首页 网络安全防范技术

网络安全防范技术

举报
开通vip

网络安全防范技术null网络安全与病毒防范技术主讲:李 飞 网络安全与病毒防范技术什么是安全?什么是网络安全?什么是安全?什么是网络安全?安全 一种能够识别和消除不安全因素的能力 安全是一个持续的过程 网络安全是网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断网络安全现状:网络安全现状:木马、后门居首位木马、后门居首位2008十大病毒2008十大病毒  1、线上游戏窃取者(Trojan.PSW.Win32.GameOL)   2、安德夫木马(Tro...

网络安全防范技术
null网络安全与病毒防范技术主讲:李 飞 网络安全与病毒防范技术什么是安全?什么是网络安全?什么是安全?什么是网络安全?安全 一种能够识别和消除不安全因素的能力 安全是一个持续的过程 网络安全是网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断网络安全现状:网络安全现状:木马、后门居首位木马、后门居首位2008十大病毒2008十大病毒  1、线上游戏窃取者(Trojan.PSW.Win32.GameOL)   2、安德夫木马(Trojan.Win32.Undef)   3、梅勒斯Rootkit(RootKit.Win32.Mnless)   4、Flash漏洞攻击器(Hack.Exploit.Swf)   5、奇迹木马(Trojan.PSW.SunOnline)   6、安德夫Rootkit(RootKit.Win32.Undef)   7、西游木马(Trojan.PSW.Win32.XYOnline)   8、POPHOT点击器(Trojan.Clicker.Win32.PopHot)   9、代理蠕虫(Worm.Win32.Agent)   10、QQ通行证木马(Trojan.PSW.Win32.QQPass) 计算机病毒的概念计算机病毒的概念 从广义上讲,凡是能够引起计算机故障,破坏计算机数据的程序 统称为“计算机病毒”。据此定义,诸如蠕虫、木马、恶意软件 此类程序等均可称为“计算机病毒”。 计算机病毒特性:破坏性、隐蔽性、传染性、潜伏性。 “计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者 毁坏数据,影响计算机使用,并能自我传染的一组计算机指令或者程序 代码。” ——《中华人民共和国计算机信息系统安全保护条例》第二十八条 (1994年2月18日中华人民共和国国务院令147号发布) 计算机病毒的传播方式计算机病毒的传播方式一、通过因特网传播 1.浏览网页和下载软件 2.网络游戏 3. 即时通讯软件 4. 电子邮件 二、通过局域网传播 1. 文件共享 2. 系统漏洞攻击三、通过移动存储设备传播 1. 软盘 2. 磁带 3. 光盘 4. 移动硬盘 5. U盘(含数码相机、MP3等) 6. 磁光盘(MO) 四、通过无线网络或设备传播 1. 智能手机、PDA 2. 无线通道计算机病毒产生的根源计算机病毒产生的根源 计算机系统的复杂性和脆弱性; 各种矛盾激化、经济利益驱使; 炫耀、玩笑、恶作剧或是报复;计算机病毒的危害计算机病毒的危害 劫持IE浏览器,篡改首页及一些默认项目(如默认搜索) ; 添加驱动保护,使用户无法删除某些软件 ; 修改系统启动项目,使某些恶意软件可以随着系统启动; 在用户计算机上开置后门,黑客可以通过此后门远程控制中毒机器, 组成僵尸网络,对外发动攻击、发送垃圾邮件、点击网络广告等牟利 ; 采用映像劫持技术,使多种杀毒软件和安全工具无法使用 ; 记录用户的键盘、鼠标操作,窃取银行卡、网游密码等信息 ; 记录用户的摄像头操作,可以从远程窥探隐私 ; 使用户的机器运行变慢,大量消耗系统资源 ; ……木马、后门居首位木马、后门居首位1、病毒自动化生产技术更成熟、泛滥,利益驱动制造大量木马、病毒。 