安全生产_网络病毒与防范培训课件

第一节网络病毒及特征 本章主要内容 第二节网络反病毒原则及策略 第三节网络反病毒的实施 一 网络病毒的概念二 网络病毒的主要特点三 典型的网络病毒介绍 第一节网络病毒及特征 一 网络病毒的概念 1 狭义的网络病毒 即网络病毒应该是充分利用网络的协议以及网络的体系结构作为其传播的途径或机制 同时网络病毒的破坏对象也应是针对网络的 2 广义的网络病毒 只要能够在网络上传播并能对网络产生破坏的病毒 不论它破坏的是网络还是联网计算机 就可称为网络病毒 二 网络病毒的主要特点 1 技术门坎低 任何人皆可撰写新病毒2 蠕虫病毒和木马病毒是最大的威胁3 愈来愈快的传播 毒速 4 愈来愈短的攻击时间差5 不断创新的自我防御技术6 令人眼花缭乱的庞大变种7 乱 件 齐发的垃圾邮件8 有洞就钻9 混合式攻击 网络病毒的特征主要是相对于单机病毒来说的 其特点主要表现在以下几个方面 三 网络病毒实例 几种典型的网络病毒 2 木马病毒 3 蠕虫病毒 4 网页脚本病毒 1 宏病毒 5 即时通讯病毒 1 宏病毒宏病毒是使用某个应用程序自带的宏编程语言编写的病毒 宏病毒目前主要是针对应用组件 类型分为二类 感染Word系统的Word宏病毒 感染Excel系统的Exce1宏病毒和感染LotusAmiPro的宏病毒 Word宏病毒具有以下的特征 1 危害性大 2 感染数据文件 3 多平台交叉感染 4 容易制作 5 传播方便快捷 6 检测 清除比较困难 三 网络病毒实例 宏病毒举例 三 网络病毒实例 简单自制宏病毒发作表象 2 木马病毒 将自己伪装成某种应用程序来吸引用户下载或执行 并进而破坏用户计算机数据 造成用户不便或窃取重要信息的程序 称为 特洛伊木马 或 木马 病毒 木马病毒有以下基本特征 1 隐蔽性 2 自动运行性 3 欺骗性 4 具备自动恢复功能 5 能自动打开特别的端口 6 功能的特殊性 三 网络病毒实例 木马病毒举例 落雪 三 网络病毒实例 落雪 病毒在系统文件夹中添加的文件 它由VB语言编写 加的是nSPack3 1的壳 该木马文件图标一般是红色的 很像网络游戏的登陆器 它可以盗取包括魔兽世界 传奇世界 征途 梦幻西游 边锋游戏在内的多款网络游戏的帐号和密码 对网络游戏玩家的游戏装备构成了极大的威胁 它可以把木马克星和卡巴斯基自动禁用 卡巴斯基还可以手工启用 木马克星手工已无法启用 即便是用户中毒之后将C盘的病毒杀干净了 一旦双击D盘还会重新感染落雪木马 3 蠕虫病毒 蠕虫 worm 病毒无论从传播速度 传播范围还是从破坏程度上来讲 都是以往的传统病毒所无法比拟的 可以说是近年来最为猖獗 影响最广泛的一类计算机病毒 其传播主要体现在以下两方面 1 利用微软的系统漏洞攻击计算机网络 红色代码 Nimda Sql蠕虫王 等病毒都是属于这一类病毒 2 利用Email邮件迅速传播 如 爱虫病毒 和 求职信病毒 蠕虫 病毒由两部分组成 一个主程序和另一个是引导程序 主程序的主要功能是搜索和扫描 这个程序能够读取系统的公共配置文件 获得与本机联网的客户端信息 检测到网络中的哪台机器没有被占用 从而通过系统的漏洞 将引导程序建立到远程计算机上 引导程序实际上是蠕虫病毒主程序 或一个程序段 自身的一个副本 而主程序和引导程序都有自动重新定位的能力 三 网络病毒实例 蠕虫病毒举例 魔鬼波 蠕虫 三 网络病毒实例 魔鬼波病毒发作时现象 魔鬼波 Backdoor Mocbot b 蠕虫利用微软MS06 040漏洞 通过TCP端口445进行传播 其传播过程可以在用户不知情的情况下主动进行 可能造成services exe崩溃等现象 还可通过AOL等即时通讯工具自动发送包含恶意链接的消息 运行成功后 病毒会连接IRC服务器接收黑客命令 通过黑客命令 魔鬼波 蠕虫可以运行下载任意程序 进行拒绝服务攻击 DDoS 等活动 使得用户计算机完全被黑客控制 4 网页脚本病毒 脚本病毒是指利用 asp htm html vbs jsp类型的文件进行传播 基于VBScript和JavaScript脚本语言并由WidowsScriptingHost解释执行的一类病毒 脚本病毒具有如下特点 1 隐藏性强 2 传播性广 3 