示符下輸入命令“regsvr32.exe 插件文件 /u/s” 如果想恢復(fù)，使用命令“regsvr32.exe 插件文件 /i/s” 提高IE的安全級別，禁用腳本和ActiveX控件 “Internet 屬性” “安全” ，把Internet區(qū)域設(shè)置為較高安全級別，或者點擊“自定義級別”，在打開的對話框上禁用腳本，禁用ActiveX控件 把惡意網(wǎng)站加入到受限站點 “Internet 屬性” “安全” “受限站點” “站點”,流氓軟件,流氓軟件是介于病毒、蠕蟲、木馬等惡意軟件和正規(guī)軟件之間的軟件 流氓軟件有時也被稱為間諜軟件（spyware）、惡意共享軟件（malicious shareware）,流氓軟件,流氓軟件一般同時具備正常功能（下載、媒體播放等）和惡意行為（彈廣告、開后門），給用戶帶來實質(zhì)性危害 與病毒、蠕蟲、木馬不同，很多流氓軟件不是由小團體或者個人秘密編寫和傳播的，有很多知名企業(yè)和團體也涉嫌此類軟件,流氓軟件的防范,及時更新補丁程序 禁用ActiveX腳本 “Internet 屬性” “安全” “自定義級別” (Internet) 把惡意網(wǎng)站加入到受限站點 “Internet 屬性” “安全” “受限站點” “站點” 使用專用工具進行免疫或防范,流氓軟件的清除,使用專用工具，比如Spy Sweeper、超級兔子、瑞星卡卡上網(wǎng)安全助手，或者金山清理專家等 很多流氓軟件以ActiveX插件的形式安裝到用戶的計算機中，對于此類流氓軟件 使用IE的“管理加載項”功能禁用流氓軟件插件 使用IE插件管理專家Upiea.exe禁用或刪除流氓軟件插件,手工清除惡意軟件,主要內(nèi)容,認(rèn)識Windows系統(tǒng)中的進程 查看和結(jié)束進程 清除惡意軟件文件 使用Attrib命令發(fā)現(xiàn)并刪除隱藏的惡意文件,進程,程序（包括惡意軟件程序）運行前以文件的形式存在于磁盤上，運行后以進程的形式存在于內(nèi)存中 進程是指一個具有獨立功能的程序在某個數(shù)據(jù)集合上的一次運行活動,它是系統(tǒng)進行資源分配和調(diào)度的一個基本單位。簡單地說，進程指操作系統(tǒng)當(dāng)前運行的程序,Windows中最基本的系統(tǒng)進程,此類系統(tǒng)進程是系統(tǒng)運行的必備條件，只有這些進程處于活動狀態(tài)，系統(tǒng)才能正常運行 Windows中最基本的系統(tǒng)進程包括：winlogon.exe；csrss.exe；smss.exe；services.exe；lsass.exe；explorer.exe； svchost.exe；system；system Idle Process等,Windows中最基本的系統(tǒng)進程,System Idle Process：這個進程是作為單線程運行在每個處理器上，并在系統(tǒng)不處理其它線程的時候分派處理器的時間 system：系統(tǒng)核心進程，控制著系統(tǒng)Kernel Mode 的操作 winlogon.exe：管理用戶登錄 csrss.exe：子系統(tǒng)服務(wù)器進程，負(fù)責(zé)控制Windows創(chuàng)建或刪除線程以及16位的虛擬DOS環(huán)境,Windows中最基本的系統(tǒng)進程,smss.exe：會話管理子系統(tǒng)，負(fù)責(zé)啟動用戶會話 services.exe：系統(tǒng)服務(wù)管理工具，包含很多系統(tǒng)服務(wù) lsass.exe：本地的安全授權(quán)服務(wù)，管理 IP 安全策略以及啟動 ISAKMP / Oakley (IKE) 和 IP 安全驅(qū)動程序,Windows中最基本的系統(tǒng)進程,explorer.exe：資源管理器，顯示桌面圖標(biāo)和任務(wù)欄 spoolsv.exe：管理緩沖區(qū)中的打印和傳真作業(yè)，將文件加載到內(nèi)存中以便遲后打印 svchost.exe：共享進程，用于啟動其他服務(wù)。多個svchost.exe如果同時運行，則表明當(dāng)前有多組服務(wù)處于活動狀態(tài)，多個DLL文件在調(diào)用它,svchost.exe進程,svchost.exe是NT核心系統(tǒng)的非常重要的進程，對于2000、XP來說，不可或缺 在基于NT內(nèi)核的Windows操作系統(tǒng)家族中，不同版本的Windows系統(tǒng)，存在不同數(shù)量的“svchost”進程，用戶使用“任務(wù)管理器”可查看其進程數(shù)目。一般來說，Win2000有兩個svchost進程，WinXP中則有四個或四個以上的svchost進程，而Win2003 server中則更多,svchost.exe進程,svchost.exe文件存在于“%systemroot% system32”目錄下，它屬于共享進程。