【文档说明】病毒与木马的防范介绍医学课件.pptx，共(61)页，435.654 KB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-246393.html

以下为本文档部分文字说明：

病毒与木马的防范1课程大纲⚫防病毒⚫蠕虫防范⚫木马防范⚫恶意网页防范⚫恶意代码的分析前言⚫恶意代码定义：⚫恶意代码=有害程序⚫(包括病毒、蠕虫、木马、垃圾邮件、间谍程序、玩笑等在内的所有可能危害计算机安全的

程序)⚫主要分为病毒、蠕虫、木马、恶意网页四大类。病毒防范⚫病毒定义⚫病毒类型⚫病毒的分类⚫病毒技术和特点⚫防病毒产品⚫病毒防范策略病毒定义⚫计算机病毒：是指编制或者在计算机程序中插入破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算

机指令或者程序代码⚫一种能把自己（或经演变）注入其它程序的计算机程序⚫传播机制同生物病毒类似。生物病毒是把自己注入细胞中⚫蠕虫程序与木马程序不是真正意义上的病毒电脑病毒的工作原理⚫病毒三部曲：➢住进阶段：执行被感染的程序，病毒就

加载入计算机内存➢感染阶段：病毒把自己注入其它程序，包括远程文件➢执行阶段：当某些条件成熟时，一些病毒会有一些特别的行为。例如重新启动，删除文件。主要病毒类型⚫引导型计算机病毒主要是感染磁盘的引导扇区，➢也就是常说的硬盘的boot区。我们在使用被感染的磁盘（无论是软盘还是硬盘）启动计

算机时他们就会首先取得系统的控制权，驻留在内存之后再引导系统，并伺机传染其它软盘或硬盘的引导区。⚫文件型计算机病毒➢一般只传染磁盘上的可执行文件（com、exe），在用户调用感染病毒的可执行文件时，计算机病毒首先被运行，然后计算机病毒驻留内存伺机感染其它文件，其特点是附着于正常程序文件，成为程序文

件的一个外壳或部件。⚫宏病毒（macrovirus）➢传播依赖于包括word、excel和powerpoint等应用程序在内的office套装软件。⚫电子邮件计算机病毒就是以电子邮件作为传播途径的计算机病毒病毒分类⚫病毒命名方式：➢病毒前缀是指一个病毒的种类，用来区别病

毒的种族分类的。如木马病毒的前缀trojan，蠕虫病毒的前缀是worm➢病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。病毒的分类⚫系统病毒⚫系统病毒的前缀为：win32、pe、wi

n95、w32、w95等。可以感染windows操作系统的*.exe和*.dll文件，并通过这些文件进行传播。如cih病毒。⚫蠕虫病毒⚫蠕虫病毒的前缀是：worm通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络

的特性。比如冲击波，小邮差。（通常单列）⚫木马/黑客病毒➢木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack。通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息。（通常单列）病毒的

分类⚫脚本病毒➢脚本病毒的前缀是：script。用脚本语言编写，通过网页进行的传播的病毒，如红色代码（script.pedlof）⚫宏病毒➢宏病毒的前缀是：macro，第二前缀是：word、word97、excel、exc

el97（也许还有别的）其中之一。如著名的美丽莎（macro.word.melissa）。⚫后门病毒➢后门病毒的前缀是：backdoor。通过网络传播，给系统开后门，给用户电脑带来安全隐患。如irc后门backdoor.irobot。⚫病毒种植

程序➢运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者(dropper.binghe2.2c)、msn射手（dropper.worm.smibag）等。病毒的分类⚫

破坏性程序病毒➢破坏性程序病毒的前缀是：Harm用好看的图标来诱惑用户点击，当点击这类病毒时，便会直接对计算机产生破坏。如格式化c盘（harmformatcf）⚫玩笑病毒➢玩笑病毒的前缀是：joke。也成恶作剧病毒。用好看

的图标来诱惑用户点击，但不对电脑进行破坏。如：女鬼（joke.grilghost）病毒。⚫捆绑机病毒➢捆绑机病毒的前缀是:binder.用特定的捆绑程序将病毒与应用程序如qq、ie捆绑起来，当运行这些捆绑病毒时，会表面上运行这些应用程

序，然后隐藏运行捆绑在一起的病毒。如：捆绑qq（binder.qqpass.qqbin）防病毒软件的结构防病毒软件的3个组成部分防病毒网关⚫由于目前的防火墙并不能防止目前所有的病毒进入内网，所以在某些情况下，需要在网络的数据出口处和网络中重要设备前配置防病毒网关，以防止病毒

