10网络安全基础病毒防范手段 教案.docx
- 文档编号:11694740
- 上传时间:2023-03-30
- 格式:DOCX
- 页数:103
- 大小:7.36MB
10网络安全基础病毒防范手段 教案.docx
《10网络安全基础病毒防范手段 教案.docx》由会员分享,可在线阅读,更多相关《10网络安全基础病毒防范手段 教案.docx(103页珍藏版)》请在冰豆网上搜索。
10网络安全基础病毒防范手段教案
第10章网络安全基础、病毒防范手段3
10.1网络安全基础4
什么是病毒?
4
病毒的类型与特性4
计算机启动过程中经过引导区的顺序5
病毒进入途径5
感染病毒的症状5
四类非法攻击6
防止攻击重点6
端口作用6
端口范围6
常用端口7
Windows的TCP/IP端口筛选(端口开放)8
IP安全策略(端口关闭)9
启动/终止Windows系统服务(后台服务)12
10.2病毒入侵前的防范15
树立正确的防毒观念15
防范的主要步骤15
10.3病毒入侵后的人工查杀22
人工查杀的主要步骤22
10.4人工查杀注意事项26
人工查杀步骤26
病毒复活、进程不能杀死原因26
强行杀死进程的方法26
注册表、IE的清理与修复29
突然断电法(不宜提倡)29
查杀病毒案例30
10.5随堂作业34
几种病毒入口34
几种特殊工具软件36
一个微软后台服务39
提交作业39
10.6选做题40
禁止所有与Remote 有关的Windows服务40
关闭所有的系统默认共享40
禁止所有盘的自动运行/播放功能40
创建微软的系统还原点40
10.7思考题40
简述计算机病毒的分类及特点。
40
列举几种常见的计算机病毒及其特征,并思考如何采取应对措施。
40
防范计算机病毒应注意哪些方面?
40
纠正对病毒的错误认识40
网上银行诈骗的形式?
(至少5个)40
查杀计算机病毒的主要步骤?
(至少5个)41
您认为计算机哪些重要信息必须备份?
(至少5个)41
著名的国内外杀毒软件(至少5个)41
10.8附录一42
最早的病毒42
最早的网络传播病毒42
20年来危害最大的病毒排名42
其它罪恶病毒43
防范病毒的新动向45
10.9附录二Blockboard教学平台的使用47
网上下载教案、工具软件47
讨论板发帖作业须知48
10.10附录四世界顶级杀毒软件排名51
2007年排名51
2008年排名54
10.11附录五让WindowsXP极速狂飙55
取消不需要的功能55
10.12附录六系统重装、系统备份与文件安全58
系统重装(Windowsxp番茄花园版为例)58
系统备份(ghostv8.2实例1)65
系统备份(AcronisTrueImageHomev10实例2)66
系统备份(SymantecNortonGhostv14.0实例3)70
数据备份73
文件恢复74
10.13附录七盘点系统备份工具软件75
幽灵Ghost75
AcronisTrueImageHomev1075
影子系统PowerShadow75
其它75
使用系统备份工具的错误观念75
10.14附录八虚拟光驱76
虚拟光驱的系统加装(Windowsxp番茄花园版为例)76
10.15附录九如何制作应急光盘79
安装:
刻录软件(Nero-7.0.8.2_chs.exe为例)79
下载:
深山红叶WINPE工具箱(PowerMiniPEV30.iso为例)79
制作iso映像文件的应急光盘过程(用于:
直接启动光盘操作系统)79
测试光盘应急盘能否启动81
深山红叶WINPE工具箱(PowerMiniPEV30.iso为例)的主要功能82
制作iso映像文件的数据光盘过程(用于:
硬盘操作系统启动后的读取)84
第10章
网络安全基础、病毒防范手段
主要内容:
1.概念讲解
2.操作提高
主要参考书:
1.Internet应用基础教程
重点:
1.网络安全基础
2.病毒防范手段
难点:
1.启动项、进程表、注册表、Windows服务
2.进程与端口监视与管理
3.安全模式
10.1
网络安全基础
⏹什么是病毒?