隨著Windows系統(tǒng)服務(wù)不斷增多，為了節(jié)省系統(tǒng)資源，微軟把很多服務(wù)做成共享方式，交由 svchost.exe進程來啟動 svchost進程只作為服務(wù)宿主，并不能實現(xiàn)任何服務(wù)功能，即它只能提供條件讓其他服務(wù)在這里被啟動，而它自己卻不能給用戶提供任何服務(wù) 其他系統(tǒng)服務(wù)是以動態(tài)鏈接庫（dll）的形式實現(xiàn)的，它們把可執(zhí)行程序指向 svchost，由svchost調(diào)用相應(yīng)服務(wù)的動態(tài)鏈接庫來啟動服務(wù),svchost.exe進程,svchost進程提供很多系統(tǒng)服務(wù)，如：rpcss服務(wù)(remote procedure call)、dmserver服務(wù)(logical disk manager)、dhcp服務(wù)(dhcp client)等 如果要了解每個svchost進程到底提供了多少系統(tǒng)服務(wù)，可以在Win2000的命令提示符窗口中輸入“tlist -s”命令來查看，該命令是Win2000 support tools提供的。在WinXP則使用“tasklist /svc”命令,svchost.exe進程,因為svchost進程啟動各種服務(wù)，所以病毒、木馬也想盡辦法來利用它，企圖利用它的特性來迷惑用戶，達到感染、入侵、破壞的目的 如沖擊波變種病毒“w32.welchia.worm”,svchost.exe進程,在受感染的機器中到底哪個是惡意軟件進程呢？ 一般來說，XP操作系統(tǒng)下有5個左右的svchost.exe進程，比如 SYSTEM用戶名下有3個svchost.exe NETWORK SERVICE用戶名下有2個svchost.exe LOCAL SERVICE用戶名下有1個svchost.exe 其他系統(tǒng)也是大致如此，它們的用戶名都是SYSTEM、NETWORK SERVICE、LOCAL SERVICE這三個，如果不是這三個用戶名那么就有可能是惡意軟件,svchost.exe進程,正常的svchost.exe程序存放在windowssystem32這個目錄下。如果其它目錄下有svchost.exe文件，那一定是惡意軟件 “任務(wù)管理器”中svchost.exe進程的個數(shù)不重要，關(guān)鍵看他是什么用戶名而且位置是不是在windowssystem32這個目錄下,Windows中的其他進程,Windows中，有些進程不是必需的，可以根據(jù)服務(wù)管理的需要來結(jié)束它們，比如 mstask.exe：Windows計劃任務(wù)，用于指定在什么時候運行任務(wù) alg.exe：應(yīng)用層網(wǎng)關(guān)服務(wù)，是網(wǎng)絡(luò)鏈接共享和Windows防火墻的一部分 internat.exe：用于更改類似國家設(shè)置、鍵盤類型和日期格式,Windows中的其他進程,mdm.exe：Debug除錯管理，用于調(diào)試應(yīng)用程序和Microsoft Office中的Microsoft Script Editor腳本編輯器 regsvc.exe：遠程注冊表服務(wù)，用于訪問遠程計算機的注冊表 taskmgr.exe：Windows任務(wù)管理器，是Windows任務(wù)管理執(zhí)行者,Windows中的其他進程,tcpsvcs.exe：Windows網(wǎng)絡(luò)組件的一部分。這個系統(tǒng)進程用于計算機使用專用的TCP/IP網(wǎng)絡(luò)服務(wù)，例如DHCP，簡單TCP和打印服務(wù) wuauclt.exe：負(fù)責(zé)Windows自動升級的系統(tǒng)進程，可以在線檢測最近Windows更新，如果沒有開啟自動升級的話就不會有這個進程，而且就算你開啟了它，它也不是任何時候都運行的 ctfmon.exe：Microsoft Office產(chǎn)品套裝的一部分，是有關(guān)輸入法的一個可執(zhí)行程序,在Windows中查看一般的進程,使用“任務(wù)管理器”查看進程 “任務(wù)管理器”還可以終止一般的進程 在提示符下使用命令“tasklist”查看進程 使用“系統(tǒng)信息”中的“正在運行任務(wù)” 使用“netstat”命令查看網(wǎng)絡(luò)連接情況及發(fā)起的程序 使用 netstat abnov命令,查看隱藏進程和遠程進程,可以使用“隱藏進程查看工具”查看隱藏進程 使用如下命令可以查看遠程進程 Task /s IP /u username /p password,強制結(jié)束進程,使用“任務(wù)管理器”。但它無法結(jié)束某些進程 使用ntsd命令強制結(jié)束進程 ntsd是從Win2000開始系統(tǒng)自帶的用戶態(tài)調(diào)試工具。被調(diào)試器附著(attach)的進程會隨調(diào)試器一起退出，所以可以用來在命令行下終止進程。使用ntsd自動就獲得了debug權(quán)限，從而能殺掉大部分的進程。只有System、Smss.exe和Csrss.exe不能殺 ntsd -c q -p PID 或 ntsd -c q -pn imagename 使用taskkill命令強制結(jié)束進程 taskkill /im imagename /f，或 taskkill /pid ProcessID /f,清除惡意軟件文件,首先使用前面提到的方法結(jié)束惡意軟件進程 然后利用惡意軟件