計(jì)算機(jī)病毒與計(jì)算機(jī)安全.ppt

1、第 7 章計(jì)算機(jī)病毒與計(jì)算機(jī)安全,8.1 計(jì)算機(jī)病毒概述,病毒的定義和特點(diǎn),傳統(tǒng)病毒:單機(jī),現(xiàn)代病毒:網(wǎng)絡(luò) 蠕蟲病毒 木馬病毒,確診病毒,清除病毒,預(yù)防病毒,殺毒軟件,專殺工具,手工清除,根據(jù)具體病毒特征,網(wǎng)上免費(fèi)查毒,沖擊波: CPU占用100% 歡樂時(shí)光: Desktop.ini Folder.htt,資料：病毒的發(fā)展史,計(jì)算機(jī)病毒的定義 1994年2月18日，我國頒布的中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例，第二十八條中明確指出：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的程序代碼?！?主要特點(diǎn)：破壞性，傳染性，隱蔽性，可觸發(fā)性

2、,8.1.1 計(jì)算機(jī)病毒的概念,1. 傳統(tǒng)病毒（單機(jī)環(huán)境下） 引導(dǎo)型病毒：就是用病毒的全部或部分邏輯取代正常的引導(dǎo)記錄，而將正常的引導(dǎo)記錄隱藏在磁盤的其它地方，這樣系統(tǒng)一啟動(dòng)病毒就獲得了控制權(quán)。如“大麻”病毒和“小球”病毒 。 文件型病毒：病毒寄生在可執(zhí)行程序體內(nèi)，只要程序被執(zhí)行，病毒也就被激活，病毒程序會(huì)首先被執(zhí)行，并將自身駐留在內(nèi)存，然后設(shè)置觸發(fā)條件，進(jìn)行傳染。如“CIH病毒” 。,8.1.2 計(jì)算機(jī)病毒的分類,宏病毒：寄生于文檔或模板宏中的計(jì)算機(jī)病毒，一旦打開帶有宏病毒的文檔，病毒就會(huì)被激活，并駐留在Normal模板上，所有自動(dòng)保存的文檔都會(huì)感染上這種宏病毒，如“Taiwan NO.1”

3、宏病毒 。 混合型病毒：既感染可執(zhí)行文件又感染磁盤引導(dǎo)記錄的病毒。,2. 現(xiàn)代病毒（網(wǎng)絡(luò)環(huán)境下） 蠕蟲病毒：以計(jì)算機(jī)為載體，以網(wǎng)絡(luò)為攻擊對象，利用網(wǎng)絡(luò)的通信功能將自身不斷地從一個(gè)結(jié)點(diǎn)發(fā)送到另一個(gè)結(jié)點(diǎn)，并且能夠自動(dòng)啟動(dòng)的程序，這樣不僅消耗了大量的本機(jī)資源，而且大量占用了網(wǎng)絡(luò)的帶寬，導(dǎo)致網(wǎng)絡(luò)堵塞而使網(wǎng)絡(luò)服務(wù)拒絕，最終造成整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓。 例如“沖擊波”病毒：利用Windows遠(yuǎn)程過程調(diào)用協(xié)議（Remote Process Call，RPC）中存在的系統(tǒng)漏洞，向遠(yuǎn)端系統(tǒng)上的RPC系統(tǒng)服務(wù)所監(jiān)聽的端口發(fā)送攻擊代碼，從而達(dá)到傳播的目的。感染該病毒的機(jī)器會(huì)莫名其妙地死機(jī)或重新啟動(dòng)計(jì)算機(jī)，IE瀏覽器不能

4、正常地打開鏈接，不能進(jìn)行復(fù)制粘貼操作，有時(shí)還會(huì)出現(xiàn)應(yīng)用程序異常如Word無法正常使用，上網(wǎng)速度變慢，在任務(wù)管理器中可以找到一個(gè)“msblast.exe”的進(jìn)程在運(yùn)行。,木馬病毒：是指在正常訪問的程序、郵件附件或網(wǎng)頁中包含了可以控制用戶計(jì)算機(jī)的程序，這些隱藏的程序非法入侵并監(jiān)控用戶的計(jì)算機(jī)，竊取用戶的賬號和密碼等機(jī)密信息。 例如“QQ木馬”病毒：該病毒隱藏在用戶的系統(tǒng)中，發(fā)作時(shí)尋找QQ窗口，給在線上的QQ好友發(fā)送諸如“快去看看，里面有好東西”之類的假消息，誘惑用戶點(diǎn)擊一個(gè)網(wǎng)站，如果有人信以為真點(diǎn)擊該鏈接的話，就會(huì)被病毒感染，然后成為毒源，繼續(xù)傳播。,1. 計(jì)算機(jī)病毒的預(yù)防 安裝實(shí)時(shí)監(jiān)控的殺毒軟件

