《計算機組裝與維護》高職課件項目11

1、項目11計算機病毒與黑客防范項目目標1、掌握計算機病毒的定義、特征；2、了解病毒的傳播途徑、類型；3、了解計算機病毒表現(xiàn)現(xiàn)象；4、了解木馬原理和查殺方法；5、了解黑客和黑客程序；6、了解計算機病毒與黑客的防范基本方法；任務11.1病毒與黑客常識講解11.1.1計算機病毒的認知與防護本節(jié)主要講述的是計算機病毒的認識與防治，其中也有對計算機病毒的概念，計算機病毒的分類以及計算機感染病毒后的常見特征等內(nèi)容的描述。認識和防治計算機病毒，程序可以說是計算機的心臟，而計算機病毒又是計算機系統(tǒng)的克星，計算機一旦感染上病毒后，輕則占用計算機存儲空間，重則破壞計算機系統(tǒng)資源，造成死機甚至整個計算機系統(tǒng)癱瘓。1計

2、算機病毒的概念隨著微型計算機的普及和深入，計算機病毒的危害越來越大。尤其是計算機網(wǎng)絡的發(fā)展與普遍應用，使防范計算機網(wǎng)絡病毒，保證網(wǎng)絡正常運行成為一個非常重要而緊迫的任務。那么，何謂計算機病毒呢?計算機病毒在中華人民共和國計算機信息系統(tǒng)安全保護條例中被明確定義為：“指編制或者在計算機程序中插入的，破壞計算機功能或者破壞數(shù)據(jù)、影響計算機使用，并能自我復制的一組計算機指令或者程序代碼”。計算機病毒的傳染模塊是計算機病毒由一個系統(tǒng)擴散到另一個系統(tǒng)，由一個網(wǎng)絡傳入另一個網(wǎng)絡，由一張軟盤傳入另一張軟盤，由一個系統(tǒng)傳入一張軟盤的惟一途徑。計算機病毒的傳染模塊擔負著計算機病毒的擴散任務，是判斷一個程序是否是計

3、算機病毒的首要條件。傳染模塊一般包括兩部分內(nèi)容：一是計算機病毒的傳染條件判斷部分；二是計算機病毒的傳染部分，這一部分負責將計算機病毒的全部代碼鏈接到攻擊目錄上。表現(xiàn)或破壞部分又可分為表現(xiàn)及破壞條件判斷段和表現(xiàn)及破壞段。2計算機病毒的分類按照計算機病毒的特點及特性，計算機病毒的分類方法有許多種。因此，同一種病毒可能有多種不同的分法。最常見的分類方法是按照寄生方式和傳染途徑分類。計算機病毒按其寄生方式大致可分為兩類，一是引導型病毒，二是文件型病毒?；旌闲筒《炯瘍煞N病毒特性于一體。引導型病毒會去改寫(即一般所說的“感染”)磁盤上的引導扇區(qū)(BOOT SECTOR)的內(nèi)容，軟盤或硬盤都有可能感染病毒，

4、或者改寫硬盤上的分區(qū)表。如果用已感染病毒的軟盤來啟動的話，則會感染硬盤。文件型病毒主要以感染文件擴展名為 .COM、.EXE和.OVL等可執(zhí)行程序為主。它的駐留必須借助于病毒的載體程序，即要運行病毒的載體程序，才能把文件型病毒引人內(nèi)存。已感染病毒的文件執(zhí)行速度會減緩，甚至完全無法執(zhí)行。有些文件遭感染后，一執(zhí)行就會被刪除?；旌闲筒《揪C合系統(tǒng)型和文件型病毒的特性，它的“性情”也就比系統(tǒng)型和文件型病毒更為“兇殘”。此種病毒通過這兩種方式來感染，更增加了病毒的傳染性以及存活率。不管以哪種方式傳染，只要中毒就會經(jīng)開機或執(zhí)行程序而感染其他的磁盤或文件，此種病毒也是最難殺滅的。3計算機感染病毒后的常見特征計

