恶意软件深度防护.ppt

恶意软件的深度防护; 本章重点如下： 什么是恶意软件？它们的主要特征及运行机制是什么？ 端口的检测与木马的清除方法 蠕虫的检测与清除方法 恶意代码和网络蠕虫的防护 Windows系统TCP/IP堆栈强化措施 恶意软件的深层防护方法;2.1 认识恶意软件; 3. 计算机病毒 计算机病毒是我们最常见的一种恶意软件，其代码的明确意图就是自行通过感染其它文件进行复制，然后破坏其它正常文件。病毒尝试将其自身附加到宿主程序，以便在计算机之间进行传播。宿主程序执行时，病毒代码也随之运行，并会感染新的宿主，有时还会传递额外负载。它可能会损害硬件、软件或数据。 区分是病毒，还是蠕虫、木马的方法很简单。如果恶意代码将其自身的副本添加到文件、文档或磁盘驱动器的启动扇区来进行复制，则认为它是计算机病毒，否则如果能自身复制，则是网络蠕虫，不能复制的则是特洛伊木马。计算机病毒复制的副本可以是原始病毒的直接副本，也可以是原始病毒的修改版本。 计算机病毒通常会将其包含的负载（例如特洛伊木马）放置在一个本地计算机上，然后执行一个或多个恶意操作（例如删除用户数据）。但是，仅进行复制且不具有负载的计算机病毒仍是恶意软件问题，因为该病毒自身在其复制时可能会损坏数据、消耗系统资源并占用网络带宽。 本节详细内容参见书本P42~P43页。;2.1.2 什么是非恶意软件;2.1.3 恶意软件的主要特征; 3. 传播方式  在恶意软件传播中主要存在：可移动媒体、网络共享、网络扫描、对等（P2P）网络、电子邮件和安全漏洞几种途经。 4. 入侵或攻击方式 一旦恶意软件通过传输到达了宿主计算机，它通常会执行相应的入侵或攻击，在专业上称之为“负载”操作。入侵和攻击方式可以有许多类型，常见的包括：后门非法访问、破坏或删除数据、信息窃取、拒绝服务（DoS）和分布式拒绝服务（DDoS）等。 5.触发机制 触发机制是恶意软件的一个特征，恶意软件使用此机制启动复制或负载传递。典型的触发机制包括：手动执行、社会工程、半自动执、自动执行、定时炸弹和???件执行等几种。 6. 防护机制 恶意软件要实现他们的目的，当然首要要做的就是先保护好自己不被用户发现，所采取了许多防护措施包括：装甲、窃取、加密、寡态和多态这几种方式。 本节详细内容参见书本P46~P50页。;2.2 木马的检测、清除与防范;2.2.1 木马的手工检测、清除与防范方法; 查看win.ini和system.ini系统配置文件 因为木马程序会经常修改win.ini和system.ini这两个文件，以达到隐藏，并且随系统启动而自动启动的目的，所以在一定程度上我们通过查看这两个文件是否有被修改可以判别是否中了木马。当然并不是所有木马程序都会修改这两个文件，而且要想从这两个文件中发现是否被修改也是有相当难度的，至少要知道相应木马修改这两个文件的一般特征，才有针对性地去查看。 有的木马是通过修改win.ini文件中windows节中的“load=”和“run=”项语句实现自动加载的。在system.ini文件中通常是修改boot节中的语句。所以我们着重要查看这两个文件中的这两节中的语句，看它们所加载的程序是否属于正常程序。一些常见木马的清除方法也将在本书附录列举。 查看启动程序 要查看系统启动文件，可以通过系统配置程序进行，在“运行”窗口输入msconfig命令，在打开的对话框中选择“启动”选项卡，如图2-1所示。 ; ;2.2.2 木马的软件自动清除和端口关闭方法;2.3 拒绝恶意代码;2.4 网络蠕虫的浓度防护; 由于网络蠕虫和计算机病毒都具有传染性和复制功能，导致二者之间是非常难区分的。尤其是近年来，越来越多的病毒采取了部分蠕虫的技术。另一方面具有破坏性的蠕虫也采取了部分病毒的技术，更加剧了这种情况。目前现在对蠕虫给出了新的定义，那就是：蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。”。从此新定义上来分析的话，一些以前我认为是蠕虫的则只是病毒，尽管它们的名称上都有“蠕虫”二字。如Happy99蠕虫病毒、Mellisa网络蠕虫宏病毒、Lover Letter网络蠕虫病毒、SirCam蠕虫病毒、NAVIDAD网络蠕虫、Blebla.B网络蠕虫、VBS_KAKWORM.A蠕虫等。 网络蠕虫是目前危害最大的恶意软件，几乎每次蠕虫发作都会因其造成的巨大经济损失，自1998年至今，几年每年都有给全球计算机用户带来巨大损失的典型蠕虫出现。它是目前计算机病毒领域中，危害性最大、难以根治，出现越来越频繁的