5、或防毒卡，定期更新病毒庫； 經(jīng)常運(yùn)行Windows Update，安裝操作系統(tǒng)的補(bǔ)丁程序； 安裝防火墻工具,設(shè)置相應(yīng)的訪問規(guī)則,過濾不安全的站點(diǎn)訪問； 不隨意打開來歷不明的電子郵件及附件； 不隨意安裝來歷不明的插件程序； 不隨意打開陌生人傳來的頁面鏈接，謹(jǐn)防惡意網(wǎng)頁中隱藏的木馬程序； 不使用盜版的游戲軟件。,8.1.3 計(jì)算機(jī)病毒的防治,預(yù)防為主，防治結(jié)合,2. 計(jì)算機(jī)病毒的清除 1）使用殺毒軟件 金山毒霸 （） 瑞星殺毒軟件（） 諾頓防毒軟件（） 江民殺毒軟件（ ）,2）使用病毒專殺工具,3）手動(dòng)清除病毒,適用于對計(jì)算機(jī)的操作相當(dāng)熟練，具有一定計(jì)算機(jī)專業(yè)知識的用戶。利用病毒程序自啟動(dòng)的特點(diǎn)，

6、在開始運(yùn)行下輸入“regedit”打開注冊表編輯程序，查看相關(guān)目錄下是否有非法自動(dòng)運(yùn)行的程序，有的話就可以手動(dòng)刪除這些病毒程序項(xiàng)，并找到對應(yīng)的病毒文件手動(dòng)將其物理刪除。,3. 病毒防衛(wèi)意識 病毒只要一發(fā)作，就會(huì)表現(xiàn)出一些不正常的現(xiàn)象，例如機(jī)器運(yùn)行速度明顯變慢，機(jī)器異常死機(jī)，出現(xiàn)黑屏現(xiàn)象，文件被莫名刪除，程序無法正常運(yùn)行等等。,下面是“震蕩波”病毒發(fā)作時(shí)在“windows任務(wù)管理器”的“進(jìn)程”選項(xiàng)卡下找到的病毒程序的進(jìn)程，機(jī)器出現(xiàn)的異常關(guān)機(jī)提示。,8.2 黑客與防火墻,10.2 網(wǎng)絡(luò)安全技術(shù),以概念為主，了解黑客攻擊大概過程 了解防火墻的基本概念及其作用,(2)防火墻技術(shù),(1)黑客攻擊技術(shù),資

7、料： 網(wǎng)絡(luò)黑客大事記 網(wǎng)絡(luò)攻擊史 為什么網(wǎng)絡(luò)易被攻擊和欺騙,8.2.1 黑客常用的攻擊方式 黑客（Hacker）一般指的是計(jì)算機(jī)網(wǎng)絡(luò)的非法入侵者，他們大都是程序員，對計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)非常精通，了解系統(tǒng)的漏洞及其原因所在，喜歡非法闖入并以此作為一種智力挑戰(zhàn)而沉迷其中。 1. 黑客攻擊的一般步驟： 1）信息收集：用SNMP協(xié)議來查看路由器的路由表，了解目標(biāo)主機(jī)內(nèi)部拓?fù)浣Y(jié)構(gòu)的細(xì)節(jié)，用TraceRoute程序可獲得到達(dá)目標(biāo)主機(jī)所要經(jīng)過的網(wǎng)絡(luò)數(shù)和路由數(shù)，用Ping程序可以檢測一個(gè)指定主機(jī)的位置并確定是否可到達(dá)等。,2）探測分析系統(tǒng)的安全弱點(diǎn)：使用Telnet或FTP等軟件向目標(biāo)主機(jī)申請服務(wù)，如果目標(biāo)