5、算機病毒主要是靠復制自身來進行傳染的，一旦計算機染上病毒或病毒在傳播過程中，總會露出一些蛛絲馬跡。如果計算機在運行過程中有異常情況，就有可能已經(jīng)染上病毒。下面一些現(xiàn)象可以作為檢測病毒的參考：程序運行速度減慢；文件尺寸異常增加；出現(xiàn)新的奇怪的文件；可以使用的內(nèi)存總數(shù)降低；出現(xiàn)奇怪的屏幕顯示和聲音效果；打印出現(xiàn)問題；異常要求用戶輸入口令；系統(tǒng)不認識磁盤或硬盤不能引導系統(tǒng)等；死機現(xiàn)象增多。4預防與防止病毒侵害的措施計算機病毒具有很大的危害性，如果等到發(fā)現(xiàn)病毒時再采取措施，可能已造成重大損失。作好防范工作非常重要，防范計算機病毒主要可采取以下措施：給計算機加防病毒卡；定期使用最新版本殺病毒軟件對計算機

6、進行檢查；對硬盤上重要文件，要經(jīng)常進行備份保存；不隨便使用沒有經(jīng)過安全檢查的軟件；系統(tǒng)盤或其他應用程序盤要加上寫保護或做備份；經(jīng)常檢查系統(tǒng)內(nèi)存，如內(nèi)存減少，則有可能是病毒作怪；嚴禁其他人使用計算機，特別是在計算機上玩游戲。5使用殺毒軟件防范與查殺病毒病毒清除最常用的辦法是用殺病毒軟件，如金山毒霸、KVW3000殺毒軟件、諾頓殺毒等。 11 .1.2網(wǎng)絡黑客的認識與防范什么是黑客？談到網(wǎng)絡安全問題，就沒法不談黑客（Hacker）。翻開1998年日本出版的新黑客字典，可以看到上面對黑客的定義是：“喜歡探索軟件程序奧秘、并從中增長其個人才干的人?！昂诳汀贝蠖际浅绦騿T，他們對于操作系統(tǒng)和編程語言有著深

7、刻的認識，樂于探索操作系統(tǒng)的奧秘且善于通過探索了解系統(tǒng)中的漏洞及其原因所在，他們恪守這樣一條準則:“Never damage any system”(永不破壞任何系統(tǒng))。顯然，“黑客”一詞原來并沒有絲毫的貶義成分。直到后來，少數(shù)懷著不良的企圖，利用非法手段獲得的系統(tǒng)訪問權去闖入遠程機器系統(tǒng)、破壞重要數(shù)據(jù)，或為了自己的私利而制造麻煩的具有惡意行為特征的人（他們其實是“Crack”）慢慢玷污了“黑客”的名聲，“黑客”才逐漸演變成入侵者、破壞者的代名詞。“他們瞄準一臺計算機，對它進行控制，然后毀壞它。”這是1995年美國拍攝第一部有關黑客的電影戰(zhàn)爭游戲中，對“黑客”概念的描述。 黑客通?？梢苑譃橐韵?/p>

8、幾種類型： 1好奇型 2惡作劇型 3隱密型 4定時炸彈型 5. 重磅炸彈型 黑客有什么樣的危害？ 1990年4月1991年5月間，幾名荷蘭黑客自由進出美國國防部的34個站點如入無人之境，調(diào)出了所有包含“武器”、“導彈”等關鍵詞的信息。嚴重的是，而美國國防部當時竟一無所知。 在1991年的海灣戰(zhàn)爭中，美國首次將信息戰(zhàn)用于實戰(zhàn)，但黑客很快就攻擊了美國軍方的網(wǎng)絡系統(tǒng)。同時。黑客們將竊取到的部分美軍機密文件提供給了伊拉克。 1996年9月18日，美國中央情報局的網(wǎng)頁被一名黑客破壞，“中央情報局”被篡改成“中央愚蠢局” 。二、黑客常用的攻擊手段 在高速運行的Internet上，除了機器設備、通訊線路等硬

