信息设备及其环境安全与评估.ppt

典型恶意软件 及其防范和清除技术,教学目的,了解不同恶意软件的特点 了解防范和清除恶意软件的一般方法 熟悉发现并手工清除恶意软件的方法,内容,宏病毒 邮件蠕虫 木马 网页木马 流氓软件 手工清除恶意软件,宏病毒,宏是组织在一起的命令集合，可以作为一个单独命令完成一个特定任务 在Microsoft Office中，可以使用以Visual Basic编写的宏。宏病毒指用Visual Basic编写的具有病毒特点的代码。它能够通过.doc和.dot文件进行传播,宏病毒的防范和清除,宏病毒的防范 使用防病毒软件 设置宏安全性为中以上，打开Office文档遇到宏病毒警告框时，要保持高度警惕 宏病毒的清除 使用防病毒软件 手动清除。对于普通文档，可以使用“另存为”，并选择不含宏的文件格式 比如在Word中，可以选择RTF格式,邮件蠕虫,蠕虫是一种常见的恶意软件。与一般病毒不同，蠕虫不需要将其自身附着到宿主程序上，它是一个独立的程序 蠕虫利用网络进行复制和传播，可利用的传播途径包括电子邮件、Web服务器、网络共享等,邮件蠕虫,邮件蠕虫通过电子邮件传播 大多数邮件蠕虫在感染本机后，会自动打开Outlook Express的地址薄，把自己发送给地址薄上的每一个邮件地址 邮件蠕虫通常存在于邮件附件中,邮件蠕虫的防范和清除,邮件蠕虫的防范 利用防病毒软件检查邮件 不要轻易相信一些邮件，不要轻易打开邮件附件 邮件蠕虫的清除 使用防病毒软件,木马,木马是目前比较流行的恶意软件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装成实用软件来吸引用户下载执行 一个完整的木马包含两个部分：服务器端和客户端。感染木马的计算机是服务器端，黑客利用客户端进入运行了服务器端的计算机，进而毁坏、窃取被植入木马的计算机上的文件，甚至远程操控感染木马的计算机 木马与远程控制软件有些相似，不过远程控制软件是“善意”的控制，因此通常不具有隐蔽性，木马则完全相反。木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的,木马隐藏技术,隐藏木马文件 伪装文件名称，给一个非执行扩展名 利用了Windows默认不显示已知扩展名 伪装图标 伪装成系统文件，比如svch0st.exe 隐藏木马进程 伪装成可信任的进程，把自己的进程名称改为与系统进程类似的名字 把木马写成DLL文件，使用系统程序Rundll32.exe或Rundll.exe调用，在“任务管理器”中将看不到木马进程,木马的发现,木马需要自动运行，以下是它可利用启动位置 autoexec.bat、config.sys win.ini、system.ini “启动”程序组 注册表项HKEY_LOCAL_MACHINE. CurrentVersionRun 木马需要连接端口，留心不明端口 木马利用通信端口的两种方法：寄生，潜伏,木马的防范和清除,木马的防范 使用防病毒软件 及时更新系统补丁 不轻易下载软件，不轻易浏览邮件附件 木马的清除 使用防病毒软件 手动清除（未必总有效） 在保护模式下，删除或修改注册表中与木马相关的项，删除木马文件（后有叙述）,网页木马,网页木马实际上是一个HTML网页，与其它网页不同的是，该网页中的脚本巧妙地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马（或蠕虫）并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始,网页木马的防范,使用防病毒软件和防火墙 及时更新系统补丁 卸载不安全的ActiveX控件（IE插件） 在命令提示符下输入命令“regsvr32.exe 插件文件 /u/s” 如果想恢复，使用命令“regsvr32.exe 插件文件 /i/s” 提高IE的安全级别，禁用脚本和ActiveX控件 “Internet 属性” “安全” ，把Internet区域设置为较高安全级别，或者点击“自定义级别”，在打开的对话框上禁用脚本，禁用ActiveX控件 把恶意网站加入到受限站点 “Internet 属性” “安全” “受限站点” “站点”,流氓软件,流氓软件是介于病毒、蠕虫、木马等恶意软件和正规软件之间的软件 流氓软件有时也被称为间谍软件（spyware）、恶意共享软件（malicious shareware）,流氓软件,流氓软件一般同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来实质性危害 与病毒、蠕虫、木马不同，很多流氓软件不是由小团体或者个人秘密编写和传播的，有很多知名企业和团体也涉嫌此类软件,流氓软件的防范,及时更新补丁程序 禁用ActiveX脚本 “Internet 属性” “安全” “自定义级别” (Internet) 把恶意网站加入到受限站点 “Internet 属性” “安全” “受限站点” “站点” 使用专用工具进行免疫或防范,流氓软件的清除,使用专用工具，比如Spy Sweeper、超级兔子、瑞星卡卡上网安全助手，或者金山清理专家等 很多流氓软件以ActiveX插件的形式安装到用户的计算机中，对于此类流氓软件 使用IE的“管理加载项”功能禁用流氓软件插件 使用IE插件管理专家Upiea.exe禁用或删除流氓软件插件,手工清除恶意软件,主要内容,认识Windows系统中的进程 查看和结束进程 清除恶意软件文件 使用Attrib命令发现并删除隐藏的恶意文件,进程,程序（包括恶意软件程序）运行前以文件的形式存在于磁盘上，运行后以进程的形式存在于内存中 进程是指一个具有独立功能的程序在某个数据集合上的一次运行活动,它是系统进行资源分配和调度的一个基本单位。