病毒变种多 可以采用下面的步骤来避免该类病毒的入侵 1 用regsvr32scrrun dll u命令禁止文件系统对象 2 卸载WindowsScriptingHost项 3 删除VBS VBE JS JSE文件后缀名与应用程序的链接 4 更改或者删除Windows目录中 WScript exe 5 将 Internet选项 中所有 ActiveX控件及插件 设为禁用 6 将安全级别设置至少为 中等 7 禁止IE的自动收发邮件功能 8 安装杀毒软件 在安全模式用新版杀毒软件全面查杀 并及时更新杀毒软件 三 网络病毒实例 4 网页脚本病毒 三 网络病毒实例 网页脚本病毒对IE属性的修改 5 即时通讯病毒 即时通讯病毒具有以下几个特点 1 更强的隐蔽性 2 攻击更加便利 3 更快的传播速度 目前 袭击即时通讯软件的病毒主要分三类 第一类是只以QQ MSN等即时通讯软件为传播渠道的病毒 第二类为专门针对即时通讯软件本身的窃取用户帐号 密码的病毒 第三类是不断给用户发消息的骚扰型病毒 三 网络病毒实例 即时通信病毒举例 MSN性感鸡 三 网络病毒实例 MSN性感鸡 病毒在系统盘根目录下释放的小鸡图片 针对前面讲的内容 我们该怎么做好网络病毒的防范工作呢 思考 第一节网络病毒及特征 第七章网络病毒与防范 第二节网络反病毒原则及策略 第三节网络反病毒的实施 如何有效地在网络环境下防治病毒是一个比较新的课题 各种方案 技术很多 我们认为最重要的是应当先研究网络防治病毒的基本原则和策略 在这方面业内人士已基本达成共识 这些基本原则的策略归纳起来可以分为以下几条 第二节网络反病毒原则与策略 一 防重于治防重在管二 综合防护三 最佳均衡原则四 管理与技术并重五 正确选择网络反毒产品六 多层次防御七 注意病毒检测的可靠性 一 防重于治防重在管 一般来讲 计算机病毒的防治在于完善操作系统和应用软件的安全机制 在网络环境下 可相应采取新的防范手段 网络防病毒最大的优势在于网络的管理功能 所谓网络管理就是管理全部的网络设备中所有病毒能够进来的部位 可以从两方面着手解决 一是严格管理制度 对网络系统启动盘 用户数据盘等从严管理与检测 严禁在网络工作站上运行与本部门业务无关的软件 二是充分利用网络系统安全管理方面的功能 第二节网络反病毒原则与策略 网络本身提供了4级安全保护措施 注册安全 网络管理员通过用户名 入网口令来保证注册安全 权限安全 通过指定授权和屏蔽继承权限来实现 属性安全 由系统对各目录和文件读 写等的性质进行规定 可通过封锁控制台键盘等来保护文件服务器安全 二 综合防护 网络系统的安全防护能力 取决于系统中安全防护能力最薄弱的环节 在某一特定状态下整个网络系统对病毒的防御能力只能取决于网络中病毒防护能力最薄弱的一个节点或层次 网络的安全体系应从防病毒 防黑客 灾难恢复等几方面综合考虑 形成一整套的安全机制 这才是最有效的网络安全手段 防病毒软件 防火墙产品通过设置 调整参数 能够相互通信 协同发挥作用 这也是区别单机防病毒技术与网络防病毒技术的重要标志 第二节网络反病毒原则与策略 三 最佳均衡原则 要采取网络防病毒措施 肯定会导致网络系统资源开销的增加 如增加系统负荷 占用CPU时间 占用网络服务器内存等 针对这一问题 有业内人士对网络防病毒技术提出了 最小占用原则 以保证网络防病毒技术在发挥其正常功能的前提下 占用最小网络资源 第二节网络反病毒原则与策略 四 管理与技术并重 解决网络病毒问题应从加强管理和采取技术措施两方面着手 在管理方面要形成制度 加强网管人员的防病毒观念 在内部网与外界交换数据等业务活动中进行有效控制和管理 同时抵制盗版软件或来路不明软件的使用 同时辅以技术措施 选择和安装网络防病毒产品 这是以围绕商品化的网络防杀病毒软件及其供应商向用户提供的技术支持 产品使用 售后服务 紧急情况下的突发响应等专业化反病毒工作展开的 第二节网络反病毒原则与策略 五 正确选择网络反毒产品 由于网络环境的操作系统种类繁多 目前世界上各种网络反病毒产品中还没有一种能以同一主程序跨越多种网络系统平台 所以用户要根据自己的网络平台有针对性地选择网络反病毒产品 第二节网络反病毒原则与策略 六 多层次防御 