9、件設施本身的可靠性問題之外，可以說每時每刻都受到潛在人為攻擊的威脅，而這種攻擊一旦成功，小則文件受損、商業(yè)機密泄漏，大至威脅國家安全。以下就是黑客通常都采用幾種攻擊手段：后門、炸彈攻擊、拒絕服務攻擊等。 什么是后門程序？ 當一個訓練有素的程序員設計一個功能較復雜的軟件時，都習慣于先將整個軟件分割為若干模塊，然后再對各模塊單獨設計、調(diào)試，而后門則是一個模塊的秘密入口。在程序開發(fā)期間，后門的存在是為了便于測試、更改和增強模塊的功能。當然，程序員一般不會把后門記入軟件的說明文檔，因此用戶通常無法了解后門的存在。 按照正常操作程序，在軟件交付用戶之前，程序員應該去掉軟件模塊中的后門，但是，由于程序員的

10、疏忽，或者故意將其留在程序中以便日后可以對此程序進行隱蔽的訪問，方便測試或維護已完成的程序等種種原因，實際上并未去掉。 炸彈攻擊的原理是什么？ 炸彈攻擊的基本原理是利用特殊工具軟件，在短時間內(nèi)向目標機集中發(fā)送大量超出系統(tǒng)接收范圍的信息或者好東西信息，目的在于使對方目標機出現(xiàn)超負荷、網(wǎng)絡堵塞等狀況，從而造成目標的系統(tǒng)崩潰及拒絕服務。常見的炸彈攻擊有郵件炸彈、邏輯炸彈、聊天室炸彈、特洛伊木馬、網(wǎng)絡監(jiān)聽等。 什么是郵件炸彈？ 郵件炸彈攻擊是各種炸彈攻擊中最常見的攻擊手段。現(xiàn)在網(wǎng)上的郵件炸彈程序很多，雖然它們的安全性不盡相同，但基本上都能保證攻擊者的不被發(fā)現(xiàn)。任何一個剛上網(wǎng)的新手利用現(xiàn)成郵件炸彈工具程

11、序，要實現(xiàn)這種攻擊都是易如反掌的。 什么是邏輯炸彈？ 邏輯炸彈是指對計算機程序進行修改，使之在某種特定條件下觸發(fā)，按某種特殊的方式運行。在不具備觸發(fā)條件的情況下，邏輯炸彈深藏不露，系統(tǒng)運行情況良好，用戶也感覺不到異常之處。但是，觸發(fā)條件一旦被滿足，邏輯炸彈就會“爆炸”。雖然它不能炸毀你的機器，但是可以嚴重破壞你的計算機里存儲的重要數(shù)據(jù)，導致凝聚了你心血的研究、設計成果毀于一旦，或者自動生產(chǎn)線的癱瘓等嚴重后果。什么是聊天室炸彈？ 在聊天室里也相對容易受到炸彈攻擊，不過還好，并不是所有的聊天室都支持炸彈，一般的聊天室炸彈有兩種，一種是使用javascript編就的，只有在支持javascript的

12、聊天室才可以使用它；另外一種炸彈是基于IP原理的，使用時需要知道對方的IP地址或者主機支持擴展郵件的標準。如果主機是Unix的，且支持擴展郵件標準，那么可以使用flash之類的軟件去襲擊他們，如果知道對方的IP地址，事情就更簡單了，使對方的系統(tǒng)過載的軟件簡直不勝枚舉。此外，還有瀏覽器炸彈和留言本炸彈等。當觸發(fā)瀏覽器炸彈的時候，系統(tǒng)會打開無數(shù)的窗口，直到耗盡計算機的資源導致死機為止（也稱“窗口炸彈”）。 什么是拒絕服務攻擊？ 拒絕服務就是用超出被攻擊目標處理能力的海量數(shù)據(jù)包消耗可用系統(tǒng)，帶寬資源，致使網(wǎng)絡服務癱瘓的一種攻擊手段。它的攻擊原理是這樣的：攻擊者首先通過比較常規(guī)的黑客手段侵入并控制某個

