濟寧電腦培訓(xùn)-辦公自動化培訓(xùn)

濟寧電腦培訓(xùn)計算機文化根底之信息平安一、木馬簡介特洛伊木馬，英文叫做“Trojanhorse〞，其名稱取自希臘神話的特洛伊木馬記。它是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點。所謂隱蔽性是指木馬的設(shè)計者為了防止木馬被發(fā)現(xiàn)，會采用多種手段隱藏木馬，這樣效勞端即使發(fā)現(xiàn)感染了木馬，由于不能確定其具體位置，往往只能望“馬〞興嘆。所謂非授權(quán)性是指一旦控制端與效勞端連接后，控制端將享有效勞端的大局部操作權(quán)限，包括修改文件，修改注冊表，控制鼠標(biāo)，鍵盤等等，而這些權(quán)力并不是效勞端賦予的，而是通過木馬程序竊取的。1、木馬有哪些危害1.發(fā)送QQ、msn尾巴，騙取更多人訪問惡意網(wǎng)站，下載木馬2.盜取用戶帳號，通過盜取的帳號和密碼到達非法獲取虛擬財產(chǎn)和轉(zhuǎn)移網(wǎng)上資金的目的3.監(jiān)控用戶行為，獲取用戶重要資料2、如何預(yù)防木馬？1.養(yǎng)成良好的上網(wǎng)習(xí)慣，不訪問不良小網(wǎng)站2.下載軟件盡量到大的下載站點或者軟件官方網(wǎng)站下載3.安裝殺毒軟件，防火墻，定期進行病毒和木馬掃描。3、木馬的實質(zhì)木馬實質(zhì)上是一個程序，必須運行后才能工作，所以會在進程表、注冊表中留下蛛絲馬跡，可以通過“查、堵、殺〞將它“緝拿歸案〞?！?〕查檢查系統(tǒng)進程大局部木馬運行后會顯示在進程管理器中，所以對系統(tǒng)進程列表進行分析和過濾，可以發(fā)現(xiàn)可疑程序。特別是利用與正常進程的CPU資源占用率和句柄數(shù)的比較，發(fā)現(xiàn)異?，F(xiàn)象。3、木馬的實質(zhì)檢查注冊表、ini文件和效勞木馬為了能夠在開機后自動運行，往往在注冊表如下選項中添加注冊表項：HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunHKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnceHKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnceExHKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesHKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce說明：木馬亦可在Win.ini和System.ini的“run=〞、“l(fā)oad=〞、“shell=〞后面加載，如果在這些選項后面加載程序是你不認(rèn)識的，就有可能是木馬。木馬最慣用的手段就是把“Explorer〞變成自己的程序名，只需稍稍改“Explorer〞的字母“l(fā)〞改為數(shù)字“1〞，或者把其中的“o〞改為數(shù)字“0〞，這些改變?nèi)绻蛔屑?xì)觀察是很難被發(fā)現(xiàn)。3、木馬的實質(zhì)檢查開放端口遠(yuǎn)程控制型木馬以及輸出Shell型的木馬，大都會在系統(tǒng)中監(jiān)聽某個端口，接收從控制端發(fā)來的命令，并執(zhí)行。通過檢查系統(tǒng)上開啟的一些“奇怪〞的端口，從而發(fā)現(xiàn)木馬的蹤跡。在命令行中輸入“Netstat–na〞，可以清楚地看到系統(tǒng)翻開的端口和連接。監(jiān)視網(wǎng)絡(luò)通訊對于一些利用ICMP數(shù)據(jù)通訊的木馬，被控端沒有翻開任何監(jiān)聽端口，無需反向連接，不會建立連接，采用第三種方法檢查開放端口的方法就行不通?？