计算机病毒.ppt

ARP攻击的对治方法 ARP攻击的对治方法
• 由于ARP攻击往往不是病毒造成的，而是合法运行的程序 由于ARP攻击往往不是病毒造成的， ARP攻击往往不是病毒造成的 （外挂、网页）造成的，所杀毒软件多数时候束手无策。 外挂、网页）造成的，所杀毒软件多数时候束手无策。 目前为止我还没有看到互联网上有任何一个完美的解决 方法， 方法，一个重要的原因就是这本身是互联网的一个致命 的顽疾（arp协议相信网络内的所有主机），越大的网络 的顽疾（arp协议相信网络内的所有主机），越大的网络 协议相信网络内的所有主机）， 越难处理。只要有一台电脑中毒，整个网络都瘫痪，这 越难处理。只要有一台电脑中毒，整个网络都瘫痪， 给杀毒处理工作带来很大的难度。 给杀毒处理工作带来很大的难度。 • 一般我们能采用的方法是： 一般我们能采用的方法是： • （1）全校全面杀毒。这一定要做的，但是可行性很 全校全面杀毒。这一定要做的， 低，就算某断时间所有电脑都没毒，但是过不了两天， 就算某断时间所有电脑都没毒，但是过不了两天， 又会有人中毒，又会瘫痪。杀毒是一方面， 又会有人中毒，又会瘫痪。杀毒是一方面，更重要的是 要所有人都提高防毒意识。 要所有人都提高防毒意识。
• 此外还有以下检测内容： 此外还有以下检测内容： 查看和恢复win.ini和system.ini系统配置文件 查看和恢复win.ini和system.ini系统配置文件 win.ini 查看启动程序并删除可疑的启动程序 查看系统进程并停止可疑的系统进程 查看和还原注册表
ቤተ መጻሕፍቲ ባይዱ
• 可使用杀毒软件和木马查杀工具检测和清除木马。最简单 可使用杀毒软件和木马查杀工具检测和清除木马。 的检测和删除木马的方法是安装木马查杀软件。 的检测和删除木马的方法是安装木马查杀软件。常用的木 马查杀工具， 3000、瑞星、TheCleaner、木马克星、 马查杀工具，如KV 3000、瑞星、TheCleaner、木马克星、 木马终结者等，可以进行木马的检测和查杀。此外，用户 木马终结者等，可以进行木马的检测和查杀。此外， 还可使用其它木马查杀工具对木马进行查杀。 还可使用其它木马查杀工具对木马进行查杀。
• Windows操作系统，在命令行窗口输入"arp -a"命令可查 Windows操作系统，在命令行窗口输入"arp a"命令可查 操作系统 看本机当前的ARP缓存表，ARP缓存表保存的就是IP地址与 看本机当前的ARP缓存表，ARP缓存表保存的就是IP地址与 ARP缓存表 缓存表保存的就是IP MAC地址的对应关系，如下图所示： MAC地址的对应关系，如下图所示： 地址的对应关系
木马的传播方式主要有三种： 木马的传播方式主要有三种： 一种是通过E mail， 一种是通过E-mail，控制端将木马程序以附件形式附着在 邮件上发送出去，收件人只要打开附件就会感染木马。 邮件上发送出去，收件人只要打开附件就会感染木马。 第二种是软件下载， 第二种是软件下载，一些非正式的网站以提供软件下载的 名义，将木马捆绑在软件安装程序上，程序下载后只要 名义，将木马捆绑在软件安装程序上， 一运行这些程序，木马就会自动安装。 一运行这些程序，木马就会自动安装。 第三种是通过会话软件（ QQ） 第三种是通过会话软件（如QQ）的“传送文件”进行传播， 传送文件”进行传播， 不知情的网友一旦打开带有木马的文件就会感染木马。 不知情的网友一旦打开带有木马的文件就会感染木马。
•
ARP欺骗根据发起个体的不同可以分为两类， ARP欺骗根据发起个体的不同可以分为两类， 欺骗根据发起个体的不同可以分为两类 人为攻击。人为攻击的目的主要是： 1. 人为攻击。人为攻击的目的主要是：造成网络 异常、窃取数据、非法控制。 异常、窃取数据、非法控制。 ARP病毒 ARP病毒不是特指某一种病毒 病毒。 病毒不是特指某一种病毒， 2. ARP病毒。ARP病毒不是特指某一种病毒，而是 指所有包含有ARP欺骗功能的病毒的总称。ARP病毒的目 指所有包含有ARP欺骗功能的病毒的总称。ARP病毒的目 ARP欺骗功能的病毒的总称 的主要是：窃取数据（盗号等）、篡改数据（挂马等）。 的主要是：窃取数据（盗号等）、篡改数据（挂马等）。 ）、篡改数据