●计算机病毒是一段程序,已经秘密写入计算机系统或感染了你的文件。
●一些病毒是良性的并不会伤害你的系统,但其他的一些病毒是毁灭性的,能损害或破坏你的数据。
●典型的计算机病毒会复制它本身并且试着感染尽可能多的文件和系统。
●如果你的系统被感染,当你保存到文件磁盘时,很可能感染磁盘,并且任何使用那个磁盘的人将传染他们的系统。
●这种恶毒的循环传染程序,就象折磨我们人的病毒。
●新计算机病毒随时在被写出,所以了解你的系统是如何暴露于他们面前,并且为了保护你的计算机你能做些什么是非常重要的。
⏹病毒的类型与特性
●病毒的类型
☞计算机病毒被归类为四种主要的类型:
⇨引导扇区(引导型病毒)
⇨程序或文件(文件型病毒)
⇨宏(宏病毒)
⇨多成分病毒(混合型病毒)
☞引导型病毒(占90%以上)
⇨软盘主引导扇区/引导扇区
⇨硬盘主引导扇区
⇨硬盘各分区引导扇区
☞文件型病毒
⇨依附在可执行程序的代码中。
☞宏病毒
⇨依附在可使用宏语言的文档文件中。
如:
Office的文档或模板
⇨Word提供两种创建宏的方法:
宏录制器和VisualBasic编辑器。
其中VisualBasic编辑器能创建包括VisualBasic指令的非常灵活和强有力的宏。
⇨Word或Excel等文件打开后,病毒能执行应用程序宏语言可理解的命令。
☞混合型病毒
⇨包含主引导扇区、引导扇区病毒和文件病毒的两种特性。
●病毒几乎能被写入/攻击任何类型的文件,存储区的任何空间(包括所有的引导区、CMOS、BIOS等)。
●病毒的特性
☞破坏性
☞传染性
☞潜伏性
⏹计算机启动过程中经过引导区的顺序
●启动:
BIOS中的开机自检程序(存储介质:
ROM→EPROM→FLASHROM)
●读取:
CMOS信息,根据其预设,选择启动盘。
●执行:
软盘主引导扇区/C盘主引导扇区/光盘自动播放程序
●再根据主引导扇区中的文件分配表执行:
软盘/C盘/D盘…..引导扇区中的程序
●操作系统
●应用程序
⏹病毒进入途径
●软盘
●光盘
●移动存储设备(U盘、MP3、存储卡、移动硬盘等)
●浏览网页
●网络下载文件
●电子邮件正文(Web格式)、电子邮件附件。
☞Windows允许用户在文件命名时使用多个后缀,而许多电子邮件程序只显示第一个后缀,例如:
⇨邮件附件名称是wow.jpg,而它的全名实际是wow.jpg.vbs,打开这个附件意味着运行一个恶意的VBScript病毒。
☞其它可能附有病毒的附件类型:
⇨*.exe、*.com、*.bat、*.pif、*.cmd
⇨*.scr
⇨*.vbs、*.js、*.shs
⇨*.doc、*.xls
⇨*.zip、*. rar
☞欺诈性邮件
⇨Email要求重新登记银行帐号
⇨Email中奖通知
●即时通信软件提供的欺诈性链接
☞MSN
⏹感染病毒的症状
●开机、关机速度明显减慢
●程序运行、文件打开速度明显减慢。
●CPU占用率异常增大
●上网速度明显减慢
●系统的可用内存比它应该具备的少
●在你的监视器上有不寻常的消息或显示
●随机的发出不寻常的声音或音乐
●网络连接、鼠标、屏幕出现异常现象。
●根本没有打开浏览器,但会不定时的自己打开览浏器,并且进入某些网站。
●硬盘、软驱没缘由地读写,指示灯经常自己亮起
●自己熟悉的文件长度有所增减
●产生未知的程序或文件
●一些文件突然不能正常地工作
●程序或文件突然丢失
●磁盘卷标名被更改
●默认主页被无故更改,且在IE工具栏被屏蔽了修改功能。
●注册表编辑器被告知“已锁定”,从而无法修改注册表。
●硬盘分区找不到
●病毒防护软件报警
⏹四类非法攻击
●扫描端口,通过已知的系统Bug攻入主机。
●种植木马,利用木马开辟的后门进入主机。
●采用数据溢出的手段,迫使主机提供后门进入主机。
