《臨沂電腦培訓(xùn)中心.ppt》由會員分享，可在線閱讀，更多相關(guān)《臨沂電腦培訓(xùn)中心.ppt（20頁珍藏版）》請在裝配圖網(wǎng)上搜索。

臨沂電腦培訓(xùn) 計算機文化基礎(chǔ)之信息安全 一 木馬簡介 特洛伊木馬 英文叫做 Trojanhorse 其名稱取自希臘神話的特洛伊木馬記 它是一種基于遠程控制的黑客工具 具有隱蔽性和非授權(quán)性的特點 所謂隱蔽性是指木馬的設(shè)計者為了防止木馬被發(fā)現(xiàn) 會采用多種手段隱藏木馬 這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬 由于不能確定其具體位置 往往只能望 馬 興嘆 所謂非授權(quán)性是指一旦控制端與服務(wù)端連接后 控制端將享有服務(wù)端的大部分操作權(quán)限 包括修改文件 修改注冊表 控制鼠標(biāo) 鍵盤等等 而這些權(quán)力并不是服務(wù)端賦予的 而是通過木馬程序竊取的 1 木馬有哪些危害 1 發(fā)送QQ msn尾巴 騙取更多人訪問惡意網(wǎng)站 下載木馬2 盜取用戶帳號 通過盜取的帳號和密碼達到非法獲取虛擬財產(chǎn)和轉(zhuǎn)移網(wǎng)上資金的目的3 監(jiān)控用戶行為 獲取用戶重要資料 2 如何預(yù)防木馬 1 養(yǎng)成良好的上網(wǎng)習(xí)慣 不訪問不良小網(wǎng)站2 下載軟件盡量到大的下載站點或者軟件官方網(wǎng)站下載3 安裝殺毒軟件 防火墻 定期進行病毒和木馬掃描 3 木馬的實質(zhì) 木馬實質(zhì)上是一個程序 必須運行后才能工作 所以會在進程表 注冊表中留下蛛絲馬跡 可以通過 查 堵 殺 將它 緝拿歸案 1 查檢查系統(tǒng)進程大部分木馬運行后會顯示在進程管理器中 所以對系統(tǒng)進程列表進行分析和過濾 可以發(fā)現(xiàn)可疑程序 特別是利用與正常進程的CPU資源占用率和句柄數(shù)的比較 發(fā)現(xiàn)異常現(xiàn)象 3 木馬的實質(zhì) 檢查注冊表 ini文件和服務(wù)木馬為了能夠在開機后自動運行 往往在注冊表如下選項中添加注冊表項 HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunHKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunOnceHKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunOnceExHKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunServicesHKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion RunServicesOnce說明 木馬亦可在Win ini和System ini的 run load shell 后面加載 如果在這些選項后面加載程序是你不認識的 就有可能是木馬 木馬最慣用的伎倆就是把 Explorer 變成自己的程序名 只需稍稍改 Explorer 的字母 l 改為數(shù)字 1 或者把其中的 o 改為數(shù)字 0 這些改變?nèi)绻蛔屑氂^察是很難被發(fā)現(xiàn) 3 木馬的實質(zhì) 檢查開放端口遠程控制型木馬以及輸出Shell型的木馬 大都會在系統(tǒng)中監(jiān)聽某個端口 接收從控制端發(fā)來的命令 并執(zhí)行 通過檢查系統(tǒng)上開啟的一些 奇怪 的端口 從而發(fā)現(xiàn)木馬的蹤跡 在命令行中輸入 Netstat na 可以清楚地看到系統(tǒng)打開的端口和連接 監(jiān)視網(wǎng)絡(luò)通訊對于一些利用ICMP數(shù)據(jù)通訊的木馬 被控端沒有打開任何監(jiān)聽端口 無需反向連接 不會建立連接 采用第三種方法檢查開放端口的方法就行不通 可以關(guān)閉所有網(wǎng)絡(luò)行為的進程 然后打開Sniffer軟件進行監(jiān)聽 如此時仍有大量的數(shù)據(jù) 則基本可以確定后臺正運行著木馬 3 木馬的實質(zhì) 2 堵堵住控制通路如果你的網(wǎng)絡(luò)連接處于禁用狀態(tài)后或取消撥號連接 反復(fù)啟動 打開窗口等不正?