谈到木马，人们就想到病毒，木马也算是一种病毒， 谈到木马，人们就想到病毒，木马也算是一种病毒， 但与传统的计算机病毒不同。木马是一种恶意代码， 但与传统的计算机病毒不同。木马是一种恶意代码，它通 常并不像病毒程序那样感染文件。木马一般是以寻找后门、 常并不像病毒程序那样感染文件。木马一般是以寻找后门、 窃取密码和重要文件为主，还能对计算机进行跟踪监视、 窃取密码和重要文件为主，还能对计算机进行跟踪监视、 控制、查看、修改资料等操作，具有很强的隐蔽性、 控制、查看、修改资料等操作，具有很强的隐蔽性、突发 性和攻击性
木马是一种恶意程序，它们悄悄地在寄宿主机上运行， 木马是一种恶意程序，它们悄悄地在寄宿主机上运行， 就在用户毫无察觉的情况下， 就在用户毫无察觉的情况下，让攻击者获得了远程 访问和控制系统的权限。 访问和控制系统的权限。 但木马也有一些明显的特点， 但木马也有一些明显的特点，例如它的安装和操作都 是在隐蔽之中完成。攻击者经常把木马隐藏在一些 是在隐蔽之中完成。 游戏或小软件之中， 游戏或小软件之中，诱使粗心的用户在自己的机器 上运行。最常见的情况是， 上运行。最常见的情况是，用户要么从不正规的网 站下载和运行了带恶意代码的软件， 站下载和运行了带恶意代码的软件，要么不小心点 击了带恶意代码的邮件附件，从而上当。 击了带恶意代码的邮件附件，从而上当。
如果要问黑客通过木马进入到计算机里后能够做什么， 如果要问黑客通过木马进入到计算机里后能够做什么，可 以这样回答：用户能够在自己的计算机上做什么， 以这样回答：用户能够在自己的计算机上做什么，他就同 样能做什么。可以读、 样能做什么。可以读、写、存、删除文件，可以得到你的 删除文件， 隐私、密码，甚至你在计算机上鼠标的每一下移动，他都 隐私、密码，甚至你在计算机上鼠标的每一下移动， 可以尽收眼底。 可以尽收眼底。而且还能够控制你的鼠标和键盘去做他想 做的任何事，比如打开你珍藏的好友照片， 做的任何事，比如打开你珍藏的好友照片，然后在你面前 将它永久删除。 将它永久删除。
计算机病毒
木 马
木马病毒概述 “特洛伊木马”简称木马，其英文叫做“Trojan 特洛伊木马”简称木马，其英文叫做“ house”，其名称取自希腊神话的“特洛伊木马记” house”，其名称取自希腊神话的“特洛伊木马记”，它 是一种基于远程控制的黑客工具。木马通常寄生于用户的 是一种基于远程控制的黑客工具。 计算机系统中，盗窃用户信息，并通过网络发送给黑客。 计算机系统中，盗窃用户信息，并通过网络发送给黑客。 在黑客进行的各种攻击行为中， 在黑客进行的各种攻击行为中，木马都起到了开路先锋的 作用
• 查看开放端口：当前最为常见的木马通常是基于TCP/UDP 查看开放端口：当前最为常见的木马通常是基于TCP/UDP 协议进行客户端与服务器端之间通信的。因此， 协议进行客户端与服务器端之间通信的。因此，就可以通 过查看在本机上开放的端口， 过查看在本机上开放的端口，看是否有可疑的程序打开了 某个可疑的端口。例如， “冰河”木马使用的监听端口 冰河” 某个可疑的端口。例如， 2000使用的监听端口是54320等 使用的监听端口是54320 是7626，Back Orifice 2000使用的监听端口是54320等。 7626， 假如查看到有可疑的程序在利用可疑端口进行连接， 假如查看到有可疑的程序在利用可疑端口进行连接，则很 有可能就是感染了木马。 有可能就是感染了木马。
