电子商务安全：第3章 计算机病毒防治与黑客攻防

第3章 计算机病毒防治与黑客的防范计算机病毒的概念2023-2-28定义：计算机病毒是一段附着在其他程序上的可以实现自我繁殖的程序代码。（国外）定义：计算机病毒是指破坏计算机功能或者数据，并能自我复制的程序。（国内）病毒发展史：1977年科幻小说The Adolescence of P-1描写计算机病毒1983年Fred Adleman首次在VAX 11/750上试验病毒；1986年Brain病毒在全世界传播；1988年11月2日Cornell大学的Morris编写的Worm病毒袭击美国6000台计算机，直接损失近亿美元；八十年代末，病毒开始传入我国计算机病毒的概念（续）病毒的特征：传染性；寄生性；衍生性；隐蔽性；潜伏性；可触发性；夺取控制权；破坏性与危害性2023-2-28计算机病毒的分类 按破坏性分为：良性；恶性。按激活时间分为：定时；随机 按传染方式分为：引导型：当系统引导时进入内存，控制系统；文件型：病毒一般附着在可执行文件上；混合型：既可感染引导区，又可感染文件。按连接方式分为：OS型：替换OS的部分功能，危害较大；源码型：要在源程序编译之前插入病毒代码；较少；外壳型：附在正常程序的开头或末尾；最常见；入侵型：病毒取代特定程序的某些模块；难发现。2023-2-28计算机病毒的分类（续）按照病毒特有的算法分为：伴随型病毒：产生EXE文件的伴随体COM，病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。“蠕虫”型病毒：只占用内存，不改变文件，通过网络搜索传播病毒。寄生型病毒：除了伴随和“蠕虫”型以外的病毒，它们依附在系统的引导扇区或文件中。变型病毒（幽灵病毒）：使用复杂算法，每传播一次都具有不同内容和长度。一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。2023-2-28常见的计算机病毒蠕虫病毒网络病毒脚本病毒宏病毒后门病毒CIH病毒计算机病毒的组成 病毒的组成：安装模块：提供潜伏机制；传播模块：提供传染机制；触发模块：提供触发机制；其中，传染机制是病毒的本质特征，防治、检测及杀毒都是从分析病毒传染机制入手的。2023-2-28计算机病毒的症状 病毒的症状：启动或运行速度明显变慢；文件大小、日期变化；死机增多；莫名其妙地丢失文件；磁盘空间不应有的减少；有规律地出现异常信息；自动生成一些特殊文件；无缘无故地出现打印故障。2023-2-28计算机病毒的传播途径1）通过不可移动的设备进行传播 较少见，但破坏力很强。2）通过移动存储设备进行传播 最广泛的传播途径3）通过网络进行传播 反病毒所面临的新课题4）通过点对点通讯系统和无线通道传播 预计将来会成为两大传播渠道2023-2-28病毒的防治v网络环境下的病毒防治原则与策略 防重于治，防重在管：制度；注册、权限、属性、服务器安全；集中管理、报警。综合防护：木桶原理；防火墙与防毒软件结合最佳均衡原则：占用较小的网络资源管理与技术并重正确选择反毒产品多层次防御：病毒检测、数据保护、实时监控注意病毒检测的可靠性：经常升级；两种以上。2023-2-28病毒的防治（续）防毒：预防入侵；病毒过滤、监控、隔离查毒：发现和追踪病毒；统计、报警解毒：从感染对象中清除病毒；恢复功能v病毒检测的方法直接观察法：根据病毒的种种表现来判断特征代码法：采集病毒样本，抽取特征代码 特点：能快速、准确检验已知病毒，不能发现未知的病毒。2023-2-28病毒的防治（续）校验和法：根据文件内容计算的校验和与以前的作比较。优点：能判断文件细微变化，发现未知病毒。缺点：当软件升级、改口令时会产生误报；不能识别病毒名称；对隐蔽性病毒无效。行为监测法：基于对病毒异常行为的判断 特点：发现许多未知病毒；可能误报，实施难软件模拟法：一种软件分析器，用软件方法来模拟和分析程序的运行。特点：可用于对付多态病毒。2023-2-28病毒的防治（续）反病毒软件的选择1）扫描速度 30秒能扫描1000个以上文件2）识别率3）病毒清除测试著名杀毒软件公司冠群金辰 KILL瑞星 RAV北京江民 KV3000信源 LAN VRV赛门铁克 Norton Anti Virus时代先锋（行天98） 2023-2-28病毒的防治（续）反病毒软件工作原理1）病毒扫描程序 串扫描算法:与已知病毒特征匹配；文件头、尾部 入口扫描算法：模拟跟踪目标程序的执行 类属解密法：对付多态、加密病毒2）内存扫描程序：搜索内存驻留文件和引导记录病毒3）完整性检查器：能发现新的病毒；但对于已被感染的系统使用此方法，可能会受到欺骗。