網(wǎng)絡(luò)中的個人計算機(jī)安全專訓(xùn)

網(wǎng)絡(luò)中的個人計算機(jī)安全小組成員:楊人杰、任韋新、朱磊、王帥偉為解敵人，必須成為敵人。最好的防御方法是知道攻擊者如何攻擊網(wǎng)絡(luò)。知己知彼，百戰(zhàn)不殆。----《思科教程：接入WAN》P120----《孫子·謀攻》電腦感染途徑計算機(jī)中毒、中馬或被入侵的癥狀計算機(jī)無法開機(jī)計算機(jī)常死機(jī)、黑屏、無故重啟計算機(jī)的執(zhí)行速度變慢、無法使用某些軟件出現(xiàn)奇怪的對話窗口或報錯系統(tǒng)配置莫名其妙地被更改或禁止（如首頁、時間、桌面、屏保、啟動項(xiàng)等）出現(xiàn)奇怪的文件（目錄）、文件大小被改變、某些文件被損毀或無法打開QQ密碼、卡密碼被盜計算機(jī)不停的讀寫硬盤為什么安裝了殺毒軟件，我們還會感染木馬和病毒？免殺，也就是反病毒（AntiVirus）與反間諜（AntiSpyware）的對立面，英文為Anti-AntiVirus，逐字翻譯為“反-反病毒”，翻譯為“反殺毒技術(shù)”。什么叫特征碼含意:能識別一個程序是一個病毒的一段不大于64字節(jié)的特征串.為了減少誤報率,一般殺毒軟件會提取多段特征串,這時,我們往往改一處就可達(dá)到免殺效果,當(dāng)然有些殺毒軟件要同時改幾處才能免殺特征碼的定位與原理

特征碼的查找方法:文件中的特征碼被我們填入的數(shù)據(jù)（比如0）替換了，那殺毒軟件就不會報警，以此確定特征碼的位置特征碼定位器的工作原理:原文件中部分字節(jié)替換為0，然后生成新文件，再根據(jù)殺毒軟件來檢測這些文件的結(jié)果判斷特征碼的位置我們小組的安全解決方案方案1.HIPS+360方案3.殺毒軟件+360+Windows7方案2.沙盤+360+Windows7Windows7的安全全安全全機(jī)制制InternetExplorer8DataExecutiveProtection（數(shù)據(jù)據(jù)執(zhí)行行保護(hù)護(hù)）AquaLogicServiceRegistry(ALSR)StructuredExceptionHandlingOverwriteProtection（SEHOP)UAC(UserAccountControl，用戶戶帳戶戶控制制)WinlogonDesktop（安全全桌面面））Session0隔離UAC簡單介介紹UAC(UserAccountControl，用戶戶帳戶戶控制制)是微軟軟為提提高系系統(tǒng)安安全而而在WindowsVista中引入的的新技術(shù)術(shù)，它要要求用戶戶在執(zhí)行行可能會會影響計計算機(jī)運(yùn)運(yùn)行的操操作或執(zhí)執(zhí)行更改改影響其其他用戶戶的設(shè)置置的操作作之前，，提供權(quán)權(quán)限或管管理員??密碼。。通過在在這些操操作啟動動前對其其進(jìn)行驗(yàn)驗(yàn)證，UAC可以幫助助防止惡惡意軟件件和間諜諜軟件在在未經(jīng)許許可的情情況下在在計算機(jī)機(jī)上進(jìn)行行安裝或或?qū)τ嬎闼銠C(jī)進(jìn)行行更改。。UAC的提示演演示修改系統(tǒng)統(tǒng)設(shè)置時時UAC提示有數(shù)字簽簽名的程程序提權(quán)權(quán)時UAC提示沒有數(shù)字字簽名的的程序提提權(quán)時UAC提示Session0隔離在WindowsXP、WindowsServer2003及更早期期的Windows版本里，，控制臺臺登錄（（在計算算機(jī)本地地進(jìn)行登登錄叫做做控制臺臺登錄））的所有有服務(wù)都都運(yùn)行在在相同的的會話中中，此會會話被稱稱作“會會話0”，如圖10-1所示。