木马病毒的查杀防范计算机安全讲稿

木马病毒的查杀防范信息室概

述学习内容：了解木马病毒的基本概念了解木马病毒的主要技术了解木马病毒的传播途径了解木马病毒的攻击手段及对策掌握预防木马病毒的方法了解局域网ARP病毒的处理掌握不能上网的常用解决方法一、木马病毒的基本概念木马病毒的基本概念 木马就是黑客做的用来盗你账号的工具。木马这个名字来源于特洛伊战争，一群士兵藏在木马中，让雅典人自己把木马当做粮草车搬进城里，然后里应外合，攻破雅典。木马病毒的基本概念 木马现在已经被归于病毒的一种，刚刚出来的时候，木马本身并不预备病毒的明显特征，木马只是一款客户端控制软件，和QQ，Word并没有区别。 木马经过多年的发展，结合多种病毒技术，现在已经变成网络上最严重的威胁，可以说现在90%的盗号都是木马所为。二、木马病毒的主要技术木马病毒的主要技术 现在流行的木马技术主要有：线程插入，服务启动，捆绑应用程序，伪装成系统文件，自动运行等等。下面给大家详细讲一下。木马病毒的主要技术线程插入技术：将自己的代码嵌入正在运行的进程中的技术。理论上说，在Windows中的每个进程都有自己的私有内存空间，别的进程是不允许对这个私有空间进行操作的，但是实际上，我们仍然可以利用种种方法进入并操作进程的私有内存，因此也就拥有了那个远程进程相当的权限。无论怎样，都是让木马的核心代码运行于别的进程的内存空间，这样不仅能很好地隐藏自己，也能更好地保护自己。DLL不能独立运行，所以要想让木马跑起来，就需要一个EXE文件使用动态嵌入技术让DLL搭上其他正常进程的车，让被嵌入的进程调用这个DLL的DllMain

函数，激发木马运行，最后启动木马的EXE结束运行，木马启动完毕。木马病毒的主要技术服务启动技术：木马伪装成系统的关键服务，随系统一起启动。这种启动方式的优先级极高，通常在杀毒软件启动前就已经占领了系统，让杀毒软件全部失效。木马病毒的主要技术捆绑应用程序技术

：木马把自身同某些常用的应用程序捆绑在一起，在运行这些软件的同时完成启动，俗称“挂马”。木马病毒的主要技术伪装技术

：木马的名称与系统启动的关键进程相同，如同真假“美猴王”一般，让用户无法分辨真伪，这是木马最常用的伪装技术之一。木马病毒的主要技术自动运行技术

：Autorun是微软的windows系统的一种自动运行的文件命令，主要用于对于移动设备的自动运行，本是微软为了方便用户使用CDROM、U盘等移动设施而设置的程序，而现在却被很多病毒利用。大家很熟悉的熊猫烧香，就是这一类。中毒以后每个盘符下面都会生成负责控制自动运行的Autorun.ini文件及病毒文件，当任意盘符被双击时就会触发病毒，感染整个系统。这就是为什么有时候格式化C盘、重装系统都不能清除病毒的原因。三、木马病毒的传播途径木马病毒的传播途径 木马的主要传播途径，根据出现时间的早晚，首先是捆绑应用程序传播，比如捆绑在QQ的安装程序里面，通过其他方式让你运行，然后就不知不觉中木马了。 捆绑应用程序这种方法用得最多，现在的很多个人下载站点，都有可能捆绑木马，还有bt上下的应用程序都有可能捆绑木马。 这类捆绑式木马的主要特点是，必须是可执行文件，即exe文件，可能会把图标改成图片，或者加一长串空格迷惑，比如：美女图片.jpg.exe;不注意的话可能中招。木马病毒的传播途径 第二类，利用QQ找到ip,然后扫描系统漏洞。比如远程桌面，默认共享是否打开，然后猜解windows用户密码,上传木马程序。木马病毒的传播途径

