信息系统攻击与防御(第十章)

10.1.计算机病毒 续) 计算机病毒(续 计算机病毒
网络蠕虫和特洛伊木马程序 : 网络蠕虫(worm)主要是利用操作系统和应用程序漏洞传播,通过网络的通 信功能将自身从一个结点发送到另一个结点并启动运行的程序,可以造成网 络服务遭到拒绝并发生死锁."蠕虫"由两部分组成:一个主程序和一个引 导程序. 主程序一旦在机器上建立就会去收集与当前机器联网的其它机器的信息.它 能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用程序 而做到这一点.随后,它尝试利用前面所描述的那些缺陷去在这些远程机器 上建立其引导程序. 特洛伊木马程序(Trojan horse)是一个隐藏在合法程序中的非法的程序. 该非法程序被用户在不知情的情况下被执行.其名称源于古希腊的特洛伊木 马神话. 对于木马的防范可以采取以下措施: 1.不要执行任何来历不明的软件或程序: 2.不要轻易打开陌生邮件,或许当你打开的同时就已经中了别人设置的木马; 3.不要因为对方是你的好朋友就轻易执行他发过来的软件或程序,因为你不 确信他是否也像你一样装上了病毒防火墙,也许你的朋友已经中了黑客程序 自己却不知道!同时,你也不能担保是否有别人冒他的名给你发mail; 4.千万不要随便留下你的个人资料,因为你永远不会知道是否有人会处心积 虑收集起来.
10.1.计算机病毒 续) 计算机病毒(续 计算机病毒
用户计算机中毒的24种症状: 13.是文件的日期,时间,属性等发生变化; 14.是文件无法正确读取,复制或打开; 15.是命令执行出现错误; 16.是虚假报警; 17.是换当前盘.有些病毒会将当前盘切换到C盘; 18.是时钟倒转.有些病毒会命名系统时间倒转,逆向计时; 19.是WINDOWS操作系统无故频繁出现错误; 20.是系统异常重新启动; 21.是一些外部设备工作异常; 22.是异常要求用户输入密码. 13.是WORD或EXCEL提示执行"宏"; 24.是不应驻留内存的程序驻留内存.
10.1.计算机病毒 续) 计算机病毒(续 计算机病毒
病毒传播途径与危害 计算机病毒的传播途径主要有: 计算机病毒的传播途径主要有: 1.通过文件系统传播; 通过文件系统传播; 通过文件系统传播 2.通过电子邮件传播; 通过电子邮件传播; 通过电子邮件传播 3.通过局域网传播; 通过局域网传播; 通过局域网传播 4.通过互联网上即时通讯软件和点对点软件等常用工具传 通过互联网上即时通讯软件和点对点软件等常用工具传 播; 5.利用系统,应用软件的漏洞进行传播; 利用系统, 利用系统 应用软件的漏洞进行传播; 6.利用系统配置缺陷传播,如弱口令,完全共享等; 利用系统配置缺陷传播, 利用系统配置缺陷传播 如弱口令,完全共享等; 7.利用欺骗等社会工程的方法传播. 利用欺骗等社会工程的方法传播. 利用欺骗等社会工程的方法传播
10.1.计算机病毒 续) 计算机病毒(续 计算机病毒
计算机病毒防治策略 : 计算机病毒的防治要从防毒,查毒,解毒三方面来进行;系统对于计算机病 毒的实际防治能力和效果也要从防毒能力,查毒能力和解毒能力三方面来评 判. 1.防毒.是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机. 防毒能力是指通过采取防毒措施,可以准确,实时监测预警经由光盘,软盘, 硬盘不同目录之间,局域网,互联网(包括FTP方式,E-MAIL,HTTP方式)或 其它形式的文件下载等多种方式的病毒感染;能够在病毒侵入系统时发出警 报,记录携带病毒的文件,即时清除其中的病毒;对网络而言,能够向网络 管理员发送关于病毒入侵的信息,记录病毒入侵的工作站,必要时还要能够 注销工作站,隔离病毒源. 2.查毒.是指对于确定的环境,能够准确地报出病毒名称,该环境包括,内 存,文件,引导区(含主导区),网络等.查毒能力是指发现和追踪病毒来 源的能力,通过查毒能准确地发现信息网络是否感染有病毒,准确查找出病 毒的来源,给出统计报告;查解病毒的能力应由查毒率和误报率来评判. 3.解毒.是指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性 所进行的恢复.该恢复过程不能破坏未被病毒修改的内容.感染对象包括: 内存,引导区(含主引导区),可执行文件,文档文件,网络等. 解毒能力是指从感染对象中清除病毒,恢复被病毒感染前的原始信息的能力.
