防病毒技術防火墻應用

1、-. z單元二 數(shù)據(jù)平安及病毒、木馬的防工程三防病毒技術與防火墻的應用教學目標1理解防病毒技術與防火墻概念及相關技術；2掌握利用系統(tǒng)功能實現(xiàn)病毒的防或去除的設置；3完成宏病毒、網(wǎng)頁病毒及CodeBue病毒的制作和防；4熟練掌握瑞星防火墻的正確使用與配置。教學要求1認真聽講，專心操作, 操作規(guī)， 認真記錄實驗過程，總結操作經(jīng)歷和寫好實驗報告，在實驗中培養(yǎng)嚴謹科學的實踐操作習慣；2遵守學校的實驗室紀律，注意人身和設備的平安操作，保護實驗設備、及時上繳作業(yè)；3教學環(huán)境： Windows 7以及Windows server2003/2021以上操作系統(tǒng)。知識要點1防病毒技術的概念、觸發(fā)機制、判定及檢測

2、病毒存在的方法、病毒防治的策略；2防火墻的概念、工作原理、功能、防火墻技術及實施方式。技術要點1掌握利用系統(tǒng)功能實現(xiàn)病毒的防或去除的設置；2完成宏病毒、網(wǎng)頁病毒及CodeBue病毒的制作和防；3熟練掌握瑞星防火墻的正確使用與配置。技能訓練一講授與示正確啟動計算機，在最后一個磁盤上建立以*為名的文件夾，從指定的共享文件夾中將“實習指導書和其他容復制到該文件夾中。(一)計算機病毒1計算機病毒定義計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。2計算機病毒觸發(fā)機制1時間觸發(fā) 包括特定的時間觸發(fā)、染毒后累計工作時間觸發(fā)、

3、文件寫入時間觸發(fā)等。2鍵盤觸發(fā) 包括擊鍵次數(shù)觸發(fā)、組合鍵觸發(fā)、熱啟動觸發(fā)等。3感染觸發(fā) 包括運行感染文件個數(shù)觸發(fā)、感染序數(shù)觸發(fā)等。4啟動觸發(fā) 將機器的啟動次數(shù)作為觸發(fā)條件。5磁盤次數(shù)觸發(fā) 將對磁盤的次數(shù)作為觸發(fā)條件。6調用中斷功能觸發(fā) 將中斷調用次數(shù)作為觸發(fā)條件。7CPU型號/主板型號觸發(fā) 以預定CPU型號/主板型號作為觸發(fā)條件。3病毒的隱藏之處1可執(zhí)行文件。2引導扇區(qū)。3表格和文檔。 4Java小程序和Active*控件。5壓縮文件、電子4判斷病毒的存在1經(jīng)常死機2系統(tǒng)無法啟動3文件打不開4經(jīng)常報告存不夠5提示硬盤空間不夠6光盤等設備未時出讀寫信號7出現(xiàn)大量來歷不明的文件8數(shù)據(jù)喪失9鍵盤或鼠

4、標無端地鎖死10)系統(tǒng)運行速度慢11)系統(tǒng)自動執(zhí)行操作5.計算機病毒的防治及檢測策略1建立、健全法律和管理制度 2加強培訓和宣傳 3采取更有效的技術措施 系統(tǒng)平安：使用開機檢測和掃描病毒應用程序或殺毒軟件，或者防病毒卡和防病毒芯片。軟件過濾 識別*一類特殊的病毒，防止它們進入系統(tǒng)和不斷復制，主要用于大中型計算機。文件加密利用數(shù)字簽名完成加密，將其附加在可執(zhí)行文件之后。生產(chǎn)過程控制 備份恢復 其他有效措施 a.重要的磁盤和重要的帶后綴.和.E*E的文件賦予只讀功能，防止病毒寫到磁盤上或可執(zhí)行文件中，或注意文件的長度；b.消滅傳染源；c.建立程序的特征值檔案；d.嚴格存管理，進展存檢查低端存為64

5、0KB，存標準655360B；e.嚴格中斷向量的管理；g.強化物理控制措施；f.一旦發(fā)現(xiàn)病毒蔓延，要采用可靠的殺毒軟件和請有經(jīng)歷的專家處理，必要時需報告計算機平安監(jiān)察部門，特別要注意不要使其繼續(xù)擴散。4網(wǎng)絡計算機病毒的防治 在網(wǎng)絡中，盡量多用無盤工作；在網(wǎng)絡中，要保證系統(tǒng)管理員有最高權限，防止過多的超級用戶；對非共享軟件，將其執(zhí)行文件和覆蓋文件如*.、*.E*E、*.OVL等備份到文件效勞器，定期從效勞器上拷貝到本地硬盤上進展重寫操作；接收遠程文件輸入時，一定不要將文件直接寫入本地硬盤，而應將遠程輸入文件寫到工作站上，然后對其進展查毒，確認無毒后再拷貝到本地硬盤上；工作站采用防病毒芯片，這樣可

