网络管理与信息安全精品文稿.ppt

《网络管理与信息安全精品文稿.ppt》由会员分享，可在线阅读，更多相关《网络管理与信息安全精品文稿.ppt（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络管理与信息安全网络管理与信息安全第1页，本讲稿共22页计算机病毒的历史计算机病毒的历史 1983年11月3日，弗雷德科恩（Fred Cohen）博士研制出一种在运行过程中可以复制自身的破坏性程序，伦艾德勒曼（Len Adleman）将它命名为计算机病毒（computer virus），并在每周一次的计算机安全讨论会上正式提出，8小时后专家们在VAX11/750计算机系统上运行，第一个病毒实验成功，一周后又获准进行5个实验的演示，从而在实验上验证了计算机病毒的存在。1986年初，巴基斯坦的巴锡特（Basit）和阿姆杰德（Amjad）两兄弟编写了Pakistan病毒（即Brain病毒），该病毒

2、在一年内流传到了世界各地。1988年11月2日，美国6000多台计算机被病毒感染，造成Internet不能正常运行 据瑞星公司的不完全统计，2004年国内共发现新病毒26025个，比2003年增加了20%。其中，木马13132个，后门程序6351个，蠕虫3154个，脚本病毒481个，宏病毒258个，其余类病毒2649个。由此可见，病毒的泛滥和危害已经到了十分危险的程度。第2页，本讲稿共22页8.5.1 病毒概述病毒概述1.病毒病毒(Virus)定义定义计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。一般地，我们所讲的

3、病毒包括特洛伊木马、病毒、细菌和蠕虫等等。特洛伊木马和病毒，它们不能脱离某些特定的的应用程序、应用工具或系统而独立存在；而细菌和蠕虫是完整的程序，操作系统可以调度和运行它们。而且除特洛伊木马外，其他三种形式的病毒都有能够复制。第3页，本讲稿共22页8.5.1 病毒概述病毒概述 2.病毒传染方式病毒传染方式病毒的传染途径有电磁波、有线电路、军用或民用设备或直接放毒等。具体传播介质有计算机网络、软硬磁盘和光盘等。根据传输过程中病毒是否被激活，病毒传染分为静态传染和动态传染。静态传染静态传染是指由于用户使用了是指由于用户使用了COPY、DISKCOPY等拷贝等拷贝命令或类似操作，一个病毒连同其载体文

4、件一起从一处被复制命令或类似操作，一个病毒连同其载体文件一起从一处被复制到另一处。而被复制后的病毒不会引起其他文件感染。到另一处。而被复制后的病毒不会引起其他文件感染。动态传染动态传染是指一个静态病毒被加载进入内存变为动态病毒是指一个静态病毒被加载进入内存变为动态病毒后，当其传染模块被激活所发生的传染操作，这是一种主动传后，当其传染模块被激活所发生的传染操作，这是一种主动传染方式。与动态传染相伴随的常常是病毒的发作染方式。与动态传染相伴随的常常是病毒的发作。第4页，本讲稿共22页病毒的生命周期病毒的生命周期隐隐藏藏阶阶段段：处处于于这这个个阶阶段段的的病病毒毒不不进进行行操操作作，而而是是等等

5、待待事事件件触触发发，触触发发事事件件包包括括时时间间、其其它它程程序序或或文文件件的的出出现现、磁磁盘盘容容量量超超过过某某个个限限度度等等。但但这这个个周周期期不不是是必必要的，有的病毒没有隐藏期，而是无条件地传播和感染。要的，有的病毒没有隐藏期，而是无条件地传播和感染。传传播播阶阶段段：在在这这一一阶阶段段的的病病毒毒会会把把自自身身的的一一个个副副本本传传播播到到未未感感染染这这种种病病毒毒的的程程序序或或磁磁盘盘的的某某个个扇扇区区中中去去。每每个个被被感感染染的的程程序序将将包包含含一一个个该该病病毒毒的的副副本本，并并且且这这些些副副本也可以向其它未感染的程序继续传播病毒的副本。

