信息通信网络概论.ppt

Page 1,第二章 黑客、远程攻击与计算机病毒,东南大学信息安全研究中心 蒋 睿 2012年2月 R.J,Page 2,内容提要,黑客与远程攻击 缓冲区溢出及拒绝服务攻击 计算机病毒,Page 3,黑客与远程攻击黑客（1）,几个概念 黑客“hacker”：指那些酷爱计算机的人。 分类：一种是对电脑有强烈兴趣的人；另一种是为了逃避现实而把自己淹没在虚拟世界的人 道德准则 通往计算机的路不止一条 所有的信息都应当是免费的 打破计算机集权 在计算机上创造艺术和美 计算机将使生活更美好 骇客“cracker”：以个人私利为目的对网站进行恶意侵犯的罪犯。 红客“honker”：具备一定网络技术、编程技巧和遵守红客原则的人士。 红客原则： 成员不得利用自身技术进行对网络安全不利的活动 不得违反国家关于网络安全的相应法律法规 更不得无端入侵普通用户和合法网站，违者从联盟名单中剔除,Page 4,黑客与远程攻击黑客（2）,国外知名黑客组织 总共1946个。第一为“银色上帝（Silver Lords）”，PoisonBox排第二，”中国红客联盟（HUC）”列第25。 国内主要组织成员 中国红客联盟 绿色兵团http:/www.vertarmy.org/ 中国鹰派 中国黑客联盟 因特网上的战争 中美黑客大战 2002年4月，美国PoisonBox，Prophet及MIH等黑客组织相继对我国网站发动袭击，导致40多家网站中断，200多家网站页面被篡改。 4月30日，“中国红客联盟”发出总动员令，宣布向美国网站发动反击，导致美国白宫网站中断两个多小时。至5月8日，攻破美国网站1600多个，其中主要政府和军方网站900多个。,Page 5,黑客与远程攻击黑客（3）,其他相关黑客事件 其他五次中国红客行动：1997年，1999年5月，1999年7月，2000年1月，2003年2月。 美国“911”事件后，对阿富汗塔利班网站的猛烈入侵等。 黑客主要工具分类 安全扫描类、网络监听类、远程控制类、入侵工具类、加密解密类 安全扫描类 SATAN，NESSUS，ISS，Retina及X-way等 网络监听类 Sniffer，NetXRay，Sniffit和网络刺客等 远程控制类 PcAnywhere，ReachOut，Remotely Anywhere，Remotely Possible/ControllT，Bo2000，冰河等,Page 6,黑客与远程攻击黑客（4）,入侵工具类 拒绝服务型工具，分布式拒绝服务工具，邮件炸弹工具，OICQ炸弹工具 加密解密类 查看“*”密码工具（007 Password Recovery） 破解ZIP文件密码工具（Advanced ZIP Password Recovery） 破解Access数据库密码工具（Access密码读取工具） E-mail密码破解工具（EmailCrk） Windows NT密码破解工具（LophtCrack） UNIX破解工具（John the Ripper和Crack Jack）,Page 7,黑客与远程攻击远程攻击（1）,远程攻击手段 收集信息，获取访问权限，拒绝服务，逃避检测 攻击的一般目标 系统型攻击 数据型攻击 攻击的一般过程 寻找目标和收集信息 掌握目标在网络上的域名 使用nslookup和tracert等实用程序，查找与该域名对应的IP地址，截取DNS服务器中登记的所有主机名称和IP地址的对应清单 除了root用户帐号外，还应知道一个普通用户帐号 利用目标主机的finger功能 来源于电子邮件地址 利用X.500功能 猜测习惯性常用帐号,Page 8,黑客与远程攻击远程攻击（2）,系统安全弱点的探测 利用ping和一些服务端口扫描工具，查看服务是否处于活动状态，并且等候其连接请求。 利用ISS和SATAN等工具对网络或子网扫描，寻找安全漏洞。 寻找内部落脚点。 隐藏自己并实施攻击 获得对攻击目标系统的访问权限 毁掉入侵痕迹，在目标系统中建立后门 在目标系统中安装探测器软件，收集黑客感兴趣的一切信息 进一步发现受损系统在网络中的信任等级，展开对整个系统的攻击 在受损系统上获得特许访问权，毁坏重要数据，破坏整个系统信息,Page 9,黑客与远程攻击远程攻击（3）,攻击的主要方式 利用系统缺陷或后门 利用用户淡薄的安全意识 利用防火墙的安全隐患 内部用户的窃密、泄密和破坏 网络监督和系统安全评估性手段的缺乏 制造口令攻击和拒绝服务 利用电子邮件与web的缺陷,Page 10,黑客与远程攻击口令、IP欺骗与木马（1）,口令攻击 攻击原理：字典加穷举攻击。 