《毕业设计(论文)计算机安全防范解决方案研究个人电脑安全.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)计算机安全防范解决方案研究个人电脑安全.doc(33页珍藏版)》请在三一办公上搜索。
1、 2007专科毕业设计(论文) 题目:计算机安全防范解决方案研究 个人电脑安全学生姓名: 班 级:07计算机二班学 号:2007AJH2指导教师: 2008年11月计算机安全防范解决方案研究 个人电脑安全学生姓名: 学 号: 2007AJ 班 级: 07计算机二班 指导教师: 完成日期: 2008年11月 计算机安全防范解决方案研究 个人电脑安全摘 要在计算机没有大规模普及之前,人们会将重要的文件资料锁到文件柜或保险柜保管。随着计算机以及因特网的迅速发展而趋向于利用计算机和网络实现信息的数据化管理。各种重要的信息(如商业秘密、技术专利等)如果存放在没有安全防范措施的计算机中,这就像用不上锁的文
2、件柜来存放机密文件。由于计算机的开放性和标准化等结构特点,使计算机信息具有高度共享和易于扩散的特性,导致计算机信息(如重要密码)在处理、存储、传输和应用过程中很容易被泄露、窃取、篡改和破坏,或者受到计算机病毒感染、后门程序、漏洞和网络黑客的攻击,给企业带来极大的风险。这时候,计算机的安全性就凸显出它的重要性了。每个计算机用户或多或少地都亲身体验过病毒或者木马、黑客的骚扰。针对个人来说所带来的损失可能还不算大,但对于企业来说,可能会是灭顶之灾。 关键词:网络安全;信息;攻击;后门程序;漏洞;密码;病毒; The computer safety guard against a solution a
3、 research -Personal computer safetySummaryBefore the calculator have no large-scale universality, people meeting importance of document data lock arrive document cabinet or safePreservation.Incline toward exploitation calculator and network realization information with the quick development of the c
4、alculator and InternetOf the data turn a management.If the information(like business secret, technique patent.etc.) of various importance deposit in there is no safety guarding against the calculator of measure in, this is like to use not lock of document cabinet to deposit secret document.Because t
5、he calculator open sex and standardize an etc. structure characteristics, make the calculator information have height share with be easy to proliferation of characteristic, cause the calculator information(such as importance password) is in the processing, savingly, deliver with the application the
6、process very easy is reveal, steal, distort with break, perhaps be subjected to calculator virus infection, back door procedure, loophole and the network black guest of attack, bring business enterprise biggest of risk.By this time, the safety of calculator highlight of importance.Each calculator cu
7、stomer or many or littlely and all and personally the experience lead virus perhaps wood horse, black guest of harassment.Aim at personal to say bring of the loss may still not calculate big, but say for the business enterprise, may is drown of disaster. Keyword:The network safety; information; atta
