(6)在执行这些规则的同时,还可以定义是否记录这次规则的处理和这次规则的处理的数据包的主要内容,并用右下脚的“天网防火墙个人版”图标是否闪烁来“警告”,或发出声音提示。
任务四 应用自定义规则防止常见病毒 1、防范冲击波
冲击波它是利用WINDOWS系统的RPC服务漏洞以及开放的69、135、139、445、4444端口入侵。
防范方法:就是封住以上端口
上图为封住69端口,其他端口依次类推
2、防范冰河木马 冰河,一种木马病毒,它使用的是UDP协议,默认端口为7626,只要在防火墙里把它给封了,设置方法同上。
实训五 杀毒软件的使用 一、 实训目的和要求
学会安装杀毒软件和使用杀毒软件,理解计算机病毒的触发机制,通过对各种常用杀毒软件的分析比较,掌握各自的特点,能根据实际情况选择使用的杀毒软件进行病毒的防范。 二、实训环境
Windows系列操作系统。 三、 原理
计算机病毒触发机制
(1) 时间触发 包括特定的时间触发、染毒后累计工作时间触发、文件写入时间触发等。 (2) 键盘触发 包括击键次数触发、组合键触发、热启动触发等。 (3) 感染触发 包括运行感染文件个数触发、感染序数触发等。 (4) 启动触发 将机器的启动次数作为触发条件。
(5) 访问磁盘次数触发 将对磁盘访问的次数作为触发条件。 (6) 调用中断功能触发 将中断调用次数作为触发条件。
(7) CPU型号/主板型号触发 以预定CPU型号/主板型号作为触发条件。 计算机病毒的组成结构
虽然计算机病毒的种类很多,但通过分析现有的计算机病毒,发现几乎所有的计算机病毒都是由3个部分组成,即引导模块、传染模块和表现模块。 (1)引导模块
负责将病毒引导到内存,并向系统申请一定的存储空间,对相应的存储空间实施保护,以 防止其他程序覆盖,并且修改系统的一些功能入口,在这些入口处引入病毒传染模块和病毒 表现模块。 (2)传染模块
他是整个病毒程序的核心。传染模块又分两部分:传染条件判断部分和传染部分。传染条 件判断部分的作用是判断是否对某个程序进行传染,即病毒的传染条件是否得到满足。不同病毒的传染的条件和传染的对象都是不同的。但所有的病毒都有一定的传染条件,只有在条件满足时,才能进行传染。传染部分负责实施病毒的传染过程。即当传染条件满足时,传染部分就把病毒程序复制到传染目标中去。 (3)表现模块
此模块包括两部分:病毒触发条件判断和病毒表现。
为了达到病毒的隐蔽性,病毒只有在其条件满足时才运行其表现部分。在系统调用入口的病毒触发条件判断部分,根据病毒设计者的意图判断是否满足各种条件:例如特定的日期、特定的用户击键组合等,在满足条件后,调用其具体表现部分。 计算机病毒的传染 四、 实训内容
1、上网查找各种杀毒软件资料,并进行横向比较。 (1) 64位防病毒软件KV2OO6
2005年9月6日.江民科技发布了KV2O06防病毒软件,这是一款兼容32位系统的64位防病毒软件。 KV2006采用BOOTSCAN技术可以在Windows启动前即开始查杀病毒.并在清除病毒文件后对遭到破坏的系统注册表进行恢复。针对目前u盘、移动硬盘.以及MP3、数码相机等数码产品经常接入电脑进行数据交换的现状,KV2O06在移动设备接入时自动进行病毒查杀, KV2O06还会在扫描过程中自动监测用户工作状态发现用户处于工作状态会自动降速.释放系统资源。
此外.KV2OO6还具备父母控制(不良网站)进程查看,共享查看、系统漏洞检查.智能垃圾邮件识别.防范木马监听键盘消息等功能。
(2) NAV企业版9.0防病毒软件
NAV是目前世界上市场占有率最高的防病毒软件.其自动防护功能可以不间断地提供对病毒的监视,在病毒被检测出后立即显示警告信息。NAV企业版9.0防病毒软件的主要功能是:扫描POP3、电子邮件及其附件;防止蠕虫通过电子邮件传播;确保虚拟专用网络连接不受病毒感染;自动查杀病毒、蠕虫和特洛伊木马;提供自动和即时安全更新;集中安装、配置和维护。
在传统的病毒码比对方式基础上.Symantec公司开发了2种启发式扫描技术来监视疑似病毒。一种是Bloodhound(侦探)技术,可检测和处理高达80%的新型和未知可执行文件病毒;另一种是Bloodhound Macro(宏侦探)技术.检测并处理90%以上的新型和未知宏病毒。神经网络技术可检测和修复未知引导型病毒。借助该技术,NAV防病毒软件可监测到90%以上的未知引导型病毒。借助宏病毒自动分析修复技术.NAV用户可在最短时间获得处理未知病毒的引擎和定义码。