多层次防御病毒的解决方案应该既具有稳健的病毒检测功能 又有客户机 服务器数据保护功能 在个人计算机的硬件和软件 LAN服务器 服务器网关 Internet及Intranet站点上 层层设防 对每种病毒都实行隔离 过滤 在后台进行实时监控 发现病毒随时清除 实施覆盖全网的多层次防护 第二节网络反病毒原则与策略 新的网络防毒策略是把病毒检测 多层数据保护和集中式管理功能集成起来 形成多层次的防御体系 它易于使用和管理 也不会对管理员带来额外的负担 极大地降低了病毒的威胁 同时也使病毒防治任务变得更经济 更简单 更可靠 多层次防御病毒软件主要采取了三层保护功能 1 后台实时扫描 2 完整性保护 3 完整性检验 病毒扫驱动器能对未知病毒包括变形病毒和加密病毒进行连续的检测 该措施用于阻止病毒从一个受感染的工作站传染到网络服务器 完整性检验使系统无需冗余的扫描过程 能提高检验的实时性 六 多层次防御 第二节网络反病毒原则与策略 七 注意病毒检测的可靠性 要定期对网络上的共享文件卷进行病毒检测 但要注意的是 检测结果没有发现病毒并不等于就真的没有病毒 最好使用两种以上的反毒软件对网络系统进行检测 这样可以有效地增加检查结果的可靠性 第二节网络反病毒原则与策略 第一节网络病毒及特征 第七章网络病毒与防范 第二节网络反病毒原则及策略 第三节网络反病毒的实施 一 病毒诊断技术原理二 网络反病毒的基本技术措施三 网络反病毒技术与方案介绍四 主流反病毒产品特点介绍 第三节网络反病毒的实施 一 病毒诊断技术原理 1 病毒比较法诊断的原理比较法是用原始的或正常的与被检测的进行比较 包括长度比较法 内容比较法 内存比较法 中断比较法等 比较时可以对打印的代码清单进行比较 也可以用程序来进行比较 一 病毒诊断技术原理 2 病毒校验和法诊断的原理计算正常文件的内容的校验和 并将该校验和写入文件中或写入其文件中保存 在文件使用过程中 定期地或每次使用文件前检查文件当前的校验和与原来保存的校验和是否一致可以发现文件是否被感染 这种方法叫校验和法 一 病毒诊断技术原理 3 病毒扫描法诊断的原理扫描法是用每一种病毒体还有的特定字符串对被检测的对象进行扫描 如果在被检测对象内部发现了某一种特定字符串 就表明发现了该字符串所代表的病毒 扫描法包括特征代码扫描法和特征字扫描法 扫描法的优点是可以识别病毒的名称 误报警率低 依据检测结果可以做杀毒处理 一 病毒诊断技术原理 4 病毒行为检测法诊断的原理利用病毒的特有行为特性监测病毒的方法称做行为监测法 行为监测法的长处在于不仅可以发现已知病毒 而且可以相当准确地预报多数未知病毒 但行为监测法也有短处 即可能误报警和不能识别病毒名称 而且实现起来有一定难度 监测病毒的行为特征可列举如下 1 占用INT13H 所有的引导型病毒都攻击BOOT扇区或主引导扇区 2 修改DOS系统数据区的内存总量 病毒常驻内存后 为了防止DOS系统将其覆盖 必须修改内存总量 3 对COM和EXE文件做写入操作 病毒要进行感染 必须写COM和EXE文件 4 病毒程序与宿主程序的切换染毒程序运行时 先运行病毒 而后执行宿主程序 在两者切换时 有许多特征行为 一 病毒诊断技术原理 5 病毒行为感染实验法诊断的原理感染实验是一种简单实用的病毒检测方法 采用感染实验法可以检测出病毒检测工具不认识的新病毒 从而摆脱对病毒检测工具的依赖 自主地检测可疑的新病毒 这种方法的原理就是利用了病毒的最重要的特征 感染特性 一 病毒诊断技术原理 6 病毒行为软件模拟法诊断的原理软件模拟法是一种软件分析器 用软件方法来模拟和分析程序的运行 新型检测工具纳入软件模拟法 该类工具开始运行时使用特征代码法检测病毒 如果发现有隐性病毒或多态性病毒嫌疑时 启动软件模拟模块监视病毒的运行 代病毒自身的密码译码后 再运用特征代码法来识别病毒的种类 一 病毒诊断技术原理 7 病毒分析法诊断的原理通常使用分析法的人不是普通用户 而是反病毒技术人员 使用的目的在于 1 确认被观察的磁盘引导区和程序中是否含有病毒 2 确认病毒的类型和种类 判定其是否为一种新病毒 3 搞清楚病毒体的大致结构 提取特征识别用的字符串或特征字 用于增添到病毒代码库供病毒扫描和识别程序使用 4 详细分析病毒代码 