8、ck; back door procedure; loophole; password; virus;目 录第1章 计算机端口及服务安全防范11.1 端口的概述11.2常用的端口和服务21.3端口的安全防范31.4计算机常用服务防范4第2章 计算机系统漏洞52.1漏洞分析52.2漏洞解决方案6第3章 计算机共享资源及本地策略安全防范73.1共享资源安全分析73.2共享资源安全防范83.3本地策略安全防范93.4 DIY在本地策略的安全选项10第4章 计算机病毒及木马防范114.1病毒及木马的概述114.2 病毒及木马的种类124.3 病毒及木马防范技巧134.3.1巧用命令行 彻查电脑中的恶意
9、软件164.3.2 网银木马病毒原理与防杀办法184.3.3 查杀IMG病毒的常用方法及防范措施 21第5章总结与展望255.1 本研究工作总结255.2 计算机安全防范展望25参考文献26致 谢27第一章 计算机端口及服务安全防范1.1 端口的概述 计算机“端口”是英文port的义译,可以认为是计算机与外界通讯交流的出口。其中硬件领域的端口又称接口,如:USB端口、串行端口等。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口,是一种抽象的软件结构,包括一些数据结构和I/O(基本输入输出)缓冲区。端口号有两种基本分配方式:第一种叫全局分配这是一种集中分配方式,由一个公认权威的中
10、央机构根据用户需要进行统一分配,并将结果公布于众,第二种是本地分配,又称动态连接,即进程需要访问传输层服务时,向本地操作系统提出申请,操作系统返回本地唯一的端口号,进程再通过合适的系统调用,将自己和该端口连接起来(binding,绑定)。TCP/IP端口号的分配综合了以上两种方式,将端口号分为两部分,少量的作为保留端口,以全局方式分配给服务进程。每一个标准服务器都拥有一个全局公认的端口叫周知口,即使在不同的机器上,其端口号也相同。剩余的为自由端口,以本地方式进行分配。TCP和UDP规定,小于256的端口才能作为保留端口。按端口号可分为3大类: (1)公认端口(Well Known Ports)
11、:从0到1023,它们紧密绑定(binding)于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。 (2)注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。 (3)动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。1.2
12、常用的端口及服务端口:21 服务:FTP 说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。 木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。端口:23 服务:Telnet 说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。端口:25 服务:SMTP 说明:SMTP服务器
13、所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E -MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。端口:53 服务:Domain Name Server(DNS) 说明:DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。因此防火墙常常过滤或记录此端口。端口:80 服务:HTTP 说明:用于网页浏览。木马
14、Executor开放此端口1.3 端口的安全防范 1.关闭自己的139端口,ICP和RPC漏洞存在于此。 关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口 2445端口的关闭 修改注册表,添加一个键值 HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetBTParameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0 。34
15、899端口的防范 网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。 4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。 所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的 4135端口运行dcomcnfg,展开“组件服务”“计算机”,在“我的电脑”上点右键选“属性”,切换到“默认属性”,取消“启用分布式COM”;然后切换到“默认协议”,删除“面向连
