《网络安全威胁》PPT课件.ppt

《《网络安全威胁》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《网络安全威胁》PPT课件.ppt（90页珍藏版）》请在三一办公上搜索。

1、1,第二讲 网络安全威胁,牛秋娜,2,网络安全威胁分类,网络系统面临的威胁主要来自外部的人为影响和自然环境的影响，尤其是“人为攻击”。人为攻击:攻击者对系统的攻击范围从随便浏览信息到使用特殊技术对系统进行攻击，以便得到有针对性的信息。,主动攻击:,被动攻击:,网络威胁-人为攻击,只通过监听网络线路上的信息流获得信息内容，破坏了信息的保密性。攻击者对传输中的信息或存储的信息进行各种非法处理，有选择地更改、插入、延迟、删除或复制这些信息。,3,Company Logo,网络安全威胁分类,依据威胁对象分类依据威胁动机分类依据威胁起因分类,123,4,网络拓扑安全,网络协议安全,网络软件安全,网络设备

2、安全,网络安全威胁分类网络安全威胁 1、根据威胁对象分类,5,网络拓扑安全v 常见的网络拓扑结构,6,网络拓扑安全v 总线型拓扑结构,7,总线型拓扑安全缺陷,1故障诊断困难,网络非集中控制，需在各节点分别检测,2故障隔离困难,故障发生在传输,4终端必须是智能的,没有网络控制设备,3中继器配置,在干线基础上扩充，需重新配置一切信息,介质时,8,网络拓扑安全v 星型拓扑结构,9,星型拓扑安全缺陷,1电缆的长度与安装需大量的电缆，电缆沟、维护、安装麻烦,2扩展困难需事先设置好大量的冗余电缆,3对中央节点的依赖性太大,10,网络拓扑安全v 环型拓扑结构,11,环型拓扑安全缺陷,1,节点故障将引起全网故

3、障,2,4,影响访问协议,3,不易重新配置网络,诊断故障困难,12,网络拓扑安全,网络协议安全,网络软件安全,网络设备安全,网络安全威胁分类网络安全威胁 1、根据威胁对象分类,13,网络协议安全通信网的运行机制基于通信协议,网络协议安全,各传输协议之间的不一致性会大大影响信息的安全质量TCP/IP协议存在漏洞,14,网络协议安全,15,网络拓扑安全,网络协议安全,网络软件安全,网络设备安全,网络安全威胁分类网络安全威胁 1、根据威胁对象分类,16,网络软件缺陷,OS是网络信息系统中的核心控制模块；对于设计上不够安全的 OS，事后采用增加安全特性和补丁的方法是一项很艰巨的任务。,应用软件是用户使

4、用网络服务的接口；应用软件的缺陷会直接导致用户遭受损失。,DB中数据备份方面的不足；网络软件缺陷机制的不完善；数据存储的完整性、机密性不足。,17,网络拓扑安全,网络协议安全,网络软件安全,网络设备安全,网络安全威胁分类网络安全威胁 1、根据威胁对象分类,18,网络设备安全网络设备安全：Hub、网桥、交换机、路由器等安全隐患,路由器的安全隐患低等级加密，密码容易被破解；使用默认的路由器管理地址；路由器固件存在漏洞。,网桥的安全隐患：网桥只能最大限度地使网络沟通、互连，而不负责网络之间数据的校验。广播风暴（Broadcasting Storm）,19,拒绝服务攻击,利用型攻击,信息收集型攻击,消

5、息伪造攻击,网络安全威胁分类网络安全威胁 2、根据威胁动机分类,安全威胁分类,20,北京邮电大学信息安全中心,网络攻击流程,21,北京邮电大学信息安全中心,网络攻击的一般步骤 攻击过程可以归纳为：信息收集、实施攻击、隐藏攻击行为、创建后门和消除攻击痕迹五个步骤1、信息收集通过各种方式获取所需要的信息，比如目标系统使用的操作系统、管理员账号等,信息收集属于攻击前的准备阶段,也称之为踩点。确定攻击目的和收集攻击目标信息目标信息类型：系统一般信息、系统管理和配置信息、系统口令的安全性、提供的服务收集方式：使用扫描攻击进行大规模扫描、利用第三方资源进行信息收集、使用查询手段进行信息收集。,网络攻击流程

