信息设备及其环境安全与评估.ppt

《信息设备及其环境安全与评估.ppt》由会员分享，可在线阅读，更多相关《信息设备及其环境安全与评估.ppt（40页珍藏版）》请在装配图网上搜索。

1、典型恶意软件 及其防范和清除技术 教学目的 了解不同恶意软件的特点 了解防范和清除恶意软件的一般方法 熟悉发现并手工清除恶意软件的方法 内容 宏病毒 邮件蠕虫 木马 网页木马 流氓软件 手工清除恶意软件 宏病毒 宏是组织在一起的命令集合，可以作为一 个单独命令完成一个特定任务 在 Microsoft Office中，可以使用以 Visual Basic编写的宏。宏病毒指用 Visual Basic编 写的具有病毒特点的代码。它能够通过 .doc 和 .dot文件进行传播 宏病毒的防范和清除 宏病毒的防范 使用防病毒软件 设置宏安全性为中以上，打开 Office文档遇到宏病毒警 告框时，要保持高

2、度警惕 宏病毒的清除 使用防病毒软件 手动清除。对于普通文档，可以使用“另存为”，并 选择不含宏的文件格式 比如在 Word中，可以选择 RTF格式 邮件蠕虫 蠕虫是一种常见的恶意软件。与一般病毒 不同，蠕虫不需要将其自身附着到宿主程 序上，它是一个独立的程序 蠕虫利用网络进行复制和传播，可利用的 传播途径包括电子邮件、 Web服务器、网 络共享等 邮件蠕虫 邮件蠕虫通过电子邮件传播 大多数邮件蠕虫在感染本机后，会自动打开 Outlook Express的地址薄，把自己发送给地址 薄上的每一个邮件地址 邮件蠕虫通常存在于邮件附件中 邮件蠕虫的防范和清除 邮件蠕虫的防范 利用防病毒软件检查邮件

3、不要轻易相信一些邮件，不要轻易打开邮件附 件 邮件蠕虫的清除 使用防病毒软件 木马 木马是目前比较流行的恶意软件，与一般的病毒不同，它 不会自我繁殖，也并不“刻意”地去感染其他文件，它通 过将自身伪装成实用软件来吸引用户下载执行 一个完整的木马包含两个部分：服务器端和客户端。感染 木马的计算机是服务器端，黑客利用客户端进入运行了服 务器端的计算机，进而毁坏、窃取被植入木马的计算机上 的文件，甚至远程操控感染木马的计算机 木马与远程控制软件有些相似，不过远程控制软件是“善 意”的控制，因此通常不具有隐蔽性，木马则完全相反。 木马要达到的是“偷窃”性的远程控制，如果没有很强的 隐蔽性的话，那就是“

4、毫无价值”的 木马隐藏技术 隐藏木马文件 伪装文件名称，给一个非执行扩展名 利用了 Windows默认不显示已知扩展名 伪装图标 伪装成系统文件，比如 svch0st.exe 隐藏木马进程 伪装成可信任的进程，把自己的进程名称改为与系统 进程类似的名字 把木马写成 DLL文件，使用系统程序 Rundll32.exe或 Rundll.exe调用，在“任务管理器”中将看不到木马进 程 木马的发现 木马需要自动运行，以下是它可利用启动位置 autoexec.bat、 config.sys win.ini、 system.ini “启动”程序组 注册表项 HKEY_LOCAL_MACHINE. Cur

5、rentVersionRun 木马需要连接端口，留心不明端口 木马利用通信端口的两种方法：寄生，潜伏 木马的防范和清除 木马的防范 使用防病毒软件 及时更新系统补丁 不轻易下载软件，不轻易浏览邮件附件 木马的清除 使用防病毒软件 手动清除（未必总有效） 在保护模式下，删除或修改注册表中与木马相关的项，删除木 马文件（后有叙述） 网页木马 网页木马实际上是一个 HTML网页，与其它网页 不同的是，该网页中的脚本巧妙地利用了 IE浏览 器的漏洞，让 IE在后台自动下载黑客放置在网络 上的木马（或蠕虫）并运行（安装）这个木马， 也就是说，这个网页能下载木马到本地并运行 （安装）下载到本地电脑上的木马

6、，整个过程都 在后台运行，用户一旦打开这个网页，下载过程 和运行（安装）过程就自动开始 网页木马的防范 使用防病毒软件和防火墙 及时更新系统补丁 卸载不安全的 ActiveX控件（ IE插件） 在命令提示符下输入命令“ regsvr32.exe 插件文件 /u/s” 如果想恢复，使用命令“ regsvr32.exe 插件文件 /i/s” 提高 IE的安全级别，禁用脚本和 ActiveX控件 “ Internet 属性” “安全” ，把 Internet区域设置为 较高安全级别，或者点击“自定义级别”，在打开的 对话框上禁用脚本，禁用 ActiveX控件 把恶意网站加入到受限站点 “ Inter