第三类，最新的网页漏洞。比如jpg漏洞，还有最近的ani漏洞，其原理是骗过ie，把一个程序改名为后缀是jpg或者ani的文件让人通过ie打开，其实本身是放在其他地方的木马客户端。四、木马病毒的攻击手段及对策木马病毒的攻击手段及对策中了木马系统主要被修改的部分：首先木马必须要进入进程，exe的进程比较容易被发现，dll的进程不大容易被发现。按alt+del+ctrl进入进程管理器你就会发现电脑的所有进程。

木马病毒的攻击手段及对策 最初的木马可以通过进程管理直接发现，并关掉；但是随着木马技术的提高，进程隐藏渐渐被引用起来。 进程隐藏主要有两种，第一种，伪装成系统进程，比如著名的svohost木马，熊猫烧香；都是伪装成系统进程，svchost.exe;explore.exe;rundll32.exe;spoolsv.exe这几个是木马常用的伪装进程。 比如，svohost.exe注意这里是o正常的应该是c,或者svchost32.exe这都是木马，熊猫烧香的spcolsv.exe注意又是o变c,还有维金rundl132.exe注意l变成1了；还有其他expl0rer.exe注意o变0。木马病毒的攻击手段及对策 第二种，dll木马，利用线程插入的木马；这类木马功能不如exe木马强大，但是隐蔽性好，清除难；比如著名的灰鸽子，就是用dll做客户端，插入到explore.exe中，这样你每次启动资源管理器就必定启动木马；而且进程管理器里面看不出来。

木马病毒的攻击手段及对策 怎么破解这招呢，下面介绍一个运行命令msconfig。 这个是系统配置实用程序的快捷命令，在软件环境中你可以清楚地看到正在运行程序或服务的路径，生产厂商，版本等等，木马很难在这里隐藏；同样下面启动程序里面也包含了windows的所有自动启动项目。 注意：如果要删除启动项，只要找到位置对应的注册表的地址就可以了。

木马病毒的攻击手段及对策 木马除了能更改系统的启动项，让电脑每次开机自动运行外，有的木马还能在硬盘生成自动运行的文件autorun.inf；这样如果你一不当心双击硬盘，就有可能又中木马；这种木马的主要代表是熊猫烧香，主要特征是，右建单击硬盘图标有自动运行（Auto）项。木马病毒的攻击手段及对策预防办法：运行gpedit.msc打开组策略，在“管理模板->系统”里启用“关闭自动播放”，重启系统。之后系统就不会自动运行带autorun.ini的光盘和U盘了。

手动杀毒方法：网上有很多，我这里简单讲一下原理，木马在你的硬盘比如D盘生成一个隐藏文件，autorun.inf这是一个自动运行的配置文件，常见于光盘，木马在autorun.inf里面加入open=setup.exe

这里的setup.exe就是木马，同样也隐藏在D盘里面，这样你如果双击硬盘就会执行autorun.inf里面的open项，运行setup.exe这个木马。要删除这个木马，首先要养成良好的习惯，进入硬盘分区时，不要双击（会激活木马），用右建弹出菜单选择“打开”进入D盘，打开文件夹选项，在查看里面显示所有文件；把下面的Autorun.inf和setup.exe或者其他的隐藏可疑的木马删掉。

木马病毒的攻击手段及对策 以上是没有中木马的情况下，如果你已经不小心双击了，以上方法就会失灵。那么先从进程里面找出木马程序，然后关掉；然后打开注册表，到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN主键下，把CheckedValue这个项的值改成2；木马可能会把这个项改成字符串项，那你需要把它删掉，自己重新创建一个Dword项。然后就重启系统就可以显示隐藏文件了。 简单点的方法就是用“金山毒霸安全助手”来修复。五、木马病毒的预防木马病毒的预防 首先我们从刚装好的windows开始讲起，ok，你全部格式化好，新装的windows，那么肯定是干净的，一般卖光盘不大会在光盘上下木马。接下来装好的windows,你需要一个杀毒软件来检查你需要安装的应用程序有没有病毒木马，但是并不是所有木马都能被检测出来，过杀毒软件免杀是木马最主要的一项技术，每天都有无数变种，我可以肯定地说杀毒软件只能对付过期的木马，他不能对付最新的木马。木马病毒的预防 所以你就必要自己判断一个程序是不是安全无木马的，程序来源主要有两种，光盘和网上；那种没有验证，私人地方下载的软件，基本都是不可信的。一些常用软件，你一定要去官方网站下载，或者华军等一些比较有名的下载站点去下载。baidu上随便搜来的那种个人下载站，基本上都是有木马的。木马病毒的预防 还有bt下载下来的游戏，你一定要查一下毒，而且还要自己承担免杀木马（针对杀毒软件做过免杀处理的木马）的风险；所以这里也是一个矛盾的地方，盗版和安全的矛盾。尽量用最坏的打算去想问题，网上没有免费的午餐。木马病毒的预防 第二点，如果你程序也不乱下，也不乱装游戏，那么如果还是中了木马，那么就要提到windows漏洞了。你不要以为微软的产品就是完美无瑕的，盖茨就算是天才，他的windows也有很多漏洞，包括我们知道和不知道的，对我们比较有威胁的是ie的漏洞，还有比如冲击波，震荡波，魔鬼波这些波。

