典型惡意軟件

及其防范和清除技術信息設備及其環境安全與評估教學目的了解不同惡意軟件的特點了解防范和清除惡意軟件的一般方法熟悉發現并手工清除惡意軟件的方法信息設備及其環境安全與評估內容宏病毒郵件蠕蟲木馬網頁木馬流氓軟件手工清除惡意軟件信息設備及其環境安全與評估宏病毒宏是組織在一起的命令集合，可以作為一個單獨命令完成一個特定任務在MicrosoftOffice中，可以使用以VisualBasic編寫的宏。宏病毒指用VisualBasic編寫的具有病毒特點的代碼。它能夠通過.doc和.dot文件進行傳播信息設備及其環境安全與評估宏病毒的防范和清除宏病毒的防范使用防病毒軟件設置宏安全性為中以上，打開Office文檔遇到宏病毒警告框時，要保持高度警惕宏病毒的清除使用防病毒軟件手動清除。對于普通文檔，可以使用“另存為”，并選擇不含宏的文件格式比如在Word中，可以選擇RTF格式信息設備及其環境安全與評估郵件蠕蟲蠕蟲是一種常見的惡意軟件。與一般病毒不同，蠕蟲不需要將其自身附著到宿主程序上，它是一個獨立的程序蠕蟲利用網絡進行復制和傳播，可利用的傳播途徑包括電子郵件、Web服務器、網絡共享等信息設備及其環境安全與評估郵件蠕蟲郵件蠕蟲通過電子郵件傳播大多數郵件蠕蟲在感染本機后，會自動打開OutlookExpress的地址薄，把自己發送給地址薄上的每一個郵件地址郵件蠕蟲通常存在于郵件附件中信息設備及其環境安全與評估郵件蠕蟲的防范和清除郵件蠕蟲的防范利用防病毒軟件檢查郵件不要輕易相信一些郵件，不要輕易打開郵件附件郵件蠕蟲的清除使用防病毒軟件信息設備及其環境安全與評估木馬木馬是目前比較流行的惡意軟件，與一般的病毒不同，它不會自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝成實用軟件來吸引用戶下載執行一個完整的木馬包含兩個部分：服務器端和客戶端。感染木馬的計算機是服務器端，黑客利用客戶端進入運行了服務器端的計算機，進而毀壞、竊取被植入木馬的計算機上的文件，甚至遠程操控感染木馬的計算機木馬與遠程控制軟件有些相似，不過遠程控制軟件是“善意”的控制，因此通常不具有隱蔽性，木馬則完全相反。木馬要達到的是“偷竊”性的遠程控制，如果沒有很強的隱蔽性的話，那就是“毫無價值”的信息設備及其環境安全與評估木馬隱藏技術隱藏木馬文件偽裝文件名稱，給一個非執行擴展名利用了Windows默認不顯示已知擴展名偽裝圖標偽裝成系統文件，比如svch0st.exe隱藏木馬進程偽裝成可信任的進程，把自己的進程名稱改為與系統進程類似的名字把木馬寫成DLL文件，使用系統程序Rundll32.exe或Rundll.exe調用，在“任務管理器”中將看不到木馬進程信息設備及其環境安全與評估木馬的發現木馬需要自動運行，以下是它可利用啟動位置autoexec.bat、config.syswin.ini、system.ini“啟動”程序組注冊表項HKEY_LOCAL_MACHINE\...\CurrentVersion\Run木馬需要連接端口，留心不明端口木馬利用通信端口的兩種方法：寄生，潛伏信息設備及其環境安全與評估木馬的防范和清除木馬的防范使用防病毒軟件及時更新系統補丁不輕易下載軟件，不輕易瀏覽郵件附件木馬的清除使用防病毒軟件手動清除（未必總有效）在保護模式下，刪除或修改注冊表中與木馬相關的項，刪除木馬文件（后有敘述）信息設備及其環境安全與評估網頁木馬網頁木馬實際上是一個HTML網頁，與其它網頁不同的是，該網頁中的腳本巧妙地利用了IE瀏覽器的漏洞，讓IE在后臺自動下載黑客放置在網絡上的木馬（或蠕蟲）并運行（安裝）這個木馬，也就是說，這個網頁能下載木馬到本地并運行（安裝）下載到本地電腦上的木馬，整個過程都在后臺運行，用戶一旦打開這個網頁，下載過程和運行（安裝）過程就自動開始信息設備及其環境安全與評估網頁木馬的防范使用防病毒軟件和防火墻及時更新系統補丁卸載不安全的ActiveX控件（IE插件）在命令提示符下輸入命令“regsvr32.exe插件文件/u/s”如果想恢復，使用命令“regsvr32.exe插件文件/i/s”提高IE的安全級別，禁用腳本和ActiveX控件“Internet屬性”→“安全”，把Internet區域設置為較高安全級別，或者點擊“自定義級別”，在打