10.1.计算机ቤተ መጻሕፍቲ ባይዱ毒 计算机病毒
什么是计算机病毒: 下将生物医学病毒与感染IBM-PC机的DOS环境下的 病毒的特征进行对比.
10.1.计算机病毒 续) 计算机病毒(续 计算机病毒
什么是计算机病毒 从广义上讲,病毒可以归为2类:引导区病毒和文件型病毒. 1. 引导区病毒 引导区病毒隐藏在硬盘或软盘的引导区(Boot区),当计算机从感染了 引导区病毒的硬盘或软盘启动,或是当计算机从受感染的软盘里读取 数据时,引导区病毒就开始发作.一旦它们把自己复制到计算机的内 存里,就会感染其他磁盘的引导区或是通过网络传播到其他计算机上. 2. 文件型病毒 文件型病毒寄生在其他文件中,常常通过对它们的编码加密或是使用 其他技术来隐藏.文件型病毒把用来启动主程序的可执行命令劫夺过 去,当作它自己的运行命令.该病毒还常常会把控制还给主程序,为 的是让计算机系统显得正常.
第十章 安全相关专题介绍
1. 计算机病毒 2. 访问控制 3. 身份和信任管理 4. 计算机信息安全标准简介 5. 防火墙 6. 蜜罐介绍 7. IDS 介绍
内容简介
本章主要介绍了与安全相关的一些专题, 包括:计算机病毒;访问控制;身份和信 任管理;计算机信息安全标准简介;防火 墙;蜜罐;IDS等.
10.1.计算机病毒 续) 计算机病毒(续 计算机病毒
什么是计算机病毒 6.病毒的特征代码 . 大部分的防毒软件都使用各自的特征代码来查找 某些固定的病毒. 某些固定的病毒.特征代码是区分病毒代码与其 他文件或数据的一段特殊的字节. 他文件或数据的一段特殊的字节.这段代码有时 是病毒内的一种数据类型, 是病毒内的一种数据类型,有时是加密法或者解 密法,或者是其他的识别特征. 密法,或者是其他的识别特征.有些病毒使用一 种明显的信号在被它们感染的文件上挂上类似 请勿打扰"的标志, "请勿打扰"的标志,否则病毒就会重复感染文 件并使文件长度无限变大,这样很容易被发觉. 件并使文件长度无限变大,这样很容易被发觉.
10.1.计算机病毒 续) 计算机病毒(续 计算机病毒
计算机病毒的特征 1.非授权可执行性 2.隐蔽性 3.传染性 4.潜伏性 5.表现性或破坏性 6.可触发性
10.1.计算机病毒 续) 计算机病毒(续 计算机病毒
用户计算机中毒的24种症状: 1.是计算机系统运行速度减慢; 2.是计算机系统经常无帮故发生死机; 3.是计算机系统中的文件长度发生变化; 4.是计算机存储的容量异常减少; 5.是系统引导速度减慢; 6.是丢失文件或文件损坏; 7.是计算机屏幕上出现异常显示; 8.是计算机系统的蜂鸣器出现异常声响; 9.是磁盘卷标发生变化; 10.是系统不识别硬盘; 11.是对存储系统异常访问; 12.是键盘输入异常;
10.1.计算机病毒 续) 计算机病毒(续 计算机病毒
计算机病毒原理 计算机病毒是一段执行程序.所谓执行程序是计 计算机病毒是一段执行程序. 算机要处理的一种数据,一般存放在内存中,可 算机要处理的一种数据,一般存放在内存中, 由计算机的中央处理器(CPU)逐条加以执行. 由计算机的中央处理器(CPU)逐条加以执行. 计算机病毒一定是寄生在某个有用的执行程序之 上,这个有用的执行程序称之为计算机病毒的宿 主. 将自身复制到其它执行程序之上是判定一个执行 程序是否是计算机病毒的重要因素.
