文档介绍：主讲人：赵高
主讲单位：上海清远管业科技有限公司
网络安全基础知识培训
编辑课件
1、网络安全概述
2、导致网络安全问题的原因
3、黑客常用攻击手段分析
4、系统安全配置指导
5、清远网络安全制度
培训内容
编辑课件
网马是一种可以驻留在对方系统中的一种程序。
木马一般由两部分组成：服务器端和客户端。
驻留在对方服务器的称之为木马的服务器端，远程的可以连到木马服务器的程序称之为客户端。
木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机。
木马程序在表面上看上去没有任何的损害，实际上隐藏着可以控制用户整个计算机系统、打开***等危害系统安全的功能。
木马的分类
远程访问型特洛伊木马
键盘记录型特洛伊木马
密码发送型特洛伊木马
破坏型特洛伊木马
代理木马
FTP型特洛伊木马
网页型木马
……
手工放置
木马的植入方式
利用系统漏洞安装
电子邮件附件、浏览网页、FTP文件下载、QQ等方式传播
编辑课件
安装杀毒软件和防火墙
检查INI文件
“run=”、“load=”
“shell= 程序名”后面所加载的程序。
木马的查杀
编辑课件
木马的查杀
检查注册表：在注册表中，最有可能隐藏木马的地方是
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
检查注册表
其他可能隐藏木马的注册表项还有：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\windows\Load
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\windows\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\ AppInit_DLLs
木马的查杀
编辑课件
检查服务
开始\程序\管理工具\服务
检查系统进程
系统信息\软件环境\正在运行任务(win98)、Pstools (winnt/2k)
检查开放端口
Netstat –an(win98)、Fport(winnt/2k)
监视网络通讯
防火墙、网络监视器(win2k)、Sniffer
对可疑文件的分析
W32Dasm、IDA、Soft-ice
木马的查杀
编辑课件
定义
嗅探器 (Sniffer)是能够从网络设备上捕获网络报文的一种工具
Sniffer名称的来由
通用网络公司开发的一个程序－>NAI
网络监听 / 嗅探（Sniffer）
编辑课件
网络监听安全对策
规划网络
合理分段，采用交换机、路由器、网桥等设备，相