開的對話框上禁用腳本，禁用ActiveX控件把惡意網站加入到受限站點“Internet屬性”→“安全”→“受限站點”→“站點”信息設備及其環境安全與評估流氓軟件流氓軟件是介于病毒、蠕蟲、木馬等惡意軟件和正規軟件之間的軟件流氓軟件有時也被稱為間諜軟件（spyware）、惡意共享軟件（maliciousshareware）信息設備及其環境安全與評估流氓軟件流氓軟件一般同時具備正常功能（下載、媒體播放等）和惡意行為（彈廣告、開后門），給用戶帶來實質性危害與病毒、蠕蟲、木馬不同，很多流氓軟件不是由小團體或者個人秘密編寫和傳播的，有很多知名企業和團體也涉嫌此類軟件信息設備及其環境安全與評估流氓軟件的防范及時更新補丁程序禁用ActiveX腳本“Internet屬性”→“安全”→“自定義級別”(Internet)把惡意網站加入到受限站點“Internet屬性”→“安全”→“受限站點”→“站點”使用專用工具進行免疫或防范信息設備及其環境安全與評估流氓軟件的清除使用專用工具，比如SpySweeper、超級兔子、瑞星卡卡上網安全助手，或者金山清理專家等很多流氓軟件以ActiveX插件的形式安裝到用戶的計算機中，對于此類流氓軟件使用IE的“管理加載項”功能禁用流氓軟件插件使用IE插件管理專家Upiea.exe禁用或刪除流氓軟件插件信息設備及其環境安全與評估手工清除惡意軟件信息設備及其環境安全與評估主要內容認識Windows系統中的進程查看和結束進程清除惡意軟件文件使用Attrib命令發現并刪除隱藏的惡意文件信息設備及其環境安全與評估進程程序（包括惡意軟件程序）運行前以文件的形式存在于磁盤上，運行后以進程的形式存在于內存中進程是指一個具有獨立功能的程序在某個數據集合上的一次運行活動,它是系統進行資源分配和調度的一個基本單位。簡單地說，進程指操作系統當前運行的程序信息設備及其環境安全與評估Windows中最基本的系統進程此類系統進程是系統運行的必備條件，只有這些進程處于活動狀態，系統才能正常運行Windows中最基本的系統進程包括：winlogon.exe；csrss.exe；smss.exe；services.exe；lsass.exe；explorer.exe；svchost.exe；system；systemIdleProcess等信息設備及其環境安全與評估Windows中最基本的系統進程SystemIdleProcess：這個進程是作為單線程運行在每個處理器上，并在系統不處理其它線程的時候分派處理器的時間system：系統核心進程，控制著系統KernelMode的操作winlogon.exe：管理用戶登錄csrss.exe：子系統服務器進程，負責控制Windows創建或刪除線程以及16位的虛擬DOS環境信息設備及其環境安全與評估Windows中最基本的系統進程smss.exe：會話管理子系統，負責啟動用戶會話services.exe：系統服務管理工具，包含很多系統服務lsass.exe：本地的安全授權服務，管理IP安全策略以及啟動ISAKMP/Oakley(IKE)和IP安全驅動程序信息設備及其環境安全與評估Windows中最基本的系統進程explorer.exe：資源管理器，顯示桌面圖標和任務欄spoolsv.exe：管理緩沖區中的打印和傳真作業，將文件加載到內存中以便遲后打印svchost.exe：共享進程，用于啟動其他服務。多個svchost.exe如果同時運行，則表明當前有多組服務處于活動狀態，多個DLL文件在調用它信息設備及其環境安全與評估svchost.exe進程svchost.exe是NT核心系統的非常重要的進程，對于2000、XP來說，不可或缺在基于NT內核的Windows操作系統家族中，不同版本的Windows系統，存在不同數量的“svchost”進程，用戶使用“任務管理器”可查看其進程數目。一般來說，Win2000有兩個svchost進程，WinXP中則有四個或四個以上的svchost進程，而Win2003server中則更多信息設備及其環境安全與評估svchost.exe進程svchost.exe文件存在于“%systemroot%system32”目錄下，它屬于共享進程。