2、黑客采用“木马洪水”战术与反病毒厂商对抗,架设专用的病毒升级服务器,定期自动升级。从追求病毒个体寿命转化为有效寿命。自动生产对抗杀软利用漏洞3、浏览器漏洞和应用软件漏洞更多、更容易利用。如“Flash漏洞攻击器”累计感染260余万台电脑,高居本年度十大病毒第4位。计算机病毒的发展简史计算机病毒的发展简史199820062008200020022004CIH病毒1998年 盗版光盘 破坏硬盘数据爱虫病毒2000年 电子邮件 传播自身并破坏 数据文件SQL蠕虫王2003年 利用SQL server 2000远程堆栈缓 冲区溢出漏洞通 过网络传播 公用互联网络瘫 痪2004年 利用windows的 LSASS 中存在一 个缓冲区溢出漏 洞进行传播 传播自身,瘫痪 网络,破坏计算 机系统震荡波2006年 利用所有成熟的 网页挂马、U盘 ARP欺骗、网络 共享 传播自身,破坏 用户数据,组建 僵尸网络 熊猫烧香2008年 利用flash漏洞等 第三方应用程序漏 洞挂马传播 传播自身,攻击安 全软件,组建僵尸 网络,盗取账号牟 利木马群互联网病毒产业链互联网病毒产业链病毒销售人木马病毒的制造盗号人(病毒购买人)病毒持有人病毒制作人漏洞挖掘人流量商 (病毒植入者)网站 (病毒传播者)网民 (病毒受害者)木马病毒的传播分工明确,制造、传播、贩卖、获利环环相扣,非常成熟计算机病毒的过去与现在计算机病毒的过去与现在从炫技、恶作剧、仇视破坏到贪婪依托互联网,集团化运作, 以经济利益作为唯一目标自我复制和传播,破坏电脑功能和数据 ,甚至破坏硬件,影响电脑正常使用病毒技术本身没有突破,和以前的病毒 没有本质区别通过磁盘、光盘、电子邮件、网络共享 等方式传播 危害的表象:一个电脑病毒感染数千万 台电脑,横行全球,破坏用户系统 (CIH、梅丽莎、冲击波、尼姆达等等)生产、传播、破坏的流程完全互联网化 ,组成分工明确、日趋成熟的病毒产业 链;各种基础互联网应用都成为病毒入 侵通道,其中“网页挂马”最常见,占 总量90%以上。我们面临的困境2008年中国地区互联网病毒疫情 据瑞星公司统计,2008年1月至10月,在中国地区,瑞星共截获病毒930万个,其中木马病毒占总体64%,后门病毒占总体20%,蠕虫病毒占总体4%,其他病毒为12%。 病毒传播途径:90%通过网页挂马方式传播。不到10%通过U盘等移动存储设备传播;还有极少病毒通过邮件等其他方式传播。我们面临的困境2008年网页挂马使用的主要漏洞及其比例2008年网页挂马使用的主要漏洞及其比例Adobe Flash Player 18% RealPlayer 10/11 10% Microsoft Data Access Components (ms06-014) 8% Windows ANI(MS07-017) 8% 迅雷看看 ActiveX 7% 暴风影音II ActiveX 7% PPLIVE ActiveX 7% PPS ActiveX 7% Microsoft Office 2003 (MS08-011) 5% Microsoft Ofiice (MS08-056) 5% Windows Media player 9 (MS08-053) 3% Microsoft GDI+(MS08-021) 3% 超星阅读器ActiveX 3% 联众世界ActiveX 3% 新浪ActiveX 3% 百度搜霸ActiveX 3%木马病毒的制造木马病毒的制造单纯的漏洞挖掘已经成为病毒产业链中的一环(黑客发现漏洞后无需编写病毒即能挣钱)安全漏洞 挖掘网页木马 制作盗号木马 制作各种基础互联网应用都成为病毒入侵通道,其中“网页挂马”最常见占总量90%以上病毒程序的模块化使得病毒制作门槛大大降低,带来网上木马制作工具泛滥,进而使病毒制作呈现出商业化运作模式按照“客户”需求批量定制盗号木马,去窃取客户指定的有价值的信息流水线式的工业化生产病毒下载器 