计算机病毒与计算机安全课件

第第8章计算机病毒与计算机安全章计算机病毒与计算机安全 8.1 计算机病毒概述2020/11/41第第8章计算机病毒与计算机安全章计算机病毒与计算机安全病毒的定义和特点传统病毒传统病毒:单机单机现代病毒现代病毒:网络网络蠕虫病毒蠕虫病毒木马病毒木马病毒 确诊病毒确诊病毒清除病毒清除病毒预防病毒预防病毒杀毒软件杀毒软件专杀工具专杀工具手工清除手工清除根据具体病毒特征根据具体病毒特征网上免费查毒网上免费查毒冲击波冲击波:CPU占用占用100%欢乐时光欢乐时光:Desktop.ini Folder.htt 资料：资料：病毒的发展史病毒的发展史2020/11/42第第8章计算机病毒与计算机安全章计算机病毒与计算机安全 计算机病毒的定义计算机病毒的定义 19941994年年2 2月月1818日日，我我国国颁颁布布的的中中华华人人民民共共和和国国计计算算机机信信息息系系统统安安全全保保护护条条例例，第第二二十十八八条条中中明明确确指指出出：“计计算算机机病病毒毒，是是指指编编制制或或者者在在计计算算机机程程序序中中插插入入破破坏坏计计算算机机功功能能或或者者毁毁坏坏数数据据，影影响响计计算算机机使使用用，并并能能自我复制的程序代码。自我复制的程序代码。”主要特点：主要特点：破坏性，传染性，隐蔽性，可触发性破坏性，传染性，隐蔽性，可触发性 8.1.1 计算机病毒的概念计算机病毒的概念 2020/11/43第第8章计算机病毒与计算机安全章计算机病毒与计算机安全1.传统病毒（单机环境下）传统病毒（单机环境下）引导型病毒：引导型病毒：就是用病毒的全部或部分逻辑取代正常的就是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其它地方，引导记录，而将正常的引导记录隐藏在磁盘的其它地方，这样系统一启动病毒就获得了控制权。如这样系统一启动病毒就获得了控制权。如“大麻大麻”病毒病毒和和“小球小球”病毒病毒 。文件型病毒：文件型病毒：病毒寄生在可执行程序体内，只要程序被病毒寄生在可执行程序体内，只要程序被执行，病毒也就被激活，病毒程序会首先被执行，并将执行，病毒也就被激活，病毒程序会首先被执行，并将自身驻留在内存，然后设置触发条件，进行传染。如自身驻留在内存，然后设置触发条件，进行传染。如“CIHCIH病毒病毒”。8.1.2 计算机病毒的分类计算机病毒的分类 2020/11/44第第8章计算机病毒与计算机安全章计算机病毒与计算机安全宏宏病病毒毒：寄寄生生于于文文档档或或模模板板宏宏中中的的计计算算机机病病毒毒，一一旦旦打打开开带带有有宏宏病病毒毒的的文文档档，病病毒毒就就会会被被激激活活，并并驻驻留留在在NormalNormal模模板板上上，所所有有自自动动保保存存的的文文档档都都会会感感染染上上这这种种宏宏病病毒毒，如如“Taiwan Taiwan NO.1NO.1”宏宏病病毒毒 。混混合合型型病病毒毒：既既感感染染可可执执行行文文件件又又感感染染磁磁盘盘引引导导记记录的病毒。录的病毒。2020/11/45第第8章计算机病毒与计算机安全章计算机病毒与计算机安全2.现代病毒（网络环境下）现代病毒（网络环境下）蠕蠕虫虫病病毒毒：以以计计算算机机为为载载体体，以以网网络络为为攻攻击击对对象象，利利用用网网络络的的通通信信功功能能将将自自身身不不断断地地从从一一个个结结点点发发送送到到另另一一个个结结点点，并并且且能能够够自自动动启启动动的的程程序序，这这样样不不仅仅消消耗耗了了大大量量的的本本机机资资源源，而而且且大大量量占占用用了了网网络络的的带带宽宽，导导致致网网络络堵堵塞塞而而使使网网络络服服务务拒拒绝绝，最最终终造造成成整个网络系统的瘫痪。整个网络系统的瘫痪。例例如如“冲冲击击波波”病病毒毒：利利用用Windows远远程程过过程程调调用用协协议议（Remote Process Call，RPC）中中存存在在的的系系统统漏漏洞洞，向向远远端端系系统统上上的的RPC系系统统服服务务所所监监听听的的端端口口发发送送攻攻击击代代码码，从从而而达达到到传传播播的的目目的的。感感染染该该病病毒毒的的机机器器会会莫莫名名其其妙妙地地死死机机或或重重新新启启动动计计算算机机，IE浏浏览览器器不不能能正正常常地地打打开开链链接接，不不能能进进行行复复制制粘粘贴贴操操作作，有有时时还还会会出出现现应应用用程程序序异异常常如如Word无无法法正正常常使使用用，上上网网速速度度变变慢慢，在在任任务管理器中可以找到一个务管理器中可以找到一个“msblast.exe”的进程在运行。的进程在运行。2020/11/46第第8章计算机病毒与计算机安全章计算机病毒与计算机安全木木马马病病毒毒：是是指指在在正正常常访访问问的的程程序序、邮邮件件附附件件或或网网页页中中包包含含了了可可以以控控制制用用户户计计算算机机的的程程序序，这这些些隐隐藏藏的的程程序序非非法法入入侵侵并并监监控控用用户户的的计计算算机机，窃窃取取用用户户的的账账号号和和密密码码等等机密信息。机密信息。