• （2）升级IE，打IE补丁。据了解现在很多arp欺骗不是 升级IE， IE补丁。据了解现在很多arp欺骗不是 IE 补丁 arp 病毒，而是木马。它不会通过系统漏洞自动传播。 病毒，而是木马。它不会通过系统漏洞自动传播。我可 以很明确地告诉你大部分病毒是通过你的浏览器进到你 系统的。所以马上升级你的IE，打补丁。 系统的。所以马上升级你的IE，打补丁。 IE • （3）制作批处理抵制病毒。当你被欺骗后上不了网，可 制作批处理抵制病毒。当你被欺骗后上不了网， 以运行下面的批处理改正你的网关地址，暂时可以上网。 以运行下面的批处理改正你的网关地址，暂时可以上网。 这是一个临时的办法。 这是一个临时的办法。 • （4）各栋盯防，发现一个杀一个。每一栋须有几个人时 各栋盯防，发现一个杀一个。 刻关注网络状况，发现有arp欺骗的情况，可以通过arp 刻关注网络状况，发现有arp欺骗的情况，可以通过arp arp欺骗的情况 -a命令查到中毒电脑的网卡物理地址，再从网卡物理地 命令查到中毒电脑的网卡物理地址， 址查出主机IP地址，立刻通知网络中心处理。 址查出主机IP地址，立刻通知网络中心处理。这种方法 IP地址 可以尝试，但是所花费的人力和时间过大， 可以尝试，但是所花费的人力和时间过大，也是治标不 治本
5 木马的预防 • 不随意下载来历不明的软件 • 不随意打开来历不明的邮件，阻塞可疑邮件 不随意打开来历不明的邮件， • 及时修补漏洞和关闭可疑的端口 • 尽量少用共享文件夹 • 运行实时监控程序 • 经常升级系统和更新病毒库 • 限制使用不必要的具有传输能力的文
什么是ARP 什么是
• ARP是地址转换协议（Address Resolution Protocol） ARP是地址转换协议（ Protocol） 是地址转换协议 的英文缩写，它是一个链路层协议，工作在OSI模型的第 的英文缩写，它是一个链路层协议，工作在OSI模型的第 OSI 二层，在本层和硬件接口间进行联系，同时对上层（ 二层，在本层和硬件接口间进行联系，同时对上层（网 络层）提供服务。 络层）提供服务。 • 二层的以太网交换设备并不能识别32位的IP地址，它们 二层的以太网交换设备并不能识别32位的IP地址， 32位的IP地址 是以48位以太网地址（就是我们常说的MAC地址） 是以48位以太网地址（就是我们常说的MAC地址）传输以 48位以太网地址 MAC地址 太网数据包的。也就是说IP数据包在局域网内部传输时 太网数据包的。也就是说IP数据包在局域网内部传输时 IP 并不是靠IP地址而是靠MAC地址来识别目标的，因此IP地 并不是靠IP地址而是靠MAC地址来识别目标的，因此IP地 IP地址而是靠MAC地址来识别目标的 IP 址与MAC地址之间就必须存在一种对应关系， ARP协议 址与MAC地址之间就必须存在一种对应关系，而ARP协议 MAC地址之间就必须存在一种对应关系 就是用来确定这种对应关系的协议。 就是用来确定这种对应关系的协议。
木马的检测和清除
• 可以通过查看系统端口开放的情况、系统服务情况、系统 可以通过查看系统端口开放的情况、系统服务情况、 任务运行情况、网卡的工作情况、 任务运行情况、网卡的工作情况、系统日志及运行速度有 无异常等对木马进行检测。检测到计算机感染木马后， 无异常等对木马进行检测。检测到计算机感染木马后，就 要根据木马的特征来进行清除。查看是否有可疑的启动程 要根据木马的特征来进行清除。 序、可疑的进程存在，是否修改了win.ini、system.ini 可疑的进程存在，是否修改了win.ini、 win.ini 系统配置文件和注册表。如果存在可疑的程序和进程， 系统配置文件和注册表。如果存在可疑的程序和进程，就 按照特定的方法进行清除。 按照特定的方法进行清除。
• ARP欺骗带来的危害可以分为几大类， ARP欺骗带来的危害可以分为几大类， 欺骗带来的危害可以分为几大类 网络异常。具体表现为：掉线、IP冲突等 冲突等。 1. 网络异常。具体表现为：掉线、IP冲突等。 数据窃取。具体表现为：个人隐私泄漏（ 2. 数据窃取。具体表现为：个人隐私泄漏（如MSN 聊天记录、邮件等）、账号被盗用（ QQ账号、 聊天记录、邮件等）、账号被盗用（如QQ账号、银行账 ）、账号被盗用 账号 号等）。 号等）。 3. 数据篡改。具体表现为：访问的网页被添加了恶 数据篡改。具体表现为： 意内容，俗称“挂马” 意内容，俗称“挂马”。 非法控制。具体表现为：网络速度、 4. 非法控制。具体表现为：网络速度、网络访问行 为（例如某些网页打不开、某些网络应用程序用不了） 例如某些网页打不开、某些网络应用程序用不了） 受第三者非法控制。 受第三者非法控制。