6、本也可以向其它未感染的程序继续传播病毒的副本。触触发发阶阶段段：这这个个阶阶段段病病毒毒将将被被激激活活去去执执行行病病毒毒设设计计者者预预先先设设计计好好的的功功能能。病病毒毒进进入入这这一一阶阶段段也也需需要要一一些些系系统统事事件件的的触触发发，比比如如：病病毒毒本本身身进进行行复复制制的的副副本本数数达达到到了了某某个数量。个数量。执执行行阶阶段段：这这一一阶阶段段病病毒毒将将执执行行预预先先设设计计的的功功能能直直至至执执行行完完毕毕。这这些些功功能能可可能能是是无无害害的的，比比如如：向向屏屏幕幕发发送送一一条条消消息息；也也可可能能是是有有害害的的，比比如如：删删除除程程序序或或

7、文文件件、强行关机等。强行关机等。第5页，本讲稿共22页8.5.1 病毒概述病毒概述3.病毒的分类病毒的分类按病毒感染的途径，病毒分为三类：引导型病毒。引导型病毒。它是是藏匿在磁盘片或硬盘的第一个扇区。它是是藏匿在磁盘片或硬盘的第一个扇区。每次启动计算机时，在操作系统还没被加载之前就被加载到内每次启动计算机时，在操作系统还没被加载之前就被加载到内存中，这个特性使得病毒完全控制存中，这个特性使得病毒完全控制DOS的各类中断，并且拥有的各类中断，并且拥有更大的能力进行传染与破坏。更大的能力进行传染与破坏。文件型病毒文件型病毒。文件型病毒通常寄生在可执行文件中当这些。文件型病毒通常寄生在可执行文件中

8、当这些文件被执行时，病毒的程序就跟着被执行。根据病毒依传染方文件被执行时，病毒的程序就跟着被执行。根据病毒依传染方式的不同，它分成非常驻型和常驻型式的不同，它分成非常驻型和常驻型。复合型病毒复合型病毒。这类病毒兼具引导型病毒以及文件型病毒的。这类病毒兼具引导型病毒以及文件型病毒的特性。它们可以传染特性。它们可以传染*.COM和和*.EXE 文件，也可以传染磁盘的文件，也可以传染磁盘的引导区。引导区。第6页，本讲稿共22页8.5.1 病毒概述病毒概述4.病毒结构病毒结构 计算机病毒是一种特殊的程序，它寄生在正常的、合法的程序中，并以各种方式潜伏下来，伺机进行感染和破坏。在这种情况下，称原先的那个

9、正常的、合法的程序为病毒的宿主或宿主程序。病毒程序一般由以下部份组成：初始化部分初始化部分。它指随着病毒宿主程序的执行而进入内存并。它指随着病毒宿主程序的执行而进入内存并使病毒相对独立于宿主程序的部分。使病毒相对独立于宿主程序的部分。传染部分传染部分。它指能使病毒代码连接于宿主程序之上的部分，。它指能使病毒代码连接于宿主程序之上的部分，由传染的判断条件和完成病毒与宿主程序连接的病毒传染主体由传染的判断条件和完成病毒与宿主程序连接的病毒传染主体部分组成。部分组成。破坏部分或表现部分。破坏部分或表现部分。主要指破坏被传染系统或者在被传主要指破坏被传染系统或者在被传染系统设备上表现特定的现象。它是病

10、毒程序的主体，在一定染系统设备上表现特定的现象。它是病毒程序的主体，在一定程度上反映了病毒设计者的意图。程度上反映了病毒设计者的意图。第7页，本讲稿共22页8.5.1 病毒概述病毒概述5.病毒感染原理病毒感染原理 引导型病毒感染原理引导型病毒感染原理 引导型病毒通过执行启动计算机的动作作为感染的途径。一般正常软盘启动动作为：开机、执行BIOS、读入BOOT程序执行和加载DOS。假定某张启动软盘已经了感染病毒，那么该软盘上的BOOT扇区将存放着病毒程序，而不是BOOT 程序。所以，“读入BOOT程序并执行”将变成“读入病毒程序并执行”，等到病毒入侵内存后，等到病毒入侵内存后，再由病毒程序读入原始