制作软件漏洞挖掘软件漏洞挖掘挖掘漏洞挖掘漏洞 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 软件厂商厂商修复漏洞提供安全更新公开或地下出售获利用户安装补丁0day 攻击出现木马制作模板木马制作模板网页木马制作模板盗号木马制作模板某网页木马制作的模板 粉红色区域可以定制式地填入所利用的漏洞、攻击功能等要素只需要填入、勾选所要盗取的网络游戏的名称互联网化病毒组成互联网化病毒组成漏洞信息网页木马盗号木马病毒下载器超级病毒组合完全区别于以往的单个病毒,现在的病毒,更多的通过模块清晰、分工明确的一个超级组合,利用互联网像工业流水线那样的制造和传播病毒,使得其传播速度和破坏能力急剧增强。木马病毒传播流程木马病毒传播流程收购流量挂马雇佣黑客入侵网站挂马利用SEO技术优化欺骗性挂马网站搜索排名利用P2P网络欺骗性传播挂马网页病毒传播各种基础互联网应用都成为病毒入侵通道,其中“网页挂马”最常见,占总量90%以上。传统杀毒软件面临的困境传统杀毒软件面临的困境A.漏洞攻击防不胜防B.通过加密变形躲避查杀C.利用ARP欺骗扩大攻击D.挂马威胁无处不在漏洞攻击防不胜防漏洞攻击防不胜防70%2%63%35%流行漏洞利用率其他常用应用软件微软操作系统和OFFICE通过加密变形躲避查杀通过加密变形躲避查杀加密前网页木马加密后网页木马总结总结计算机病毒已经互联网化网页挂马是计算机病毒的主要传播源,牟取一定的经济利益是其根本目的普通用户仅依靠自身安全意识,很难应对复杂多变,花样翻新的病毒入侵渠道网页木马可以任意变形加密,传统的依赖特征码的查杀方法失去原有威力计算机只要被感染一次,就有可能长期成为多种病毒和恶意程序破坏的目标计算机病毒的表现性体现:“女鬼”病毒计算机病毒的表现性体现:“女鬼”病毒计算机病毒的表现性体现:MSN病毒计算机病毒的表现性体现:MSN病毒反病毒行业应对“无力”反病毒行业应对“无力”挂马威胁无处不在挂马威胁无处不在并非只在浏览网页的时候并非只在使用浏览器的时候null一个企业级的病毒解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 一套优秀的防毒软件 一个工作勤奋努力的网络管理员 +=以往的病毒防护体系不能满足安全需求null引导型病毒 文件型病毒 网络型病毒 复合型病毒 按感染途径将病毒分类null复合型病毒是目前病毒的感染趋势null通过名称判断病毒特征通过病毒全称了解病毒传播途径和解决病毒 例:Trojan.DL.Script.vbs.az Trojan.Win32.Psw.GameOL.ft Hack.Exploit.Win32.MS08-067.ax Worm.Win32.DiskGen.gew Dopper.Win32.StartPage.a Backdoor.Gpigeon.b null病毒的命名—— 通过名称判断病毒特征(1)<病毒前缀>.<特性>.<病毒名称>.<病毒后缀>null病毒的命名—— 通过名称判断病毒特征(2)Win32(系统病毒) Worm(蠕虫病毒) Trojan(木马病毒) Hack(黑客病毒) Script(脚本病毒) Backdoor(后门病毒)与后门程序 Dropper(释放病毒的程序) Harm(破坏性程序病毒) null病毒的命名—— 通过名称判断病毒特征(3)Binder(捆绑型病毒) Virus(感染型病毒) Joke(玩笑病毒) RootKit Packer PSW ….null病毒的命名—— 通过名称判断病毒特征重新在来看病毒名字的特性 例:Trojan.DL.Script.vbs.az Trojan.Win32.Psw.GameOL.ft Hack.Exploit.Win32.MS08-067.ax Worm.Win32.DiskGen.gew Dopper.Win32.StartPage.a Backdoor.Gpigeon.b 文件型病毒的存储结构文件型病毒的存储结构一、基本概念 文件型病毒是指专门感染系统中的可执行文件(即扩展名为.COM、.EXE)的病毒。 