6、,22,北京邮电大学信息安全中心,2、实施攻击获取系统权限，进行破坏性或其它攻击；攻击者进入系统后,如权限不够,需要再次提升权限,直到获取超级用户权限。权限提升主要有两种方式,一种是口令破解或截取,另一种方式是缓冲区溢出攻击。,3、隐藏攻击行为获取系统权限，进行破坏性或其它攻击 攻击者在获得系统最高管理员权限之后，可以随意修改系统上的文件。然而一旦入侵系统，就必然会留下痕迹；所以在入侵系统之后，攻击者大多都会采取隐藏技术来消隐自己的攻击行为。（1）隐藏连接：删除或修改日志文件（2）隐藏进程：系统程序替换（3）隐蔽文件：利用字符的相似性麻痹系统管理员，或采用其他手段隐瞒攻击时产生的信息。,网络攻

7、击流程,24,北京邮电大学信息安全中心,4、创建后门一次成功的入侵往往要耗费攻击者的大量时间与精力，为了长期保持对已攻系统的访问权，在退出之前攻击者常在系统中创建一些后门，以便下次入侵。木马就是创建后门的一个典型范例。,远程管理型木马可以提供很好的后门服务。木马的安装主要是利用系统操作者不好的使用习惯和薄弱的安全意识潜入系统,如操作人员随意上网抓资料或太信任电子邮件送来的文件等。,创建后门的常见方法：放宽文件许可权、重新开放不安全的服务、修改系统配置、替换系统共享库文件、修改系统源代码、安装嗅探器、建立隐蔽信道。,(1)登录程序后门。其身份验证过程可能存在漏洞,使用这类后门可以方便地登录系统,

8、并且不容易被发现。这类后门的引入可能是由于程序设计漏洞,如存在缓冲区溢出漏洞或验证算法不合理等;也可能是程序开发人员为了调试方便或怀有特殊目的故意加入,如缺省空口令、缺省固定口令、万能口令等;还有就是攻击者替换或修改了登录程序,不影响原有的登录过程,但有捷径可以方便地进入系统。这类后门有Rootkit,Netbios,SQL Server,PBBSER,Hidepak 和Hidesource 等。(2)网络服务后门。一些系统服务程序或应用服务程序中存在着漏洞,如系统服务Telnet,Ftp,E-mail,Rlogin 等和应用服务IRC,OICQ 等。利用这种漏洞产生的后门很多,如常见的AOL

9、 Admin,Attack FTP,HackaTack 和GateCrasher 等(3)系统库后门。(4)内核后门。,后门的种类,后门隐藏包括应用级隐藏和内核级隐藏。应用级隐藏是常规的隐藏方法.（1）选择一个隐秘的目录存放后门程序文件,在Windows 平台,可以选用:Autoexec.bat,Config.sys,System.ini 和Win.ini 注册表等。（2）修改或替换管理命令。修改或替换用于查看程序文件和进程信息的管理命令,使后门程序和进程可以很好地隐身。如替换“ls”“find”“du”可以实现文件和目录隐藏;替换“ps”“top”“pidof”可以实现进程隐藏;替换Nets

10、tat,Ifconfig 可实现网络的连接状态隐藏;替换Kill,Killall 可防止删除攻击者的进程,替换Crontab 能隐藏攻击者的定时启动信息,替换Tcpd,Syslogd 隐藏攻击者的连接信息等。,后门的隐藏,（3）通信端口隐藏:选用不常用的通信端口,早期的后门一般都选用确定的端口,大多数的后门检测工具也是通过判断相应的端口来进行工作的,因此定制端口可以避过大多数检测软件的检测;将后门隐藏在合法端口,为后门数据包设定标志,通过标志来区分会话,同时不会影响原有端口的服务,这种方法的优点在于无法通过端口来判断后门的类型,也不容易通过流量分析来检测,只能通过查找相应的标志来检测,但标志是

11、易变的,因此该方法可以很好地隐藏通信端口。具有端口定制功能的后门代理程序有Ping Backdoor,WinShell 等。Executor利用80 端口传递控制信息和数据,实现其远程控制。而Code Red II 则利用80 端口来进行传播。,后门的隐藏,网络攻击流程,28,北京邮电大学信息安全中心,5、清除攻击痕迹攻击者为了隐蔽自身，一般在入侵后要做善后工作，避免系统管理员发现其攻击行为。方法：修改日志文件中的审计信息、改变系统事件造成日志文件数据文件紊乱、删除或停止审计服务进程、干扰入侵检测系统正常工作、修改完整性标签。,网络攻击流程,29,北京邮电大学信息安全中心,网络攻击的一般流程,