，F(xiàn)象消失 那么可以判斷你的電腦中了木馬 通過禁用網(wǎng)絡(luò)連接或拔掉網(wǎng)線 就可以完全避免遠端計算機通過網(wǎng)絡(luò)對你的控制 當(dāng)然 亦可以通過防火墻關(guān)閉或過濾UDP TCP ICMP端口 殺掉可疑進程如通過Pslist查看可疑進程 用Pskill殺掉可疑進程后 如果計算機正常 說明這個可疑進程通過網(wǎng)絡(luò)被遠端控制 從而使計算機不正常 3 木馬的實質(zhì) 3 殺 手工刪除對于一些可疑文件 不能立即刪除 有可能由于誤刪系統(tǒng)文件而使計算機不能正常工作 首先備份可疑文件和注冊表 接著用Ultraedit32編輯器查看文件首部信息 通過可疑文件里面的明文字符對木馬有一個大致了解 當(dāng)然高手們還可以通過W32Dasm等專用反編譯軟件對可疑文件進行靜態(tài)分析 查看文件的導(dǎo)入函數(shù)列表和數(shù)據(jù)段部分 初步了解程序的主要功能 最后 刪除木馬文件及注冊表中的鍵值 軟件殺毒由于木馬編寫技術(shù)的不斷進步 很多木馬有了自我保護機制 普通用戶最好通過專業(yè)的殺毒軟件如瑞星 金山毒霸等軟件進行殺毒 對于殺毒軟件 一定要及時更新 并通過病毒公告及時了解新木馬的預(yù)防和查殺絕技 或者通過下載專用的殺毒軟件進行殺毒 二 注重網(wǎng)絡(luò)安全打造基礎(chǔ)防火墻 網(wǎng)絡(luò)安全中談到個人上網(wǎng)時的安全 還是先把大家可能會遇到的問題歸個類 我們遇到的入侵方式大概包括了以下幾種 1 被他人盜取密碼 2 系統(tǒng)被木馬攻擊 3 瀏覽網(wǎng)頁時被惡意的javascrpit程序攻擊 4 QQ被攻擊或泄漏信息 5 病毒感染 6 系統(tǒng)存在漏洞使他人攻擊自己 7 黑客的惡意攻擊 如何有效的防范攻擊 察看本地共享資源運行CMD輸入netshare 如果看到有異常的共享 那么應(yīng)該關(guān)閉 但是有時你關(guān)閉共享下次開機的時候又出現(xiàn)了 那么你應(yīng)該考慮一下 你的機器是否已經(jīng)被黑客所控制了 或者中了病毒 刪除共享netshareadmin deletenetsharec deletenetshared delete 如果有e f 可以繼續(xù)刪除 刪除ipc 空連接在運行內(nèi)輸入regedit 在注冊表中找到HKEY LOCAL MACHINESYSTEMCurrentControSetControlLSA項里數(shù)值名稱RestrictAnonymous的數(shù)值數(shù)據(jù)由0改為1 如何有效的防范攻擊 關(guān)閉自己的139端口 Ipc和RPC漏洞存在于此 關(guān)閉139端口的方法是在 網(wǎng)絡(luò)和撥號連接 中 本地連接 中選取 Internet協(xié)議 TCP IP 屬性 進入 高級TCP IP設(shè)置 WinS設(shè)置 里面有一項 禁用TCP IP的NETBIOS 打勾就關(guān)閉了139端口 防止Rpc漏洞打開管理工具 服務(wù) 找到RPC RemoteProcedureCall RPC Locator 服務(wù) 將故障恢復(fù)中的第一次失敗 第二次失敗 后續(xù)失敗 都設(shè)置為不操作 如何有效的防范攻擊 445端口的關(guān)閉修改注冊表 添加一個鍵值HKEY LOCAL MACHINE System CurrentControlSet Services NetBT Parameters在右面的窗口建立一個SMBDeviceEnabled為REG DWORD類型鍵值為0這樣就ok了 3389的關(guān)閉我的電腦上點右鍵選屬性 遠程 將里面的遠程協(xié)助和遠程桌面兩個選項框里的勾去掉 4899的防范4899其實是一個遠程控制軟件所開啟的服務(wù)端端口 由于這些控制軟件功能強大 所以經(jīng)常被黑客用來控制 