二、 磁盘存储结构 此类病毒程序没有独立占用磁盘上的空白簇,而是附着在被感染文件的首部、尾部、 中部或其他部位。病毒入侵后一般会使宿主程序占用的磁盘空间增加。 三、 简要说明 绝大多数文件型病毒属于外壳病毒, 外壳(即病毒程序)与内核(即宿主程序) 之间构成一种层次化结构,加载关系为先 运行外壳,再跳转去执行内核。可执行文 件的外壳一般具有相对独立的功能和结构, 去掉外壳将不会影响内核部分的运行。null判断电脑中是否含有病毒反病毒软件扫描 观察法 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 工具 ——瑞星听诊器,卡卡上网安全助手病毒“免杀”技术 杀毒软件的工作方式一般是特征码匹配杀毒,即通过分析病毒的特征码来判断病毒。 而病毒只有能够逃避过杀毒软件的查杀,才能顺利实现其入侵系统、盗取用户私密信息 的目的,‘免杀’病毒则应运而生。” “免杀”概念 “免杀”,顾名思义就是逃避杀毒软件的查杀,目前用得比较多的方法主要有三种, 分别是“加花指令”、“加壳”和“修改特征码”,通常黑客们会针对不同的情况来 运用不同的免杀方法。 关于病毒特征代码 反病毒厂商截获到一个病毒后,将会提取该病毒中比较关键的一段代码作为辨认该 木马的特征值,在杀毒软件进行杀毒的过程中把它拿出来和某具体的文件做比对。就和 我们辨认人一样,把某人的相貌特征记录下来,比如:丹凤眼、瓜子脸、马尾辫等, 在下次见到此人时一眼就可以认出来。病毒“免杀”技术计算机病毒的破坏性体现计算机病毒的破坏性体现null病毒加载方式null被病毒利用的一些功能应用程序劫持项 组策略中的软件限制策略 AutoRun.inf ws2_32.dll 网站挂马 null一些简单的技巧程序改名,或者修改后缀 创建同名文件夹免疫病毒 利用WinRAR查看隐藏文件 安全小工具,如IceSword,Wsyscheck等 反病毒产品发展史反病毒产品发展史80年代中期,病毒开始流行80s末-90s初,病毒数量激增,硬件防病毒卡出现90s中杀防集成化,90s末出现实时防毒的反病毒软件2000年前后,出现集中控制分布处理的网络杀毒软件2003年左右,出现具备防毒功能的硬件网关设备广泛使用的反病毒技术广泛使用的反病毒技术 特征码扫描技术 虚拟执行技术 实时监控技术 智能引擎技术 嵌入式杀毒技术null主动防御——一场时代性的变革2000年——出现简单的文件监控2001、2002年——出现邮件监控、网页监控 2003、2004年-注册表监控、引导区监控、内存监控2005、2006、2007年-增加漏洞攻击监控、IE防漏墙2008年-主动防御技术null 在当今的反病毒领域,主流的“特征码查杀” 技术存在致命弱点——即:过分依赖于对 新病毒的截获能力和速度,陈旧而呆板的 “截获-处理-升级”工作模式,决定了其 永远滞后于病毒的出现和传播的必然性; 当前的网络安全形势日益严峻,混合式威胁已成为主流,基于漏洞的 攻击层出不穷,大量病毒制造者大肆展开变种数量与速度的竞赛; 利益驱动病毒商业化运作,并且攻击目标明确,主要针对各种网上 交易、网络游戏、电子邮件、网页浏览与网络下载等基础网络应用; 病毒的自我防御能力普遍增强,加壳技术广泛应用,甚至主动攻击安 全类软件,破坏系统的功能或属性,因此,迫切需要攻防兼备的安全防 护产品; 为什么需要主动防御 ?null主动防御架构null HIPS层无需病毒库支持; 传统监控层误报率极低; 行为分析层能判定未知病毒; 三层结构,三重过滤, 相互支持,优势互补。主动防御技术的特点null互联网时代我们需要面临的问 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 一.如何感知互联网上威胁的变化与本质? 病毒获取问题、海量病毒分析问题.. 