16、接的TCP/IP”。5. 23端口关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序6. 21端口关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管单元提供 FTP连接和管理。1.4 计算机常用服务防范 在运行中,输入Services.msc,将以下服务关闭:1.ClipBook启用“剪贴簿查看器”储存信息并与远程计算机共享。 2.Distributed File System将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享。 3.Distributed Link Tracking Server
17、适用局域网分布式链接? ?踪客户端服务。 4.IMAPI CD-Burning COM Service管理 CD 录制。 5.Indexing Service提供本地或远程计算机上文件的索引内容和属性,泄露信息。 6.License Logging监视IIS和SQL如果你没安装IIS和SQL的话就停止。 7.NetMeeting Remote Desktop Sharingnetmeeting公司留下的客户信息收集。 8.Network DDE为在同一台计算机或不同计算机上运行的程序提供动态数据交换。 9.Print Spooler打印机服务,没有打印机就禁止吧。10.Telnet允许远程用户
18、登录到此计算机并运行程序 。11.Terminal Services允许用户以交互方式连接到远程计算机12.Print Spooler打印机服务,没有打印机就禁止吧。 13.Remote Desktop Help& nbsp;Session Manager管理并控制远程协助。 14.Remote Registry使远程计算机用户修改本地注册表。 如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必上停止该服务,因为这完全有可能是黑客使用控制程序的服务端第二章 计算机系统漏洞2.1漏洞分析 系统漏洞就是开发商在操作系统设计的时候没有考虑周全,当程序遇到了一个看似合理,但实际上无法
19、处理的问题时,就会引发一些不可预见的错误。系统漏洞又称为“安全缺陷”或者“系统BUG”同时也成为黑客为了达到他们的攻击目的而寻找的一个攻击入口。漏洞是随着操作系统,无论是Windows还是Linux程序的规模不断增大而逐渐增加的。操作系统的安全漏洞越多,暴露给攻击者的目标也就越大。同时。操作系统是控制整个系统的安全核心,选择操作系统的安全漏洞进行攻击可以迅速产生巨大的破坏性,使被攻击方迅速处于瘫痪或崩溃状态。正因为如此,黑客在实施攻击前往往首先要寻找到的就是对方操作系统的安全漏洞,然后再有针对性的利用相应的攻击手段实现攻击。 目前服务器常用的操作系统有3类:Windows、Unix、Linux
20、。这3类操作系都是符合C3级安全级别的操作系统。但应用最广泛的服务器操作系统仍然Windows Server 2003、Windows 2000 Serve,同时每隔一段时间都会被发现有些大大小小的漏洞,其中有很多漏洞可以使攻击者直接取得系统管理员的高级控制限,这样的后果将不堪设想。轻则会被拿来作为攻击其他机器的跳板,重则可能造成信息泄露,更有可能会破坏用户所有的数据。据统计,一台未打补丁的Windows系统,接入互联网后,不到2分钟就会受到各种漏洞所攻击,并导致计算机中毒或崩溃。目前普通用户碰到的漏洞威胁主要以微软的操作系统漏洞居多。微软被新发现的漏洞数量每年都在增长,仅2005年截止到11
21、月,微软公司便对外公布漏洞51个,其中严重等级27个。众所周知,微软的Windows操作系统在个人计算机中有极高的市场占有率,用户群体非常庞大。利用微软的系统漏洞传播的病毒明显具有传播速度快、感染人群多、破坏严重的特点。 2003年的冲击波就是利用Windows XP和Windows Server 2003系统的一种程服务漏洞进行攻击的,如果没有安装相关的安全补丁,那么目标计算机系统将强不停的重新启动。用户根本没办法使用。 造成系统漏洞的原因是多方面的,但主要包括两个方面的内容:不安全的服务、配置与初始化错误。2.2 漏洞解决方案 系统漏洞补丁的下载“系统漏洞补丁”一词,想必大家都不陌生,就微
22、软的操作系统而言,因其庞大的市场占有率,使得黑客们加倍的“喜爱”,因此微软会定期的发布一些最新的补丁升级包供用户下载安装,从而完善和确保系统的稳定性,阻止黑客的攻击,达到进一步保障系统安全的目的。微软发出的补丁包更多针对于系统和IE,因为更多时候黑客会选择IE和系统的漏洞进行攻击,让人防不胜防。 其实,避免因为系统漏洞造成的损害很简单,您可以通过打开Windows系统自动升级功能进行下载安装,但是,由于操作系统的版本问题,部分用户可能无法正常下载,或者下载了一些对自己的操作系统并不实用的补丁升级包,反而占用了大量计算机空间,这样一来就不是很合适了。图示1: 第三章 计算机共享资源及本地策略安全
23、防范3.1共享资源安全分析 随着计算机网络的迅速普及,很多企事业单位都铺设了局域网,有的还开通了Internet连接。单位内部各个部门之间,甚至企事业单位之间,经常会因工作需要而共享某些信息,由此引发了共享信息资源的安全问题。尤其是一些关键部门的信息安全问题更不容忽视。姑且不论网络病毒感染、黑客入侵,就连保证共享资源的基本安全就已经让一般的工作人员头痛不已。 尽管网络安全问题日渐突出,然而计算机网络化已是大势所趋,不能因为存在安全问题隐患就因噎废食。事实上,只要防范措施得当,在一定程度上共享信息资源的安全是可以得到有效保障的。 人们通常采用口令保护的方法来限制非授权用户对共享信息资源的访问,但