13、網(wǎng)站之后，在該網(wǎng)站的服務器上安裝并啟動一個可由攻擊者發(fā)出的特殊指令來進行控制的進程。當攻擊者把攻擊對象的IP地址作為指令下達給這些進程的時候，這些進程就開始對目標主機發(fā)起攻擊。這種方式集中了成百上千臺服務器的帶寬能力，對某個特定目標實施攻擊，所以威力驚人，在這種懸殊的帶寬對比下，被攻擊目標的剩余帶寬會迅速耗盡，從而導致服務器的癱瘓。拒絕服務攻擊工具Trin00有何特點？ Trin00是一個基于UDP flood的比較成熟攻擊軟件，運行環(huán)境為Unix或NT。 它通過向被攻擊目標主機的隨機端口發(fā)送超出其處理能力的UDP包， 致使被攻擊主機的帶寬被大量消耗，直至不能提供正常服務甚至崩潰。 你以為自己

14、的密碼很安全嗎？ 只要我們需要上網(wǎng)沖浪，那么就少不了一系列的密碼：撥號上網(wǎng)需要密碼，收取電子郵件需要密碼，進入免費電子信箱要密碼、進入網(wǎng)絡社區(qū)也要密碼，使用ICQ、OICQ還是離不開密碼.眾所周知，在Win9X下，我們的用戶密碼通常被保存為*.pwl文件。而*.pwl文件就安全了嗎？不！在網(wǎng)上就可以找到不少可以直接讀取*.pwl文件的小工具。另外，拿用于撥號上網(wǎng)的應用軟件來說，我們輸入的密碼雖然顯示為“*”號，但也同樣有許多工具（比如PwdView）可以看到用“*”號后面隱藏的秘密。再比如說，當黑客通過某種手段知道了你上傳網(wǎng)頁的FTP密碼以后，就可以很輕易地黑掉你的主頁。所以說，通常我們密碼的

15、安全性并沒有我們想象的那么高。 通常不很安全的密碼主要有以下幾種： 第一類：使用用戶名/帳號作為密碼。雖然這種密碼很方便記憶，可是其安全幾乎為0。因為幾乎所有以破解密碼為手段的黑客軟件，都首先會將用戶名作為破解密碼的突破口，而破解這種密碼的速度極快，這就等于為黑客的入侵提供了敞開著的大門。 第二類：使用用戶名/帳號的變換形式作為密碼。 將用戶名顛倒或者加前后綴作為密碼，雖然容易記憶又可以使一部分初級黑客軟件一籌莫展。但是，現(xiàn)在已經(jīng)有專門對付這類密碼的黑客軟件了。 第三類：使用紀念日作為密碼。這種純數(shù)字的密碼破解起來幾乎沒有什么難度可言。 第四類：使用常用的英文單詞作為密碼。尤其是如果選用的單詞

16、是十分偏僻的，那么這種方法遠比前幾種方法都要安全。但是，對于有較大的字典庫的黑客來說，破解它也并不那么太困難。 第五類：使用5位或5位以下的字符作為密碼。5位的密碼是很不可靠的，而6位密碼也不過將破解的時間延長到一周左右。 黑客破解密碼的窮舉法是怎么回事？ 窮舉法對于純數(shù)字密碼（比如以出生日期或者電話號碼作為密碼）有很好的破解效果，但是包含字母的密碼不適合這種方式。窮舉法的原理逐一嘗試數(shù)字密碼的所有排列組合，雖然效率最低，但很可靠，所以又有暴力法破解之稱。純數(shù)字密碼是很不可靠的，為什么呢？ 因為即使是完全窮舉，6位數(shù)字密碼的極限也只有100萬種。 如果使用密碼破解工具NoPassword，在網(wǎng)