梢躁P(guān)閉所有網(wǎng)絡(luò)行為的進程，然后翻開Sniffer軟件進行監(jiān)聽，如此時仍有大量的數(shù)據(jù)，那么根本可以確定后臺正運行著木馬。3、木馬的實質(zhì)〔2〕堵堵住控制通路如果你的網(wǎng)絡(luò)連接處于禁用狀態(tài)后或取消撥號連接，反復(fù)啟動、翻開窗口等不正?，F(xiàn)象消失，那么可以判斷你的電腦中了木馬。通過禁用網(wǎng)絡(luò)連接或拔掉網(wǎng)線，就可以完全防止遠(yuǎn)端計算機通過網(wǎng)絡(luò)對你的控制。當(dāng)然，亦可以通過防火墻關(guān)閉或過濾UDP、TCP、ICMP端口。殺掉可疑進程如通過Pslist查看可疑進程，用Pskill殺掉可疑進程后，如果計算機正常，說明這個可疑進程通過網(wǎng)絡(luò)被遠(yuǎn)端控制，從而使計算機不正常。3、木馬的實質(zhì)〔3〕“殺〞手工刪除對于一些可疑文件，不能立即刪除，有可能由于誤刪系統(tǒng)文件而使計算機不能正常工作。首先備份可疑文件和注冊表，接著用Ultraedit32編輯器查看文件首部信息，通過可疑文件里面的明文字符對木馬有一個大致了解。當(dāng)然高手們還可以通過W32Dasm等專用反編譯軟件對可疑文件進行靜態(tài)分析，查看文件的導(dǎo)入函數(shù)列表和數(shù)據(jù)段局部，初步了解程序的主要功能。最后，刪除木馬文件及注冊表中的鍵值。軟件殺毒由于木馬編寫技術(shù)的不斷進步，很多木馬有了自我保護機制。普通用戶最好通過專業(yè)的殺毒軟件如瑞星、金山毒霸等軟件進行殺毒，對于殺毒軟件，一定要及時更新，并通過病毒公告及時了解新木馬的預(yù)防和查殺絕技，或者通過下載專用的殺毒軟件進行殺毒。二、注重網(wǎng)絡(luò)平安打造根底防火墻網(wǎng)絡(luò)平安中談到個人上網(wǎng)時的平安，還是先把大家可能會遇到的問題歸個類，我們遇到的入侵方式大概包括了以下幾種：(1)被他人盜取密碼；(2)系統(tǒng)被木馬攻擊；(3)瀏覽網(wǎng)頁時被惡意的javascrpit程序攻擊；(4)QQ被攻擊或泄漏信息；(5)病毒感染；(6)系統(tǒng)存在漏洞使他人攻擊自己(7)黑客的惡意攻擊。如何有效的防范攻擊觀察本地共享資源運行CMD輸入netshare，如果看到有異常的共享，那么應(yīng)該關(guān)閉。但是有時你關(guān)閉共享下次開機的時候又出現(xiàn)了，那么你應(yīng)該考慮一下，你的機器是否已經(jīng)被黑客所控制了，或者中了病毒。刪除共享netshareadmin$/deletenetsharec$/deletenetshared$/delete〔如果有e，f，……可以繼續(xù)刪除〕刪除ipc$空連接在運行內(nèi)輸入regedit，在注冊表中找到HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA項里數(shù)值名稱RestrictAnonymous的數(shù)值數(shù)據(jù)由0改為1。如何有效的防范攻擊關(guān)閉自己的139端口，Ipc和RPC漏洞存在于此!關(guān)閉139端口的方法是在“網(wǎng)絡(luò)和撥號連接〞中“本地連接〞中選取“Internet協(xié)議(TCP/IP)〞屬性，進入“高級TCP/IP設(shè)置〞“WinS設(shè)置〞里面有一項“禁用TCP/IP的NETBIOS〞，打勾就關(guān)閉了139端口。防止Rpc漏洞翻開管理工具——效勞——找到RPC(RemoteProcedureCall(RPC)Locator)效勞——將故障恢復(fù)中的第一次失敗，第二次失敗，后續(xù)失敗，都設(shè)置為不操作。