7、net 属性” “安全” “受限站点” “站 点” 流氓软件 流氓软件是介于病毒、蠕虫、木马等恶意 软件和正规软件之间的软件 流氓软件有时也被称为间谍软件 （ spyware）、恶意共享软件（ malicious shareware） 流氓软件 流氓软件一般同时具备正常功能（下载、 媒体播放等）和恶意行为（弹广告、开后 门），给用户带来实质性危害 与病毒、蠕虫、木马不同，很多流氓软件 不是由小团体或者个人秘密编写和传播的， 有很多知名企业和团体也涉嫌此类软件 流氓软件的防范 及时更新补丁程序 禁用 ActiveX脚本 “ Internet 属性” “安全” “自定义级别” (Internet)

8、 把恶意网站加入到受限站点 “ Internet 属性” “安全” “受限站点” “站点” 使用专用工具进行免疫或防范 流氓软件的清除 使用专用工具，比如 Spy Sweeper、超级兔 子、瑞星卡卡上网安全助手，或者金山清 理专家等 很多流氓软件以 ActiveX插件的形式安装到 用户的计算机中，对于此类流氓软件 使用 IE的“管理加载项”功能禁用流氓软件插 件 使用 IE插件管理专家 Upiea.exe禁用或删除流氓 软件插件 手工清除恶意软件 主要内容 认识 Windows系统中的进程 查看和结束进程 清除恶意软件文件 使用 Attrib命令发现并删除隐藏的恶意文件 进程 程序（包括恶意

9、软件程序）运行前以文件 的形式存在于磁盘上，运行后以进程的形 式存在于内存中 进程是指一个具有独立功能的程序在某个 数据集合上的一次运行活动 ,它是系统进行 资源分配和调度的一个基本单位。简单地 说，进程指操作系统当前运行的程序 Windows中最基本的系统进程 此类系统进程是系统运行的必备条件，只 有这些进程处于活动状态，系统才能正常 运行 Windows中最基本的系统进程包括： winlogon.exe； csrss.exe； smss.exe； services.exe； lsass.exe； explorer.exe； svchost.exe； system； system Idle

10、Process等 Windows中最基本的系统进程 System Idle Process：这个进程是作为单线程运 行在每个处理器上，并在系统不处理其它线程的 时候分派处理器的时间 system：系统核心进程，控制着系统 Kernel Mode 的操作 winlogon.exe：管理用户登录 csrss.exe：子系统服务器进程，负责控制 Windows创建或删除线程以及 16位的虚拟 DOS环 境 Windows中最基本的系统进程 smss.exe：会话管理子系统，负责启动用 户会话 services.exe：系统服务管理工具，包含很 多系统服务 lsass.exe：本地的安全授权服务，管理

11、 IP 安全策略以及启动 ISAKMP / Oakley (IKE) 和 IP 安全驱动程序 Windows中最基本的系统进程 explorer.exe：资源管理器，显示桌面图标 和任务栏 spoolsv.exe：管理缓冲区中的打印和传真 作业，将文件加载到内存中以便迟后打印 svchost.exe：共享进程，用于启动其他服 务。多个 svchost.exe如果同时运行，则表 明当前有多组服务处于活动状态，多个 DLL 文件在调用它 svchost.exe进程 svchost.exe是 NT核心系统的非常重要的进程，对 于 2000、 XP来说，不可或缺 在基于 NT内核的 Windows操作

12、系统家族中，不同 版本的 Windows系统，存在不同数量的“ svchost” 进程，用户使用“任务管理器”可查看其进程数 目。一般来说， Win2000有两个 svchost进程， WinXP中则有四个或四个以上的 svchost进程，而 Win2003 server中则更多 svchost.exe进程 svchost.exe文件存在于“ %systemroot% system32”目录下，它属于共享进程。随着 Windows系统服务不断增多，为了节省系统资源， 微软把很多服务做成共享方式，交由 svchost.exe 进程来启动 svchost进程只作为服务宿主，并不能实现任何服 务功能

13、，即它只能提供条件让其他服务在这里被 启动，而它自己却不能给用户提供任何服务 其他系统服务是以动态链接库（ dll）的形式实现的， 它们把可执行程序指向 svchost，由 svchost调用相应 服务的动态链接库来启动服务 svchost.exe进程 svchost进程提供很多系统服务，如： rpcss服务 (remote procedure call)、 dmserver服务 (logical disk manager)、 dhcp服务 (dhcp client)等 如果要了解每个 svchost进程到底提供了多少系统 服务，可以在 Win2000的命令提示符窗口中输入 “ tlist -