Striker32技术可以搜索出具有多种变形、最复杂和难以检测的计算机病毒.解决针对目前`Windows 95/98/NT/2000/XP等32位操作系统的变形病毒。
通过禁止运行未审定的Word或Excel,MVP防止宏病毒技术可以保证宏病毒不进入系统。 (3)瑞星杀毒软件网络版2006
它是一款为中小型企业网络环境量身定做的杀毒软件,既可以在服务器端对整个小型网络中的所有节点进行杀毒防范,又可对网络中任一节点的单机进行安全防护,减轻了网络管理员的工作量和工作强度。 轻松初装 安装瑞星杀毒软件网络版2006时就有“安装瑞星杀毒软件客户端”,“安装系统中心组件”,“安装多网段代理”等选项。瑞星网络版对局域网内的机器采用的“网络黑名单列表”功能值得赞赏,
这将能够有效识别出局域网中感染并发送病毒的机器,并通过网络黑名单功能阻止病毒攻击,为企业局域网用户提供了防止病毒通过网络传播感染的最佳方法。
网络管理 既然是网络版,瑞星的远程化管理能力特别强,而且特别方便网络管理员的管理。
在线防御 在上网过程中当有善意或恶意的程序试图修改注册表项,注册表监控会自动进行拦截,并提示用户是否同意修改。通过注册表监控功能,用户可了解修改注册表的进程名称及其处理结果,方便用户了解和管理哪些程序对注册表造成了影响。
闲中取效 其最人性化的功能就是可以通过屏保杀毒,计算机会在运行屏幕保护程序的同时,启动瑞星杀毒软件进行后台杀毒,充分利用计算机的空闲时间。
防恩未然 瑞星的系统漏洞扫描可以发现系统当前存在的漏洞和不安全设置,并及时修复这些问题。瑞星可以在Office 2000(及其以上版本)的文档打开之前对该文件进行查毒,将宏病毒封杀在宏启动之前。同时,瑞星安全助手还可以对IE 5(及其以上版本)下载的控件在本地运行之前先行查毒.杜绝恶意代码通过IE下载的控件进行传播。 (4)金山毒霸2006
金山毒霸2006大大加强了对灰色软件、恶意共享软件、行为记录软件等的清除、防范力度,具备了应对目前在互联网上横行肆虐的黑客、木马、间谍程序以及恶意广告控件等的能力。
金山反间谍2006在原金山木马专杀的基础上进行重新研发,功能更加丰富强大,可查杀间谍程序、流氓软件、黑客工具、各种IE恶意插件及有害程序,是毒霸2006最大的亮点。
全方位扫描 这一模块包含扫描与修复两部分。在“扫描”标签下,可以选择“决速,全面和自定义”三种形式对漏洞、间谍软件及系统目录中的木马进行扫描,在扫描的同时将发现的病毒、间谍、木马进行清除,扫描完成后会向用户报告结果。
IE复功能 在“修复”标签下,可以修复被恶意程序修改的IE浏览器,包括被篡改默认首页或装入无法卸载的控件/插件,强制用户浏览广告等。
启动项清理 这项为用户提供了关于启动项的各种信息,包括运行入口、运行方式、发行商的名称及该启动项的名称或用途,用户完全可以自行决定是否清除某一启动项。
历史痕迹清理 使用这一功能可以清除所有用户操作电脑的历史痕迹,保护您的隐私不被泄漏。 文件粉碎器 用毒霸2006可以很轻松的将那些隐私文件彻底删除。
查杀手机病毒 毒霸可以将手机作为移动存储设备进行病毒扫描和查杀。毒霸2006加入了手机的病毒库,把从网上下载的手机应用程序或者文件导入手机之前,先检查一下,发现了手机病毒就立刻查杀。
二、安装和使用瑞星杀毒软件
1、 启动计算机,进入Windows操作系统。 2、 将瑞星杀毒软件光盘放入光驱内。若自动安装程序没有启动,则运行光盘根目录中的Autorun.exe,启动安装程序。
3、 在弹出的安装画面中,选择【安装瑞星杀毒软件】。
4、 在【语言选择】对话框中,选择需要安装的语言,单击【确定】开始安装。 5、 在安装界面中,单击【下一步】开始安装。
6、 阅读【最终用户许可协议】,选择【我接受】可进入下一步,选择【我不接受】则退出安装程序。 7、 在【检查序列号】窗口中,正确输入产品序列号,同时还需输入与该序列号相匹配的用户ID号,单击【下一步】继续,输入注册码,换取产品序列号和用户ID号。
8、 在瑞星杀毒软件中,增加了安装前的系统内存安全检查,以保证在安装时系统的安全和完整性,进入【瑞星系统内存扫描】窗口中,瑞星将自动检查内存。如果您需要跳过此功能,请按【跳过】,单击【下一步】继续安装。
9、 确认【程序组】的产品名称后,单击【下一步】。
10、 选择安装方式,可以选择默认的典型安装,也可以选择自定义安装,选择自定义安装可根据您的需要选择安装组件,单击【下一步】即开始复印文件,或进入【与瑞星关联】窗口。
11、 根据提示选择是否启动瑞星杀毒程序、瑞星监控中心、瑞星注册向导,按【完成】结束安装程
序。
12、 进行升级。 进行杀毒。
网络安全实训指导书