进入内部网络。防病毒网关⚫防病毒网关按照功能上分为两种：➢保护网络入口的防病毒网关➢保护邮件服务器的防病毒网关⚫防病毒网关按照部署形式分为：➢透明网关➢代理网关防病毒网关邮件防病毒⚫由于目前的病毒大部分均是通过邮件传播的

，所以对于邮件服务器的保护是十分重要的。➢对邮件服务器系统自身加固➢邮件防病毒网关客户端防病毒⚫引导安全⚫系统安装安全⚫系统日常加固⚫日常使用安全反病毒技术⚫第一代反病毒技术采取单程的病毒特征诊断，但是对加密，变形的新一点病毒无能为力；⚫第二代

反病毒技术采用静态广谱特征扫描技术，可以检测变形病毒，但是误报率高，杀毒风险大；⚫第三代反病毒技术将静态扫描技术和动态仿真跟踪技术相结合；⚫第四代反病毒技术基于病毒家族体系的命名规则，基于多位crc效验和扫描机理、启发式智能代码分析模块

、动态数据还原模块（能查出隐藏性极强的严肃哦加密文件中的病毒）、内存解读模块、自身免疫模块等先进解读技术，能过较好的完成查解毒任务。病毒检测方法⚫比较法➢比较法是用原始备份与被检测的引导扇区或者被检测的文件进行比较。⚫加总比对法⚫搜索法➢搜索法是用每一种计算机病毒体含有的的顶

字符串对被检测的对象进行扫描⚫分析法➢确认被观察的磁盘引导扇区和程序中是否含有计算机病毒；➢确认计算机病毒的类型和种类，判定其实否是一种新的计算机病毒；➢搞清楚计算机病毒体的大致结构；➢详细分析计算机病毒代码。⚫人工智能陷阱技术和宏病毒陷阱技术➢人工智能陷阱是一种检测计算机行为的常

驻式扫描技术。⚫软件仿真扫描法➢该技术专门用来对付多态类型的计算机病毒。⚫先知扫描法➢先知扫描法技术是继软件仿真后的一大技术上突破。反病毒技术发展趋势⚫人工智能技术的应用⚫提高清楚病毒准确性⚫以网络为核心的防病毒技术⚫多种技

术的融合新一代病毒预警技术⚫病毒预警技术一般是采用分步式的结构，进行集中管理报警，分散控制。⚫病毒预警的具体可采用“数据流分析”、“病毒诱捕”等技术。新一代病毒预警技术病毒的预防措施⚫新购置的计算机硬软件系统的测试⚫计算机系统的启

动⚫单台计算机系统的安全使用⚫重要数据文件要有备份⚫不要随便直接运行或直接打开电子函件夹带的附件文件⚫计算机网络的安全使用➢安装网络服务器时应保证没有计算机病毒存在。➢在安装网络服务器时，应将文件系统划分成

文件卷系统。➢一定要用硬盘启动网络服务器。➢为各个卷分配不同的用户权限。➢在网络服务器上必须安装真正有效的防杀计算机病毒软件➢系统管理员的职责。防护办公网络中病毒传播⚫大型内部网络，一般均有防火墙等便捷防护措施，但是还经

常会出现病毒，病毒是如何传入的呢⚫病毒传入途径：➢终端漏洞导致病毒传播；➢邮件接收导致病毒传播；➢外部带有病毒的介质直接接入网络导致病毒传播；➢内容用户绕过边界防护措置，直接接入因特网导致病毒传播；➢网页中的恶意代码传入；防护办公网络中病毒传播⚫系统漏洞传播⚫系统邮件

传播⚫储存介质传播⚫共享目录传播物理隔离网络中病毒的传播⚫国家机关和军队、银行等为了保护网络，一般均采用物理隔离措施，这类网络理论上应该是安全的，不过也有病毒的出现，这类网络，病毒主要是靠集中途径传播的：➢外部带有病毒的介

质介入网络导致病毒传播➢内部用户私自在将所有的终端接入因特网导致病毒被引入物理隔离网络中病毒的传播⚫系统漏洞传播；⚫存储介质传播；⚫邮件传播；建立有效的病毒防范管理机制⚫建立防病毒管理机构⚫防病毒管理机制的制定和完善⚫制定防病毒管理制度⚫用技术手段保障管理的有效性⚫加强培训以保障管理机制

执行建立有效的病毒防范管理机制建立有效的病毒应急机制⚫建立应急响应中心⚫病毒事件分级⚫制定应急响应处理预案⚫应急响应流程⚫应急响应的事后处理通常的病毒应急反应预案流程图二、蠕虫防范⚫防病毒⚫蠕虫防范⚫木马防范⚫恶意网页防范⚫恶意代码的分析蠕虫技术⚫蠕虫的特