11、BOOT程序，既然病毒DOS先一步进入内存中，自然在DOS下的所有读写动作将受到病毒控制。所以，当使用者只要对另一张干净的软盘进行读写，驻在内存中的病毒可以感染这张软盘。第8页，本讲稿共22页8.5.1 病毒概述病毒概述 若启动盘是硬盘。因硬盘多了一个分区表，分区表位于硬盘的第0面第0道第1扇区。当在“读入BOOT程序并执行”之前是“读入分区表并执行”，比软盘启动多了一道手续。所以和感染软盘不同的地方是病毒不但可以感染硬盘的BOOT扇区还可以感染硬盘的分区表。感染BOOT扇区是在“读入分区表并执行”之后，“读入BOOT程序并执行”之前“读入病毒程序并执行”。感染分区表是在“读入病毒程序并执行”

12、之后，“读入分区表并执行”之前“读入BOOT程序并执行”。不管是软盘还是硬盘，引导型病毒一定比DOS早一步进入内存中，并控制读写动作，伺机感染其他未感染病毒的磁盘。第9页，本讲稿共22页8.5.1 病毒概述病毒概述文件型病毒感染原理文件型病毒感染原理 对非常驻型病毒而言，只要一执行中毒的程序文件，病毒便立即寻找磁盘中尚未感染病毒的文件，若找到了便加以感染。一般而言，对于.COM型文件，病毒替换它的第一条指令；对于.ExE文件，病毒改变入口指针。而常驻型病毒必须常驻内存，才能达到感染其他文件的目的。在每一个程序文件在执行时，都会调用INT 21H中断命令，所以病毒必须拦截INT 21H的调用，使

13、其先通过病毒的程序，再去执行真正的INT 21H服务程序。这样，每个要被执行的程序文件都要先通过病毒“检查”是否已中毒，若未中毒则病毒感染该文件。复合型病毒感染原理复合型病毒感染原理 就启动动作来说，假设以感染复合型病毒的磁盘启动，那么病毒便先潜入内存中，伺机感染其他未中毒的磁盘，而当DOS载入内存后，病毒再拦截INT 21H已达到感染文件的目的。第10页，本讲稿共22页8.5.1 病毒概述病毒概述6.病毒的网络威胁病毒的网络威胁 工作站受到的威胁。工作站受到的威胁。病毒对网络工作站的攻击途径主要病毒对网络工作站的攻击途径主要包包括：括：利用软盘读写进行传播利用软盘读写进行传播、通过网络共享进

14、行攻击通过网络共享进行攻击、通过电通过电子邮件系统进行攻击子邮件系统进行攻击、通过、通过FTP下载进行攻击和下载进行攻击和通过通过WWW浏浏览进行攻击。览进行攻击。服务器受到的威胁。服务器受到的威胁。网络操作系统一般都采用网络操作系统一般都采用Windows NT/2000 Server和少量和少量 Unix/Linux，而而Unix/Linux本身的计本身的计算机病毒的流行报告几乎很少。但到目前为止感染算机病毒的流行报告几乎很少。但到目前为止感染Windows NT系统的病毒已有一定数量。系统的病毒已有一定数量。Web站点受到的威胁。站点受到的威胁。一般一般Web站点，用户访问量很大，站点，

15、用户访问量很大，目前能通过目前能通过WEB站点传播的病毒只有脚本蠕虫、一些恶意站点传播的病毒只有脚本蠕虫、一些恶意Java代码和代码和ActiveX。第11页，本讲稿共22页8.5.2 宏病毒宏病毒 1.1.宏病毒的传染原理宏病毒的传染原理 每个Word文本对应一个模板，而且对文本进行操作时，如打开、关闭文件等，都执行了相应模板中的宏程序，由此可知：当打开一个带病毒模板后，该模板可以通过执行其中的宏当打开一个带病毒模板后，该模板可以通过执行其中的宏程序，如程序，如AutoOpen、AutoExit等将自身所携带病毒程序拷贝等将自身所携带病毒程序拷贝到到Word系统中的通用模板上，如系统中的通用

