网络安全第二章阻止恶意软件.pptVIP

阻止恶意软件 网络进攻时序线 公布补丁之后 – 暴露日期 Forrester: “安装补丁结束了软件漏洞。当软件开发公司提供了补丁之后，是用户自己的责任去安装补丁。” 根据暴露日期提示, 如果 – 你的软件供应商是对产品漏洞负责，以及你及时安装补丁， 那么 – 你会发现你总能保护不受蠕虫的入侵 这说明软件的普及度并不直接与危险程度相关 实例分析：Blaster 蠕虫 反病毒技术现状 以文件为中心 拦截文件存储 通过特征发现病毒 弱点 被动反应，无法在病毒出现之前提供特征 无法有效对付非常的网络蠕虫 反病毒技术发展方向 启发式识别 静态启发式识别 利用特征来侦测已知恶意代码段 动态启发式识别 采用 CPU 模拟把静态可执行文件转化为动态行为 行为阻止 反溢出保护 截获及阻止恶意系统调用 第一代系统已经商业运行 过多的安全警告 阻止恶意软件的有效措施 主动防御措施: 及时下载安装软件补丁 运行漏洞扫描程序 启用防火墙，关闭闲置端口 减小攻击面，停止不需要的应用程序或服务 使用最少特权帐户 正确使用口令 被动防御措施: 安装使用防病毒软件 定期备份重要文件 防御广告软件/间谍软件 禁止动态内容 ActiveX Java Script 使用X键来关闭弹出窗口 从信誉好的网站下载已被扫描过并确认无毒文件 使用杀毒软件，打开实时监控 IE安全设置 = 脆弱 管理加载项 总结 减小攻击面 应用安全补丁 启用基于主机的防火墙 安装防病毒软件 使用漏洞扫描程序 使用最少特权策略 限制未授权的应用程序 计算机安全技术 计算机病毒的检测与清除 提纲 计算机病毒行为特征 计算机病毒手工清除 实验 计算机病毒的手工清除 了解计算机病毒的行为特点，判断计算机是否感染病毒。 了解一般手工清除病毒的方法，步骤 了解安全工具的使用方法。 计算机病毒的行为特点 病毒要长期存活下去，必将以文件的形式保存在磁盘上 病毒要激活，必须能够实现自动运行 木马，蠕虫还要对外进行网络通信。 病毒文件操作 很多攻击在执行之后都会产生一些文件，这些文件中既有二进制文件又有文本文件。二进制文件中主要有可执行文件和 DLL 文件两类，可执行文件中有些是攻击自身的副本，DLL 文件包含着攻击的主要功能。文本文件的内容主要包含着攻击的一些配置信息、日志信息和攻击的攻击目标信息。因此有必要对文件的增减进行监测。 系统中的一些关键文件夹中的文件、文件夹的增减进行监测，这些文件夹是攻击经常光顾的地方。 %windir% %windir%\system %windir%\system32 %windir%\system32\drivers %windir%\system32\config %windir%\Tasks %windir%\Temp ：\Documents and Settings\用户名字\「开始」菜单\程序\启动 ：\Documents and Settings\All Users\「开始」菜单\程序\启动 ：\Documents and Settings\用户名字\Local Settings\Temp 病毒文件操作 很多攻击经常修改系统的一些重要文件以达到其攻击目的，比如用带有后门的系统命令文件替换掉系统中原有的系统命令文件，修改系统的一些重要配置文件。因此有必要对文件进行完整性检查。 AUTOEXEC.BAT CONFIG.SYS :\Program Files\Internet Explorer Autorun.inf 自启动技术 自启动技术的任务是保证恶意代码在受害主机下一次开机启动的后能够正常工作。自启动的方法有很多，归纳起来主要有六种： 通过服务启动、 通过添加注册表启动项启动、 通过文件关联启动、 通过修改系统配置文件启动、 作为其他程序插件启动、 通过文件绑定方式启动 自启动技术 1、通过服务启动 通过将恶意代码注册成服务的方法，每次系统启动的时候都可以启动恶意代码 通过添加注册表启动项启动 注册表的启动项包括： [HKEY_LOCAL_MACHINE \Software\Microsoft\Windows \CurrentVersion\RunServices [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce [HKEY_LOCAL_MACHINE \Software\Microsoft\Windows \CurrentVersion\Run [HKEY_LOCAL_MACHINE \Software\Microsoft\Windows \CurrentVersion\RunOnce [HKEY_CURRENT_USE