24、如果措施不当,仍会造成信息泄露。常见的安全问题分析如下: 1未设口令。 2口令过于简单。 3将访问类型设置为根据密码访问,但却仅仅设置了只读密码,而未设置完全访问密码。这样,任何用户不必输入任何口令,就可以存取共享资源,导致只读密码形同虚设。事实上,这种现象非常普遍。 4很多人由于需要访问的共享资源较多,且分散在不同的位置上,而访问每种资源又必须逐个输入口令,因此倾向于选取口令对话框中?quot;保存密码选项,以在硬盘上保存这些口令。下次再访问相同资源时就不必输入令人讨厌的口令。孰不知,这种做法虽然省去了输入口令的烦恼,但却对整个网络的安全构成了很大的威胁。因为一旦选择了保存密码选项,以后在访
25、问相同的共享资源时,系统会自动填好口令。虽然口令在屏幕上显示为一些星号,但实际上是很容易破解的。已有很多工具软件专门破解这种口令,而且这种软件很容易编写。 5Windows 9x默认将口令保存到扩展名为PWL的缓存文件中。PWL文件是保存在本机硬盘上的一个用于访问网络资源的高速缓存的口令清单。由于PWL文件的加密算法早已被破解,使用有些工具可以轻而易举地破解出全部缓存中的口令。3.2共享资源安全防范措施: 1仔细检查是否每个共享资源均设置了口令保护。 2保证口令的长度至少应在7个字符以上,且最好大小写字母、数字、符号混合使用,以增加破解的难度。 3若将访问类型设置为根据密码访问,则必须同时分别
26、设置只读密码 和完全访问密码。 4不要在本机保存口令。如千万不要在口令输入对话框中选择保存密码选 项。 5Windows 9x默认允许缓存口令,导致安全保密工作难度加大。建议完全禁止口令高速缓存。 具体方法是将注册表中HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionPoliciesNetworkDisablePwdCaching键对应的DWORD值设为1。然后将Windows目录下所有扩展名为PWL的文件删除即可。 BR 完成上述设置后,口令输入对话框中就再不会出现保存密码选项了。 6对于Windows NT而言,可以进行登录审
27、计,以限定用户登录的次数,这样可以有效防止非授权人员无限制地采用穷举方法破解口令。 7除非必要,否则不要将整个硬盘分区都设为共享,尤其是引导分区,以防止他人在破解口令后安装上特洛伊木马程序。 8所有包含共享资源的机器即使设置了口令,理论上也并非十分安全,破解口令实际上只是一个时间问题。但如果入侵者连共享资源的名字都无法知道,那么破解口令就无从谈起。 我们只需在共享资源名字后面加上一个$符号即可隐藏共享资源。网络上其他计算机无法通过浏览网络邻居或NET VIEW命令获得共享资源的名字,从而增强了保密性。例如,若要共享StDir目录,则可将该目录的共享资源名字写作StDir$。当然最好起一个更复杂
28、的名字,而不应该起像C$这样容易猜中的名字,使入侵者无法轻易猜测出来。9.删除共享(每次输入一个) net share admin$ /delete net share c$ /delete net share d$ /delete(如果有e,f,可以继续删除)3.3 本地策略安全防范 账号密码的安全原则 :首先禁用guest帐号,将系统内建的administrator帐号改名(改的越复杂越好,最好改成中文的),而且要设置一个密码,最 好是8位以上字母数字符号组合。 如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足
29、够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中 拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码。本地安全策略,打开管理工具.本地安全设置.密码策略:1.密码必须符合复杂要求性.启用 2.密码最小值.我设置的是8 3.密
30、码最长使用期限.我是默认设置42天 4.密码最短使用期限0天 5.强制密码历史 记住0个密码 6.用可还原的加密来存储密码 禁用3.4 DIY在本地策略的安全选项 1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透. 2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧. 3)对匿名连接的额外限制 4)禁止按 alt+crtl +del(没必要) 5)允许在未登陆前关机防止远程关机/启动、强制关机/启动 6)只有本地登陆用户才能访问cd-rom 7)只有本地登陆用户才能访问软驱 8)取消关机原因的提示 1、打开控制面
