濟寧電腦培訓-辦公自動化培訓

濟寧電腦培訓計算機文化根底之信息平安一、木馬簡介特洛伊木馬，英文叫做“Trojanhorse〞，其名稱取自希臘神話的特洛伊木馬記。它是一種基于遠程控制的黑客工具，具有隱蔽性和非授權性的特點。所謂隱蔽性是指木馬的設計者為了防止木馬被發(fā)現(xiàn)，會采用多種手段隱藏木馬，這樣效勞端即使發(fā)現(xiàn)感染了木馬，由于不能確定其具體位置，往往只能望“馬〞興嘆。所謂非授權性是指一旦控制端與效勞端連接后，控制端將享有效勞端的大局部操作權限，包括修改文件，修改注冊表，控制鼠標，鍵盤等等，而這些權力并不是效勞端賦予的，而是通過木馬程序竊取的。1、木馬有哪些危害1.發(fā)送QQ、msn尾巴，騙取更多人訪問惡意網站，下載木馬2.盜取用戶帳號，通過盜取的帳號和密碼到達非法獲取虛擬財產和轉移網上資金的目的3.監(jiān)控用戶行為，獲取用戶重要資料2、如何預防木馬？1.養(yǎng)成良好的上網習慣，不訪問不良小網站2.下載軟件盡量到大的下載站點或者軟件官方網站下載3.安裝殺毒軟件，防火墻，定期進行病毒和木馬掃描。3、木馬的實質木馬實質上是一個程序，必須運行后才能工作，所以會在進程表、注冊表中留下蛛絲馬跡，可以通過“查、堵、殺〞將它“緝拿歸案〞?！?〕查檢查系統(tǒng)進程大局部木馬運行后會顯示在進程管理器中，所以對系統(tǒng)進程列表進行分析和過濾，可以發(fā)現(xiàn)可疑程序。特別是利用與正常進程的CPU資源占用率和句柄數(shù)的比較，發(fā)現(xiàn)異?，F(xiàn)象。3、木馬的實質檢查注冊表、ini文件和效勞木馬為了能夠在開機后自動運行，往往在注冊表如下選項中添加注冊表項：HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunHKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnceHKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnceExHKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesHKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce說明：木馬亦可在Win.ini和System.ini的“run=〞、“l(fā)oad=〞、“shell=〞后面加載，如果在這些選項后面加載程序是你不認識的，就有可能是木馬。木馬最慣用的手段就是把“Explorer〞變成自己的程序名，只需稍稍改“Explorer〞的字母“l(fā)〞改為數(shù)字“1〞，或者把其中的“o〞改為數(shù)字“0〞，這些改變如果不仔細觀察是很難被發(fā)現(xiàn)。3、木馬的實質檢查開放端口遠程控制型木馬以及輸出Shell型的木馬，大都會在系統(tǒng)中監(jiān)聽某個端口，接收從控制端發(fā)來的命令，并執(zhí)行。通過檢查系統(tǒng)上開啟的一些“奇怪〞的端口，從而發(fā)現(xiàn)木馬的蹤跡。在命令行中輸入“Netstat–na〞，可以清楚地看到系統(tǒng)翻開的端口和連接。監(jiān)視網絡通訊對于一些利用ICMP數(shù)據(jù)通訊的木馬，被控端沒有翻開任何監(jiān)聽端口，無需反向連接，不會建立連接，采用第三種方法檢查開放端口的方法就行不通?？梢躁P閉所有網絡行為的進程，然后翻開Sniffer軟件進行監(jiān)聽，如此時仍有大量的數(shù)據(jù)，那么根本可以確定后臺正運行著木馬。3、木馬的實質〔2〕堵堵住控制通路如果你的網絡連接處于禁用狀態(tài)后或取消撥號連接，反復啟動、翻開窗口等不正?，F(xiàn)象消失，那么可以判斷你的電腦中了木馬。通過禁用網絡連接或拔掉網線，就可以完全防止遠端計算機通過網絡對你的控制。當然，亦可以通過防火墻關閉或過濾UDP、TCP、ICMP端口。殺掉可疑進程如通過Pslist查看可疑進程，用Pskill殺掉可疑進程后，如果計算機正常，說明這個可疑進程通過網絡被遠端控制，從而使計算機不正常。3、木馬的實質〔3〕“殺〞手工刪除對于一些可疑文件，不能立即刪除，有可能由于誤刪系統(tǒng)文件而使計算機不能正常工作。首先備份可疑文件和注冊表，接著用Ultraedit32編輯器查看文件首部信息，通過可疑文件里面的明文字符對木馬有一個大致了解。當然高手們還可以通過W32Dasm等專用反編譯軟件對可疑文件進行靜態(tài)分析，查看文件的導入函數(shù)列表和數(shù)據(jù)段局部，初步了解程序的主要功能。最后，刪除木馬文件及注冊表中的鍵值。軟件殺毒由于木馬編寫技術的不斷進步，很多木馬有了自我保護機制。普通用戶最好通過專業(yè)的殺毒軟件如瑞星、金山毒霸等軟件進行殺毒，對于殺毒軟件，一定要及時更新，并通過病毒公告及時了解新木馬的預防和查殺絕技，或者通過下載專用的殺毒軟件進行殺毒。