4）行为监测器：是内存驻留程序，监视病毒对可执行文件的修改。防止未知的病毒2023-2-28病毒的发展趋势 攻击对象趋于混合型；反跟踪技术；增强隐蔽性：避开修改中断向量值；请求在内存中的合法身份；维持宿主程序外部特征；不用明显感染标志 采用加密技术，使得对病毒的跟踪、判断更困难；繁衍不同的变种。2023-2-28网络攻击黑客2023-2-28网络攻击阶段及工具攻击的阶段性侦察扫描拒绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统的攻击获得访问权使用网络攻击获得访问权维护访问权2023-2-28网络攻击阶段及工具（续）侦察扫描决绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统的攻击获得访问权使用网络攻击获得访问权维护访问权2023-2-28侦察侦察是攻击的第一步，这就如同匪徒一般侦察是利用公开的、可利用的信息来调查攻击目标侦察包括以下技术低级技术侦察Web搜索Whois数据库域名系统（DNS）侦察通用的目标侦察工具2023-2-28低级技术侦察社交工程物理闯入垃圾搜寻你能找出垃圾搜寻的例子吗？2023-2-28Web搜索 搜索一个组织自己的web站点 有电话号码的职员联系信息 关于公司文化和语言的信息 商务伙伴 最近的合并和兼并公司 正使用的技术 使用搜索引擎 .hk 搜索论坛 BBS（电子公告栏）Usenet（新闻组）2023-2-28Whois数据库搜索什么是whois数据库：包括各种关于Internet地址分配、域名和个人联系方式的数据库研究.com,.net,.org域名 研究非.com,.net和.org域名国家代码:教育(.edu):军事代码(.mit):whois.nic.mit政府(.gov):whois.nic.gov2023-2-28Whois数据库搜索(续)搜索目标域名2023-2-28Whois数据库搜索(续)搜索目标IP美国Internet注册局： Spade工具Netscantools基于web的工具2023-2-28网络攻击阶段及工具（续）侦察扫描决绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统的攻击获得访问权使用网络攻击获得访问权维护访问权2023-2-28扫描扫描是在侦察之后，企图发现目标的漏洞扫描需要花费许多时间2023-2-28扫描内容战争拨号网络测绘端口扫描漏洞扫描躲避IDS2023-2-28战争拨号战争拨号是搜寻调制解调器查找电话号码：电话薄、Intenet、whois、web站点、社交工程工具THCscan 2.02023-2-28网络测绘网络测绘是绘制目标的网络拓扑结构发现活跃主机 Ping TCP或UDP数据包扫描跟踪路由：Traceroute（UNIX）Tracert（Windows）网络测绘工具Cheops：http:/ 漏洞扫描寻找以下漏洞 一般的配置错误 默认的配置缺点 知名系统的漏洞 漏洞扫描的组成 漏洞数据库 用户配置工具 扫描引擎 当前活跃的知识库 结果库和报告生成工具漏洞数据库用户配置工具扫描引擎活跃的知识库结果库和报告生成2023-2-28漏洞扫描工具SARA， 躲避IDS CGI：whisker()URL编码/./目录插入 过早结束的URL 长URL 假参数 TAB分隔 大小写敏感 Windows分隔符()空方法 会话拼接（在网络层分片）2023-2-28网络攻击阶段及工具侦察扫描决绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统的攻击获得访问权使用网络攻击获得访问权维护访问权2023-2-28使用应用程序和操作系统的攻击获得访问权在获得目标潜在的漏洞之后，攻击者将设法获得对目标系统的访问权脚本小孩的攻击过程：查找漏洞数据库下载工具发送攻击真正的攻击者：自己动手！2023-2-28总结反击黑客是一件极为困难的工作网络攻击工具是一面双刃剑