6、防止引導型病毒；正確設置文件屬性，合理規(guī)用戶的權限；建立健全的網(wǎng)絡系統(tǒng)平安管理制度，嚴格操作規(guī)程和規(guī)章制度，定期作文件備份和病毒檢測；目前預防病毒最好的方法就是在計算機中安裝防病毒軟件，這和人體注射疫苗是同樣的道理。采用優(yōu)秀的網(wǎng)絡防病毒軟件，如LAN Protect和LAN Clear for NetWare等；為解決網(wǎng)絡防病毒的要求，已出現(xiàn)了病毒防火墻，在局域網(wǎng)與Internet，用戶與網(wǎng)絡之間進展隔離。5采用檢測病毒方法校驗和法 將正常文件的容，計算其校驗和，將該校驗和寫入文件中或寫入別的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現(xiàn)在容算出的校驗和與原來保存的校驗和是否

7、一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗和法，它既可發(fā)現(xiàn)病毒又可發(fā)現(xiàn)未知病毒；優(yōu)點：方法簡單能發(fā)現(xiàn)未知病毒、被查文件的細微變化也能發(fā)現(xiàn)；缺點：發(fā)布通行記錄正常態(tài)的校驗和、會誤報警、不能識別病毒名稱、不能對付隱蔽型病毒； 行為監(jiān)測法利用病毒的特有行為特征性來監(jiān)測病毒的方法，行為特征如下：A.占有INT 13H所有的引導型病毒，都攻擊Boot扇區(qū)或主引導扇區(qū)。系統(tǒng)啟動時，當Boot扇區(qū)或主引導扇區(qū)獲得執(zhí)行權時，系統(tǒng)剛剛開工。一般引導型病毒都會占用INT 13H功能，因為其他系統(tǒng)功能未設置好，無法利用。引導型病毒占據(jù)INT 13H功能，在其中放置病毒所需的代碼。B.改系統(tǒng)的數(shù)據(jù)區(qū)的存總量 病毒

8、常駐存后，為了防止系統(tǒng)將其覆蓋，必須修改系統(tǒng)存總量。C.對、E*E文件做寫入動作病毒要感染，必須寫、E*E文件。D.病毒程序與宿主程序的切換 染毒程序運行中，先運行病毒，而后執(zhí)行宿主程序。在兩者切換時，有許多特征行為。長處：可發(fā)現(xiàn)未知病毒、可相當準確地預報未知的多數(shù)病毒。行為監(jiān)測法短處：可能誤報警、不能識別病毒名稱、實現(xiàn)時有一定難度。 移植檢查法利用編碼技術,在可執(zhí)行程序前添加一段自我檢查程序，如果發(fā)現(xiàn)中毒，則主動修復。特點：不認病毒，無需經(jīng)常更新，不用備份缺點：移植加載檢查段前，必須確定無毒增加可執(zhí)行文件長度，減少可用空間，加長運行時間病毒代碼比擬法病毒碼庫10 11 01 11 00 11

9、 11 00 00 01 11 10 11 01 01100110001110101010011101110111.染毒程序特點：速度慢，誤報警率低缺點：不能檢查多態(tài)性病毒，不能對付隱藏性病毒軟件模擬法：主要針對多態(tài)性病毒：該工具開場運行時，使用特征代碼法檢測病毒，如發(fā)現(xiàn)隱蔽病毒或多態(tài)性病毒嫌疑時，啟動軟件模擬模塊，監(jiān)視病毒的運行，待病毒自身的密碼譯碼以后，再運用特征代碼法識別其種類。先知掃描法VICE：是軟件模擬后的一大技術突破：可以建立一個保護模式下的DOS虛擬機器，模擬CPU動作并假執(zhí)行程序以解開變體引擎病毒，則應用類似的技術也可以用來分析一般程序檢查可疑的病毒碼實時I/O掃描：目的：用

10、于即時對數(shù)據(jù)輸入/輸出動作做病毒碼比照，希望在病毒尚未被執(zhí)行前，能防堵下來。特點：文件傳入就進展一次掃描缺點：影響數(shù)據(jù)的輸入輸出6病毒去除不掉的因素問題：病毒去除不掉的原因(二)防火墻技術1防火墻的定義防火墻是指設置在不同網(wǎng)絡如可信任的企業(yè)部網(wǎng)和不可信的公共網(wǎng)或網(wǎng)絡平安域之間，并對經(jīng)過它的網(wǎng)絡流量進展檢查的一系列部件的組合。防火墻實質上是一種隔離控制技術，其核心思想是在不平安的網(wǎng)絡環(huán)境下構造一種相對平安的部網(wǎng)絡環(huán)境。2防火墻的工作原理防火墻是一種控制技術，位于可信和不可信網(wǎng)絡之間，通過設置一系列平安規(guī)則對兩個網(wǎng)絡之間的通信進展控制，檢測交換信息，防止對重要信息資源的非法存取和，以到達保護系統(tǒng)的