16、模板上，如Normal.dot中。中。若使用带病毒模板对文件进行操作时，如存盘若使用带病毒模板对文件进行操作时，如存盘FileSave等，等，可以将该文本文件重新存盘为带毒模板文件，即由原来不带宏可以将该文本文件重新存盘为带毒模板文件，即由原来不带宏程序的纯文本文件转换为带病毒的模板文件。程序的纯文本文件转换为带病毒的模板文件。上述两步循环就构成了病毒的基本传染原理。第12页，本讲稿共22页8.5.2 宏病毒宏病毒2.宏病毒的危害宏病毒的危害 Word宏病毒几乎是唯一可跨越不同硬件平台而生存、传染和流行的一类病毒。与感染普通.EXE或.COM文件的病毒相比，Word宏病毒具有隐蔽性强，传播迅速

17、，危害严重，难以防治等特点。具体表现为:对对WordWord的的运运行行破破坏坏。不不能能正正常常打打印印、封封闭闭或或改改变变文文件件存存储储路径、将文件改名等。路径、将文件改名等。对对系系统统的的破破坏坏。Word Word BasicBasic语语言言能能够够调调用用系系统统命命令令，这这将将造成破坏。造成破坏。第13页，本讲稿共22页8.5.2 宏病毒宏病毒3.宏病毒的预防与清除宏病毒的预防与清除为了有效防止Word系统被感染，可将常用的Word模板文件改为只读属性。当文件被感染后，应及时加以清除，以防其进一步扩散和复制。通常可采取以下措施：手工杀毒。手工杀毒。以以WordWord为例

18、，从为例，从“工具工具”菜单选取菜单选取“宏宏”一项，一项，进入进入“管理器管理器”，选取标题为，选取标题为“宏宏”的一页，在的一页，在“宏宏 有效范围有效范围”下拉列表框中打开要检查的文档。这时在上面的列表框中就下拉列表框中打开要检查的文档。这时在上面的列表框中就会出现该文档模板中所含的宏，将不明来源的自动执行宏删除会出现该文档模板中所含的宏，将不明来源的自动执行宏删除即可。即可。使用专业软件杀毒。使用专业软件杀毒。目前杀毒软件公司都具备清除宏病毒目前杀毒软件公司都具备清除宏病毒的能力，当然也只能对已知的宏病毒进行检查和清除，对于新的能力，当然也只能对已知的宏病毒进行检查和清除，对于新出现的

19、病毒或病毒的变种则可能不能正常地清除，或者将会破出现的病毒或病毒的变种则可能不能正常地清除，或者将会破坏文件的完整性，此时还是采取手工清理。坏文件的完整性，此时还是采取手工清理。第14页，本讲稿共22页8.5.3 CIH病毒病毒1.CIH病毒工作原理病毒工作原理 CIH病毒属于文件型病毒，只感染Windows9X下可执行文件。当受感染的.EXE文件执行后，该病毒便驻留内存中，并感染所接触到的其他PE格式执行程序。CIH通过攻击BIOS，覆盖硬盘，进入Windows内核实现对硬盘的破坏。攻击攻击BIOSBIOS。当当CIHCIH发作时，它会试图向发作时，它会试图向BIOSBIOS中写入垃圾信息，

20、中写入垃圾信息，BIOSBIOS中的内容会被彻底洗去。中的内容会被彻底洗去。覆盖硬盘。覆盖硬盘。CIHCIH发作时，调节器用发作时，调节器用IOS-Send CommandIOS-Send Command直接对直接对硬盘进行存取，将垃圾代码以硬盘进行存取，将垃圾代码以205205个扇区为单位，循环写入硬盘，个扇区为单位，循环写入硬盘，直到所有硬盘上的数据均被破坏为止。直到所有硬盘上的数据均被破坏为止。进入进入WindowsWindows内核。内核。无论是要攻击无论是要攻击BIOSBIOS，还是设法驻留内存，还是设法驻留内存来为病毒传播创造条件，对来为病毒传播创造条件，对CIHCIH这类病毒而言

21、，关键是要进入这类病毒而言，关键是要进入WindowsWindows内核，取得核心级控制权。内核，取得核心级控制权。第15页，本讲稿共22页8.5.2 CIH病毒病毒2.CIH病毒病毒防范措施防范措施 修改系统时间，跳过病毒的发作日。修改系统时间，跳过病毒的发作日。有些电脑系统主板具备有些电脑系统主板具备BIOSBIOS写保护跳线，但一般设置均为写保护跳线，但一般设置均为开，可将其拨至关的位置，这样可以防止病毒向开，可将其拨至关的位置，这样可以防止病毒向BIOSBIOS写入信息。写入信息。检查检查CIHCIH病毒的方法可采用压缩并解压缩文件的方式，如果病毒的方法可采用压缩并解压缩文件的方式，如