12、30,拒绝服务攻击,利用型攻击,信息收集型攻击,消息伪造攻击,网络安全威胁分类网络安全威胁 2、根据威胁动机分类,31,利用型攻击v 口令猜测 攻击者可获取口令文件运用口令破解工具进行字典攻击。v 特洛伊木马v 缓冲区溢出 来自于C语言本质的不安全性：没有边界来限制数组和指针的引用；标准C库中还有很多非安全字符串操作：strcpy()，gets(),etc.通过往程序的缓冲区写超过其长度的内容，使缓冲区溢出，破坏程序的堆栈，达到攻击目的。可导致程序运行失败，系统死机，重启,32,拒绝服务攻击,利用型攻击,信息收集型攻击,消息伪造攻击,网络安全威胁分类网络安全威胁 2、根据威胁动机分类,33,信

13、息收集型攻击v 体系结构刺探（协议栈指纹）确定目标主机所运行的操作系统 不同操作系统厂商的IP协议栈实现之间存在许多细微差别，因此每种操作系统都有独特的响应方法利用信息服务v 扫描技术 地址扫描 端口扫描 漏洞扫描：漏洞特征库；模拟攻击,网络安全扫描的基本原理 通过向远程或本地主机发送探测数据包，获取主机的响应，并根据反馈的数据包，进行解包、分析，从而发现网络或主机的配置信息、TCP/UDP端口的分配、提供的网络服务、服务器的具体信息等。Ping扫描ping扫描是判断主机是否“活动”的有效方式，目的就是确认目标主机的IP地址，即扫描的IP地址是否分配给了主机。端口扫描向目标主机的TCP/UDP

14、服务端口发送探测数据包，并记录目标主机的响应，通过响应分析判断服务端口处于打开/关闭状态，以获取端口提供的服务。分为TCP扫描和UDP扫描。,信息收集扫描技术,34,北京邮电大学信息安全中心,Ping扫描原理,Ping扫描是网络中最原始的扫描方法，主要用于网络连通性的测试与判断，也可用于主机的发现。原理：利用ICMP请求响应报文和ICMP应答报文来实现。优点：操作简单方便不足：使用受限，因为很多个人防火墙从安全角度考虑都对ICMP ping报文进行了屏蔽。而且这种扫描过程容易被防火墙日志记录，屏蔽性不强。,35,36,ICMP echo request,ICMP echo reply,本地主机

15、,目标主机,图 ping 扫描原理,端口扫描原理,端口扫描主机发现技术是利用TCP/IP协议中TCP协议的确认机制，本地主机通过特定端口向目标主机发送连接请求，目标主机通常会回应一个数据包进行响应，以表明连接的状态。用户可以通过目标主机的响应报文来判断它是否存在。优点：效率较高，可避免防火墙记录，隐蔽性较强，可以对有防火墙的主机进行探测。不足之处：不同操作系统TCP/IP协议栈实现原理不一样，同一种方法在不同的上肯能结果不一样。,37,38,TCP（ACK）destport=80,TCP（rst）,本地主机,目标主机,图 端口扫描原理,扫描,ARP扫描指通过ARP请求（查询目标主机的物理地址）

16、，如果目标主机回应一个ARP响应报文，则说明它是存活的。优点：效率高，隐蔽性强，因为ARP解析是局域网中正常的活动，一般防火墙都不阻拦。不足：使用范围有限，只能用于局域网。这个方法适用于内网突破时使用。,39,40,ARP request（广播）,ARP reply,本地主机,目标主机,图 ARP扫描原理,41,北京邮电大学信息安全中心,漏洞扫描漏洞扫描绝大多数都是针对特定操作系统所提供的特定网络服务，也就是针对操作系统中某一个特定端口的。两类基本的方法：漏洞特征库匹配和模拟攻击方法漏洞特征库匹配：在端口扫描后得知目标主机开启端口和端口上提供的服务，将这些信息与网络漏洞扫描系统提供的漏洞信息库