简单地说，进程指操作系统当前运行的程序,Windows中最基本的系统进程,此类系统进程是系统运行的必备条件，只有这些进程处于活动状态，系统才能正常运行 Windows中最基本的系统进程包括：winlogon.exe；csrss.exe；smss.exe；services.exe；lsass.exe；explorer.exe； svchost.exe；system；system Idle Process等,Windows中最基本的系统进程,System Idle Process：这个进程是作为单线程运行在每个处理器上，并在系统不处理其它线程的时候分派处理器的时间 system：系统核心进程，控制着系统Kernel Mode 的操作 winlogon.exe：管理用户登录 csrss.exe：子系统服务器进程，负责控制Windows创建或删除线程以及16位的虚拟DOS环境,Windows中最基本的系统进程,smss.exe：会话管理子系统，负责启动用户会话 services.exe：系统服务管理工具，包含很多系统服务 lsass.exe：本地的安全授权服务，管理 IP 安全策略以及启动 ISAKMP / Oakley (IKE) 和 IP 安全驱动程序,Windows中最基本的系统进程,explorer.exe：资源管理器，显示桌面图标和任务栏 spoolsv.exe：管理缓冲区中的打印和传真作业，将文件加载到内存中以便迟后打印 svchost.exe：共享进程，用于启动其他服务。多个svchost.exe如果同时运行，则表明当前有多组服务处于活动状态，多个DLL文件在调用它,svchost.exe进程,svchost.exe是NT核心系统的非常重要的进程，对于2000、XP来说，不可或缺 在基于NT内核的Windows操作系统家族中，不同版本的Windows系统，存在不同数量的“svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，Win2000有两个svchost进程，WinXP中则有四个或四个以上的svchost进程，而Win2003 server中则更多,svchost.exe进程,svchost.exe文件存在于“%systemroot% system32”目录下，它属于共享进程。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe进程来启动 svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务 其他系统服务是以动态链接库（dll）的形式实现的，它们把可执行程序指向 svchost，由svchost调用相应服务的动态链接库来启动服务,svchost.exe进程,svchost进程提供很多系统服务，如：rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等 如果要了解每个svchost进程到底提供了多少系统服务，可以在Win2000的命令提示符窗口中输入“tlist -s”命令来查看，该命令是Win2000 support tools提供的。在WinXP则使用“tasklist /svc”命令,svchost.exe进程,因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的 如冲击波变种病毒“w32.welchia.worm”,svchost.exe进程,在受感染的机器中到底哪个是恶意软件进程呢？ 一般来说，XP操作系统下有5个左右的svchost.exe进程，比如 SYSTEM用户名下有3个svchost.exe NETWORK SERVICE用户名下有2个svchost.exe LOCAL SERVICE用户名下有1个svchost.exe 其他系统也是大致如此，它们的用户名都是SYSTEM、NETWORK SERVICE、LOCAL SERVICE这三个，如果不是这三个用户名那么就有可能是恶意软件,svchost.exe进程,正常的svchost.exe程序存放在windowssystem32这个目录下。如果其它目录下有svchost.exe文件，那一定是恶意软件 “任务管理器”中svchost.exe进程的个数不重要，关键看他是什么用户名而且位置是不是在windowssystem32这个目录下,Windows中的其他进程,Windows中，有些进程不是必需的，可以根据服务管理的需要来结束它们，比如 mstask.exe：Windows计划任务，用于指定在什么时候运行任务 alg.exe：应用层网关服务，是网络链接共享和Windows防火墙的一部分 internat.exe：用于更改类似国家设置、键盘类型和日期格式,Windows中的其他进程,mdm.exe：Debug除错管理，用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器 regsvc.exe：远程注册表服务，用于访问远程计算机的注册表 taskmgr.exe：Windows任务管理器，是Windows任务管理执行者,Windows中的其他进程,tcpsvcs.exe：Windows网络组件的一部分。这个系统进程用于计算机使用专用的TCP/IP网络服务，例如DHCP，简单TCP和打印服务 wuauclt.exe：负责Windows自动升级的系统进程，可以在线检测最近Windows更新，如果没有开启自动升级的话就不会有这个进程，而且就算你开启了它，它也不是任何时候都运行的 ctfmon.exe：Microsoft Office产品套装的一部分，是有关输入法的一个可执行程序,在Windows中查看一般的进程,使用“任务管理器”查看进程 “任务管理器”还可以终止一般的进程 在提示符下使用命令“tasklist”查看进程 使用“系统信息”中的“正在运行任务” 使用“netstat”命令查看网络连接情况及发起的程序 使用 netstat abnov命令,查看隐藏进程和远程进程,可以使用“隐藏进程查看工具”查看隐藏进程 使用如下命令可以查看远程进程 Task /s IP /u username /p password,强制结束进程,使用“任务管理器”。但它无法结束某些进程 使用ntsd命令强制结束进程 ntsd是从Win2000开始系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出，所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限，从而能杀掉大部分的进程。只有System、Smss.exe和Csrss.exe不能杀 ntsd -c q -p PID 或 ntsd -c q -pn imagename 使用taskkill命令强制结束进程 taskkill /im imagename /f，或 taskkill /pid ProcessID /f,清除恶意软件文件,首先使用前面提到的方法结束恶意软件进程 然后利用恶意软件