信息设备及其环境安全与评估课件.pptVIP

典型恶意软件

及其防范和清除技术信息设备及其环境安全与评估

教学目的了解不同恶意软件的特点了解防范和清除恶意软件的一般方法熟悉发现并手工清除恶意软件的方法信息设备及其环境安全与评估

内容宏病毒邮件蠕虫木马网页木马流氓软件手工清除恶意软件信息设备及其环境安全与评估

宏病毒宏是组织在一起的命令集合，可以作为一个单独命令完成一个特定任务在MicrosoftOffice中，可以使用以VisualBasic编写的宏。宏病毒指用VisualBasic编写的具有病毒特点的代码。它能够通过.doc和.dot文件进行传播信息设备及其环境安全与评估

宏病毒的防范和清除宏病毒的防范使用防病毒软件设置宏安全性为中以上，打开Office文档遇到宏病毒警告框时，要保持高度警惕宏病毒的清除使用防病毒软件手动清除。对于普通文档，可以使用“另存为”，并选择不含宏的文件格式比如在Word中，可以选择RTF格式信息设备及其环境安全与评估

邮件蠕虫蠕虫是一种常见的恶意软件。与一般病毒不同，蠕虫不需要将其自身附着到宿主程序上，它是一个独立的程序蠕虫利用网络进行复制和传播，可利用的传播途径包括电子邮件、Web服务器、网络共享等信息设备及其环境安全与评估

邮件蠕虫邮件蠕虫通过电子邮件传播大多数邮件蠕虫在感染本机后，会自动打开OutlookExpress的地址薄，把自己发送给地址薄上的每一个邮件地址邮件蠕虫通常存在于邮件附件中信息设备及其环境安全与评估

邮件蠕虫的防范和清除邮件蠕虫的防范利用防病毒软件检查邮件不要轻易相信一些邮件，不要轻易打开邮件附件邮件蠕虫的清除使用防病毒软件信息设备及其环境安全与评估

木马木马是目前比较流行的恶意软件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装成实用软件来吸引用户下载执行一个完整的木马包含两个部分：服务器端和客户端。感染木马的计算机是服务器端，黑客利用客户端进入运行了服务器端的计算机，进而毁坏、窃取被植入木马的计算机上的文件，甚至远程操控感染木马的计算机木马与远程控制软件有些相似，不过远程控制软件是“善意”的控制，因此通常不具有隐蔽性，木马则完全相反。木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的信息设备及其环境安全与评估

木马隐藏技术隐藏木马文件伪装文件名称，给一个非执行扩展名利用了Windows默认不显示已知扩展名伪装图标伪装成系统文件，比如svch0st.exe隐藏木马进程伪装成可信任的进程，把自己的进程名称改为与系统进程类似的名字把木马写成DLL文件，使用系统程序Rundll32.exe或Rundll.exe调用，在“任务管理器”中将看不到木马进程信息设备及其环境安全与评估

木马的发现木马需要自动运行，以下是它可利用启动位置autoexec.bat、config.syswin.ini、system.ini“启动”程序组注册表项HKEY_LOCAL_MACHINE\...\CurrentVersion\Run木马需要连接端口，留心不明端口木马利用通信端口的两种方法：寄生，潜伏信息设备及其环境安全与评估

木马的防范和清除木马的防范使用防病毒软件及时更新系统补丁不轻易下载软件，不轻易浏览邮件附件木马的清除使用防病毒软件手动清除（未必总有效）在保护模式下，删除或修改注册表中与木马相关的项，删除木马文件（后有叙述）信息设备及其环境安全与评估

网页木马网页木马实际上是一个HTML网页，与其它网页不同的是，该网页中的脚本巧妙地利用了IE浏览器的漏洞，让IE在后台自动下载黑客放置在网络上的木马（或蠕虫）并运行（安装）这个木马，也就是说，这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始信息设备及其环境安全与评估

网页木马的防范使用防病毒软件和防火墙及时更新系统补丁卸载不安全的ActiveX控件（IE插件）在命令提示符下输入命令“regsvr32.exe插件文件/u/s”如果想恢复，使用命令“regsvr32.exe插件文件/i/s”提高IE的安全级别，禁用脚本和ActiveX控件“Internet属性”→“安全”，把Internet区域设置为较高安全级别，或者点击“自定义级别”，在打开的对话框上禁用脚本，禁用ActiveX控件把恶意网站加入到受限站点“Internet属性”→“安全”→“受限站点”→“站点”信息设备及其环境安全与评估

流氓软件流氓软件是介于病毒、蠕虫、木马等恶意软件和正规软件之间的软件流氓软件有时也被称为间谍软件（spyware）、恶意共享软件（maliciousshareware）信息设备及其环境安全与评估

流氓软件流氓软件一般同