开机密码 SETUP密码 用DEBUG手工清除 _o 7016 _o 7116 _q 下载Comspwd， SYSTEM密码：CMOS放电 ZIP文件破解 Advanced ZIP Password Recovery：200万密码/秒；未注册（4位） Advanced ARJ Password Recovery： Advanced RAR Password Recovery,Page 11,黑客与远程攻击口令、IP欺骗与木马（2）,Windows NT/2000口令破解 原理方法：采用NT平台的口令审计工具LophtCrack，用字典攻击法、混合攻击法（hybrid）、蛮力攻击法（brute force）进行破解。 步骤： 获得口令的hash散列值 破解得到口令的hash散列值 UNIX系统采用John the Ripper工具进行破解 防范办法 安全知识教育 口令的选择 牢记几个要点,Page 12,黑客与远程攻击口令、IP欺骗与木马（3）,IP欺骗 IP欺骗的概念 是一种通过伪造来自某个受信任地址的数据包来让某台计算机认证另一台计算机的复杂技术。 IP欺骗原理 利用信任关系：同一网段；UNIX中相互信任的用户 利用IP协议面向非连接的特性 利用TCP协议的序列号 IP欺骗步骤 选定目标主机 发现信任模式，并找到一个被目标主机信任的主机,Page 13,黑客与远程攻击口令、IP欺骗与木马（4）,使被信任主机丧失工作能力（SYN Flood等），采样目标主机发出的TCP序列号，猜测出它的数据序列号 伪装成被信任的主机，与目标主机建立起基于地址验证的应用连接 连接成功后，放置一系统后门，以进行非授权操作 IP欺骗工具 Hunt（Linux/UNIX） http:/lin.fsid.cvut.cz/kra/index.html Ipspoof（UNIX/UNIX） Spoofit（Linux/UNIX） Uggernaut（UNIX/UNIX) http:/staff.washington.edu/ IP欺骗防范 避免基于地址的信任策略：使用Telnet、SSH及SKEY等 进行包过滤 使用加密方法：通信时要求加密传输和验证 使用随机初始序列号,Page 14,木马（1）,木马 特洛伊木马概念 特洛伊木马是一个包含在一个合法程序中的非法程序，该非法程序在用户未知的情况下被执行。 特洛伊木马一般有两个程序：一个是服务器程序，一个是控制器程序。如果计算机被安装了服务器程序，则黑客可使用控制器进入计算机，通过命令服务器程序达到控制计算机的目的。 木马的危害 用户的机密信息将被窃 用户的计算机系统易遭病毒侵袭 木马的基本机制 木马需要一种启动方式，一般在注册表启动组中 木马要在内存中才能发挥作用 木马会打开特别的端口，以便黑客和木马联系（NETSPY是7306，SUB7是1243，冰河是7626）,Page 15,木马（2）,木马的基本功能 读和写的功能 运行程序功能 查看及终止目标计算机进程功能 能方便地编辑注册表，能捆绑到其他软件上，能改变安装地点及启动方式，能改变端口，上网自动通知 木马的生存能力 隐蔽性： 木马的启动：注册表、 win.ini、 system.ini。 在硬盘上的位置：Windows 98中在c:windows和c:windowssystem； Windows NT/2000中在c:winntsystem32。 木马文件名：与Windows的系统文件接近。 木马的文件属性 木马的图标 木马开放的端口,Page 16,木马（3）,木马运行时的隐蔽 木马在内存中的隐蔽 顽固性：即使木马被发现存在于计算机中，也很难被删除。 潜伏能力 对付木马的常用工具 Regedit，Tcpview，ATM，Lockdown，NukeNabber，Norton等防火墙产品 木马的发现和清除 用防火墙软件或杀毒软件 手工删除 首先备份，然后验证木马，终止该程序在内存中的运行，然后删除 典型木马 冰河，Bo2000，PCAnyWhere等,Page 17,缓冲区溢出（1）,基本概念（buffer overflow） 程序在内存中的位置 堆栈是一个先入后出的队列，它的生长方向与内存的生长方向相反 缓冲区溢出的原理 向一个有限空间的缓冲区复制超长的字符串，而程序自身却没有进行有效的检验，导致程序运行失败，系统重新启动，甚至停机。 