木马病毒的预防

windows现在主流都是xpprofessionalsp3版；也少数的是sp1、sp2版，这里我建议如果你还在用老版，马上升级到sp3版，sp1版因为漏洞太多，微软已经停止更新了。升级到最新的sp3版，如果你刚刚新装的系统，那么需要下一百来个补丁，盗版系统打补丁不推荐用windows自带的自动更新，这样会中微软的正版验证补丁，使系统瘫痪，建议从控制面板关闭自动更新。我推荐用360安全卫士，操作比较简单，也不会误打正版验证的补丁。如果你坚持用自动更新打补丁，那么你一定要注意，千万不能安装微软的正版增值计划验证补丁（就是dell的品牌机也不行），安装补丁的时候选择自定义，自己看一下，选择一下。

木马病毒的预防 如果你做到上面两点，不安装不安全的程序，打上所有安全补丁，那么基本上流行的木马你基本不会中了。但是即使我讲得再好，很多人还是不会去打补丁的，不然也就没人中木马了，现在的情况是即使补丁已经出来一个多月了，还是有很多人没有打补丁，也不懂有什么危害性。那么我简单来讲一下，你们上网碰到的网页木马是怎么一回事。木马病毒的预防 首先黑客利用漏洞攻击了一个网站服务器，修改了对方的主页，在上面加入了一行iframe语句，比如<iframe

scr=/0.htmlwidth="0"height="0">

这里的的/0.html就是黑客事先做好的一个利用漏洞让你下载木马到你电脑的文件，没有一个网站敢打保票不被黑客攻击，修改主页，包括最近的csdn,天涯,nga,wowchina都被修改过，加入过iframe语句，用你不打补丁，就要中招，所以很多人说，我不上什么xxx（乱七八糟）的网站，怎么也会中木马。就是这个原因。 你仔细观察ie的状态栏，状态栏在最底部，如果没有状态栏可以在查看菜单下选中；如果你上一个网站，状态栏下面出现不知名的什么乱七八糟的地址，不是一个域名的，那么你就要注意下，这个网站有没有被插入iframe。可以看看源代码。木马病毒的预防 因为木马技术日新月异，木马病毒制作高手都是走在微软补丁前面的，我都不敢保证是否会有没有公布的漏洞让你中招。 前面说了那么多，我归纳一下；1、不要不装杀毒软件2、不要全信杀毒软件3、自己要会查看启动项4、不要安装不明软件5、windows补丁要及时打六、局域网ARP病毒的处理局域网ARP病毒的处理 故障现象：机器以前可正常上网的，突然出现有连接，不能上网的现象（无法ping通网关），重启机器或在MSDOS窗口下运行命令ARP–d（清除arp缓存）后，又可恢复上网一段时间。

故障原因：APR病毒欺骗攻击造成。局域网ARP病毒的处理 引起问题的原因一般是由外挂携带的ARP木马攻击。当在局域网内使用上述外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，从而致使同一网段地址内的其它机器误将其作为网关，这就是为什么掉线时内网是互通的，计算机却不能上网的原因。局域网ARP病毒的处理临时处理对策：

