計算機系統(tǒng)安全顧平培訓資料

計算機系統(tǒng)安全顧平蘇州大學網(wǎng)絡中心9/27/2024內容提要計算機病毒簡介木馬及惡意軟件ARP病毒殺毒軟件和防火墻360安全衛(wèi)士系統(tǒng)備份其他問題9/27/2024計算機病毒的定義 指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。9/27/2024計算機病毒的產(chǎn)生 病毒不是來源于突發(fā)或偶然的原因．一次突發(fā)的停電和偶然的錯誤，會在計算機的磁盤和內存中產(chǎn)生一些亂碼和隨機指令，但這些代碼是無序和混亂的，病毒則是一種比較完美的，精巧嚴謹?shù)拇a，按照嚴格的秩序組織起來，與所在的系統(tǒng)網(wǎng)絡環(huán)境相適應和配合起來，病毒不會通過偶然形成?，F(xiàn)在流行的病毒是由人為故意編寫的，從大量的統(tǒng)計分析來看，病毒作者主要情況和目的是：一些天才的程序員為了表現(xiàn)自己和證明自己的能力，處于對上司的不滿，為了好奇，為了報復，為了得到控制口令，為了軟件拿不到報酬預留的陷阱等．當然也有因政治，軍事，宗教，民族．專利等方面的需求而專門編寫的．9/27/2024計算機病毒的特點寄生性計算機病毒寄生在其他程序之中，當執(zhí)行這個程序時，病毒就起破壞作用，而在未啟動這個程序之前，它是不易被人發(fā)覺的。傳染性計算機病毒不但本身具有破壞性，更有害的是具有傳染性。隱蔽性計算機病毒具有很強的隱蔽性，有的可以通過病毒軟件檢查出來，有的根本就查不出來，有的時隱時現(xiàn)、變化無常，這類病毒處理起來通常很困難。破壞性計算機中毒后，可能會導致正常的程序無法運行，把計算機內的文件刪除或受到不同程度的損壞；可觸發(fā)性病毒因某個事件或數(shù)值的出現(xiàn)，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性。為了隱蔽自己，病毒必須潛伏，少做動作。9/27/2024什么是木馬一種基于遠程控制的黑客工具，具有隱蔽性和非授權性的特點。所謂隱蔽性是指木馬的設計者為了防止木馬被發(fā)現(xiàn)，會采用多種手段隱藏木馬，這樣服務端即使發(fā)現(xiàn)感染了木馬，由于不能確定其具體位置，往往只能望“馬”興嘆。所謂非授權性是指一旦控制端與服務端連接后，控制端將享有服務端的大部分操作權限，包括修改文件，修改注冊表，控制鼠標，鍵盤等等，而這些權力并不是服務端賦予的，而是通過木馬程序竊取的。9/27/2024木馬的傳播方式木馬的傳播方式主要有兩種:一種是通過E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去,收信人只要打開附件系統(tǒng)就會感染木馬;另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運行這些程序，木馬就會自動安裝。9/27/2024木馬的偽裝方式修改圖標當你在E-MAIL的附件中看到這些圖標時,是否會認為這是個文本文件呢?但是我不得不告訴你,這也有可能是個木馬程序,現(xiàn)在已經(jīng)有木馬可以將木馬服務端程序的圖標改成HTML,TXT,ZIP等各種文件的圖標,這有相當大的迷惑性,但是目前提供這種功能的木馬還不多見,并且這種偽裝也不是無懈可擊的,所以不必整天提心吊膽,疑神疑鬼的。捆綁文件這種偽裝手段是將木馬捆綁到一個安裝程序上,當安裝程序運行時,木馬在用戶毫無察覺的情況下,偷偷的進入了系統(tǒng)。至于被捆綁的文件一般是可執(zhí)行文件(即EXE,COM一類的文件)。出錯顯示有一定木馬知識的人都知道,如果打開一個文件,沒有任何反應,這很可能就是個木馬程序,木馬的設計者也意識到了這個缺陷,所以已經(jīng)有木馬提供了一個叫做出錯顯示的功能。