一个缓冲区溢出应用程序使用这个溢出的数据将汇编语言代码放到计算机的内存中，通常是产生root权限的地方。 单单的缓冲区溢出并不会产生安全问题，只有将溢出送到能够以root权限运行命令的区域才会产生威胁。,Page 18,缓冲区溢出（2）,一个简单的溢出： void function (char *str) char buffer16 strcpy (buffer, str); 缓冲区溢出实例解析 制造缓冲区溢出,Page 19,缓冲区溢出（3）,通过缓冲区溢出获得用户shell,Page 20,缓冲区溢出（4）,利用缓冲区溢出的攻击,Page 21,缓冲区溢出（5）,Page 22,缓冲区溢出（6）,缓冲区溢出程序组成 准备一段可以调出的Shell代码 申请一个缓冲区，将Shell代码填入缓冲区低端 估算Shell代码在堆栈的可能起始位置，将该位置写入缓冲区的高端 将该缓冲区作为一个有着缓冲区溢出错误的一个入口参数，并执行该有着错误的程序,Page 23,缓冲区溢出（7）,漏洞与攻击的分析 代码放置的方法 殖入法 利用已经存在的代码 控制程序转移的方法 激活记录（Activation Records） 函数指针（Founction Pointers） 长跳转缓冲区（Longjmp buffers） 代码殖入和流程控制技术 综合代码殖入和激活记录 把代码作为参数，利用缓冲区溢出改变程序的参数，使程序指针指向libc中特定的代码段。,Page 24,缓冲区溢出（8）,缓冲区溢出的保护 编写正确的代码 非执行的缓冲区 数组边界检查 Compaq C编译器 C的数组边界检查 存储器存取检查 类型-安全语言 程序指针完整性检查 手写的堆栈监测 堆栈保护 指针保护,Page 25,拒绝服务攻击（1）,拒绝服务概述 拒绝服务（Denial of Service），简称DoS 主要表现 企图湮没一个网络，中断正常的网络流量 企图破坏两个机器之间的连接，禁止访问可用服务 企图阻止某一特定用户对网络上服务的访问 企图破坏一个特定系统或人，使其不能提供正常服务 拒绝服务模式 资源消耗型 消耗网络带宽：ping，Finger，Smurf等 消耗磁盘空间：大量Mail信息、出错Log信息、垃圾文件（公开目录，共享区域） 消耗CPU资源和内存共享,Page 26,拒绝服务攻击（2）,配置修改型 改变路由信息 修改Windows NT注册表 修改UNIX的各种配置文件 物理破坏型 计算机，路由器，网络配线室，网络主干段，电源，其他设备等 服务利用型：利用TCP/IP协议栈的漏洞，如允许碎片包，大数据包，IP路由选择，半公开TCP连接，数据包Flood等 拒绝服务常见手段分析 死亡之Ping（Ping of Death） 原理：向目标端口发送大量超大尺寸的ICMP包来实现 目标平台：Windows 9x 实现：在命令行输入“ping _165535”,Page 27,拒绝服务攻击（3）,Teardrop IP碎片入侵 原理：链路层具有最大传输单元MTU特性，它限制了数据帧的最大长度。如果IP层要传输的数据包长度超过了MTU，则IP层就要对数据包进行分片，使每片长度小于等于MTU。每一IP分片各自路由，到达目的主机后在IP层重组，IP首部中的数据保证正确完成分片的重组。若在IP分组中指定一个非法的偏移值，将造成某些协议软件出现缓冲区覆盖，导致系统崩溃。 目标平台：Linux/ Windows 9x/NT 实现：默认发送两个UDP数据包 第一个：MF=1，偏移量=0，作为IP包的第一个分片 第二个：MF=0，偏移量=0 x3，偏移字节数0 x3*8=24，为最后一个分片 接收端重组分组的过程,Page 28,拒绝服务攻击（4）,Land 原理：向目标机发送源地址与目的地址一样的数据包，造成目标机解析Land包占用太多资源，从而使网络功能完全瘫痪。 目标平台：Linux、UNIX、Windows 9x/NT 后果：造成死锁使系统崩溃 Smurf 原理：结合使用IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，导致目标系统拒绝为正常系统进行服务。 