二、注重網絡平安打造根底防火墻網絡平安中談到個人上網時的平安，還是先把大家可能會遇到的問題歸個類，我們遇到的入侵方式大概包括了以下幾種：(1)被他人盜取密碼；(2)系統(tǒng)被木馬攻擊；(3)瀏覽網頁時被惡意的javascrpit程序攻擊；(4)QQ被攻擊或泄漏信息；(5)病毒感染；(6)系統(tǒng)存在漏洞使他人攻擊自己(7)黑客的惡意攻擊。如何有效的防范攻擊觀察本地共享資源運行CMD輸入netshare，如果看到有異常的共享，那么應該關閉。但是有時你關閉共享下次開機的時候又出現(xiàn)了，那么你應該考慮一下，你的機器是否已經被黑客所控制了，或者中了病毒。刪除共享netshareadmin$/deletenetsharec$/deletenetshared$/delete〔如果有e，f，……可以繼續(xù)刪除〕刪除ipc$空連接在運行內輸入regedit，在注冊表中找到HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA項里數(shù)值名稱RestrictAnonymous的數(shù)值數(shù)據(jù)由0改為1。如何有效的防范攻擊關閉自己的139端口，Ipc和RPC漏洞存在于此!關閉139端口的方法是在“網絡和撥號連接〞中“本地連接〞中選取“Internet協(xié)議(TCP/IP)〞屬性，進入“高級TCP/IP設置〞“WinS設置〞里面有一項“禁用TCP/IP的NETBIOS〞，打勾就關閉了139端口。防止Rpc漏洞翻開管理工具——效勞——找到RPC(RemoteProcedureCall(RPC)Locator)效勞——將故障恢復中的第一次失敗，第二次失敗，后續(xù)失敗，都設置為不操作。如何有效的防范攻擊445端口的關閉修改注冊表，添加一個鍵值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一個SMBDeviceEnabled為REG_DWORD類型鍵值為0這樣就ok了。3389的關閉我的電腦上點右鍵選屬性-->遠程，將里面的遠程協(xié)助和遠程桌面兩個選項框里的勾去掉。4899的防范4899其實是一個遠程控制軟件所開啟的效勞端端口，由于這些控制軟件功能強大，所以經常被黑客用來控制，而且這類軟件一般不會被殺毒軟件查殺，比后門還要平安。4899不象3389那樣，是系統(tǒng)自帶的效勞。需要自己安裝，而且需要將效勞端上傳到入侵的電腦并運行效勞，才能到達控制的目的。三、WinXP效勞中的漏洞1.NetMeetingRemoteDesktopSharing：允許受權的用戶通過NetMeeting在網絡上互相訪問對方。這項效勞對大多數(shù)個人用戶并沒有多大用處，況且效勞的開啟還會帶來平安問題，因為上網時該效勞會把用戶名以明文形式發(fā)送到連接它的客戶端，黑客的嗅探程序很容易就能探測到這些賬戶信息。三、WinXP效勞中的漏洞2.UniversalPlugandPlayDeviceHost：此效勞是為通用的即插即用設備提供支持。這項效勞存在一個平安漏洞，運行此效勞的計算機很容易受到攻擊。攻擊者只要向某個擁有多臺WinXP系統(tǒng)的網絡發(fā)送一個虛假的UDP包，就可能會造成這些WinXP主機對指定的主機進行攻擊〔DDoS〕。另外如果向該系統(tǒng)1900端口發(fā)送一個UDP包，令“Location〞域的地址指向另一系統(tǒng)的chargen端口，就有可能使系統(tǒng)陷入一個死循環(huán)，消耗掉系統(tǒng)的所有資源。三、WinXP效勞中的漏洞3.Messenger：俗稱信使效勞，電腦用戶在局域網內可以利用它進行資料交換〔傳輸客戶端和效勞器之間的NetSend和Alerter效勞消息，此效勞與WindowsMessenger無關。如果效勞停止，Alerter消息不會被傳輸〕。這是一個危險而討厭的效勞，Messenger效勞根本上是用在企業(yè)的網絡管理上，但是垃圾郵件和垃圾廣告廠商，也經常利用該效勞發(fā)布彈出式廣告，標題為“信使效勞〞。而且這項效勞有漏洞，MSBlast和Slammer病毒就是用它來進行快速傳播的。三、WinXP效勞中的漏洞4.TerminalServices：允許多位用戶連接并控制一臺機器，并且在遠程計算機上顯示桌面和應用程序。如果你不使用WinXP的遠程控制功能，可以禁止它。5.RemoteRegistry：使遠程用戶能修改此計算機上的注冊表設置。注冊表可以說是系統(tǒng)的核心內容，一般用戶都不建議自行更改，更何況要讓別人遠程修改，所以這項效勞是極其危險的。三、WinXP效勞中的漏洞6.FastUserSwitchingCompatibility：在多用戶下為需要協(xié)助的應用程序提供管理。WindowsXP允許在一臺電腦上進行多用戶之間的快速切換，但是這項功能有個漏洞，當你點擊“開始→注銷→快速切換〞，在傳統(tǒng)登錄方式下重復輸入一個用戶名進行登錄時，系統(tǒng)會認為是暴力破解，而鎖定所有非管理員賬戶。如果不經常使用，可以禁止該效勞?；蛘咴凇翱刂泼姘濉脩糍~戶→更改用戶登錄或注銷方式〞中取消“使用快速用戶切換〞。三、WinXP效勞中的漏洞7.Telnet：允許遠程用戶登錄到此計算機并運行程序，并支持多種TCP/IPTelnet客戶，包括基于UNIX