10.1.计算机病毒 续) 计算机病毒(续 计算机病毒
什么是计算机病毒 3.宏病毒和脚本病毒 . 宏病毒是一种特殊的文件型病毒. 宏病毒是一种特殊的文件型病毒.宏病毒是在一些软件开发商开始在他们的产品中引 入宏语言,并允许这些产品生成载有宏的数据文件之后出现的.例如,微软的Office 入宏语言,并允许这些产品生成载有宏的数据文件之后出现的.例如,微软的 产品系列包括很多的微软Visual Basic程序语言,这些语言使 程序语言, 产品系列包括很多的微软 程序语言 这些语言使Microsoft Word和 和 Microsoft Excel可以自动操作模板和文件的生成.第一个宏病毒 可以自动操作模板和文件的生成. 可以自动操作模板和文件的生成 第一个宏病毒Concept是在微软刚 是在微软刚 刚在Word中引入宏之后立刻出现的. 中引入宏之后立刻出现的. 刚在 中引入宏之后立刻出现的 4.多重分裂病毒 . 近几年来,引导区病毒和文件型病毒之间的界限变得相当的模糊. 近几年来,引导区病毒和文件型病毒之间的界限变得相当的模糊.许多病毒既能感染 文件,也可以感染磁盘引导区.多重分裂病毒就是这样的病毒, 文件,也可以感染磁盘引导区.多重分裂病毒就是这样的病毒,它可以通过被感染的 文件传播,也可以在硬盘或软盘运行的时候感染它们的引导区. 文件传播,也可以在硬盘或软盘运行的时候感染它们的引导区.现代病毒很少只使用 一种方法,大多都使用以上两种,有的还使用了其他的方法. 一种方法,大多都使用以上两种,有的还使用了其他的方法. 5.网络蠕虫程序 . 网络蠕虫程序是一种通过间接方式而不是直接复制自己来传播的恶意软件. 网络蠕虫程序是一种通过间接方式而不是直接复制自己来传播的恶意软件.有些网络 蠕虫拦截E-mail系统并向世界各地发送自己的复制品,有些则出现在高速下载站点中, 系统并向世界各地发送自己的复制品, 蠕虫拦截 系统并向世界各地发送自己的复制品 有些则出现在高速下载站点中, 当然还有些同时使用这两种方法与其他技术一起传播. 当然还有些同时使用这两种方法与其他技术一起传播. 蠕虫程序与病毒一样具有破坏性,传播速度比病毒还要快. 蠕虫程序与病毒一样具有破坏性,传播速度比病毒还要快.蠕虫的制作者经常利用用 户的心理因素,诱使用户下载并运行蠕虫.臭名昭著的"美丽莎"病毒, 户的心理因素,诱使用户下载并运行蠕虫.臭名昭著的"美丽莎"病毒,就是一种使 系统以惊人速度传播的蠕虫程序. 用E-mail系统以惊人速度传播的蠕虫程序.它的传播速度之快史无前例,成千上万的 系统以惊人速度传播的蠕虫程序 它的传播速度之快史无前例, 病毒感染造成许多邮件服务器先后崩溃,人们为清除它耗费了大量的精力. 病毒感染造成许多邮件服务器先后崩溃,人们为清除它耗费了大量的精力.
10.1.计算机病毒 续) 计算机病毒(续 计算机病毒
网络病毒的清理和防治 : 网络病毒的清理防治方法主要有: 1.全面地与互联网结合,对网络层,邮件客户端进行实时监控,防止 病毒入侵; 2.快速反应的病毒检测网,在病毒爆发的第一时间即能提供解决方案; 3.病毒防治产品完善的在线升级,随时拥有最新的防病毒能力; 4.对病毒经常攻击的应用程序提供重点保护(如Office,Outlook, IE,ICQ/QQ等); 5.获取完整,即时的反病毒咨询,尽快了解新病毒的特点和解决方 案. .
10.1.计算机病毒 续) 计算机病毒(续 计算机病毒
计算机病毒诊断方法 : 通常计算机病毒的检测方法有两种: 1.手工检测.是指通过一些软件工具(如DEBUG.COM,PCTOOLS.EXE, NU.COM,SYSINFO.EXE等)提供的功能进行病毒的检测.这种方法比 较复杂,需要检测者熟悉机器指令和操作系统,因而无法普及.它的 基本过程是利用一些工具软件,对易遭病毒攻击和修改的内存及磁盘 的有关部分进行检查,通过和正常情况下的状态进行对比分析,来判 断是否被病毒感染.这种方法检测病毒,费时费力,但可以剖析新病 毒,检测识别未知病毒,可以检测一些自动检测工具不认识的新病毒. 2.自动检测.是指通过一些诊断软件来判读一个系统或一个软盘是否 有毒的方法.自动检测则比较简单,一般用户都可以进行,但需要较 好的诊断软件.这种方法可方便地检测大量的病毒,但是,自动检测 工具只能识别已知病毒,而且自动检测工具的发展总是滞后于病毒的 发展,所以检测工具对未知病毒很难识别.