所所有的應(yīng)應(yīng)用程序序和服務(wù)務(wù)都在會會話0中運(yùn)行，，低權(quán)限限的應(yīng)用用程序可可直接與與高特權(quán)權(quán)級的系系統(tǒng)服務(wù)務(wù)進(jìn)行通通信，這這就為操操作系統(tǒng)統(tǒng)帶來了了一定的的安全隱隱患。我我們將操操作系統(tǒng)統(tǒng)比作一一條船，，將系統(tǒng)統(tǒng)服務(wù)和和應(yīng)用程程序比作作乘船的的人。如如果乘船船的人中中有一個個人做出出破壞行行為，就就極有可可能導(dǎo)致致整條船船都沉沒沒。首個登錄錄Windows7的用戶會會直接登登錄到會會話1上，在此此之后登登錄的用用戶都會會按會話話序號登登錄到不不同的會會話當(dāng)中中，但只只有系統(tǒng)統(tǒng)服務(wù)是是運(yùn)行在在會話0當(dāng)中。由由于只有有系統(tǒng)服服務(wù)運(yùn)行行在會話話0上，這樣樣就保護(hù)護(hù)了操作作系統(tǒng)免免受應(yīng)用用程序中中所運(yùn)行行的惡意意代碼攻攻擊。用用戶可以以直接從從任務(wù)管管理器中中驗(yàn)證當(dāng)當(dāng)前是否否正登錄錄在會話話1中HostIntrusionPreventSystem(主機(jī)入侵侵防御系系統(tǒng))簡稱為HIPS。HIPS是一種能能監(jiān)視控控制系統(tǒng)統(tǒng)中程序序運(yùn)行，，以及監(jiān)監(jiān)視程序序文件、、注冊表表、服務(wù)務(wù)及網(wǎng)絡(luò)絡(luò)等系統(tǒng)統(tǒng)操作，，并通過過手工設(shè)設(shè)置或者者軟件內(nèi)內(nèi)置的一一些觸發(fā)發(fā)條件進(jìn)進(jìn)行操作作控制的的軟件。。HIPS可以保證證系統(tǒng)安安全，防防范未知知的病毒毒及入侵侵。HIPS并不通過過病毒特特征碼進(jìn)進(jìn)行識別別，而是是通過控控制程序序的行為為來實(shí)現(xiàn)現(xiàn)病毒防防御的。。常用的的HIPS軟件有:SSM(SystemSafetyMonitor)、PG(ProcessGuard和PortExplorer)、GSS(GhostSecurity)，國產(chǎn)的的有EQSecure、PS(ProSecurity)、中網(wǎng)S3主機(jī)安全全系統(tǒng)等等。目前前在許多多殺毒軟軟件或防防火墻中中，也開開始集成成了HIPS功能。我們測試試使用的的HIPS軟件MalwareDefender是一個HIPS(主機(jī)入侵侵防御系系統(tǒng))軟件，它它可以有有效的保保護(hù)您的的計算機(jī)機(jī)系統(tǒng)免免受惡意意軟件(病毒、蠕蠕蟲、木木馬、廣廣告軟件件、間諜諜軟件、、按鍵記記錄軟件件、rootkit等)的侵害。。MalwareDefender也是一個個rootkit檢測軟件件，它提提供了很很多有效效的工具具來檢測測和刪除除已經(jīng)安安裝在您您的計算算機(jī)系統(tǒng)統(tǒng)中的惡惡意軟件件。無無論您是是否是一一個計算算機(jī)專家家用戶，，MalwareDefender都是您保保護(hù)您的的系統(tǒng)的的理想選選擇。什么是規(guī)規(guī)則？手工的HIPS軟件，其其規(guī)則設(shè)設(shè)置是一一件非常常重要的的事情，，如果規(guī)規(guī)則設(shè)置置得不好好，彈出出的詢問問框就會會很多，，讓人不不勝其煩煩。合理理地設(shè)置置各種保保護(hù)規(guī)則則，不僅僅可以全全面地保保護(hù)監(jiān)控控系統(tǒng)，，而且可可以大大大減少彈彈出詢問問框的數(shù)數(shù)量，使使用起來來更省心心。