22、果解压缩出现问题，多半可以肯定有解压缩出现问题，多半可以肯定有CIHCIH1.21.2的存在，但用该方的存在，但用该方法不能判断法不能判断CIHCIH1.41.4病毒。病毒。用户不要轻易启动从电子邮件或从网站上下载的未知软件。用户不要轻易启动从电子邮件或从网站上下载的未知软件。由于病毒将垃圾码写入硬盘，导致硬盘的数据是不能恢复，由于病毒将垃圾码写入硬盘，导致硬盘的数据是不能恢复，务必将重要数据备份，以免造成损失。务必将重要数据备份，以免造成损失。第16页，本讲稿共22页8.5.4 常用反病毒技术常用反病毒技术 1.1.反病毒技术分类反病毒技术分类 从研究的角度，反病毒技术主要分类：预防病毒技术

23、。预防病毒技术。它通过自身常驻系统内存，优先获得系统它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。机病毒进入计算机系统和对系统进行破坏。检测病毒技术。检测病毒技术。它是通过对计算机病毒的特征来进行判断它是通过对计算机病毒的特征来进行判断的侦测技术，如自身校验、关键字等。的侦测技术，如自身校验、关键字等。消除病毒技术。消除病毒技术。它通过对病毒的分析，杀除病毒并恢复原它通过对病毒的分析，杀除病毒并恢复原文件。文件。第17页，本讲稿共22页8.5.4 常用反病毒技

24、术常用反病毒技术2.常用反病毒技术常用反病毒技术从具体实现技术的角度，常用的反病毒技术有：病毒代码扫描法。病毒代码扫描法。将新发现的病毒加以分析后根据其特征将新发现的病毒加以分析后根据其特征编成病毒代码，加入病毒特征库中。每当执行杀毒程序时，便编成病毒代码，加入病毒特征库中。每当执行杀毒程序时，便立刻扫描程序文件，并与病毒代码比对，便能检测到是否有病立刻扫描程序文件，并与病毒代码比对，便能检测到是否有病毒。毒。加总比对法加总比对法(Check-sum)(Check-sum)。根据每个程序的文件名称、大小、根据每个程序的文件名称、大小、时间、日期及内容，加总为一个检查码，再将检查码附在程序时间、

25、日期及内容，加总为一个检查码，再将检查码附在程序后面，或是将所有检查码放在同一个资料库中，再利用后面，或是将所有检查码放在同一个资料库中，再利用Check-Check-sumsum系统，追踪并记录每个程序的检查码是否遭更改，以判断是系统，追踪并记录每个程序的检查码是否遭更改，以判断是否中毒。否中毒。第18页，本讲稿共22页8.5.4 常用反病毒技术常用反病毒技术人工智能陷阱。人工智能陷阱。它是一种监测电脑行为的常驻式扫描技术。它是一种监测电脑行为的常驻式扫描技术。它将所有病毒所产生的行为归纳起来，一旦发现内存的程序有它将所有病毒所产生的行为归纳起来，一旦发现内存的程序有任何不当的行为，系统就会

26、有所警觉，并告知用户。任何不当的行为，系统就会有所警觉，并告知用户。软件模拟扫描法。软件模拟扫描法。它专门用来对付千面人病毒。千面人病它专门用来对付千面人病毒。千面人病毒在每次传染时，都以不同的随机数加密于每个中毒的文件中，毒在每次传染时，都以不同的随机数加密于每个中毒的文件中，传统病毒代码比对的方式根本就无法找到这种病毒。传统病毒代码比对的方式根本就无法找到这种病毒。软件模拟软件模拟技术则技术则是成功地模拟是成功地模拟CPUCPU执行，在其设计的执行，在其设计的DOSDOS虚拟机器下模拟虚拟机器下模拟执行病毒的变体引擎解码程序，将多型体病毒解开，使其显露执行病毒的变体引擎解码程序，将多型体病