目标平台：任何应答ICMP数据的系统,Page 29,拒绝服务攻击（5）,SYN Flood 原理：正常的一个TCP连接需要连接双方进行3个动作，即“三次握手”。可以利用这一过程，建立数以万计的半连接，消耗掉CPU的时间及内存，使服务器无法回应正常用户的请求。 防范：缩短SYN Timeout时间；设置SYN Cookie等,Page 30,拒绝服务攻击（6）,分布式拒绝服务（DDoS） DDoS概念 DDoS是在传统的DoS基础上，利用更多的傀儡机来发动攻击，以比从前更大的规模来进攻受害者。 DDoS入侵的主要表现：大量等待的TCO连接；大量无用的源地址为假的数据包；网络拥塞；受害主机无法及时处理正常请求；系统死机。 DDoS的体系结构,Page 31,拒绝服务攻击（7）,DDoS工作原理分析 前提是有许多无关主机可以被入侵者支配 入侵者通过常规手段进入这些主机 在所侵入的主机上安装入侵软件 从攻击控制台向各攻击服务器发出对特定目标攻击的命令 分布式拒绝服务常用工具 Tribe Flood Network（TFN） Trinoo Stacheldraht shaft Mstream,Page 32,拒绝服务攻击（8）,防范 企业网管理员 主机上的设置 网络设备上的设置：防火墙，路由器 ISP/ICP管理员 骨干网络运营商,Page 33,作业,描述IP欺骗的原理及过程。 为什么采用6位口令靠不住？ 如何知道自己的电脑中了木马？中了木马后如何防治？ 缓冲区溢出攻击的步骤有哪些？如何防止此类攻击？ 黑客攻击的手段主要有哪些？如何防止？ 能否完全防止拒绝服务攻击？为什么？,Page 34,ARP欺骗,原理 在以太局域网内数据包传输依靠的是MAC地址，IP地址与MAC对应的关系依靠ARP表，每台主机（包括网关）都有一个ARP缓存表。 在正常情况下这个缓存表能够有效的保证数据传输的一对一性，其他主机无法截获其中的通讯信息。 但是在ARP缓存表的实现机制中存在一个不完善的地方，当主机收到一个ARP的应答包后，它并不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。 分类 对路由器ARP表的欺骗 对内网PC 的网关欺骗,Page 35,对路由器ARP表的欺骗,原理 攻击者通过截获网关数据，并伪造大量错误的MAC 地址以一定的频率发向网关，使路由器ARP 缓存溢出，造成真实的地址信息无法通过更新保存在路由器中，造成路由器与真实IP 之间无法通信，这种攻击可造成网络中断。,Page 36,对内网PC的网关欺骗（1）,原理 攻击者通过伪造网关，将网关的MAC 地址修改为攻击者本身，让网内其他用户向攻击者发送数据，而不是通过正常路由器（网关）进行转发，通过这种攻击方式，攻击者能够通过获悉网内通信信息，并通过抓包软件能够获取信息内容。 示例 首先主机B向主机A发送一个ARP应答包说192.168.1.1的MAC地址是03-03-03-03-03-03，主机A收到这个包后并没有去验证包的真实性而是直接将自己ARP列表中的192.168.1.1的MAC地址替换成03-03-03-03-03-03。 同时主机B向网关发送一个ARP响应包说192.168.1.2的MAC是03-03-03-03-03-03，同样网关也没有去验证这个包的真实性就把自己ARP表中的192.168.1.2的MAC地址替换成03-03-03-03-03-03。,Page 37,对内网PC的网关欺骗（2）,Page 38,对内网PC的网关欺骗（3）,当主机A想要与主机C通讯时，它直接把应该发送给网关(192.168.1.1)的数据包发送到03-03-03-03-03-03这个MAC地址，也就是发给了主机B，主机B在收到这个包后经过修改再转发给真正的网关。 当从主机C返回的数据包到达网关后，网关也使用自己ARP表中的MAC，将发往192.168.1.2这个IP地址的数据发往03-03-03-03-03-03这个MAC地址也就是主机B，主机B在收到这个包后再转发给主机A完成一次完整的数据通讯。 这样就成功的实现了一次ARP欺骗攻击。