8、主機(jī)有應(yīng)答就說明開放了這些端口的服務(wù)。其次使用Internet安全掃描程序ISS（Internet Security Scanner）或網(wǎng)絡(luò)安全分析工具SATAN等來對整個(gè)網(wǎng)絡(luò)或子網(wǎng)進(jìn)行掃描，尋找系統(tǒng)的安全漏洞，獲取攻擊目標(biāo)系統(tǒng)的非法訪問權(quán)。 3）實(shí)施攻擊：在受到攻擊的目標(biāo)系統(tǒng)安裝探測器軟件，如特洛伊木馬程序，在目標(biāo)系統(tǒng)中建立新的安全漏洞或后門，收集黑客感興趣的一切信息，如賬號與口令等敏感數(shù)據(jù)。,2. 黑客的攻擊方式 1）密碼破解 一般采用字典攻擊、假登錄程序和密碼探測程序等來獲取系統(tǒng)或用戶的口令文件 。 2）IP嗅探（Sniffing）與欺騙(Spoofing) 嗅探又叫網(wǎng)絡(luò)監(jiān)聽，通過改變網(wǎng)

9、卡的操作模式讓它接受流經(jīng)該計(jì)算機(jī)的所有信息包，這樣就可以截獲其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文或口令。 欺騙: 即將網(wǎng)絡(luò)上的某臺計(jì)算機(jī)偽裝成另一臺不同的主機(jī)，目的是欺騙網(wǎng)絡(luò)中的其他計(jì)算機(jī)誤將冒名頂替者當(dāng)作原始的計(jì)算機(jī)而向其發(fā)送數(shù)據(jù)或允許它修改數(shù)據(jù)。如IP欺騙、路由欺騙、DNS欺騙、ARP欺騙以及Web欺騙等。,3）系統(tǒng)漏洞 利用系統(tǒng)中存在的漏洞如“緩沖區(qū)溢出”來執(zhí)行黑客程序。 4）端口掃描 查看系統(tǒng)中哪些端口對外開放，然后利用這些端口通信來達(dá)到入侵的目的。如“冰河V8.0”木馬就是利用了系統(tǒng)的2001號端口。,8.2.2 防止黑客攻擊的策略 1）數(shù)據(jù)加密：提高了數(shù)據(jù)傳輸?shù)陌踩浴?2）身份認(rèn)證：只對確認(rèn)了身

10、份的用戶給予相應(yīng)的訪問權(quán)限 。 3）建立完善的訪問控制策略：設(shè)置入網(wǎng)訪問權(quán)限、網(wǎng)絡(luò)共享資源的訪問權(quán)限、目錄安全等級控制、網(wǎng)絡(luò)端口和結(jié)點(diǎn)的安全控制、防火墻的安全控制等。 4）審計(jì)：記錄與安全有關(guān)的事件，保存在日志文件以備查詢。,5）其他安全防護(hù)措施： 不隨便從Internet上下載軟件 不運(yùn)行來歷不明的軟件 不隨便打開陌生人發(fā)來的郵件附件 不隨意去點(diǎn)擊具有欺騙誘惑性的網(wǎng)頁超級鏈接,8.2.3 防火墻技術(shù) 1.防火墻概述 防火墻是設(shè)置在被保護(hù)的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的軟件和硬件設(shè)備的組合，對內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過監(jiān)測和限制跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)、信

11、息和運(yùn)行情況。,2. 防火墻的主要類型 1）包過濾防火墻：在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行分析、選擇和過濾。通過系統(tǒng)內(nèi)設(shè)置的訪問控制表，指定允許哪些類型的數(shù)據(jù)包可以流入或流出內(nèi)部網(wǎng)絡(luò)。一般可以直接集成在路由器上，在進(jìn)行路由選擇的同時(shí)完成數(shù)據(jù)包的選擇與過濾。 特點(diǎn)：速度快、邏輯簡單、成本低、易于安裝和使用，但配置困難，容易出現(xiàn)漏洞。 2）應(yīng)用代理防火墻：防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的連接由兩個(gè)代理服務(wù)器的連接來實(shí)現(xiàn)，使得網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)不直接與外部的計(jì)算機(jī)通信，同時(shí)網(wǎng)絡(luò)外部計(jì)算機(jī)也只能訪問到代理服務(wù)器，從而起到隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。但執(zhí)行速度慢，操作系統(tǒng)容易遭到攻擊。,3）狀態(tài)檢測防火墻：在網(wǎng)絡(luò)層