27、毒解开，使其显露原本的面目，再加以扫描。原本的面目，再加以扫描。VICEVICE先知扫描法。先知扫描法。由于由于软件模拟软件模拟可以建立一个保护模式下可以建立一个保护模式下的的DOSDOS虚拟机器，模拟虚拟机器，模拟CPUCPU动作并模拟执行程序以解开变体引擎动作并模拟执行程序以解开变体引擎病毒，应用类似的技术也可以用来分析一般程序检查可疑的病病毒，应用类似的技术也可以用来分析一般程序检查可疑的病毒代码。因此，毒代码。因此，VICEVICE将工程师用来判断程序是否有病毒代码存将工程师用来判断程序是否有病毒代码存在的方法，分析归纳成专家系统知识库，再利用软件工程的模在的方法，分析归纳成专家系统知

28、识库，再利用软件工程的模拟技术假执行新的病毒，就可分析出新病毒代码对付以后的病拟技术假执行新的病毒，就可分析出新病毒代码对付以后的病毒。毒。第19页，本讲稿共22页8.5.4 常用反病毒技术常用反病毒技术实时的实时的I/OI/O扫描。扫描。通过即时地对信息的输入通过即时地对信息的输入/输出动作做病输出动作做病毒代码比对的动作，希望能够在病毒尚未被执行之前，就能够毒代码比对的动作，希望能够在病毒尚未被执行之前，就能够将其防堵下来。理论上，这样的实时扫描程序会影响到整体的将其防堵下来。理论上，这样的实时扫描程序会影响到整体的信息传输速率，但是使用实时的信息传输速率，但是使用实时的I/OI/O扫描，

29、文件传送进来之后，扫描，文件传送进来之后，就等于扫过了一次毒。就等于扫过了一次毒。文件宏病毒陷阱。文件宏病毒陷阱。它结合了病毒代码比对与人工智慧陷阱它结合了病毒代码比对与人工智慧陷阱技术，依病毒行为模式来检测已知及未知的宏病毒。其中，配技术，依病毒行为模式来检测已知及未知的宏病毒。其中，配合对象链接与嵌套技术，可将宏与文件分开，回快扫描，并可合对象链接与嵌套技术，可将宏与文件分开，回快扫描，并可有效地将宏病毒彻底清除。有效地将宏病毒彻底清除。空中抓毒。空中抓毒。在信息传输过程中经过的一个节点即一台电脑在信息传输过程中经过的一个节点即一台电脑上设计一套防毒软件，把网络中所有可能带有病毒的信息进行

30、上设计一套防毒软件，把网络中所有可能带有病毒的信息进行扫描，接收从网络中送来的信息。把我们要扫描的信息在这台扫描，接收从网络中送来的信息。把我们要扫描的信息在这台电脑中暂时储存起来，然后扫描储存的信息，并根据管理员的电脑中暂时储存起来，然后扫描储存的信息，并根据管理员的设定处理中毒的文件，最后把检查过或处理过的信息传送到它设定处理中毒的文件，最后把检查过或处理过的信息传送到它原来要传送的电脑上。原来要传送的电脑上。第20页，本讲稿共22页8.5.4 常用反病毒技术常用反病毒技术主动内核技术。主动内核技术。它是将已经开发的各种网络防病毒技术从它是将已经开发的各种网络防病毒技术从源程序级嵌入到操作

31、系统或网络系统的内核中，实现网络防病源程序级嵌入到操作系统或网络系统的内核中，实现网络防病毒产品与操作系统的无缝连接。这种技术可以保证网络防病毒毒产品与操作系统的无缝连接。这种技术可以保证网络防病毒模块从系统的底层内核与各种操作系统和应用环境密切协调，模块从系统的底层内核与各种操作系统和应用环境密切协调，确保防毒操作不会伤及到操作系统内核，同时确保杀灭病毒的确保防毒操作不会伤及到操作系统内核，同时确保杀灭病毒的功效。功效。第21页，本讲稿共22页 病毒的发展趋势（1）传播网络化（2）利用操作系统和应用程序的漏洞（3）混合型威胁（4）病毒制作技术新（5）病毒家族化特征显著 第22页，本讲稿共22页