17、进行匹配，查看是否有漏洞存在。如FTP漏洞扫描、HTTP漏洞扫描、CGI漏洞扫描等模拟攻击方法：通过模拟黑客的攻击方法，对目标主机系统进行攻击性漏洞扫描，如果模拟成功，则表示系统存在漏洞，主要是攻击者经验的直接体现，如Unicode遍历目录漏洞探测、FTP弱势密码探测等。,信息收集扫描技术,42,北京邮电大学信息安全中心,1、控制台模块2、扫描活动处理模块3、扫描引擎模块4、结果处理模块5、漏洞库,通用漏洞扫描原理,43,北京邮电大学信息安全中心,常见扫描工具漏洞扫描及分析工具：Nessus网络漏洞扫描工具：SuperScan网络主机扫描工具：Nmap系统用户扫描工具：GetNTUser漏洞扫

18、描工具：X-Scan,信息收集扫描技术,44,拒绝服务攻击,利用型攻击,信息收集型攻击,消息伪造攻击,网络安全威胁分类网络安全威胁 2、根据威胁动机分类,45,消息伪造攻击v DNS欺骗 DNS服务器交换信息时不进行身份认证；黑客可以使用错误信息将用户引向设定主机v 伪造电子邮件 SMTP不对邮件发送者身份进行鉴定,46,拒绝服务攻击,利用型攻击,信息收集型攻击,消息伪造攻击,网络安全威胁分类网络安全威胁 2、根据威胁动机分类,47,拒绝服务攻击简单DoS,Denial ofService(DoS),反射式DoS分布式DoS,48,简单拒绝服务攻击v Ping flooding 在某一时刻，多

19、台主机对目标主机使用Ping程序，以耗尽其网络带宽和处理能力。v SYN flooding 当前最流行、最有效的DoS方式之一；利用建立TCP连接的三次握手机制进行攻击；回顾TCP协议 阻止服务器方接受客户方的TCP确认标志（ACK）v UDP flooding UNIX系统中开放的测试端口：echo（UDP端口7），chargen（UDP 端口19）v 电子邮件炸弹 用伪造的IP地址或电子邮件地址向同一信箱发送垃圾邮件 导致目标邮箱或电子邮件服务器瘫痪,伪造发送者,快速发送大量邮件,邮件炸弹,50,反射式拒绝服务攻击（DRDoS）DRDoS（Distributed Reflection De

20、nial of Service）v Smurf 利用Ping程序中使用的ICMP协议;攻击者找出网络上有哪些路由器会回应ICMP请求；然后用一个虚假的IP源地址向路由器的广播地址发出讯息，路由器会把这讯息广播到网络上所连接的每一台设备；这些设备又马上回应，这样会产生大量讯息流量，从而占用所有设备的资源及网络带宽 回应的地址就是受攻击的目标；Smurf攻击实际上是一种IP欺骗式的攻击，将导致拒绝服务攻击的结果。,51,Smurf,52,反射式拒绝服务攻击v Land 攻击一种非常老的拒绝服务攻击。攻击者不断地向被攻击的计算机发送具有IP 源地址和IP目的地址完全一样，TCP源端口和目的端口也完全

21、一样的伪造TCP SYN包；导致该计算机系统向自己发送响应信息SYN/ACK和ACK消息，最后被攻击的计算机系统将会无法承受过多的流量而瘫痪或重启。研究发现 Windows XP SP2 和 Windows 2003 的系统、Sun 的操作 系统对这种攻击的防范都是非常脆弱的。防范 服务供应商可以在网络入口处，安装防火墙对所有入内数据包的IP 源地址进行检查和过滤，这样就可以阻止Land 攻击。如果一个包的源地址与目的地址不相同则该数据包可以被转发，否则就丢弃。,53,分布式拒绝服务攻击v DDoS（Distributed Denial of service）基本原理,DDoS攻击是指借助于客

22、户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。,DDoS,DDoS攻击方式,通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。这种攻击方式可分为以下几种：1.通过使网络过载来干扰甚至阻断正常的网络通讯。2.通过向服务器提交大量请求，使服务器超负荷。3.阻断某一用户访问服务器。4.阻断某服务与特定系统或个人的通讯。,55,Trinoo,3133527665,27444,udp,master,client,.主机列表,telnet,betaalmostdone,攻击指令,目标主机,nc,DDoS工具,使用端口：攻击者到主