網(wǎng)上上有許多多高手設(shè)設(shè)置的規(guī)規(guī)則，直直接套用用就可以以方便省省心省力力地保護(hù)護(hù)系統(tǒng)。。退出MalwareDefender并停止所所有保護(hù)護(hù)，將下下載的規(guī)規(guī)則文件件包解壓壓后，復(fù)復(fù)制規(guī)則則文件““rules.dat””，粘貼到到MD安裝目錄錄下替換換同名文文件。然然后重新新運(yùn)行MD，改回正正常全面面保護(hù)模模式即可可。也可可以在MD界面中點(diǎn)點(diǎn)擊菜單單“規(guī)則則→導(dǎo)入入”，將將下載的的規(guī)則文文件使用用導(dǎo)入功功能導(dǎo)入入啟用。。要注意意的是，，使用導(dǎo)導(dǎo)入方式式會保留留原有的的一些規(guī)規(guī)則，覆覆蓋重復(fù)復(fù)規(guī)則，，為避免免自設(shè)規(guī)規(guī)則與導(dǎo)導(dǎo)入規(guī)則則沖突，，最好使使用覆蓋蓋方式使使用。導(dǎo)導(dǎo)入規(guī)則則后，有有一些正正常的軟軟件可能能還不能能用，可可以開啟啟學(xué)習(xí)模模式，或或者設(shè)置置例外。。推薦根根據(jù)阻止止日志來來設(shè)立例例外規(guī)則則(見圖7)，設(shè)置時時要活用用通配符符。HIPS的使用方方法退出MD，復(fù)制規(guī)規(guī)則文件件rules.dat，粘貼到到MD安裝目錄錄，替換換同名文文件。然后開學(xué)學(xué)習(xí)模式式，重啟啟電腦。。然后把把MD改回正常常模式。。HIPS測試什么是沙沙盤？Sandboxie允許你在在沙盤環(huán)環(huán)境中運(yùn)運(yùn)行瀏覽覽器或其其他程序序，因因此運(yùn)行行所產(chǎn)生生的變化化可以隨隨后刪除除?？捎糜脕硐暇W(wǎng)、、運(yùn)行程程序的痕痕跡，也也可用來來還原收收藏夾、、主頁、、注冊表表等。即即使在沙沙盤進(jìn)程程中下載載的文件件，也會會隨著沙沙盤的清清空而而刪除。。此軟件件在系統(tǒng)統(tǒng)托盤中中運(yùn)行，，如果想想啟動一一個沙盤盤進(jìn)程，，請通過過托盤圖圖標(biāo)（而而不要用用原方式式）啟動動瀏覽器器或相應(yīng)應(yīng)程序。。沙盤的使使用方法法外國版的的360暫時免費(fèi)費(fèi)的殺毒毒軟件卡巴斯基基一年免費(fèi)費(fèi)國際著名名的信息息安全領(lǐng)領(lǐng)導(dǎo)廠商商，病毒毒防衛(wèi)的的技術(shù)領(lǐng)領(lǐng)導(dǎo)者和和專家。。金山毒霸霸一年免費(fèi)費(fèi)專業(yè)殺毒毒軟件，，10次通過VB100認(rèn)證，國國內(nèi)唯一一通過AV-C認(rèn)證。瑞星殺毒毒半年免費(fèi)費(fèi)國內(nèi)最大大專業(yè)安安全廠商商之一，，三層安安全架構(gòu)構(gòu)，殺毒毒殺木馬馬更徹底底。外國免費(fèi)費(fèi)的殺毒毒軟件AviraAntiVirAviraAntiVirPersonal，可靠的的防病毒毒解決方方案。AVG免費(fèi)殺毒毒國際著名名專業(yè)殺殺毒廠商商，終身身免費(fèi)，，多項(xiàng)國國際專利利技術(shù)，，1.1億全球用用戶信賴賴。MicrosoftSecurityEssentials微軟出品品的殺毒毒軟件，，幫助您您遠(yuǎn)離病病毒和惡惡意軟件件的威脅脅。推薦瀏覽覽器火狐瀏覽覽器安全、穩(wěn)穩(wěn)定、快快速，更更暢快的的網(wǎng)上瀏瀏覽。眾多好用用的插件件，是您您上網(wǎng)的的好幫手手。谷歌瀏覽覽器高速、簡簡約、簡簡單。好的使用用習(xí)慣是是安全的的基礎(chǔ)及時進(jìn)行行系統(tǒng)補(bǔ)補(bǔ)丁更新新每日升級級病毒庫庫郵件的附附