征⚫蠕虫的基本结构⚫蠕虫发作特点和趋势⚫蠕虫分析和防范蠕虫的特征⚫定义：一段能不以其他程序为媒介，从一个电脑体统复制到另一个电脑系统的程序➢蠕虫是一种通过网络传播的恶性病毒。➢病毒共性：传播性，隐蔽性，破坏性➢蠕虫特性：不利于文件寄生，拒绝服务，结合黑客

技术➢破坏性上，蠕虫病毒也不是普通病毒所能比拟的！网络蠕虫传播基本原理利用程序中缓冲区溢出的缺陷进程劫持⚫注入现有的进程⚫重新启动后自动消失⚫增加侦测难度蠕虫的基本结构⚫传播模块：负责蠕虫的传播。⚫隐藏模块：侵入主

机后，隐藏蠕虫程序，防止被用户发现。⚫目的功能模块：实现对计算机的控制、监视或者破坏等功能蠕虫发作特点和趋势⚫利用操作系统和应用程序的漏洞主动进行攻击⚫传播方式多样。⚫许多新病毒制作技术是利用当前最新的编程语言与编程技术实现的。从而逃避反病毒软件的搜索

⚫与黑客技术相结合！蠕虫防范⚫蠕虫病毒往往能够利用漏洞：➢软件上的缺陷➢用户使用的缺陷蠕虫防范（cont.）⚫对于个人用户而言，威胁大的蠕虫病毒的传播方式：⚫一、电子邮件（email）➢对于利用email传播得蠕虫病毒来说，通常利用在社会工程学，即以各种各样的欺骗手

段来诱惑用户点击的方式进行传播！⚫二、恶意网页➢恶意网页确切的讲是一段黑客破坏代码程序，它内嵌在网页中，当用户在不知情的情况下打开含有病毒的网页时，病毒就会发作。木马防范⚫防病毒⚫蠕虫防范⚫木马防范⚫恶意网页防范⚫恶意代码的分析木马⚫木马定

义及生存方式⚫五代木马技术的发展⚫关键技术和检测方法⚫防范实例和方法木马程序的生存方式⚫包含一个合法程序中，与合法程序绑定在一起，在用户调用该合法程序时，木马程序也被启动；⚫在一个合法程序中加入此非法程序执行代码，

该代码在用户调用合法程序时被执行；⚫直接伪装成合法程序。木马定义⚫定义：当目标主机上的木马程序被执行后，目标主机就成为一个网络服务器，这时通过木马程序的另一部分，就可以对目标主机进行监视、控制。本质上是一种基于远程控制的病毒程序，

具有很强的隐蔽性和危险性。⚫1.隐蔽性是其首要的特征：主要体现：➢A、不产生图标➢B、自动隐藏⚫2.它具有自动运行性⚫3.木马程序具有欺骗性⚫4.具备自动恢复功能⚫5.能自动打开特别的端口⚫6.功能的特殊性⚫7.黑客组织趋于公开化五代木马技术发展⚫第一代木

马是简单的具有口令窃取及发送功能的木马程序,例如:⚫口令发送型木马.找到所有的隐藏口令并在受害者不知情的情况下发送到指定信箱.⚫键盘记录性木马。就是记录受害者的键盘敲击并且在log文件里查找口令➢第二代木马在技术上有了很大的进步，是最早

的监视控制型木马➢一般是等待客户端程序重启端口连接后，接受客户端程序给木马程序发送的命令数据包，然后执行所要求的指令，如隐藏在配置文件、内置到注册表、捆绑在启动文件等手段。➢第三代木马在数据传递技术上、木马程序隐

藏技术上又做了进一步的改进。➢（1）放弃了传统木马程序重启端口进行数据传输的工作模式，而采用寄生在目标主机系统本身启用的端口或使用潜伏手段利用ip协议族中的其他协议而非tcp/udp来进行通讯，从而瞒过netstat和端口扫描软件，如icmp木

马。➢（2）进行进程列表欺骗，也就是欺骗用户和入侵检测软件用来查看进程的函数⚫第四代木马在程序的隐身技术及植入方式上又将进一步提高：➢利用驱动程序达到木马的隐身目的；➢使用dll陷阱技术进行隐藏；➢针对微软的下一代操作系统中将使用的dll数字

签名、效验技术，将采用内核插入式的嵌入方式达到木马进程的隐身目的。⚫第五代木马与病毒紧密结合，利用操作系统漏洞，直接实现感染传播的目的。木马的关键技术⚫对指定目标主机的木马程序的植入和加载方式，以及目标主机之间的自动传播植入手段；⚫研究开发

