臨沂電腦培訓(xùn)中心.ppt

臨沂電腦培訓(xùn) 計(jì)算機(jī)文化基礎(chǔ)之信息安全 一 木馬簡介 特洛伊木馬 英文叫做 Trojanhorse 其名稱取自希臘神話的特洛伊木馬記 它是一種基于遠(yuǎn)程控制的黑客工具 具有隱蔽性和非授權(quán)性的特點(diǎn) 所謂隱蔽性是指木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn) 會(huì)采用多種手段隱藏木馬 這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬 由于不能確定其具體位置 往往只能望 馬 興嘆 所謂非授權(quán)性是指一旦控制端與服務(wù)端連接后 控制端將享有服務(wù)端的大部分操作權(quán)限 包括修改文件 修改注冊表 控制鼠標(biāo) 鍵盤等等 而這些權(quán)力并不是服務(wù)端賦予的 而是通過木馬程序竊取的 1 木馬有哪些危害 1 發(fā)送QQ msn尾巴 騙取更多人訪問惡意網(wǎng)站 下載木馬2 盜取用戶帳號 通過盜取的帳號和密碼達(dá)到非法獲取虛擬財(cái)產(chǎn)和轉(zhuǎn)移網(wǎng)上資金的目的3 監(jiān)控用戶行為 獲取用戶重要資料 2 如何預(yù)防木馬 1 養(yǎng)成良好的上網(wǎng)習(xí)慣 不訪問不良小網(wǎng)站2 下載軟件盡量到大的下載站點(diǎn)或者軟件官方網(wǎng)站下載3 安裝殺毒軟件 防火墻 定期進(jìn)行病毒和木馬掃描 3 木馬的實(shí)質(zhì) 木馬實(shí)質(zhì)上是一個(gè)程序 必須運(yùn)行后才能工作 所以會(huì)在進(jìn)程表 注冊表中留下蛛絲馬跡 可以通過 查 堵 殺 將它 緝拿歸案 1 查檢查系統(tǒng)進(jìn)程大部分木馬運(yùn)行后會(huì)顯示在進(jìn)程管理器中 所以對系統(tǒng)進(jìn)程列表進(jìn)行分析和過濾 可以發(fā)現(xiàn)可疑程序 特別是利用與正常進(jìn)程的CPU資源占用率和句柄數(shù)的比較 發(fā)現(xiàn)異?，F(xiàn)象 3 木馬的實(shí)質(zhì) 檢查注冊表 ini文件和服務(wù)木馬為了能夠在開機(jī)后自動(dòng)運(yùn)行 往往在注冊表如下選項(xiàng)中添加注冊表項(xiàng) HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunHKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunOnceHKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunOnceExHKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunServicesHKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunServicesOnce說明 木馬亦可在Win ini和System ini的 run load shell 后面加載 如果在這些選項(xiàng)后面加載程序是你不認(rèn)識(shí)的 就有可能是木馬 木馬最慣用的伎倆就是把 Explorer 變成自己的程序名 只需稍稍改 Explorer 的字母 l 改為數(shù)字 1 或者把其中的 o 改為數(shù)字 0 這些改變?nèi)绻蛔屑?xì)觀察是很難被發(fā)現(xiàn) 3 木馬的實(shí)質(zhì) 檢查開放端口遠(yuǎn)程控制型木馬以及輸出Shell型的木馬 大都會(huì)在系統(tǒng)中監(jiān)聽某個(gè)端口 接收從控制端發(fā)來的命令 并執(zhí)行 通過檢查系統(tǒng)上開啟的一些 奇怪 的端口 從而發(fā)現(xiàn)木馬的蹤跡 在命令行中輸入 Netstat na 可以清楚地看到系統(tǒng)打開的端口和連接 監(jiān)視網(wǎng)絡(luò)通訊對于一些利用ICMP數(shù)據(jù)通訊的木馬 被控端沒有打開任何監(jiān)聽端口 無需反向連接 不會(huì)建立連接 采用第三種方法檢查開放端口的方法就行不通 可以關(guān)閉所有網(wǎng)絡(luò)行為的進(jìn)程 然后打開Sniffer軟件進(jìn)行監(jiān)聽 如此時(shí)仍有大量的數(shù)據(jù) 則基本可以確定后臺(tái)正運(yùn)行著木馬 3 木馬的實(shí)質(zhì) 2 堵堵住控制通路如果你的網(wǎng)絡(luò)連接處于禁用狀態(tài)后或取消撥號連接 反復(fù)啟動(dòng) 打開窗口等不正?