步骤一.在能上网时，进入MS-DOS窗口，输入命令：arp–a查看网关IP对应的正确MAC地址，将其记录下来。

注：如果已经不能上网，则先运行一次命令arp–d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话），一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp–a。局域网ARP病毒的处理 步骤二.如果已经有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令：arp–s网关IP网关MAC 例如：假设计算机所处网段的网关为，本机地址为5在计算机上运行arp–a后输出如下：C:\DocumentsandSettings>arp–aInterface:5---0x2InternetAddress PhysicalAddress Type 00-01-02-03-04-05 dynamic

其中00-01-02-03-04-05就是网关对应的MAC地址，类型是动态（dynamic）的，因此是可被改变。局域网ARP病毒的处理

被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC，如果大家希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找做准备。 手工绑定的命令为：arp–s00-01-02-03-04-05绑定完，可再用arp–a查看arp缓存，C:\DocumentsandSettings>arp–aInterface:5---0x2InternetAddress PhysicalAddress Type 00-01-02-03-04-05 static局域网ARP病毒的处理 这时，类型变为静态（static），就不会再受攻击影响了。但是，需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决。找出病毒计算机的方法： 如果已有病毒计算机的MAC地址，可使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址，然后我们会对其进行处理。NBTSCAN的使用方法：

下载nbtscan.rar到硬盘后解压，然后将cygwin1.dll和nbtscan.exe两文件拷贝到c:\windows\system32下，进入MSDOS窗口就可以输入命令：nbtscan-r/24（我们所处的网段是172.16.255，掩码是）。注：使用nbtscan时，有时因为有些计算机安装防火墙软件，nbtscan的输出不全，但在计算机的arp缓存中却能有所反应，所以使用nbtscan时，还可同时查看arp缓存，就能得到比较完全的网段内计算机IP与MAC的对应关系。局域网ARP病毒的处理专用工具AntiARPSniffer使用说明一、功能说明:使用AntiARPSniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。二、使用说明：1、ARP欺骗：填入网关IP地址，点击［获取网关mac地址］将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意：如出现ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP对应的MAC地址。2、IP地址冲突首先点击“恢复默认”然后点击“防护地址冲突”。如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用AntiARPSniffer可以防止此类攻击。局域网ARP病毒的处理首先需要知道冲突的MAC地址，Windows会记录这些错误。查看具体方法如下：右击[我的电脑]-->[管理]-->点击[事件查看器]-->点击[系统]-->查看来源为[TcpIP]--->双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入AntiARPSniffer的本地MAC地址输入框中(请注意将“:”转换为“-”)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig/all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符，如果更改失败请与我联系。如果成功将不再会显示地址冲突。注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。

七、不能上网的常用解决方法不能上网的常用解决方法一、网络设置的问题

这种原因比较多，出现在需要手动指定IP、网关、DNS服务器联网方式下，及使用代理服务器上网的。仔细检查计算机的网络设置是否输入有误。

不能上网的常用解决方法二、DNS服务器的问题

也有可能是本地DNS缓存出现了问题刷新一下DNS可以在“运行”中执行Ipconfig/flushdns来重建本地DNS缓存。不能上网的常用解决方法三、IE浏览器本身的问题

当IE浏览器本身出现故障时，自然会影响到浏览了；或者IE被恶意修改破坏也会导致无法浏览网页。这时可以尝试用“金山毒霸安全助手”来修复。不能上网的常用解决方法四、网络防火墙的问题

如果网络防火墙设置不当，如安全等级过高、不小心把IE放进了阻止访问列表、错误的防火墙策略等，可尝试检查策略、降低防火墙安全等级或直接关掉试试是否恢复正常。不能上网的常用解决方法五、网络协议和网卡驱动的问题

IE无法浏览，有可能是网络协议（特别是TCP/IP协议）或网卡驱动损坏导致，可尝试重新网卡驱动和网络协议。不能上网的常用解决方法六、HOSTS文件的问题

HOSTS文件被修改，也会导致浏览的不正常，解决方法当然是清空HOSTS文件里的内容。

不能上网的常用解决方法七、感染病毒所致

这种情况往往表现在打开IE