二.如何快速的回应互联网上的威胁? 海量病毒处理问题、本机保护/防御问题、升级问题 … 三. 如何打破 “群狼 vs 个人英雄” 模式? 产品互联网化、反病毒产业协作问题.. 四. 如何避免在“非技术竞争”中受到伤害? 垃圾库的问题,市场传播问题… 互联网时代下感知新威胁互联网时代下感知新威胁云安全网 “云安全 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 ”-所有的用户享受瑞星VIP服务。新威胁进入云安全网(或进入之前)将被立即捕获、感知。 第一阶段:利用节点做半主动收集。我们了解病毒的藏身之处,获取可疑样本时的“误报”只会带来待分析的数量。并不会让用户受到伤害。 第二阶段:利用节点做全主动收集。专业的知识与技术将带给我们病毒真正的源头!我有能力在病毒感染用户前感知它们的存在!null不是“云计算”的安全 不是病毒的收集方式 是解决病毒威胁互联网化后的安全策略(安全的互联网化) “云安全”(Cloud Security)计划“云安全”(Cloud Security)计划“云安全”(Cloud Security)计划通过互联网,将全球瑞星用户的电脑和瑞星“云安全”平台实时联系,组成覆盖互联网的木马、恶意网址监测网络,能够在最短时间内发现、截获、处理海量的最新木马病毒和恶意网址,并将解决方案瞬时送达所有用户,提前防范各种新生网络威胁。每一位瑞星用户,都可以共享上亿瑞星用户的“云安全”成果。 “云安全”就是一个巨大的系统,它是杀毒软件互联网化的实际体现。具体来说,瑞星“云安全”系统主要包括三个部分:超过一亿的客户端、智能型云安全服务器、瑞星的合作伙伴。传统的安全策略传统的安全策略发展完善更多的主机反病毒技术 在产品中应用更多的病毒检测方法与防御技术缩短软件升级的间隔 加快对用户中病毒后的反应速度null上网求助客 服病毒处理传统威胁感知模型太被动,用户大量中毒,我们也不一定能感知!传统安全模式的主要缺点传统安全模式的主要缺点被动的应对互联网出现的新威胁安全防御思想基于“单机”设计主要依赖用户对威胁的感知能力 厂商监控互联网“威胁”的方式过于盲目防御思想落后(只发展单机检测、防御技术) 互联网化程度只停留在“升级”、“白名单验证”(检测、防御功能之间的互联网化几乎为零)null卡卡助手客 服病毒处理迅雷Flash Get杀毒软件、防火墙样本自动采集系统其它…论坛比传统快速了,但用户还是先中毒我们再感知!新威胁感知模式1.0越来越多用户在享受云安全的成果越来越多用户在享受云安全的成果迅雷 快车 9YOU《超级舞者》 《破天一剑》 完美卸载 鱼鱼桌面 null卡卡助手客 服病毒处理迅雷Flash Get杀毒软件 防火墙样本自动采集系统其它…论坛互联网 网站病毒URL 来源病毒URL 来源病毒URL 来源病毒URL 来源病毒URL 来源新威胁感知模式2.0我们有机会在用户中毒前,帮他们预见到威胁!!null来源挖掘 云安全中心即时升级服务器 互联网内容云安全客户端 互联网用户威胁信息分析“云安全”客户端 感知捕获互联网威胁,抵御互联网威胁 静态特征检测 静态启发式检测 基于互联网协作的行为特征检测 基于互联网协作的资源访问控制“云安全”客户端互联网威胁信息数据中心 收集威胁信息并提供给客户端协作信息 收集客户端拦截的威胁(病毒)来源网址 收集威胁样本(可疑病毒) 收集威胁防御动态信息 提供可信认验证服务 提供动态威胁信息查证互联网威胁信息数据中心互联网威胁挖掘集群分布式新威胁挖掘集群 深度挖掘威胁信息提取威胁来源及其它信息 病毒升级下载地址更新的监控(捕获新病毒)互联网威胁挖掘集群云安全自动分析处理系统自动分析、处理威胁(病毒)样本 分布处理技术 行为判定技术 族群分类技术 白名单 …云安全自动分析处理系统即时查杀平台威胁识别信息分享 网页浏览器(挂马网址、恶意网址的识别) 搜索引擎(对恶意网址的识别) 下载软件 (对下载内容的威胁判定) 