为制订相应的反病毒措施制订方案 二 网络反病毒的基本技术措施 1 针对网络硬件的措施网络反病毒在硬件方面采取的措施主要是 1 基于工作站的DOS系统防范病毒 工作站防病毒的方法 一是使用病毒防杀软件 二是在网络工作站上安装防毒芯片 随时保护工作站及其通往服务器的路径 2 服务器NLM防病毒技术 目前基于服务器的反病毒技术都以可装载模块技术NLM netwareloadablemodu1e 进行程序设计 提供实时扫描病毒能力 二 网络反病毒的基本技术措施 2 安装网络反毒软件 1 在网关和防火墙安装反毒软件 2 在工作站上安装反毒软件 3 在电子邮件服务器安装反毒软件 4 在所有文件服务器安装反毒软件 二 网络反病毒的基本技术措施 3 清除网络中的病毒一旦发现或怀疑网络中存在病毒 应及早检测 清除 主要步骤是 1 立即在网上用命令通知包括系统管理员在内的所有用户退网 也可以在控制台删除当前所有注册用户 然后关闭文件服务器 2 用系统盘启动系统管理员工作站 检查有无病毒感染 如有应先行清除 3 用系统盘启动文件服务器 在系统管理员登录后 使用系统命令禁止其他用户登录上网 4 为防止在杀毒过程中出现意外 先将文件服务器硬盘中的重要文件 数据备份到干净的软盘上 并且注意此时千万不要执行硬盘中的程序 也不要进行向硬盘中拷贝文件等操作 以免破坏可能已被病毒弄乱的硬盘文件 数据的结构 5 用网络杀毒软件扫描各种服务器上所有卷的文件 恢复或删除被病毒感染的文件 重新安装被删文件 6 为防止病毒漏网 再使用杀毒软件对所有可能染上病毒的软盘和备份文件的软盘检测一遍 7 通知各联网用户对所有的有盘工作站进行杀毒处理 8 只有当确认病毒己被彻底清除后 方可重新开启网络服务器 9 最好再检查一下病毒的来源或病毒是从何处进入网络的 以堵住漏洞 二 网络反病毒的基本技术措施 4 网络反毒技术的新特征随着网络技术的发展 反毒技术也在不断发展 其主要特征是 1 配合紧密 层次更深 2 实时化反毒 3 检测压缩文件中的病毒 三 网络反病毒技术与方案介绍 1 局域网反毒技术体系 2 病毒防火墙 3 NAF多层病毒防御体系 三 网络反病毒技术与方案介绍 1 局域网反毒技术体系 1 病毒在局域网中的传播途径最常见的一种感染方法是病毒传染工作站后进而感染网络服务器 三 网络反病毒技术与方案介绍 1 局域网反毒技术体系 2 局域网反毒体系的构成根据病毒在局域网中的活动特点 局域网反毒体系可由两个模块构成 即工作于网络服务器上的网络反毒模块和运行在工作站的单机反毒模块 主要作用是负责整个网络的病毒防御 将固化有防杀病毒软件的卡或芯片安装在工作站上 用来间断地保护工作站及其通往服务器的路径 拦截病毒对网络的入侵 三 网络反病毒技术与方案介绍 1 局域网反毒技术体系 3 局域网预防病毒措施 加强网络系统管理 尽量减少有盘工作站 网络服务器必须使用专门的机器 使用防病毒卡或防病毒软件 三 网络反病毒技术与方案介绍 2 病毒防火墙 1 病毒防火墙的基本功能病毒防火墙的基本功能是实时 过滤 screen 这种技术一是保护计算机系统不受任何来自本地的或远程的病毒的危害 二是向计算机系统提供双向的保护 防止本地系统内的病毒向网络扩散 三 网络反病毒技术与方案介绍 2 病毒防火墙 2 病毒防火墙的关键技术 操作系统底层接口技术 网络底层接口技术 应用程序底层接口技术 充分利用操作系统多任务 多线程机制的技术 算法优化技术 三 网络反病毒技术与方案介绍 3 NAF多层病毒防御体系 多层病毒防御体系 是指在每个台式机上要安装针对台式机的反病毒软件 在服务器上安装专用于服务器的反病毒软件 在Internet网关上要安装基于网关的反病毒软件 同时每个用户都要确保自己使用的PC机不受病毒的感染 从而保证整个内部网的安全 四 主流反病毒产品介绍 1 瑞星杀毒软件 四 主流反病毒产品介绍 瑞星杀毒软件功能特点 1 第七代极速杀毒引擎 查杀速度提升30 2 首创 木马墙 解决帐号 密码丢失问题 3 在线专家门诊 实时解决用户安全问题 4 卡卡上网安全助手 全面阻击流氓软件 5 五大国家发明专利 以技术领跑业界 四 主流反病毒产品介绍 2 KV杀毒软件 四 主流反病毒产品介绍