隨著Windows系統服務不斷增多，為了節省系統資源，微軟把很多服務做成共享方式，交由svchost.exe進程來啟動svchost進程只作為服務宿主，并不能實現任何服務功能，即它只能提供條件讓其他服務在這里被啟動，而它自己卻不能給用戶提供任何服務其他系統服務是以動態鏈接庫（dll）的形式實現的，它們把可執行程序指向svchost，由svchost調用相應服務的動態鏈接庫來啟動服務信息設備及其環境安全與評估svchost.exe進程svchost進程提供很多系統服務，如：rpcss服務(remoteprocedurecall)、dmserver服務(logicaldiskmanager)、dhcp服務(dhcpclient)等如果要了解每個svchost進程到底提供了多少系統服務，可以在Win2000的命令提示符窗口中輸入“tlist-s”命令來查看，該命令是Win2000supporttools提供的。在WinXP則使用“tasklist/svc”命令信息設備及其環境安全與評估svchost.exe進程因為svchost進程啟動各種服務，所以病毒、木馬也想盡辦法來利用它，企圖利用它的特性來迷惑用戶，達到感染、入侵、破壞的目的如沖擊波變種病毒“w32.welchia.worm”信息設備及其環境安全與評估svchost.exe進程在受感染的機器中到底哪個是惡意軟件進程呢？一般來說，XP操作系統下有5個左右的svchost.exe進程，比如SYSTEM用戶名下有3個svchost.exeNETWORKSERVICE用戶名下有2個svchost.exeLOCALSERVICE用戶名下有1個svchost.exe其他系統也是大致如此，它們的用戶名都是SYSTEM、NETWORKSERVICE、LOCALSERVICE這三個，如果不是這三個用戶名那么就有可能是惡意軟件信息設備及其環境安全與評估svchost.exe進程正常的svchost.exe程序存放在windows\system32這個目錄下。如果其它目錄下有svchost.exe文件，那一定是惡意軟件“任務管理器”中svchost.exe進程的個數不重要，關鍵看他是什么用戶名而且位置是不是在windows\system32這個目錄下信息設備及其環境安全與評估Windows中的其他進程 Windows中，有些進程不是必需的，可以根據服務管理的需要來結束它們，比如mstask.exe：Windows計劃任務，用于指定在什么時候運行任務alg.exe：應用層網關服務，是網絡鏈接共享和Windows防火墻的一部分internat.exe：用于更改類似國家設置、鍵盤類型和日期格式信息設備及其環境安全與評估Windows中的其他進程mdm.exe：Debug除錯管理，用于調試應用程序和MicrosoftOffice中的MicrosoftScriptEditor腳本編輯器regsvc.exe：遠程注冊表服務，用于訪問遠程計算機的注冊表taskmgr.exe：Windows任務管理器，是Windows任務管理執行者信息設備及其環境安全與評估Windows中的其他進程tcpsvcs.exe：Windows網絡組件的一部分。這個系統進程用于計算機使用專用的TCP/IP網絡服務，例如DHCP，簡單TCP和打印服務wuauclt.exe：負責Windows自動升級的系統進程，可以在線檢測最近Windows更新，如果沒有開啟自動升級的話就不會有這個進程，而且就算你開啟了它，它也不是任何時候都運行的ctfmon.exe：MicrosoftOffice產品套裝的一部分，是有關輸入法的一個可執行程序信息設備及其環境安全與評估在Windows中查看一般的進程使用“任務管理器”查看進程“任務管理器”還可以終止一般的進程在提示符下使用命令“tasklist”查看進程使用“系統信息”中的“正在運行任務”使用“netstat”命令查看網絡連接情況及發起的程序使用netstat–abnov命令信息設備及其環境安全與評估查看隱藏進程和遠程進程可以使用“隱藏進程查看工具”查看隱藏進程使用如下命令可以查看遠程進程Task/sIP/uusername/ppassword信息設備及其環境安全與評估強制結束進程使用“任務管理器”。但它無法結束某些進程使用ntsd命令強制結束進程ntsd是從Win2000開始系統自帶的用戶態調試工具。被調試器