14、s”命令来查看，该命令是 Win2000 support tools提供的。在 WinXP则使用“ tasklist /svc”命令 svchost.exe进程 因为 svchost进程启动各种服务，所以病毒、 木马也想尽办法来利用它，企图利用它的 特性来迷惑用户，达到感染、入侵、破坏 的目的 如冲击波变种病毒“ w32.welchia.worm” svchost.exe进程 在受感染的机器中到底哪个是恶意软件进程呢？ 一般来说， XP操作系统下有 5个左右的 svchost.exe进程，比如 SYSTEM用户名下有 3个 svchost.exe NETWORK SERVICE用户名下有 2个

15、 svchost.exe LOCAL SERVICE用户名下有 1个 svchost.exe 其他系统也是大致如此，它们的用户名都是 SYSTEM、 NETWORK SERVICE、 LOCAL SERVICE这三个，如果不是这三个用户名那么就 有可能是恶意软件 svchost.exe进程 正常的 svchost.exe程序存放在 windowssystem32这个目录下。如果其它 目录下有 svchost.exe文件，那一定是恶意 软件 “任务管理器”中 svchost.exe进程的个数 不重要，关键看他是什么用户名而且位置 是不是在 windowssystem32这个目录下 Windows

16、中的其他进程 Windows中，有些进程不是必需的，可以根据服 务管理的需要来结束它们，比如 mstask.exe： Windows计划任务，用于指定在什 么时候运行任务 alg.exe：应用层网关服务，是网络链接共享和 Windows防火墙的一部分 internat.exe：用于更改类似国家设置、键盘类型 和日期格式 Windows中的其他进程 mdm.exe： Debug除错管理，用于调试应 用程序和 Microsoft Office中的 Microsoft Script Editor脚本编辑器 regsvc.exe：远程注册表服务，用于访问远 程计算机的注册表 taskmgr.exe：

17、Windows任务管理器，是 Windows任务管理执行者 Windows中的其他进程 tcpsvcs.exe： Windows网络组件的一部分。这个 系统进程用于计算机使用专用的 TCP/IP网络服务， 例如 DHCP，简单 TCP和打印服务 wuauclt.exe：负责 Windows自动升级的系统进程， 可以在线检测最近 Windows更新，如果没有开启 自动升级的话就不会有这个进程，而且就算你开 启了它，它也不是任何时候都运行的 ctfmon.exe： Microsoft Office产品套装的一部分， 是有关输入法的一个可执行程序 在 Windows中查看一般的进程 使用“任务管理器

18、”查看进程 “任务管理器”还可以终止一般的进程 在提示符下使用命令“ tasklist”查看进程 使用“系统信息”中的“正在运行任务” 使用“ netstat”命令查看网络连接情况及发 起的程序 使用 netstat abnov命令 查看隐藏进程和远程进程 可以使用“隐藏进程查看工具”查看隐藏 进程 使用如下命令可以查看远程进程 Task /s IP /u username /p password 强制结束进程 使用“任务管理器”。但它无法结束某些进程 使用 ntsd命令强制结束进程 ntsd是从 Win2000开始系统自带的用户态调试工具。被 调试器附着 (attach)的进程会随调试器一起

19、退出，所以 可以用来在命令行下终止进程。使用 ntsd自动就获得了 debug权限，从而能杀掉大部分的进程。只有 System、 Smss.exe和 Csrss.exe不能杀 ntsd -c q -p PID 或 ntsd -c q -pn imagename 使用 taskkill命令强制结束进程 taskkill /im imagename /f，或 taskkill /pid ProcessID /f 清除恶意软件文件 首先使用前面提到的方法结束恶意软件进程 然后利用恶意软件常用的启动位置（比如注册表 项 CurrentVersionRun）找到恶意软件文件的 具体位置，删除恶意软件文件 删除恶意软件的启动项 如果上述删除恶意软件文件方法不可行，可尝试 在保护模式下删除恶意软件文件 使用 Attrib命令发现 并删除隐藏的恶意文件 Attrib命令用来显示、设置或删除指派给文 件或目录的只读、存档、系统以及隐藏属 性 Attrib命令 语法： attrib +r | -r +a | -a +s | -s +h | -h drive: path filename /s /d Attrib命令 可用于发现 U盘上的恶意文件 使用 Del命令删除恶意文件 End