當服務端用戶打開木馬程序時,會彈出一個錯誤提示框(這當然是假的),錯誤內容可自由定義,大多會定制成一些諸如“文件已破壞，無法打開的！”之類的信息，當服務端用戶信以為真時,木馬卻悄悄侵入了系統(tǒng)。9/27/2024木馬的偽裝方式（續(xù)）定制端口很多老式的木馬端口都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的端口就知道感染了什么木馬,所以現(xiàn)在很多新式的木馬都加入了定制端口的功能,控制端用戶可以在1024---65535之間任選一個端口作為木馬端口(一般不選1024以下的端口)，這樣就給判斷所感染木馬類型帶來了麻煩。自我銷毀這項功能是為了彌補木馬的一個缺陷。我們知道當服務端用戶打開含有木馬的文件后，木馬會將自己拷貝到WINDOWS的系統(tǒng)文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下)，一般來說原木馬文件和系統(tǒng)文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那么中了木馬的朋友只要在近來收到的信件和下載的軟件中找到原木馬文件,然后根據(jù)原木馬的大小去系統(tǒng)文件夾找相同大小的文件,判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬后，原木馬文件將自動銷毀，這樣服務端用戶就很難找到木馬的來源，在沒有查殺木馬的工具幫助下，就很難刪除木馬了。木馬更名安裝到系統(tǒng)文件夾中的木馬的文件名一般是固定的，那么只要根據(jù)一些查殺木馬的文章,按圖索驥在系統(tǒng)文件夾查找特定的文件,就可以斷定中了什么木馬。所以現(xiàn)在有很多木馬都允許控制端用戶自由定制安裝后的木馬文件名，這樣很難判斷所感染的木馬類型了。9/27/2024什么是惡意軟件術語"惡意軟件"用作一個集合名詞，來指代故意在計算機系統(tǒng)上執(zhí)行惡意任務的病毒、蠕蟲和特洛伊木馬。網(wǎng)絡用戶在瀏覽一些惡意網(wǎng)站，或者從不安全的站點下載游戲或其它程序時，往往會連合惡意程序一并帶入自己的電腦，而用戶本人對此絲毫不知情。直到有惡意廣告不斷彈出或色情網(wǎng)站自動出現(xiàn)時，用戶才有可能發(fā)覺電腦已“中毒”。在惡意軟件未被發(fā)現(xiàn)的這段時間，用戶網(wǎng)上的所有敏感資料都有可能被盜走，比如銀行帳戶信息，信用卡密碼等。這些讓受害者的電腦不斷彈出色情網(wǎng)站或者是惡意廣告的程序就叫做惡意軟件，它們也叫做流氓軟件。9/27/2024惡意軟件的特征強制安裝：指未明確提示用戶或未經(jīng)用戶許可，在用戶計算機或其他終端上安裝軟件的行為。難以卸載：指未提供通用的卸載方式，或在不受其他軟件影響、人為破壞的情況下，卸載后仍然有活動程序的行為。瀏覽器劫持：指未經(jīng)用戶許可，修改用戶瀏覽器或其他相關設置，迫使用戶訪問特定網(wǎng)站或導致用戶無法正常上網(wǎng)的行為。廣告彈出：指未明確提示用戶或未經(jīng)用戶許可，利用安裝在用戶計算機或其他終端上的軟件彈出廣告的行為。惡意收集用戶信息：指未明確提示用戶或未經(jīng)用戶許可，惡意收集用戶信息的行為。惡意卸載：指未明確提示用戶、未經(jīng)用戶許可，或誤導、欺騙用戶卸載其他軟件的行為。惡意捆綁：指在軟件中捆綁已被認定為惡意軟件的行為。9/27/2024ARP欺騙此起彼伏的瞬間掉線或大面積的斷網(wǎng)大都是ARP欺騙在作怪。ARP欺騙攻擊已經(jīng)成了破壞局域網(wǎng)的罪魁禍首。路由器ARP表的欺騙——截獲網(wǎng)關數(shù)據(jù)。它通知路由器一系列錯誤的內網(wǎng)MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。