31、板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面; 2、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框; 3、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机; 4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。第四章 计算机病毒及木马防范4.1病毒及木马的概述 木马(Trojan)这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊
32、的,即代指特洛伊木马,也就是木马计的故事)。“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。 它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端
33、,即控制端,另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了! 木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。 随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普
34、通用户很难在中毒后发觉。4.2 木马病毒的种类:1. 网络游戏木马 随着网络在线游戏的普及和升温,我国拥有规模庞大的网游玩家。网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时,以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。 网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。 网络游戏木马的种类和数量,在国产木马病毒中都首屈一指。流行的网络游戏无一不受网游木马的威胁。一款新游戏正式发布后,往往在一到两个星期内,就会有相应的木马程序被制作出来。大量的木
35、马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。 2. 网银木马 网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。 网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。如2004年的“网银大盗”病毒,在用户进入工行网银登录页面时,会自动把页面换成安全性能较差、但依然能够运转的老版页面,然后记录用户在此页面上填写的卡号和密码;“网银大盗3”利用招行网银专业版的备份安全证书功能,可以盗取安全证书;2005年的“新网银
36、大盗”,采用API Hook等技术干扰网银登录安全控件的运行。 随着我国网上交易的普及,受到外来网银木马威胁的用户也在不断增加。 3. 网页点击类木马 网页点击类木马会恶意模拟用户点击广告等动作,在短时间内可以产生数以万计的点击量。病毒作者的编写目的一般是为了赚取高额的广告推广费用。此类病毒的技术简单,一般只是向服务器发送HTTP GET请求。 4.3病毒及木马防范技巧 具有开放性的因特网成为计算机病毒广泛传播的有利环境,而网络本身的安全漏洞也为培养更新、更多的病毒提供了良好的条件。人们为了让网页更加精彩漂亮、功能更加强大而开发ActiveX和Java技术,然而病毒程序的制造者也正是利用了这些
37、技术,把病毒程序渗透到每台个人计算机中去。 网络中如果有一台机器没有安装杀毒软件,或者安装了版本较老的,或者实时监控没有打开,无孔不入的网络病毒就可能在这台机器上安家生根,并潜伏在这台机器上随时想其他有防护弱点的机器发起进攻。 1漏洞型图片木马 伪装型图片木马,无论再怎么伪装,都只是象图片而已,并不是真正的图片。但是利用系统的漏洞,攻击者可以制作出真正的夹带木马的图片。文件确实是一张图片,但当用户打开图片时,就中招了。 微软曾经发布了一个图片漏洞安全公告(MS04-028),这个漏洞是个高危漏洞,利用这个漏洞制作出来的图片木马不用打开,只要Windows的图片预览功能开着,隐藏在图片中的木马就
38、会自动运行,危害十分巨大。利用此漏洞的攻击者,不需要将木马捆绑在图片中,只需把木马的下载地址嵌入图片中,当预览图片时,就会在后台联网下载并运行木马。如果用最新升级的杀毒软件查毒,可以报告有木马,但是这些图片和无毒的图片放在一起,普通的用户一般很难发现。 图示2: 2. 伪装型图片木马病毒 伪装成“图片”的木马,无论其外表多么具有迷惑性,但木马的本质是改变不了的。木马必然是个可执行的程序文件,其后缀名是“exe”,这是不可更改的。因此,要避免伪装成“图片”的木马程序的迷惑,可以从文件名上入手。 在资源管理器窗口中,点击菜单“工具”“文件夹选项”,打开文件夹选项对话框。切换到“查看”选项卡,在中间
39、的列表中,去掉对“隐藏受保护的操作系统文件夹”项和“隐藏已知文件类型的扩展名”项的选择,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”。图示3:3. 图片木马病毒漏洞补丁 图片木马的攻击可以说是无处不在,不过从上面的介绍,可以看出图片木马除了伪装外,基本上是靠系统漏洞进行攻击的。因此,防范图片木马攻击,可以从为系统打补丁两方面入手。各种溢出类型图片木马,实际上是利用了系统漏洞进行攻击的,因此用户要想防范图片木马,以及以后出现的各种新木马,最好的办法就是及时进行系统更新。 为了节约系统资源,许多用户往往会将自动更新关掉,但是长期下来许多系统漏洞都没有打补丁。要补上这些漏洞,需要装的补丁