如何有效的防范攻擊445端口的關(guān)閉修改注冊表，添加一個鍵值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一個SMBDeviceEnabled為REG_DWORD類型鍵值為0這樣就ok了。3389的關(guān)閉我的電腦上點右鍵選屬性-->遠(yuǎn)程，將里面的遠(yuǎn)程協(xié)助和遠(yuǎn)程桌面兩個選項框里的勾去掉。4899的防范4899其實是一個遠(yuǎn)程控制軟件所開啟的效勞端端口，由于這些控制軟件功能強大，所以經(jīng)常被黑客用來控制，而且這類軟件一般不會被殺毒軟件查殺，比后門還要平安。4899不象3389那樣，是系統(tǒng)自帶的效勞。需要自己安裝，而且需要將效勞端上傳到入侵的電腦并運行效勞，才能到達控制的目的。三、WinXP效勞中的漏洞1.NetMeetingRemoteDesktopSharing：允許受權(quán)的用戶通過NetMeeting在網(wǎng)絡(luò)上互相訪問對方。這項效勞對大多數(shù)個人用戶并沒有多大用處，況且效勞的開啟還會帶來平安問題，因為上網(wǎng)時該效勞會把用戶名以明文形式發(fā)送到連接它的客戶端，黑客的嗅探程序很容易就能探測到這些賬戶信息。三、WinXP效勞中的漏洞2.UniversalPlugandPlayDeviceHost：此效勞是為通用的即插即用設(shè)備提供支持。這項效勞存在一個平安漏洞，運行此效勞的計算機很容易受到攻擊。攻擊者只要向某個擁有多臺WinXP系統(tǒng)的網(wǎng)絡(luò)發(fā)送一個虛假的UDP包，就可能會造成這些WinXP主機對指定的主機進行攻擊〔DDoS〕。另外如果向該系統(tǒng)1900端口發(fā)送一個UDP包，令“Location〞域的地址指向另一系統(tǒng)的chargen端口，就有可能使系統(tǒng)陷入一個死循環(huán)，消耗掉系統(tǒng)的所有資源。三、WinXP效勞中的漏洞3.Messenger：俗稱信使效勞，電腦用戶在局域網(wǎng)內(nèi)可以利用它進行資料交換〔傳輸客戶端和效勞器之間的NetSend和Alerter效勞消息，此效勞與WindowsMessenger無關(guān)。如果效勞停止，Alerter消息不會被傳輸〕。這是一個危險而討厭的效勞，Messenger效勞根本上是用在企業(yè)的網(wǎng)絡(luò)管理上，但是垃圾郵件和垃圾廣告廠商，也經(jīng)常利用該效勞發(fā)布彈出式廣告，標(biāo)題為“信使效勞〞。而且這項效勞有漏洞，MSBlast和Slammer病毒就是用它來進行快速傳播的。三、WinXP效勞中的漏洞4.TerminalServices：允許多位用戶連接并控制一臺機器，并且在遠(yuǎn)程計算機上顯示桌面和應(yīng)用程序。如果你不使用WinXP的遠(yuǎn)程控制功能，可以禁止它。5.RemoteRegistry：使遠(yuǎn)程用戶能修改此計算機上的注冊表設(shè)置。注冊表可以說是系統(tǒng)的核心內(nèi)容，一般用戶都不建議自行更改，更何況要讓別人遠(yuǎn)程修改，所以這項效勞是極其危險的。三、WinXP效勞中的漏洞6.FastUserSwitchingCompatibility：在多用戶下為需要協(xié)助的應(yīng)用程序提供管理。WindowsXP允許在一臺電腦上進行多用戶之間的快速切換，但是這項功能有個漏洞，當(dāng)你點擊“開始→注銷→快速切換〞，在傳統(tǒng)登錄方式下重復(fù)輸入一個用戶名進行登錄時，系統(tǒng)會認(rèn)為是暴力破解，而鎖定所有非管理員賬戶。如果不經(jīng)常使用，可以禁止該效勞?；蛘咴凇翱刂泼姘濉脩糍~戶→更改用戶登錄或注銷方式〞中取消“使用快速用戶切換〞。三、WinXP效勞中的漏洞7.Telnet：允許遠(yuǎn)程用戶登錄到此計算機并運行程序，并支持多種TCP/IPTelnet客戶，包括基于UNIX