,Page 39,对内网PC的网关欺骗（4）,Page 40,计算机病毒概念（1）,定义 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 计算机病毒的特征 传染性 未经授权而执行 隐蔽性 潜伏性 破坏性 不可预见性 计算机病毒的分类 按传染方式 引导型病毒,Page 41,计算机病毒概念（2）,文件型病毒 混合性病毒 蠕虫病毒 宏病毒 按连接方式 源码型病毒 入侵型病毒 操作系统型病毒 外壳型病毒 按破坏性 良性病毒 恶性病毒,Page 42,计算机病毒工作原理（1）,计算机病毒基本结构组成 整个病毒代码由3部分组成：引导部分、传染部分和表现部分 引导部分是将病毒主体加载到内存，为传染部分做准备 传染部分是将病毒代码复制到传染目标上去 表现部分则是用来表现病毒的破坏性 工作机理 引导机理 寄生对象：磁盘引导扇区；可执行文件 寄生方式：替代法；链接法 引导过程：驻留内存；窃取系统控制权 ；恢复系统功能,Page 43,计算机病毒工作原理（2）,传染机理 传染方式 ：被动传染 ；主动传染 传染过程 ：通过引导模块将传染模块驻留内存中；修改系统中断向量入口地址（例如INT 13H或INT 21H），使该中断向量指向病毒程序传染模块 。 破坏表现机理 设计原则、工作原理与传染机制基本相同 。 通过修改某一中断向量入口地址（一般为时钟中断INT 8H，或与时钟中断有关的其它中断，如INT 1CH），使该中断向量指向计算机病毒程序的破坏模块。 破坏目标和攻击部位主要是：系统数据区、文件、内存、系统运行、运行速度、磁盘、屏幕显示、键盘、喇叭、打印机、CMOS、主板等。,Page 44,典型计算机病毒（1）,引导型病毒 包括软盘引导型病毒、硬盘主引导记录病毒、分区引导记录病毒 工作原理：通过修改正常的磁盘引导记录来首先获得控制权，再修改相关的系统服务，以达到隐身、感染和驻留内存的目的。,Page 45,典型计算机病毒（2）,Page 46,典型计算机病毒（3）,文件型病毒 通过修改可执行文件入口点来控制计算机。 病毒感染COM文件。 病毒感染EXE文件。 CIH病毒 CIH病毒传播的主要途径是Internet和电子邮件。 当运行了带毒的程序后，CIH病毒驻留内存，再运行其它.exe文件时，首先在文件中搜索“caves”字符，如果没有发现就立即传染。 CIH病毒发作时硬盘数据、硬盘主引导记录、系统引导扇区、文件分配表被覆盖，造成硬盘数据特别是C盘数据丢失，并破坏部分类型的主板上的Flash BIOS导致计算机无法使用，是一种既破坏软件又破坏硬件的恶性病毒。,Page 47,典型计算机病毒（4）,Word宏病毒 概念：宏病毒是一种寄存在文档或模板的宏中的计算机病毒。 特点 病毒代码具有开放性 真正跨平台的病毒 作用机制：word宏病毒至少包含一个以上的自动宏（AutoOpen, AutoClose, AutoExec, AutoExit, AutoNew等），或一个以上的标准宏（FileOpen, FileSaveAs等）。一旦病毒宏侵入word系统，它就会替代原有的正常宏，使word系统在读取染毒文件时遭受感染，导致以后所有新建的DOC文件都被感染。 宏病毒与传统的文件型病毒有很大不同，它不感染.EXE和.COM等可执行文件，而是将病毒代码以“宏”的形式潜伏在Office文件中，主要感染Word和Excel等文件，当采用Office软件打开这些染毒文件时，这些代码就会被执行并产生破坏作用。,Page 48,典型计算机病毒（5）,Melissa（梅丽莎）病毒 Melissa（梅丽莎）病毒是专门针对微软电子邮件服务器MS Exchange和电子邮件收发软件Out1ookExpress的Word宏病毒 。这种病毒是一种Word文档附件，由E-mall携带传播扩散。 运行过程 该病毒关闭Microsoft Word宏安全。 保存一个新的全局模板文件。 该病毒覆盖在其目录中找到的第一个文档。 如果时间的分钟数与日期中的号数相同，那么该病毒在当前活动文档中插入一段文字“K-W-Y-J-I-B-O Kwyjibo. Twenty-two points, plus triple-word-score, plus fifty-points for using all my letters. Games over. Im outta here” 。 之后，Melissa读取用户的Outlook地址簿，并向地址簿中的前50个邮件地址发送该病毒。,Page 49,典型计算机病毒（6）,蠕虫病毒 定义：计算机蠕虫是自包含的程序（或一套程序），它能传播其自身功能的拷贝或它的某些部分到其他的计算机系统中（经过网络连接）。