11、目的。3防火墻的功能防火墻由于處于網(wǎng)絡邊界的特殊位置，因而被設計集成了非常多的平安防護功能和網(wǎng)絡連接收理功能。1控制功能2防止外部攻擊功能3NAT地址轉換功能4日志與報警功能5身份認證功能4防火墻的實現(xiàn)技術1過濾技術2應用代理技術3狀態(tài)檢測技術5防火墻的實施方式1基于網(wǎng)絡主機的防火墻 一種是以現(xiàn)有的平臺為根底，防火墻作為一個在商業(yè)操作系統(tǒng)上運行的應用程序。另一種是將防火墻整合成操作系統(tǒng)的一局部，這些系統(tǒng)通常并不具有商業(yè)操作系統(tǒng)的全部功能，其中所有防火墻不需要的功能都被刪除了。 2基于路由器的防火墻 基于路由器的防火墻設備有很強的包過濾功能，而且使用方便。在一些優(yōu)化了的防火墻和路由器的體系構造中

12、，路由器只執(zhí)行簡單的包檢查功能，防火墻則對能夠通過路由器的數(shù)據(jù)包進展檢查。 3基于單個主機的防火墻 基于單個主機的防火墻通常是安裝在單個系統(tǒng)上的一種軟件，只保護本系統(tǒng)不受侵害。 4硬件防火墻硬件防火墻是一種軟硬件相結合的設備，是出于優(yōu)化防火墻功能的目的而特意設計的，它對到達的網(wǎng)絡流量進展檢測以便決定是否轉發(fā)該流量。 (三)常見防病毒技術的使用任務1 利用系統(tǒng)功能實現(xiàn)病毒防或去除步聚：1利用系統(tǒng)功能對病毒防或去除1利用BIOS設置防毒方法：開機按Del或F2進入主界面BIOS FEATURES SETUPAuti-Virus Protection項設置為“EnABLED開啟防病功能按F10再回車

13、。2根據(jù)進程名查殺病毒 說明：主要針對有些很頑固性病毒不能完畢掉其進程來去除方法：在“任務管理器找到病毒進程名開場運行taskkill /im 進程名。3根據(jù)進程號查殺病毒方法：開場運行tasklist列出了所在進程的進程號PID。 開場運行 ntsd c q p PID，可強行殺死病毒4巧用故障恢復控制臺刪除病毒方法：用*P安裝光盤啟動電腦，在安裝界面中按“R鍵選擇修復安裝，進入控制臺，在命令提示符下運行“del c:路徑 病毒名，即可刪除病毒。5清理U盤病毒autorun方法：資源管理器工具文件夾選項查看高級設置顯示所有文件和文件夾。翻開U盤圖標，找到autorun并翻開，刪除其相關聯(lián)的病

14、毒文件。6去除“WAY木馬方法：翻開任務管理器，完畢CWAY進程，刪除注冊表啟動項中的WAY鍵值項；在“文件夾選項對話框中取消“隱藏受保護的操作系統(tǒng)文件；進入C:WINDOWSsystem目錄，找到msgsvc.e*e并刪除。7設置Temp文件夾的權限防止病毒放侵要求：去掉Temp文件夾的文件的文件運行權限，防止木馬運行方法：NTFSTMEP屬性平安點擊登錄用戶(administrator) 高級查看/編輯遍歷文件夾/文件運行勾取“拒絕2下載“補丁防或去除病毒1給電腦打上“魔波補丁方法：下載補丁(.microsoft./china/technet/security/bulletin/MS06-

15、040.msp*),安裝重啟計算機即可。2利用專殺工具查殺“熊貓燒香病毒 方法：下載補丁(it.rising./channels/service/inde*.html)，運行下載的NimayaKiller.scr，然后在其主界面單擊殺毒按鈕即可進展查殺。3去除“威金蠕蟲病毒 方法：下載“威金病毒專殺工具查殺機器中的病毒，下載補丁(it.rising./channels/service/2006-071153119832d22607.shtml) ，運行該工具，然后在其主界面單擊殺毒按鈕即可進展查殺。4解除IE的分級審查口令方法：進入注冊表，找到HKEY_LOCAL_MACHINESoftwar