12、由一個(gè)檢查引擎截獲數(shù)據(jù)包并抽取出與應(yīng)用層狀態(tài)有關(guān)的信息，并以此作為依據(jù)決定對該數(shù)據(jù)包是接受還是拒絕。狀態(tài)檢測防火墻克服了包過濾防火墻和應(yīng)用代理防火墻的局限性，能夠根據(jù)協(xié)議、端口及IP數(shù)據(jù)包的源地址、目的地址的具體情況來決定數(shù)據(jù)包是否可以通過。 3. 常見的防火墻 Windows 防火墻,這是windows xp操作系統(tǒng)自帶的防火墻,可以限制從其他計(jì)算機(jī)上發(fā)送來的信息，更好地控制自己計(jì)算機(jī)上的數(shù)據(jù)，這樣就對那些未經(jīng)允許而嘗試連接的用戶或程序（包括病毒和蠕蟲）提供了一道屏障。,天網(wǎng)個(gè)人防火墻,屬于包過濾類型防火墻，根據(jù)系統(tǒng)預(yù)先設(shè)定的過濾規(guī)則以及用戶自己設(shè)置的過濾規(guī)則來對網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng)情況進(jìn)行分析、

13、監(jiān)控和管理，能夠有效地提高計(jì)算機(jī)的抗攻擊能力。 瑞星企業(yè)級防火墻RFW-100, 一種混合型防火墻，集狀態(tài)包過濾、應(yīng)用層專用代理、敏感信息的加密傳輸和詳盡靈活的日志審計(jì)等多種安全技術(shù)于一身，可根據(jù)用戶的不同需求，提供強(qiáng)大的訪問控制、信息過濾、代理服務(wù)和流量統(tǒng)計(jì)等功能。,8.3 計(jì)算機(jī)安全概述,1計(jì)算機(jī)安全的定義 實(shí)體安全：計(jì)算機(jī)硬件系統(tǒng)及其附屬設(shè)備的安全 軟件安全：防止軟件的非法復(fù)制等 數(shù)據(jù)安全：計(jì)算機(jī)安全的核心 運(yùn)行安全：強(qiáng)調(diào)管理機(jī)構(gòu)、制度和工作人員 一切影響計(jì)算機(jī)安全的因素和保障計(jì)算機(jī)安全的措施都是計(jì)算機(jī)安全所研究的內(nèi)容,2. 計(jì)算機(jī)網(wǎng)絡(luò)信息安全 Internet所使用的TCP/IP協(xié)議是

14、一個(gè)基于相互信任環(huán)境下的協(xié)議體系，它的IP層沒有安全認(rèn)證和保密機(jī)制(只基于IP地址進(jìn)行數(shù)據(jù)包的尋址，無認(rèn)證和保密)。在傳輸層，TCP連接能被欺騙、截取、操縱。 黑客攻擊：網(wǎng)絡(luò)的開放性使得遠(yuǎn)程攻擊成為可能。,3網(wǎng)絡(luò)信息安全的技術(shù)對策 信息加密：現(xiàn)代密碼算法不僅可以實(shí)現(xiàn)加密，還可以實(shí)現(xiàn)數(shù)字簽名、鑒別等功能，有效地對抗截收、非法訪問、破壞信息的完整性、冒充、抵賴、重演等威脅，因此，密碼技術(shù)是信息網(wǎng)絡(luò)安全的核心技術(shù)。,3網(wǎng)絡(luò)信息安全的技術(shù)對策 數(shù)字簽名：數(shù)字簽名采用一種數(shù)據(jù)交換協(xié)議，接受方能夠鑒別發(fā)送方所宣稱的身份；發(fā)送方以后不能否認(rèn)他發(fā)送過數(shù)據(jù)這一事實(shí)。數(shù)據(jù)簽名一般采用不對稱加密技術(shù)，發(fā)送方對整個(gè)明

15、文進(jìn)行加密變換，得到一個(gè)值，將其作為簽名。接收者使用發(fā)送者的公開密鑰對簽名進(jìn)行解密運(yùn)算，如其結(jié)果為明文，則簽名有效，證明對方身份是真實(shí)的。,3網(wǎng)絡(luò)信息安全的技術(shù)對策 身份鑒別：身份鑒別和消息內(nèi)容鑒別。數(shù)字簽名是較好的鑒別方法 訪問控制：基于源地址和目標(biāo)地址的過濾管理、網(wǎng)絡(luò)簽證技術(shù)等 防火墻：過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止行為；記錄通過防火墻的信息內(nèi)容和活動(dòng)；對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警。,8.4 計(jì)算機(jī)知識產(chǎn)權(quán)與網(wǎng)絡(luò)道德,1. 國家有關(guān)計(jì)算機(jī)安全的法律法規(guī) 1994年2月18日出臺的中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例。 1996年1月29日公安部制定的關(guān)于對與國際互聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)進(jìn)行備案工作的通知。 1996年2月1日出臺中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)管理暫行辦法。 1