23、服务器：27665/TCP主服务器到守护程序：27444/UDP守护程序到主服务器：31335/UDP,控制者,主服务器,被控程序,57,DDoS防御方法v 1采用高性能的网络设备 首先要保证网络设备不能成为瓶颈，因此选择性能好的路由器、交换机、硬件防火墙等设备。2尽量避免NAT的使用 因为NAT对地址转换过程中需要对网络包进行校验和计算，浪费很多CPU的时间。3充足的网络带宽保证 网络带宽直接决定了能抗受攻击的能力4 把网站做成静态页面5增强操作系统的TCP/IP栈 如Win2000和Win2003作为服务器操作系统，本身就具备一定的抵抗DDOS攻击的能力6安装专业抗DDOS防火墙 如：绿盟

24、黑洞，金盾抗拒绝服务系统，天网防火墙等。,58,网络系统缺陷,网络欺骗,有害程序,拒绝服务攻击,网络安全威胁分类网络安全威胁 3、根据威胁起因分类,59,网络系统缺陷v 网络系统 网络设备 网络操作系统 网络应用服务 网络数据库v 网络系统缺陷的基本表现形式：来自网络协议和应用的实现：IP协议栈，WWW平台 一般的软件和系统实现过程中出现的缺陷：缓冲区溢出，注入式攻击，陷门陷门:是一个程序模块的秘密未记入文档的入口。一般陷门是在程序开发时插入的一小段程序,是用于测试这个模块或是为了升级程序或者是为了发生故障后,为程序员提供方便等合法用途。通常在程序开发后期去掉这些陷门。非法利用陷门可以使原来相

25、互隔离的网络信息形成某种隐蔽的关联，进而可以非法访问网络，达到窃取、更改、伪造和破坏的目的。,注入式攻击,由于程序员水平和经验的限制，编写代码时没有对用户输入数据的合法性进行判断。用户可以通过在应用程序中预先定义好的查询语句，结尾加上额外的SQL语句元素，欺骗数据库服务器执行非授权的任意查询。根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。据统计，网站用ASP+Access或SQLServer的占70%以上，PHP+MySQ占L20%，其他的不足10%。,60,举例：管理登陆的验证代码rs.open“select*from admin wher

26、e admin=&admin1&and password=&password1&,conn,1？如果在用户名和密码处都填入 OR=，一样可以成功登陆。因为代入前面符号可得：select*from admin where admin=OR“=and password=OR=,61,SQL注入攻击的总体思路是：发现SQL注入位置;判断后台数据库类型;确定XP_CMDSHELL可执行情况 发现WEB虚拟目录 上传ASP木马;得到管理员权限;,62,63,网络系统缺陷,网络欺骗,有害程序,拒绝服务攻击,网络安全威胁分类网络安全威胁 3、根据威胁起因分类,64,网络欺骗v 缺乏安全认证 针对网络层协议的

27、欺骗：IP欺骗；ARP欺骗；ICMP欺骗；路由欺骗 针对TCP的欺骗:TCP欺骗;TCP会话劫持；RST和FIN攻击 针对应用协议的欺骗：电子邮件欺骗；缺乏IP认证导致DNS欺骗。v 现实生活中的欺骗手段在网络中使用 网络钓鱼,内容,IP电子欺骗TCP会话劫持ARP电子欺骗DNS电子欺骗,网络欺骗,65,定义,B,A,C,Hello,Im B!,电子欺骗（Spoofing）是指通过伪造源于可信任地址的数据包以使一台机器认证另一台机器的复杂技术,66,IP电子欺骗,客户,服务器,Syn send,连接请求,回应,Syn+ack,确认,会话过程,67,实现步骤,确认攻击目标,使要冒充的主机无法响应

28、目标主机,猜正确序数,冒充受信主机,进行会话,IP欺骗不是攻击方法，是攻击步骤,68,实例讲解,B,A,C,同步flood攻击,连接请求,伪造B进行系列会话,A的序数规则,69,防止IP欺骗,路由器：拒绝来自网上，且声明源于本地地址的包,使用抗IP欺骗功能的产品,严密监视网络,70,TCP劫持,b,c,a,Who is b,Who is b,Im b,Im b,I talk with you,71,72,TCP会话劫持（TCP Session Hijack）,会话:就是两台主机之间的一次通讯。会话劫持:就是结合了嗅探以及欺骗技术在内的攻击手段。例如，在一次正常的会话过程当中，攻击者作为第三方参