17、絡暢通的情況下不出一天即可窮舉完畢。而即使是使用8位純數(shù)字密碼，只要破解時間稍長，也難保安全。黑客破解密碼的字典法是怎么回事？ 字典法的工作原理是這樣的：由于網(wǎng)絡用戶通常采用某些英文單詞或者自己姓名的縮寫作為密碼，所以就先建立一個包含巨量英語詞匯和短語、短句的可能的密碼詞匯字典（也稱“字典檔”），然后使用破解軟件去一一嘗試，如此循環(huán)往復，直到找出正確的密碼，或者將密碼詞匯字典里的所有單詞試完一遍為止。這種破解密碼方法的效率遠高于窮舉法，因此大多數(shù)密碼破解軟件都支持這種破解方法。黑客破解密碼的猜測法是怎么回事？ 猜測法依靠的是經(jīng)驗和對目標用戶的熟悉程度?，F(xiàn)實生活中，很多人的密碼就是姓名漢語拼音的

18、縮寫和生日的簡單組合。甚至還有人用最危險的密碼與用戶名相同的密碼！這時候，猜測法擁有最高的效率。 什么是特洛伊木馬？ 特洛伊木馬是指一個程序表面上在執(zhí)行一個任務，實際上卻在執(zhí)行另一個任務。黑客的特洛伊木馬程序事先已經(jīng)以某種方式潛入你的機器，并在適當?shù)臅r候激活，潛伏在后臺監(jiān)視系統(tǒng)的運行，它同一般程序一樣，能實現(xiàn)任何軟件的任何功能。例如，拷貝、刪除文件、格式化硬盤、甚至發(fā)電子郵件。典型的特洛伊木馬是竊取別人在網(wǎng)絡上的帳號和口令，它有時在用戶合法的登錄前偽造一登錄現(xiàn)場，提示用戶輸入帳號和口令，然后將帳號和口令保存至一個文件中，顯示登錄錯誤，退出特洛伊木馬程序。用戶還以為自己輸錯了，再試一次時，已經(jīng)是

19、正常的登錄了，用戶也就不會有懷疑。其實，特洛伊木馬已完成了任務，躲到一邊去了。更為惡性的特洛伊木馬則會對系統(tǒng)進行全面破壞。 網(wǎng)絡監(jiān)聽是怎么回事？ 網(wǎng)絡監(jiān)聽工具本來是提供給管理員的一種監(jiān)視網(wǎng)絡的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡上傳輸?shù)男畔⒌墓芾砉ぞ摺．斝畔⒁悦魑牡男问皆诰W(wǎng)絡上傳輸時，將網(wǎng)絡接口設置在監(jiān)聽模式，便可以源源不斷地截獲網(wǎng)上傳輸?shù)男畔?。網(wǎng)絡監(jiān)聽可以在網(wǎng)上的任何一個位置實施，如局域網(wǎng)中的一臺主機、網(wǎng)關上或遠程網(wǎng)的調(diào)制解調(diào)器之間等。當黑客成功登錄一臺網(wǎng)絡上的主機并取得這臺主機的超級用戶權之后，若想嘗試登錄其它主機，那么使用網(wǎng)絡監(jiān)聽將是最快捷有效的方法，它常常能輕易獲得用其它方法很難獲得的信息。由于

20、它能有效地截獲網(wǎng)上的數(shù)據(jù)，因此也成了網(wǎng)上黑客使用得最多的方法。網(wǎng)絡監(jiān)聽有一個前提條件，那就是監(jiān)聽只能物理上的連接屬于同一網(wǎng)段的主機。因為不是同一網(wǎng)段的數(shù)據(jù)包，在網(wǎng)關就被濾掉，無法傳入該網(wǎng)段。 三、神秘的黑客工具 Internet上為數(shù)不少的黑客網(wǎng)站大都提供各種各樣的黑客軟件，下面就來了解其中的一些“典型”，并了解應對措施。 必須說明，安全防范與攻擊破解是相互依存的，我們初步了解黑客軟件的攻擊原理和手段，是為了更好地進行黑客防范，其中涉及的黑客手段切勿輕易嘗試，否則必將受到國家有關的網(wǎng)絡安全法規(guī)的懲處，一切后果由使用者自負。 任務11.2病毒的防范技能11.2.1安裝殺毒軟件病毒是六親不認的，不