16、eMicrosoftWindowsCurrentVersionpoliciesRatings，假設有一個名為key的主鍵，這是設置的分級審查口令，直接將它刪除即可。任務2 宏病毒、網(wǎng)頁病毒及CodeBue病毒的制作和防1工作原理 1宏病毒利用一些數(shù)據(jù)處理系統(tǒng)置宏編程指令的特性而形成的一種特殊病毒，主要依附于Word文件上的宏，利用Word的翻開或關閉進執(zhí)行部宏命令代碼，從而感染系統(tǒng)。2網(wǎng)頁病毒利用腳本開發(fā)語言將類似于VBScript代碼添加到HTML頁面中，編寫Web應用程序時實現(xiàn)系統(tǒng)功能的應用，同時也可利用此功能制作具有特定功能的網(wǎng)頁病毒。3Code Bule蠕蟲病毒“藍色代碼 病毒主要感染

17、Windows NT和Windows 2*效勞器，主要攻擊微軟inetinfo.e*e IIS效勞程序的漏洞，并植入名為SvcHost.e*e的黑客程序。該程序不斷生成新的線程，導致系統(tǒng)運行緩慢，甚至癱瘓。2宏病毒的制作與防1完整安裝Office的Word組件2Word窗口的菜單欄的“插入“對象“對象類型“包選項 “確定3在彈出的“對象包裝程序窗口中的“編輯“命令行“命令行對話框中輸入“C:Windowssystem32telnet.e*e。“對象包裝程序窗口中的“插入圖標 為該命令行選一個有誘惑力的圖標，并關閉該窗口，此時會在文檔的相關位置出現(xiàn)一個和相關命令關聯(lián)的圖標，并且可以在圖標旁邊添加

18、具有煽動性的文字。4寵病毒的去除與防使用殺毒軟件檢查Word安裝目錄下的Startup目錄文件和Normal.dot文件。翻開Word應用程序，但不雙擊word文檔，選擇“工具 宏 平安性 選擇“高或“非常高。3網(wǎng)頁病毒的制作與防1配置好IIS效勞器和Web效勞器2編輯代碼，利用記事本編輯test.asp代碼：3將該文件保存到Web效勞器的路徑中：Inetpubroottest.asp 。4啟動Web效勞器后，在IE瀏覽器中輸入“l(fā)ocalhost/test.asp，假設無語法錯誤則會在瀏覽器中出現(xiàn)信息“新建文件myfile，在D盤根目錄下建一個文件myfile。5網(wǎng)頁病毒的防使用“regsv

19、r32 scrrun.dll/u命令禁用文件系統(tǒng)對象“FileSystemObject自定義平安級別：Internet選項 “平安“自定義平安級別禁用“Active*控件及插件4CodeBlue病毒的防1文件查看病毒系統(tǒng)C盤根目錄，查看是否存在svchost.e*e和 e*t.dll。 (兩個文件是隱藏性)2注冊表編輯器regedit.e*e查看HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun是否存在“Domain Manager的字符串，其值為C:svchost.e*e 。3任務管理器查看菜單中的“查看“選擇列選擇“線程計

20、數(shù)確定通常有23個svchost.e*e的進程。查看svchost.e*e所用的線程是否超過100，CodeBlue的線程數(shù)一般為104或105。4刪除病毒文件完畢CodeBlue的svchost.e*e的對應的線程查看C:inetpubscripts是否存 e*t.dll。假設有則刪除，同時刪除C:svchost.e*e文件。假設這兩個文件刪除，可從其他計算機中復制相應的文件：C:winntsystem32svchost.e*e、C:winntsystem32inrtsrv e*t.dll。刪除c:inetpubscripts目錄下大小為46587或47009的 e*t.dll文件。刪除注冊

21、表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的以Domain Manage命名的鍵值。二課堂任務實踐任務3瑞星防火墻的使用與配置要求： 首頁、網(wǎng)絡平安功能模塊的配置家長控制功能模塊的策略設置：周一至周五00-19:30 21:30-24:00時段除可以下載外，其他都制止及其相關敏感詞，周六至周日00-12：00時段除可以下載外，其他根據(jù)實際情況進展設置防火墻規(guī)則：聯(lián)網(wǎng)程序規(guī)則、IP規(guī)則步驟：正確安裝瑞星防火墻；首頁、網(wǎng)絡平安功能模塊的配置及相關知識的認識； 家長控制功能模塊的策略設置； 查看本機上那些聯(lián)網(wǎng)程序規(guī)則可以制止；認識IP規(guī)則：“允許FTP數(shù)據(jù)、“允許BT下載、“制止Ping入以及“制止TCP135、445；設置IP規(guī)則防火墻規(guī)則 IP規(guī)則 增加 BT連