蠕虫病毒不需要将其自身附着到宿主程序。 蠕虫的基本程序结构 传播模块：负责蠕虫的传播 。 隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现。 目的功能模块：实现对计算机的控制、监视或破坏等功能。 工作机理： 蠕虫程序进入操作系统后，产生一个线程来执行它 第一步，蠕虫寻找一个网络接口，通过这一接口向与它相连的计算机发送它自己的一个拷贝 第二步，蠕虫在内存中精确地复制自己，由一个进程复制为两个，再复制为四个，不断重复，占据绝大多数的内存资源，直至系统瘫痪。,Page 50,典型计算机病毒（7）,熊猫烧香病毒 概念：熊猫烧香病毒是一个感染型的蠕虫病毒，病毒进程“spoclsv.exe”。病毒发作时的表现： 运行过程 拷贝文件 ：把自己拷贝到C:WINDOWSSystem32Driversspoclsv.exe。 添加注册表自启动 ：添加自启动项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionRunsvcshare-C:WINDOWSSystem32Driversspoclsv.exe。,Page 51,典型计算机病毒（8）,病毒发作 每隔1秒寻找桌面窗口，并关闭窗口标题程序；中止系统进程 每隔18秒点击病毒作者指定的网页，并用命令行检查系统中是否存在共享 每隔10秒下载病毒作者指定的文件，并用命令行检查系统中是否存在共享 每隔6秒删除安全软件在注册表中的键值 感染文件：病毒会感染扩展名为exe、pif、com、src的文件，把自己附加到文件的头部。 删除文件：病毒会删除扩展名为gho的文件。,Page 52,病毒的防范与清除（1）,病毒防范的原理 病毒免疫原理：传染标识 针对某种病毒进行免疫 基于完整性检查的免疫：为可执行程序增加一个免疫外壳，同时在免疫外壳中记录有关用于恢复自身的信息。 防病毒技术 病毒特征代码法 ：将新发现的病毒加以分析后，根据其特征编成病毒代码，加入数据库中。当执行杀毒程序扫描程序文件时，用作病毒代码对比，从而检测是否有病毒。 校验和法 ：在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染。 人工智能检测技术 ：首先总结病毒行为，在对电脑行为进行常驻内存式监测时，如果发现与总结的病毒行为有吻合的情况，给出警报。,Page 53,病毒的防范与清除（2）,软件模拟法 ：开始运行时，使用特征代码法监测病毒，如果发现隐蔽病毒或多态性病毒嫌疑时，启动软件模拟模块，监测病毒的运行，待病毒自身的密码破译后，再运用特征代码法来识别病毒的种类。 先知扫描法：根据统计分析原理，将病毒行为归纳为知识库，对病毒进行检测。 病毒清除的原理 清除内存中的病毒 清除磁盘中的病毒 病毒发作后的善后处理 病毒的清除方法 手工清除：使用DEBUG，PCTOOLS等工具，需要熟练的技能和丰富的知识 。 软件自动杀毒。,Page 54,CIH病毒手工防范,CIH病毒识别 运行“写字板” Notepad.exe软件 搜索特征串“CIH v” ：若搜索出一大堆符合查找特征的可执行文件，则表明该计算机已经感染了CIH病毒。 CIH病毒查找与防范 Windows PE文件中搜索IMAGE_NT_SIGNATURE字段（0 x00004550 ）其代表的识别字符为“PE00” 。 查看其前一个字节是否为0 x00 若发现病毒：先处理掉两个转跳点，即搜索：5E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串，将这两个特征串中的CC改90（nop）。 接着搜索 CD 20 53 00 01 00 83 C4 20 与 CD 20 67 00 40 00特征字串，将其全部修改为90。,Page 55,常见杀毒软件,瑞星杀毒软件2009版 金山毒霸2009版 江民杀毒软件2009版 诺顿杀毒软件2009版 卡巴斯基杀毒软件2009版 Mcafee VirusScan2009版,Page 56,作业,计算机病毒的工作原理是什么？ 文件型病毒的原理及结构是什么？是否会感染Word、Excel文件？ 许多宏病毒不能被手工清除的主要原因是什么？,Page 57,