而且這類軟件一般不會被殺毒軟件查殺 比后門還要安全 4899不象3389那樣 是系統(tǒng)自帶的服務(wù) 需要自己安裝 而且需要將服務(wù)端上傳到入侵的電腦并運行服務(wù) 才能達到控制的目的 三 WinXP服務(wù)中的漏洞 1 NetMeetingRemoteDesktopSharing 允許受權(quán)的用戶通過NetMeeting在網(wǎng)絡(luò)上互相訪問對方 這項服務(wù)對大多數(shù)個人用戶并沒有多大用處 況且服務(wù)的開啟還會帶來安全問題 因為上網(wǎng)時該服務(wù)會把用戶名以明文形式發(fā)送到連接它的客戶端 黑客的嗅探程序很容易就能探測到這些賬戶信息 三 WinXP服務(wù)中的漏洞 2 UniversalPlugandPlayDeviceHost 此服務(wù)是為通用的即插即用設(shè)備提供支持 這項服務(wù)存在一個安全漏洞 運行此服務(wù)的計算機很容易受到攻擊 攻擊者只要向某個擁有多臺WinXP系統(tǒng)的網(wǎng)絡(luò)發(fā)送一個虛假的UDP包 就可能會造成這些WinXP主機對指定的主機進行攻擊 DDoS 另外如果向該系統(tǒng)1900端口發(fā)送一個UDP包 令 Location 域的地址指向另一系統(tǒng)的chargen端口 就有可能使系統(tǒng)陷入一個死循環(huán) 消耗掉系統(tǒng)的所有資源 三 WinXP服務(wù)中的漏洞 3 Messenger 俗稱信使服務(wù) 電腦用戶在局域網(wǎng)內(nèi)可以利用它進行資料交換 傳輸客戶端和服務(wù)器之間的NetSend和Alerter服務(wù)消息 此服務(wù)與WindowsMessenger無關(guān) 如果服務(wù)停止 Alerter消息不會被傳輸 這是一個危險而討厭的服務(wù) Messenger服務(wù)基本上是用在企業(yè)的網(wǎng)絡(luò)管理上 但是垃圾郵件和垃圾廣告廠商 也經(jīng)常利用該服務(wù)發(fā)布彈出式廣告 標(biāo)題為 信使服務(wù) 而且這項服務(wù)有漏洞 MSBlast和Slammer病毒就是用它來進行快速傳播的 三 WinXP服務(wù)中的漏洞 4 TerminalServices 允許多位用戶連接并控制一臺機器 并且在遠程計算機上顯示桌面和應(yīng)用程序 如果你不使用WinXP的遠程控制功能 可以禁止它 5 RemoteRegistry 使遠程用戶能修改此計算機上的注冊表設(shè)置 注冊表可以說是系統(tǒng)的核心內(nèi)容 一般用戶都不建議自行更改 更何況要讓別人遠程修改 所以這項服務(wù)是極其危險的 三 WinXP服務(wù)中的漏洞 6 FastUserSwitchingCompatibility 在多用戶下為需要協(xié)助的應(yīng)用程序提供管理 WindowsXP允許在一臺電腦上進行多用戶之間的快速切換 但是這項功能有個漏洞 當(dāng)你點擊 開始 注銷 快速切換 在傳統(tǒng)登錄方式下重復(fù)輸入一個用戶名進行登錄時 系統(tǒng)會認為是暴力破解 而鎖定所有非管理員賬戶 如果不經(jīng)常使用 可以禁止該服務(wù) 或者在 控制面板 用戶賬戶 更改用戶登錄或注銷方式 中取消 使用快速用戶切換 三 WinXP服務(wù)中的漏洞 7 Telnet 允許遠程用戶登錄到此計算機并運行程序 并支持多種TCP IPTelnet客戶 包括基于UNIX和Windows的計算機 又一個危險的服務(wù) 如果啟動 遠程用戶就可以登錄 訪問本地的程序 甚至可以用它來修改你的ADSLModem等的網(wǎng)絡(luò)設(shè)置 除非你是網(wǎng)絡(luò)專業(yè)人員或電腦不作為服務(wù)器使用 否則一定要禁止它 8 PerformanceLogsAndAlerts 收集本地或遠程計算機基于預(yù)先配置的日程參數(shù)的性能數(shù)據(jù) 然后將此數(shù)據(jù)寫入日志或觸發(fā)警報 為了防止被遠程計算機搜索數(shù)據(jù) 堅決禁止它 臨沂電腦培訓(xùn) 計算機文化基礎(chǔ)之信息安全 謝謝觀看