，F(xiàn)象消失 那么可以判斷你的電腦中了木馬 通過禁用網(wǎng)絡(luò)連接或拔掉網(wǎng)線 就可以完全避免遠(yuǎn)端計(jì)算機(jī)通過網(wǎng)絡(luò)對你的控制 當(dāng)然 亦可以通過防火墻關(guān)閉或過濾UDP TCP ICMP端口 殺掉可疑進(jìn)程如通過Pslist查看可疑進(jìn)程 用Pskill殺掉可疑進(jìn)程后 如果計(jì)算機(jī)正常 說明這個(gè)可疑進(jìn)程通過網(wǎng)絡(luò)被遠(yuǎn)端控制 從而使計(jì)算機(jī)不正常 3 木馬的實(shí)質(zhì) 3 殺 手工刪除對于一些可疑文件 不能立即刪除 有可能由于誤刪系統(tǒng)文件而使計(jì)算機(jī)不能正常工作 首先備份可疑文件和注冊表 接著用Ultraedit32編輯器查看文件首部信息 通過可疑文件里面的明文字符對木馬有一個(gè)大致了解 當(dāng)然高手們還可以通過W32Dasm等專用反編譯軟件對可疑文件進(jìn)行靜態(tài)分析 查看文件的導(dǎo)入函數(shù)列表和數(shù)據(jù)段部分 初步了解程序的主要功能 最后 刪除木馬文件及注冊表中的鍵值 軟件殺毒由于木馬編寫技術(shù)的不斷進(jìn)步 很多木馬有了自我保護(hù)機(jī)制 普通用戶最好通過專業(yè)的殺毒軟件如瑞星 金山毒霸等軟件進(jìn)行殺毒 對于殺毒軟件 一定要及時(shí)更新 并通過病毒公告及時(shí)了解新木馬的預(yù)防和查殺絕技 或者通過下載專用的殺毒軟件進(jìn)行殺毒 二 注重網(wǎng)絡(luò)安全打造基礎(chǔ)防火墻 網(wǎng)絡(luò)安全中談到個(gè)人上網(wǎng)時(shí)的安全 還是先把大家可能會(huì)遇到的問題歸個(gè)類 我們遇到的入侵方式大概包括了以下幾種 1 被他人盜取密碼 2 系統(tǒng)被木馬攻擊 3 瀏覽網(wǎng)頁時(shí)被惡意的javascrpit程序攻擊 4 QQ被攻擊或泄漏信息 5 病毒感染 6 系統(tǒng)存在漏洞使他人攻擊自己 7 黑客的惡意攻擊 如何有效的防范攻擊 察看本地共享資源運(yùn)行CMD輸入netshare 如果看到有異常的共享 那么應(yīng)該關(guān)閉 但是有時(shí)你關(guān)閉共享下次開機(jī)的時(shí)候又出現(xiàn)了 那么你應(yīng)該考慮一下 你的機(jī)器是否已經(jīng)被黑客所控制了 或者中了病毒 刪除共享netshareadmin deletenetsharec deletenetshared delete 如果有e f 可以繼續(xù)刪除 刪除ipc 空連接在運(yùn)行內(nèi)輸入regedit 在注冊表中找到HKEY LOCAL MACHINESYSTEMCurrentControSetControlLSA項(xiàng)里數(shù)值名稱RestrictAnonymous的數(shù)值數(shù)據(jù)由0改為1 如何有效的防范攻擊 關(guān)閉自己的139端口 Ipc和RPC漏洞存在于此 關(guān)閉139端口的方法是在 網(wǎng)絡(luò)和撥號連接 中 本地連接 中選取 Internet協(xié)議 TCP IP 屬性 進(jìn)入 高級TCP IP設(shè)置 WinS設(shè)置 里面有一項(xiàng) 禁用TCP IP的NETBIOS 打勾就關(guān)閉了139端口 防止Rpc漏洞打開管理工具 服務(wù) 找到RPC RemoteProcedureCall RPC Locator 服務(wù) 將故障恢復(fù)中的第一次失敗 第二次失敗 后續(xù)失敗 都設(shè)置為不操作 如何有效的防范攻擊 445端口的關(guān)閉修改注冊表 添加一個(gè)鍵值HKEY LOCAL MACHINE System CurrentControlSet Services NetBT Parameters在右面的窗口建立一個(gè)SMBDeviceEnabled為REG DWORD類型鍵值為0這樣就ok了 3389的關(guān)閉我的電腦上點(diǎn)右鍵選屬性 遠(yuǎn)程 將里面的遠(yuǎn)程協(xié)助和遠(yuǎn)程桌面兩個(gè)選項(xiàng)框里的勾去掉 4899的防范4899其實(shí)是一個(gè)遠(yuǎn)程控制軟件所開啟的服務(wù)端端口 由于這些控制軟件功能強(qiáng)大 所以經(jīng)常被黑客用來控制 而且這類軟件一般不會(huì)被殺毒軟件查殺 比后門還要安全 4899不象3389那樣 是系統(tǒng)自帶的服務(wù) 需要自己安裝 而且需要將服務(wù)端上傳到入侵的電腦并運(yùn)行服務(wù) 