利用驱动程序技术、动态数据库陷阱技术、远程线程技术这三种木马的技术实现，其中关键技术有动态链接库的替换、如何提升权限实现在另一个进程中创建新的远程线程；⚫对防火墙及杀毒软件的欺骗及信息收集；⚫对木马的远程配置和服务的在线通知、自动卸载以及能够操作其对第三方电脑发动攻击功

能。⚫rootkit技术rootkit⚫恶意程序，间谍软件，广告软件提升反侦测能力⚫恶意系统程序是一种提供反侦测能力技术➢隐藏文件，进程网络端口和连接，系统设置，系统服务➢可以在恶意程序之中，例如berbew➢也有独立软件，例如hackderdefender⚫恶意系统程序历史➢首次出现在隐性病

毒中，例如brain➢1994年第一个恶意系统程序出现在sunos，替换核心系统工具（is，ps等）来隐藏恶意进程。木马防范⚫查➢1、检查系统进程➢2、检查注册表、ini文件和服务➢3、检查开放端口➢4、监视网络通讯⚫堵➢1、堵住控制通路➢2、杀掉可疑进程⚫杀➢1、手工删除➢2、软件

杀毒如何避免木马的入侵⚫1.不要执行任何来历不明的软件⚫2.不要相信你得邮箱不会收到垃圾和带毒的邮件⚫3.不要轻信他人⚫4.不要随便留下你得个人资料⚫5.网上不要得罪人⚫6.不要随便下载软件⚫7.最好使用第三方邮件程序⚫8.不要轻易打开广告邮件中附件或点击其中的链接

⚫9.将windows资源管理器配置成始终显示扩展名⚫10.尽量少用共享文件夹⚫11.给电子邮件加密⚫12.隐藏ip地址⚫13.运行反木马实时监控程序恶意网页防范⚫防病毒⚫蠕虫防范⚫木马防范⚫恶意网页防范⚫恶意代码的分析网页恶意代码举例⚫如何在注册表被锁定的情况下修复注册表⚫篡改IE的默认页⚫

修改IE浏览器缺省主页，并且锁定设置项，禁止用户更改⚫IE的默认首页灰色按钮不可选⚫IE标题栏被修改⚫IE右键菜单被修改⚫IE默认搜索引擎被修改⚫系统启动时弹出对话框⚫IE默认连接首页被修改⚫IE中鼠标右键失效⚫查看源文件菜单被

禁用认识误区⚫如果你只浏览信任的网站，那么上网冲浪不可能使你的浏览器受到病毒感染。⚫浏览器补丁更新以后，系统就安全了。⚫你得病毒防护工具可以阻止各种恶意代码侵入系统⚫每个月更新一次你得病毒防护工具的病毒特征库，系统就会安全。⚫大多数恶意代码只是那些出于

好玩的心理或者为了在计算机领域扬名的十几岁小孩编写的。阻止恶意软件的有效措施⚫主动防御措施：⚫及时下载安装软件补丁⚫运行漏洞扫描程序⚫启用防火墙，关闭限制端口⚫减小攻击面，停止不需要的应用程序或服务⚫使用最少特权账号⚫正确使

用口令⚫被动防御措施：⚫安装使用防病毒软件⚫定期备份重要文件恶意软件清除步骤⚫断开与网络的连接⚫识别恶意的进程和设备驱动程序⚫杀掉识别出的恶意的进程⚫识别并删除恶意软件的自动运行⚫删除磁盘上的恶意程序⚫重启并重复

以上步骤结束恶意进程⚫不要直接杀死进程⚫恶意软件会使用另外一个watchdog进程，重启被杀掉的进程⚫而应该先挂起进程⚫注意：对于svchost进程会引起系统重起⚫记录恶意exe和dll文件的具体位置⚫最后一起杀掉所有进程⚫重复上面的过程目录⚫防病毒

⚫蠕虫防范⚫木马防范⚫恶意网页防范⚫恶意代码的分析信息获取工具⚫主机信息获取工具➢内存信息➢磁盘信息➢文件系统信息➢注册表信息⚫网络信息获取工具➢Sniffer➢Lds➢Tcpview➢netcat文件监控⚫Filemon&&regmon⚫winalys

is代码分析工具⚫文件格式处理工具➢Peid➢Procdump⚫静态代码分析工具➢Ultraedit➢Idapro⚫动态调试工具➢Softlce⚫组合调试工具➢Ollydbg➢w32dasm61