●利用某些软件设计的漏洞,直接或间接控制主机。
⏹防止攻击重点
●非法入侵的主要方式是前两种,第一种方式攻击的情况最多、最普遍。
其共同点就是通过端口进入主机,把自己不用的端口全部封锁起来,就杜绝了这两种非法入侵。
●后两种方式只有一些手段高超的黑客才利用,波及面并不广泛,而且只要这两种问题一出现,软件服务商很快就会提供补丁,及时修复系统。
⏹端口作用
●每一项服务都对应相应的端口。
●关闭端口就是关闭无用的服务,反之亦然。
Windows默认安装中几乎开放了所有的端口。
⏹端口范围
●0-255:
已经固定的公共端口。
●256-1023:
商用端口,需要向商家申请,而且各国的商业端口没有统一标准。
●1024-65535:
私用端口,不需要申请,但是安全性能较弱。
⏹
常用端口
●WWW端口80
●FTP端口21
●邮件服务SMTP端口25
●邮件服务POP3端口110
●局域网共享文件端口
☞域环境下的共享端口
⇨TCP445
☞非域环境下的共享端口
⇨TCP139
☞发出请求
⇨UDP137
☞浏览“网络邻居”
⇨UDP138
●数据库MSSQL端口1433
●Windows远程控制端口3389
●PcAnywhere远程控制端口5631
●OICQ网络聊天软件的端口4000
⏹
Windows的TCP/IP端口筛选(端口开放)
●对于个人用户来说,可限制所有的端口,因为根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,需把必须利用的端口开放,其他的端口则全部关闭。
●开始→设置→网络连接→本地连接→属性→常规→Internet协议(TCP/IP)→属性→高级→属性→选项→TCP/IP筛选→属性,见下图:
●该窗口中一共有三列,分别标记为:
☞TCP端口(传输控制协议)
☞UDP端口(用户数据报协议:
没有确认机制的传输协议)
☞IP协议(网际协议)
●三种设置:
☞全部允许
☞仅允许,添加允许的端口
☞仅允许,不添加任何端口
●TCP/IP筛选的作用对象:
☞只影响对本机的访问,但不影响对外的访问,也不影响对外访问请求而创建的响应端口。
☞如果需要更好地控制对外的访问,可使用IPSec策略或数据包筛选。
⏹
IP安全策略(端口关闭)
●网络病毒和黑客常通过以下端口连上你的电脑,主要有:
☞TCP端口:
135、139、445、593、1025、2745、3127、3389、6129
☞UDP端口:
135、137、138、445
●举例:
关闭tcp协议的139端口
☞
开始→设置→控制面板→管理工具→本地安全策略→右键:
Ip安全策略,在本地计算机→选择:
管理IP筛选器表和筛选器操作→添加:
⇨名称:
禁止139端口
⇨描述:
禁止139端口
☞添加→下一步
⇨在源地址:
选择:
任何ip地址(或者指定某个IP地址)→下一步
⇨在目标地址:
选择:
我的ip地址→下一步
⇨选择协议类型:
任意→改为tcp→下一步
☞在“设置ip协议端口”中→选择:
到此端口
⇨输入:
139→下一步→完成→确定,见下图:
☞点击:
“管理筛选器操作”→添加→下一步
⇨名称:
禁止139端口
⇨描述:
禁止139端口
☞下一步
⇨选择:
阻止,见下图:
☞下一步→完成→关闭
☞右键:
IP安全策略,在本地计算机→选择:
创建IP安全策略→下一步
⇨名称:
禁止139端口
⇨描述:
禁止139端口
☞下一步
⇨选择:
激活默认相应规则→下一步
⇨选择:
ActiveDirectory默认值(KerberosV5协议)→下一步
⇨显示告警:
Ø只有当这个规则在一台为域成员的计算机上Kerberos才有效。
这台计算机不是一个域成员。
您想继续并保留这些规则的属性吗?