21、論是誰都有可能“與毒共舞”，特別是服務器，遭遇病毒的可能性非常大。俗話說得好:“病來如山倒，病去如抽絲。”如果電腦感染了病毒，輕則軟件“發(fā)燒感冒”，重則連硬件都會遭受破壞。病毒讓電腦來個“一病不起”事兒已是屢見不鮮!安裝殺毒軟件是最好的病毒防范和清除措施，它可以讓計算機避免很多問題的產(chǎn)生。比方說，在服務器中上傳的網(wǎng)站程序如果含有木馬，則會立即被檢査出來并拒絕在服務器中扎根。目前優(yōu)秀的殺毒軟件有很多，本節(jié)就不做推薦了。說到這里要解釋兩個問題：第一個問題是：為什么殺毒軟件本身也會中毒？要解釋這個問題，要從三個方面說起：一是如果電腦中已經(jīng)感染了病毒，那么“自我保護”功能不強的殺毒軟件就會立即被感染。

22、二是殺毒軟件如果長期沒有進行病毒庠的更新，那么其對病毒的識別能力就會大大下降，一旦發(fā)生把“病毒當好人”的情況，自然不免就會中招；三是殺毒軟件主要是針對病毒進行設計的，它在防黑方面的功能往往還有所欠缺。如果黑客成功人侵了電腦，那么只需暫時停用殺毒軟件，就可以在系統(tǒng)中為所欲為了。第二個問題是：為什么安裝了殺毒軟件，電腦卻還會中毒？這個也要從幾個方面來解答。一是殺毒軟件如果“殺毒本領不強”，那么反被病毒所殺也就可以理解了。技術不行，又能奈何?連自身都不能保證安全的殺毒軟件，又如何能保護得了系統(tǒng)的安全?二是殺毒軟件如果長期不更新病毒庠的話，對新病毒就不能及時地識別出來，自然就會對新病毒的傳播“睜一只眼

23、閉一只眼了”。三是病毒如果“偽裝”技術太好，那么殺毒軟件也有可能被“蒙騙”。比方說，病毒將自身的源代碼進行加密處理、對自身進行加充處理、修改人門點防止殺毒軟件進行特征碼對比，等等。11.2.2安裝和設置防火墻防火墻是保護我們網(wǎng)絡的第一道屏障，如果這一道防線失守了，那么我們的網(wǎng)絡就危險了！所以我們有必要注意一下安裝防火墻的注意事項！防火墻位置如圖11-1所示。好了，了解了以上有關防火墻的知識，下面我們來具體安裝和使用防火墻。1、專業(yè)版防火墻的使用點擊下載免費和試用版“天網(wǎng)防火墻”。對防火墻進行適當?shù)脑O置，利用防火墻保護個人計算機以及內(nèi)部網(wǎng)絡。具體設置可以參考主界面上的“幫助文件”。（1）自定義安全規(guī)則點擊“自定義IP規(guī)則”按鈕，會彈出“IP規(guī)則”窗口。請檢索信息弄清每個IP規(guī)則項目的內(nèi)容和作用。黑名單管理攔截惡意網(wǎng)站、惡意網(wǎng)頁、惡意IP點擊“自定義IP規(guī)則”并“增加規(guī)則”。數(shù)據(jù)包方向設“接收或發(fā)送”，假設指定IP地址為“5”，滿足條件則“攔截”。 同樣步驟，分別將黑名單上的IP地址一一添加，最后不要忘記點擊“保存規(guī)則”。 白名單管理允許合法網(wǎng)站運行點擊“自定義IP規(guī)則”并“增加規(guī)則”， 假設對方IP地址選擇指定網(wǎng)絡