對內網(wǎng)PC的網(wǎng)關欺騙——偽造網(wǎng)關。它的原理是建立假網(wǎng)關，讓被它欺騙的PC向假網(wǎng)關發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)了，“網(wǎng)絡掉線了”。9/27/2024ARP攻擊的影響ARP欺騙木馬只需成功感染一臺電腦，就可能導致整個局域網(wǎng)都無法上網(wǎng)，嚴重的甚至可能帶來整個網(wǎng)絡的癱瘓。該木馬發(fā)作時除了會導致同一局域網(wǎng)內的其他用戶上網(wǎng)出現(xiàn)時斷時續(xù)的現(xiàn)象外，還會竊取用戶密碼。如盜取QQ密碼、盜取各種網(wǎng)絡游戲密碼和賬號去做金錢交易，盜竊網(wǎng)上銀行賬號來做非法交易活動等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經(jīng)濟損失。9/27/2024殺毒軟件簡介也稱反病毒軟件，是用于消除電腦病毒、特洛伊木馬和惡意軟件的一類軟件。殺毒軟件通常集成監(jiān)控識別、病毒掃描和清除和自動升級等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復等功能。9/27/2024殺毒軟件原理殺毒軟件的任務是實時監(jiān)控和掃描磁盤。部分殺毒軟件通過在系統(tǒng)添加驅動程序的方式，進駐系統(tǒng)，并且隨操作系統(tǒng)啟動。大部分的殺毒軟件還具有防火墻功能。殺毒軟件的實時監(jiān)控方式因軟件而異。有的殺毒軟件，是通過在內存里劃分一部分空間，將電腦里流過內存的數(shù)據(jù)與殺毒軟件自身所帶的病毒庫（包含病毒定義）的特征碼相比較，以判斷是否為病毒。另一些殺毒軟件則在所劃分到的內存空間里面，虛擬執(zhí)行系統(tǒng)或用戶提交的程序，根據(jù)其行為或結果作出判斷。而掃描磁盤的方式，則和上面提到的實時監(jiān)控的第一種工作方式一樣，只是在這里，殺毒軟件將會將磁盤上所有的文件（或者用戶自定義的掃描范圍內的文件）做一次檢查。9/27/2024常用殺毒軟件卡巴斯基諾頓瑞星江民金山毒霸McAfee9/27/2024個人防火墻個人防火墻是防止您電腦中的信息被外部侵襲的一項技術，在您的系統(tǒng)中監(jiān)控、阻止任何未經(jīng)授權允許的數(shù)據(jù)進入或發(fā)出到互聯(lián)網(wǎng)及其他網(wǎng)絡系統(tǒng)。個人防火墻產(chǎn)品如諾頓、天網(wǎng)、BlackIceDefender、freeZoneAlarm等，都能幫助您對系統(tǒng)進行監(jiān)控及管理，防止特洛伊木馬、spy-ware等病毒程序通過網(wǎng)絡進入您的電腦或在您未知情況下向外部擴散。這些軟件都能夠獨立運行于整個系統(tǒng)中或針對對個別程序、項目，所以在使用時十分方便及實用。9/27/2024360安全衛(wèi)士360安全衛(wèi)士是一款由奇虎公司推出的完全免費的安全類上網(wǎng)輔助工具軟件,，它擁有查殺惡意軟件，插件管理，病毒查殺，診斷及修復,保護等數(shù)個強勁功能，同時還提供彈出插件免疫，清理使用痕跡以及系統(tǒng)還原等特定輔助功能。并且提供對系統(tǒng)的全面診斷報告，方便用戶及時定位問題所在，真正為每一位用戶提供全方位系統(tǒng)安全保護。9/27/2024360安全衛(wèi)士的功能攔截惡意釣魚網(wǎng)站，防網(wǎng)銀賬戶、游戲帳號、QQ帳號丟失全面查殺9000余款流行木馬,370款惡意軟件發(fā)布微軟官方漏洞信息、修復388個系統(tǒng)漏洞，有效防止惡意軟件通過漏洞傳播舉報惡意軟件，與數(shù)百萬