即时通讯软件(对恶意网址、威胁的判定) 网游(对本机环境威胁的判定) … 即时查杀平台云安全模式的特点云安全模式的特点123快速感知、捕获新威胁 云安全客户端的专业感知能力 互联网威胁源头的监控快速回应新威胁 基于互联网的立体防御功能 对互联网威胁传播渠道的拦截安全模式革新 用安全互联网化回应病毒互联网化null传统模式获取可疑病毒本样量传统模式与云安全网病毒样本获取量对比传统模式与云安全网病毒样本获取量对比“云安全”的技术和成果“云安全”的技术和成果1、智能化的网页代码行为分析/判断技术 采用智能网页脚本行为分析/判断技术,对于挂马网页有很好的防御和处理能力。 解决了传统方式—通过网页脚本特征技术无法对加密变形的病毒脚本进行判断的问题。 在云安全用户节点处,主动探针互联网上的最新威胁。 挂马网站自动查询系统挂马网站自动查询系统病毒自动挖掘系统病毒自动挖掘系统瑞星恶意网址库的优势瑞星“云安全”拥有数千万客户端,覆盖互联网的各个角落 通过互联网实时更新 瑞星恶意网址库的优势我们拥有的技术和成果2、借助木马即时查杀技术,保障软件自身安全,同时保障用户电脑的安全环境。 凭借瑞星多年的反病毒经验和技术。 凭借“云安全”网截获的巨大病毒样本量。 灵活的方式。 我们拥有的技术和成果我们拥有的技术和成果我们拥有的技术和成果3、强大的互联网威胁感知能力 借助瑞星“云安全”数千万用户侦测群。 能够在最短时间内发现、截获、处理海量的最新木马病毒和挂马网站。 将解决方案瞬时送达所有用户和合作伙伴,提前防范各种新生网络威胁。每一位用户都可以共享数千万用户的“云安全”成果。 null“云安全”计划的梦想—互联网就是杀毒软件有了这些技术就足够了吗?我们有了这些技术和成果就能解决所有的威胁吗? 仅凭瑞星一家安全厂商的努力就可以打造可信任的互联网吗? 我们应该携起手来,共同打造可信任的互联网,使整个互联网成为最大最安全的安全软件! ----这是我们共同的责任!有了这些技术就足够了吗?一些基本的系统概念(上)一些基本的系统概念(上)一、进程: 进程为应用程序的运行实例,是应用程序的一次动态执行; 可以简单理解为——系统当前运行的执行程序; 当运行某程序时,就创建了一个容纳该程序代码及其所需动态链接库的进程。 (1)系统进程 :用于完成操作系统的各种功能的进程就是系统进程,它们就是处于运行 状态下的操作系统本身,是系统运行所必须的;   (2)用户进程 :用户进程就是所有由用户执行应用程序所启动的进程。其中应用程序是 由用户安装的程序,执行一个应用程序时可能会启动多个不同的进程。 二、线程: 线程是进程中的实体,一个进程可拥有多个线程,实现程序的并发执行, 但一个线程必须有一个父进程。 实际上线程运行而进程不运行,线程不拥有系统资源,它与父进程的其它 线程共享该进程所拥有的全部资源。一些基本的系统概念(下)三、服务: 在Windows系统中,服务是指执行特定系统功能的程序、例程或进程,以便 支持其他程序,尤其是低层(接近硬件)程序,他们一般随系统启动并在后台运行。 四、驱动: 驱动是是一种可以使计算机操作系统和设备通信的特殊程序,是操作系统和 硬件设备间的通信接口,他们告诉操作系统有哪些设备以及设备的功能。 五、DLL: 即动态链接库(Dynamic Link Library),是一种可执行文件。 dll文件是一个可以被其它程序共享的程序模块,其中封装了 一些可以被共享的代码、数据或函数等资源。 DLL文件一般不能单独执行,而应由其他Windows 应用程序直接或间接调用。一些基本的系统概念(下)常见系统进程解析常见系统进程解析典型病毒分析——灰鸽子典型病毒分析——灰鸽子灰鸽子木马分两部分:客户端和服务端。 黑客操纵着客户端,利用客户端配置生成 出一个服务端程序,默认为Game.exe或G_Server.exe,然后开后门。 