Ø→是→完成,显示如下窗口:
☞点击:
“添加”→下一步→下一步→下一步→下一步→是
⇨在:
ip筛选器列表窗口中,选择:
⊙禁止139端口→下一步
⇨在:
筛选器操作窗口中,选择:
⊙禁止139端口→下一步→确定→关闭
☞回到本地安全设置窗口后
⇨
右键:
禁止139端口→指派,见下图(“禁止139端口”图标显示小绿点):
⏹
启动/终止Windows系统服务(后台服务)
●开始→设置→控制面板→管理工具→服务
☞World Wide Web Publishing Service(WWW的80端口),通过 Internet 信息服务的管理单元提供 Web 连接和管理。
☞FTP Publishing Service(21端口),通过 Internet 信息服务的管理单元提供 FTP 连接和管理。
☞Simple Mail Transport Protocol(SMTP的25端口),跨网传送电子邮件。
☞Telnet(23端口),允许远程用户登录,并且使用命令行运行控制台程序。
☞Remote Registry,关闭远程注册表服务。
☞Task Scheduler,关闭计划任务服务。
☞Terminal Services,关闭终端服务。
☞Messenger,关闭信使服务。
☞Server,支持此计算机通过网络的文件、打印、和命名管道共享。
⇨如果服务停止,关掉了win2k的默认共享,比如ipc$、c$、admin$等等。
⇨
或者:
打开DOS窗口(开始→运行→输入:
cmd),如下操作:
⇨即:
执行netsharec$/del,则:
c:
\不被共享
⇨在“管理工具”→“服务”中停止Server服务,则所有共享全部关闭。
⇨另外,pdfFactoryPro为本机安装了pdf共享打印驱动程序,局域网内其它计算机可以通过网上邻居访问本机,实现共享打印机功能,见下图:
☞取消文件、打印共享的其它方法
⇨
开始→设置→网络连接→本地连接→属性→常规→取消:
Microsoft网络的文件和打印机共享,见下图:
●用DOS命令也可查看/禁止Windows服务:
☞netstart :
查看服务
☞netstopserver:
禁止服务
●对于个人用户来说,将上述Windows服务属性均可设为“禁用”,重启后生效。
10.2病毒入侵前的防范
⏹树立正确的防毒观念
●预防为主、杀毒为辅
●软硬兼施、立体防护
⏹防范的主要步骤
●检查主板FlashROM跳线开关,设置BIOS为只读(有些主板无此功能)。
●添加系统还原功能
☞购买硬件还原卡
⇨插在主机中的硬件卡(30元一个)
☞安装系统还原软件
⇨Ghost一键恢复
⇨影子系统等
☞创建微软的系统还原点
⇨
开始→程序→附件→系统工具→系统还原→选择“创建一个还原点”。
⇨见下图:
●系统备份(无毒情况下)
●定期备份重要的用户资料
●定期记录重要的系统信息:
☞记录CMOS中所有参数
☞保存主引导扇区、文件分配表
☞导出完整的注册表文件
☞记录注册表中所有启动项的启动程序(共5个run)
☞记录所有初始化、批处理、配置文件(共5-7个:
*.ini、*.bat、*.sys)(包括:
文件内容、长度、属性、位置、建立/修改日期)
☞Windows服务(启动/禁止)
☞记录所有进程表中的进程名称、占用内存大小。
●制作应急盘
☞制作无毒的系统应急引导盘
☞最好复制一些查杀病毒软件和一些你认为比较实用的工具软件到这个盘上
☞详见附录
●
安装查杀病毒软件,扫描整个系统:
☞国内流行的查杀病毒软件的品牌
⇨卡巴斯基6.0(服务器/个人版)
⇨瑞星2007
⇨金山毒霸2007
⇨江民KV2006
⇨安全卫士360V2.0
⇨东方卫士2007
⇨熊猫卫士铂金版7.07
⇨安全胄甲Kill(冠群金辰)
⇨北信源杀毒专家VRV2006
⇨SymantecAntiVirus赛门铁克企业版
ØSymantec旗下NortonAntivirus(诺顿)
⇨Trend Micro的PC-cillin(趋势科技公司)
⇨McAfee(麦咖啡,著名国外杀毒软件汉化版)
●安装防火墙
☞KFW傲盾防火墙(企业/个人版)
☞天网防火墙(企业/个人版)
☞瑞星防火墙
☞江民黑客防火墙
☞ZoneAlarmProWithWebFiltering
☞McAfeeDesktopFirewall
☞SygatePersonalFirewall
☞KerioPersonalFirewall
●安装专杀病毒软件
☞冰刃:
对付隐藏木马
☞QQ专杀:
对付QQ病毒
☞EWIDO:
对付间谍,木马病毒
☞木马克星
●定期更新、升级
☞Windows系统补丁:
开始→WindowsUpdate
☞查杀病毒软件
☞防火墙软件
☞专杀病毒软件
●Windows2003的优势就是装两个杀毒软件不冲突。
☞尽量用两种以上的工具软件来交叉清理。
☞由于杀毒软件在开发时侧重点不同、使用的杀毒引擎不同,各种杀毒软件都有自己的长处和短处,交叉使用效果较理想。
●尽可能不用微软的浏览器
☞遨游浏览器
☞FireFox
☞世界之窗浏览器
●定期更改管理员Administrator的帐户密码,不采用自动登录功能。
☞开始→设置→控制面板→管理工具→计算机管理→本地用户和组→用户→Administrator→右键→设置密码
☞设置密码时,设置成数字和字母混合且位数不小于6位。
●定期检查用户帐户的变化
☞一般除了Administrator用户属于administrators组的,其它用户都不是!