40、太多了,哪些是重要的,哪些是不必要安装的,哪些会造成系统冲突的,很难分辨。我们可以利用一些特殊的安全工具,比如360安全卫生之类的,给系统打补丁就不是什么难事了。 运行360安全卫生,在界面中间会显示系统中是否有未打的重要安全补丁程序。切换到“修复系统漏洞”,点击“查看并修复系统漏洞”按钮,软件会自动扫描系统中的漏洞,然后就可以点击更新系统补丁。选择系统中未安装的重要安全漏洞,或简介“全选”,再点击“下载并修复”按钮,就会自动下载并安装所有的补丁程序了。图示4: 4.3.1巧用命令行 彻查电脑中的恶意软件Netstat命令在命令行提示符运行之后,下一步运行“netstat”指令,并且注意观察你
41、的系统的监听端口。许多人都知道“netstat na”命令能够提供这台机器的TCP和UDP端口列表。在这个指令的参数中增加一个“o”能够显示使用一个端口的每一个进行的ID。使用XP SP2,增加一个“b”参数将显示使用每一个端口的EXE文件的名称,以及装载用于与网络进行通讯的动态链接库。不过,要熟悉参数“b”的用法。这个功能能够消耗一些重要的CPU使用时间,你的处理器的60%至100%的使用时间最多是1分钟。但是,等一下,还有更多的事情。假如你要看一下端口使用状况和看看它如何变化的,在netstat指令后面增加一个空格,然后输入一个整数,如“netstat nao 1”,这个指令将以这个整数的
42、频率运行。在这个例子中,它是每隔一秒运行一次。这个现实将不断地在屏幕上显示出来,图示5: 当然, 要甄别使用TCP和UDP端口的恶意软件,你需要知道一个系统的正常端口使用应该是什么样子。要搜索一台机器上使用的端口,要搜索Google 中的具体端口。此外,微软有Windows客户机和服务器使用的通用端口列表。你还可以搜索与微软和第三方应用程序有关的端口以及正式分配的端口列表。Dir命令检查自动开始文件夹,查看从那里开始的任何出人意料的程序,也是一种聪明的方法。运行非常熟悉的老的“dir”指令,使用/A参数能够显示任何有属性设置或者没有属性设置的文件,以及隐藏的文件和非隐藏的文件。 C:dir/A
43、C:DocumentsandSettingsAllUsersStartMenuProgramsStartup netusers与localgroupadministrators一些恶意软件向本地机器增加一个账户。因此,运行“net users”命令是很重要的。这个命令可以检查系统定义的账户。此外,由于一些僵尸电脑向本地管理组增加一个账户,因此一定要运行“localgroup administrators”(本地组管理器)命令检查 这个特定的组的身份。你知道在你的管理员组中的全部人员吗?下面的图表显示了一些输出的例子。图示6: 这几个命令能够提供对一台Windows计算机的更深入的了解。不过,要
44、进行练习才能做得更好。花一些时间分析干净的系统,这样,你就会更熟悉“正常的” Windows机器是什么样子。然后,你对恶意软件发出的异常的东西就会更敏感。有了准备和练习之后,命令行技巧能够显著提高你对Windows机器的理解,使你能够准备好与恶意软件进行激烈的战斗。4.3.2 网银木马病毒原理与防杀办法 木马原理分析这不最近又出现了新的网银木马Win32.Troj.BankJp.a.221184程序,该木马病毒可通过第三方存诸设备及网络进行传播,会给系统、网络银行用户带来损失。该木马一但进驻系统,首先会自行寻找系统中的“个人银行专业版”的窗口并盗取网银账号密码,然后该病毒将自动替换大量系统文件
45、,并进行键盘记录,进尔利用删除破坏系统userinit.exe关键登陆程序,达到系统重启后反复登陆操作界面,让系统无法进入桌面,以至于无法正常运行,该病毒木马能实现自动更新,严重威胁用户财产及隐私安全。在一台被感染的计算机中,该病毒会在其文件目录%windir%下生存mshelp.dll、mspw.dll动态链接库文件,并随后在注册表分支HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下添加服务项power,并尝试备份文件%system%calc.exe - %system%dllcachec_20218.nls、%system%userini
46、t.exe - %system%dllcachec_20911.nls及%windir%notepad.exe - %system%dllcachec_20601.nls文件。成功后病毒开始自动查找并替换系统目录%windir%下的calc.exe文件;%system%目录下的userinit.exe、notepad.exe文件;%system%dllcache目录下的calc.exe、userinit.exe及notepad.exe文件,以达深度隐藏。至此,病毒木马仍然没有结束自身加固功能,会在系统根目录下创建RECYCLER.文件夹,用于存放病毒备份。病毒清理过程当网络用户不小心感染其病毒木马时,应尽快