开后门的手段: 诱骗下载 文件捆绑 IE漏洞null查找针对的辅助文件null搜索“_hook.dll”结尾的文件null (2000/XP系统)[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 故障现象: 1. 启动病毒进程故障现象: 1. 启动病毒进程“橙色八月”病毒排查清除过程2. 杀毒软件监控被强行关闭 3. 无法进入安全模式 2. 杀毒软件监控被强行关闭 3. 无法进入安全模式 “橙色八月”病毒排查清除过程4. 硬盘盘符无法直接双击打开4. 硬盘盘符无法直接双击打开“橙色八月”病毒排查清除过程所有分区盘符下面生成自动播放文件所有分区盘符下面生成自动播放文件使用IceSword查看进程使用IceSword查看进程在C:\WINDOWS\system32 目录中找到的病毒文件在C:\WINDOWS\system32 目录中找到的病毒文件对比两个文件的属性对比两个文件的属性直接删除文件提示“拒绝访问”直接删除文件提示“拒绝访问”清除过程:清除过程:通过IceSword禁止新进程的创建通过“强制删除”删掉两个病毒文件通过“强制删除”删掉两个病毒文件删掉硬盘跟目录中的自动播放文件删掉硬盘跟目录中的自动播放文件计算机病毒的预防(上)计算机病毒的预防(上)1.备份重要数据(包括操作系统本身和主要应用数据)并妥善保管; 2 .安装正版的杀毒软件及防火墙程序,设定必要的安全策略,经常更新病毒库; 3 .及时修补操作系统及常用软件的漏洞; 4 .禁用Guest账户,为系统设置强密码 ; 5 .关闭不必要的系统服务; 6.最好使用NTFS文件系统格式; 7.不要随便共享文件,如果确实需要使用, 最好设置权限限定访问,建议不可写入; 8.不要轻易下载和安装盗版的、不可信任的软件; 9.注意软盘、U盘、光盘等移动存储设备的安全使用;计算机病毒的预防(下)计算机病毒的预防(下)10 .不要随便打开不明来历的电子邮件,尤其是邮件附件; 11 .不要浏览一些缺乏可信度的网站,尤其注意浏览器插件的安装 ; 12.不要随便点击打开QQ、MSN等IM工具上发来的链接信息或传送来的文件; 13.警惕电脑使用中的异常状况; 14.使用专用软件加固重要的应用服务器; 15.在网关处架设病毒过滤设备; 16.加强内网终端系统和用户的管理; 17.注意定期地扫描计算机系统和网络、 查看并分析病毒、攻击等事件日志; 18.及时关注流行病毒以及下载专杀工具;“网络钓鱼”“网络钓鱼”网络钓鱼从根本上来讲是一种欺诈行为,或者说是利用互联网实施的网络诈骗。“网络钓鱼”“网络钓鱼”“网络钓鱼”“网络钓鱼”“网页挂马”“网页挂马”系统安全检查清单系统安全检查清单1 .物理安全 (监控、上锁等);  2 .停掉Guest 帐号 (保险起见,最好给guest 加一个复杂的密码); 3.限制不必要的用户数量,经常检查并删除不用的临时帐户, 共享帐号等; 4.创建2个管理员用帐号 ,一个一般权限帐号用来处理日常事物,另一个Administrator 权限帐户只在必要时使用。 5.把系统administrator帐号改名并尽量把它伪装成普通用户; 6.创建一个陷阱帐号,设置上最低权限和超级复杂密码; 7 .把共享文件的权限从”everyone”组改成“授权用户”,包括打印共享; 8 .使用安全密码 ; 9 .设置屏幕保护密码 ; 10 .使用NTFS格式分区 ; 11.开启防毒软件,避免感染攻击者使用的木马后门程序,并经常升级病毒库。 12.保障备份盘的安全 ,定时备份服务器上的重要数据内容。null 联系方式 姓名:李飞 EMAIL:lifei@rising.com.cn
本文档为【网络安全防范技术】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
下载需要: 免费 已有0 人下载
最新资料
资料动态
专题动态
is_410516
暂无简介~
格式:ppt
大小:12MB
软件:PowerPoint
页数:0
分类:互联网
上传时间:2010-09-22
浏览量:60