如果发现一个系统内置的用户是属于administrators组的,几乎肯定你被入侵了,必须立即删除。
☞或使用DOS命令:
⇨netuser:
查看计算机上有些什么用户
⇨netuser+用户名:
查看这个用户是属于什么权限的
⇨netuser用户名/del:
删掉这个用户!
●停用可能被黑客利用做后门的Windows服务,如:
☞取消文件夹、打印机共享
☞关闭远程登录、远程控制,等等。
●清除Cookie信息
☞IE浏览器→工具→internet选项→常规→删除cookies
●禁止Cookie写入
☞IE浏览器→工具→Internet选项→隐私→调整Cookie的安全级别
●
清空浏览器的临时文件
●设置浏览器安全级别:
☞Internet(高、中、中低、低)
☞本地Internet
☞受信任的站点
☞
受限制的站点
●
禁止Activex控件和插件运行,ActiveX拥有对你硬盘的读写权。
●安装安全、正版软件
●最好不要让别人随便乱动你的电脑,至少要严防他人在你的电脑上使用他自己的软盘、U盘、光盘等,不管他是有意还是无意的。
●启用WORD中的“宏病毒防护”功能
☞
Word菜单的工具→宏→安全性,见下图:
☞将Word文件另存为:
⇨*.rtf格式:
RichTextFormat(保留原文的文字、图片)
⇨WORD6.0格式(保留原文的文字、图片、图形、表格)
⇨*.pdf格式:
PortableDocumentFormat
●禁用WindowsScriptingHost
☞许多病毒/蠕虫,如Bubbleboy和KAK.worm使用WindowsScriptingHost,无需用户点击附件,就可自动打开一个被感染的附件。
☞“控制面板”→“添加/删除程序”,检查是否安装了WindowsScriptingHost。
如果已经安装,请卸载。
☞检查Windows的安装目录下是否存在Wscript.exe文件,如果存在也要删除。
●邮件收发软件的必要设置
☞Outlook
⇨“工具”菜单→“选项”,在“安全”中设置“附件的安全性”为“高”;在“其他”中按“高级选项”按钮,按“加载项管理器”按钮,不选中“服务器脚本运行”。
最后按“确定”按钮保存设置。
☞OutlookExpress
⇨“工具”菜单→“选项”,在“阅读”中不选中“在预览窗格中自动显示新闻邮件”和“自动显示新闻邮件中的图片附件”。
可防止有些电子邮件病毒利用OutlookExpress的缺省设置自动运行,破坏系统。
●
禁止光盘/U盘的自动运行/播放功能(autorun)
☞右键:
盘符/文件夹->打开
☞或:
放入光盘的同时按shift
☞或:
开始→运行→gpedit.msc→确定→计算机配置→管理模板→系统,在右侧找到“关闭自动播放”→双击→选择“己禁用”,见下图:
☞
☞或:
运行注册表编辑器Regedit,修改:
⇨HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explroer主键下,将“NoDriveTypeAutoRun”的默认二进制键值95000000,改为B5000000
●
检查文件关联是否被恶意修改
☞我的电脑→工具→文件夹选项→文件类型
☞对应在注册表中的位置:
☞HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值
●检查域名重定向/映射/本机域名解析的列表:
hosts文件
☞文件位置:
C:
\WINDOWS\system32\drivers\etc
☞掌握如下内容的含义:
⇨127.0.0.1localhost
⇨127.0.0.1#实现屏蔽
⇨127.0.0.1#实现屏蔽
⇨202.108.22.43#转向:
202.108.22.43(XX网站)
☞可用DOS命令,查看本机对域
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 10网络安全基础病毒防范手段 教案 10 网络安全 基础 病毒 防范 手段