29、与到其中，他可以在正常数据包中插入恶意数据，也可以在双方的会话当中进行监听，甚至可以是代替某一方主机接管会话。会话劫持的关键是预测正确的序列号，攻击者可以采取嗅探技术获得这些信息。,劫持实现,Juggernaut-Mike schiffman Hunt-kra（）,73,劫持例子,Hunt,s,192.168.1.1411517-192.168.1.12223,telnet,a,b,c,74,劫持对策,使用交换式的网络设备,telnet,a,b,c,Im can not hijackBecause,75,ARP欺骗正常情况,Bb:bb,Cc:cc,Aa:aa,Who,Who,I see,I w

30、ill cache,76,对策,情况一、当局域网内某台主机感染了ARP病毒时，会向本局域网内（指某一网段）所有主机发送ARP欺骗攻击谎称自己是这个网端的网关设备，让原本流向网关的流量改道流向病毒主机，造成受害者不能正常上网。情况二、局域网内有某些用户使用了ARP欺骗程序（如：网络执法官,QQ盗号软件等）发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。,ARP欺骗两种情况,77,对策,78,ARP欺骗,Bb:bb,Cc:cc,Aa:aa,I see,I will cache,I couldn,由于局域网的网络流通不是根据IP地址进行，而是根据MAC地址

31、进行传输。所以，MAC地址在C上被伪造成一个不存在的MAC地址，这样就会导致网络不通，B不能Ping通C！,79,1、中毒者：使用毒软件清除病毒。2、被害者：(1)绑定网关mac地址。(2)使用ARP防火墙(例如AntiArp)软件抵御ARP攻击。找出ARP病毒源一：在网络内一台主机上运行抓包软件捕获所有到达的数据包。如发现某个IP不断发送ARP Request请求包，一般即病毒源。二：使用arp-a命令任意选两台不能上网的主机，在DOS命令窗口下运行arp-a命令。在结果中，两台电脑除了网关的IP-MAC地址对应项，都包含了另外某个相同IP，则可以断定这台主机就是病毒源。三：在DOS命令窗口

32、下使用tracert命令在任意一台受影响的主机上跟踪路由，在跟踪外网地址时，第一跳不是缺省网关而是其它IP，那么该IP就是病毒源。,ARP欺骗防范措施：,80,DNS欺骗-正常情况,?,?,其他DNS,I will cache,I dont know,I will ask other,1.1.1.1,?,Its in my cache,81,DNS欺骗实例,?,I dont know,I will ask other,?,Other DNS,I will cache,?,Its in my cache,DNS欺骗：攻击者冒充域名服务器的一种欺骗行为。原理：如果可以冒充域名服务器，然后把查询的I

33、P地址设为攻击者的IP地址，这样用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页。,82,DNS欺骗局限性,攻击者不能替换缓存中已经存在的记录缓存（Cache）刷新时间,83,DNS欺骗预防,安装最新版本的软件关闭DNS服务器的递归功能限制域名服务器作出响应的地址限制域名服务器作出响应的递归请求地址限制发出请求的地址,84,路由欺骗,ICMP重定向报文欺骗RIP路由欺骗 源路由欺骗,85,86,网络系统缺陷,网络欺骗,有害程序,拒绝服务攻击,网络安全威胁分类网络安全威胁 3、根据威胁起因分类,87,有害程序v 可执行程序 计算机病毒 特洛伊木马 计算机蠕虫 流氓软件：具备部分病毒

34、和黑客特征，属于正常软件和病毒之间的灰色地带。杀毒软件一般不作处理。,88,流氓软件v 据介绍，间谍软件或广告软件大多是随免费软件侵入计算机的。据了解，很多免费软件其实都靠收取流氓软件的中介费得以生存的。v 流氓软件可能造成电脑运行变慢、浏览器异常等。v 多数流氓软件具有以下特征：强迫性安装：不经用户许可自动安装 不给出明显提示，欺骗用户安装 反复提示用户安装，使用户不胜其烦而不得不安装 无法卸载：正常手段无法卸载 无法完全卸载 频繁弹出广告窗口，干扰正常使用,89,流氓软件v 五招预防流氓软件 不要登录不良网站。不要随便下载不熟悉的软件，尤其是对用户数据可能产生损害的，如分区软件、硬盘整理软件、个人信息管理软件等。安装软件时应仔细阅读软件附带的用户协议及使用说明。对共享软件应谨慎使用，避免软件过期后出现某些因为功能限制而丢失私人资料的情况。上网时应采用“杀毒软件+个人防火墙+安全助手”的立体防御体系，抵御流氓软件的侵害。,谢 谢！,