才能達(dá)到控制的目的 三 WinXP服務(wù)中的漏洞 1 NetMeetingRemoteDesktopSharing 允許受權(quán)的用戶通過NetMeeting在網(wǎng)絡(luò)上互相訪問對方 這項(xiàng)服務(wù)對大多數(shù)個(gè)人用戶并沒有多大用處 況且服務(wù)的開啟還會(huì)帶來安全問題 因?yàn)樯暇W(wǎng)時(shí)該服務(wù)會(huì)把用戶名以明文形式發(fā)送到連接它的客戶端 黑客的嗅探程序很容易就能探測到這些賬戶信息 三 WinXP服務(wù)中的漏洞 2 UniversalPlugandPlayDeviceHost 此服務(wù)是為通用的即插即用設(shè)備提供支持 這項(xiàng)服務(wù)存在一個(gè)安全漏洞 運(yùn)行此服務(wù)的計(jì)算機(jī)很容易受到攻擊 攻擊者只要向某個(gè)擁有多臺(tái)WinXP系統(tǒng)的網(wǎng)絡(luò)發(fā)送一個(gè)虛假的UDP包 就可能會(huì)造成這些WinXP主機(jī)對指定的主機(jī)進(jìn)行攻擊 DDoS 另外如果向該系統(tǒng)1900端口發(fā)送一個(gè)UDP包 令 Location 域的地址指向另一系統(tǒng)的chargen端口 就有可能使系統(tǒng)陷入一個(gè)死循環(huán) 消耗掉系統(tǒng)的所有資源 三 WinXP服務(wù)中的漏洞 3 Messenger 俗稱信使服務(wù) 電腦用戶在局域網(wǎng)內(nèi)可以利用它進(jìn)行資料交換 傳輸客戶端和服務(wù)器之間的NetSend和Alerter服務(wù)消息 此服務(wù)與WindowsMessenger無關(guān) 如果服務(wù)停止 Alerter消息不會(huì)被傳輸 這是一個(gè)危險(xiǎn)而討厭的服務(wù) Messenger服務(wù)基本上是用在企業(yè)的網(wǎng)絡(luò)管理上 但是垃圾郵件和垃圾廣告廠商 也經(jīng)常利用該服務(wù)發(fā)布彈出式廣告 標(biāo)題為 信使服務(wù) 而且這項(xiàng)服務(wù)有漏洞 MSBlast和Slammer病毒就是用它來進(jìn)行快速傳播的 三 WinXP服務(wù)中的漏洞 4 TerminalServices 允許多位用戶連接并控制一臺(tái)機(jī)器 并且在遠(yuǎn)程計(jì)算機(jī)上顯示桌面和應(yīng)用程序 如果你不使用WinXP的遠(yuǎn)程控制功能 可以禁止它 5 RemoteRegistry 使遠(yuǎn)程用戶能修改此計(jì)算機(jī)上的注冊表設(shè)置 注冊表可以說是系統(tǒng)的核心內(nèi)容 一般用戶都不建議自行更改 更何況要讓別人遠(yuǎn)程修改 所以這項(xiàng)服務(wù)是極其危險(xiǎn)的 三 WinXP服務(wù)中的漏洞 6 FastUserSwitchingCompatibility 在多用戶下為需要協(xié)助的應(yīng)用程序提供管理 WindowsXP允許在一臺(tái)電腦上進(jìn)行多用戶之間的快速切換 但是這項(xiàng)功能有個(gè)漏洞 當(dāng)你點(diǎn)擊 開始 注銷 快速切換 在傳統(tǒng)登錄方式下重復(fù)輸入一個(gè)用戶名進(jìn)行登錄時(shí) 系統(tǒng)會(huì)認(rèn)為是暴力破解 而鎖定所有非管理員賬戶 如果不經(jīng)常使用 可以禁止該服務(wù) 或者在 控制面板 用戶賬戶 更改用戶登錄或注銷方式 中取消 使用快速用戶切換 三 WinXP服務(wù)中的漏洞 7 Telnet 允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序 并支持多種TCP IPTelnet客戶 包括基于UNIX和Windows的計(jì)算機(jī) 又一個(gè)危險(xiǎn)的服務(wù) 如果啟動(dòng) 遠(yuǎn)程用戶就可以登錄 訪問本地的程序 甚至可以用它來修改你的ADSLModem等的網(wǎng)絡(luò)設(shè)置 除非你是網(wǎng)絡(luò)專業(yè)人員或電腦不作為服務(wù)器使用 否則一定要禁止它 8 PerformanceLogsAndAlerts 收集本地或遠(yuǎn)程計(jì)算機(jī)基于預(yù)先配置的日程參數(shù)的性能數(shù)據(jù) 然后將此數(shù)據(jù)寫入日志或觸發(fā)警報(bào) 為了防止被遠(yuǎn)程計(jì)算機(jī)搜索數(shù)據(jù) 堅(jiān)決禁止它 臨沂電腦培訓(xùn) 計(jì)算機(jī)文化基礎(chǔ)之信息安全 謝謝觀看