例例如如“QQQQ木木马马”病病毒毒：该该病病毒毒隐隐藏藏在在用用户户的的系系统统中中，发发作作时时寻寻找找QQQQ窗窗口口，给给在在线线上上的的QQQQ好好友友发发送送诸诸如如“快快去去看看看看，里里面面有有好好东东西西”之之类类的的假假消消息息，诱诱惑惑用用户户点点击击一一个个网网站站，如如果果有有人人信信以以为为真真点点击击该该链链接接的的话话，就就会会被被病毒感染，然后成为毒源，继续传播。病毒感染，然后成为毒源，继续传播。2020/11/47第第8章计算机病毒与计算机安全章计算机病毒与计算机安全1.1.计算机病毒的预防计算机病毒的预防 安装实时监控的杀毒软件或防毒卡，定期更新病毒库；安装实时监控的杀毒软件或防毒卡，定期更新病毒库；经常运行经常运行Windows UpdateWindows Update，安装操作系统的补丁程序；安装操作系统的补丁程序；安装防火墙工具安装防火墙工具,设置相应的访问规则设置相应的访问规则,过滤不安全的站点访问；过滤不安全的站点访问；不随意打开来历不明的电子邮件及附件；不随意打开来历不明的电子邮件及附件；不随意安装来历不明的插件程序；不随意安装来历不明的插件程序；不不随随意意打打开开陌陌生生人人传传来来的的页页面面链链接接，谨谨防防恶恶意意网网页页中中隐隐藏藏的的木木马马程序；程序；不使用盗版的游戏软件。不使用盗版的游戏软件。8.1.3 计算机病毒的防治计算机病毒的防治 预防为主，防治结合预防为主，防治结合2020/11/48第第8章计算机病毒与计算机安全章计算机病毒与计算机安全2.计算机病毒的清除计算机病毒的清除 1）使用杀毒软件）使用杀毒软件 金山毒霸金山毒霸 （）（）瑞星杀毒软件（）瑞星杀毒软件（）诺顿防毒软件（）诺顿防毒软件（）江民杀毒软件（江民杀毒软件（）2020/11/49第第8章计算机病毒与计算机安全章计算机病毒与计算机安全2）使用病毒专杀工具）使用病毒专杀工具2020/11/410第第8章计算机病毒与计算机安全章计算机病毒与计算机安全3）手动清除病毒）手动清除病毒适适用用于于对对计计算算机机的的操操作作相相当当熟熟练练，具具有有一一定定计计算算机机专专业业知知识识的的用用户户。利利用用病病毒毒程程序序自自启启动动的的特特点点，在在开开始始运运行行下下输输入入“regedit”打打开开注注册册表表编编辑辑程程序序，查查看看相相关关目目录录下下是是否否有有非非法法自自动动运运行行的的程程序序，有有的的话话就就可可以以手手动动删删除除这这些些病病毒毒程程序序项项，并并找找到到对对应应的的病病毒毒文文件件手手动将其物理删除。动将其物理删除。2020/11/411第第8章计算机病毒与计算机安全章计算机病毒与计算机安全3.病毒防卫意识病毒防卫意识病病毒毒只只要要一一发发作作，就就会会表表现现出出一一些些不不正正常常的的现现象象，例例如如机机器器运运行行速速度度明明显显变变慢慢，机机器器异异常常死死机机，出出现现黑黑屏屏现现象象，文文件件被被莫莫名名删删除除，程程序序无无法正常运行等等。法正常运行等等。2020/11/412第第8章计算机病毒与计算机安全章计算机病毒与计算机安全下下面面是是“震震荡荡波波”病病毒毒发发作作时时在在“windows任任务务管管理理器器”的的“进进程程”选选项卡下找到的病毒程序的进程，机器出现的异常关机提示。项卡下找到的病毒程序的进程，机器出现的异常关机提示。2020/11/413第第8章计算机病毒与计算机安全章计算机病毒与计算机安全 8.2 黑客与防火墙2020/11/414第第8章计算机病毒与计算机安全章计算机病毒与计算机安全10.2 网络安全技术网络安全技术以概念为主，了解黑客攻击大概过程以概念为主，了解黑客攻击大概过程 了解防火墙的基本概念及其作用了解防火墙的基本概念及其作用信息收集信息收集探测分析系统探测分析系统实施攻击实施攻击(2)(2)防火墙技术防火墙技术 金山防火墙金山防火墙 瑞星防火墙瑞星防火墙 什么是防火墙什么是防火墙防火墙的作用防火墙的作用常用防火墙常用防火墙(1)(1)黑客攻击技术黑客攻击技术资料：资料：网络黑客大事记网络黑客大事记 网络攻击史网络攻击史 为什么网络易被攻击和欺骗为什么网络易被攻击和欺骗2020/11/415第第8章计算机病毒与计算机安全章计算机病毒与计算机安全8.2.1 黑客常用的攻击方式黑客常用的攻击方式 黑黑客客（Hacker）一一般般指指的的是是计计算算机机网网络络的的非非法法入入侵侵者者，他他们们大大都都是是程程序序员员，对对计计算算机机技技术术和和网网络络技技术术非非常常精精通通，了了解解系系统统的的漏漏洞洞及及其其原原因因所所在在，喜喜欢欢非非法法闯闯入入并并以以此此作作为为一一种种智力挑战而沉迷其中。智力挑战而沉迷其中。1.黑客攻击的一般步骤：黑客攻击的一般步骤：1）信信息息收收集集：用用SNMP协协议议来来查查看看路路由由器器的的路路由由表表，了了解解目目标标主主机机内内部部拓拓扑扑结结构构的的细细节节，用用TraceRoute程程序序可可获获得得到到达达目目标标主主机机所所要要经经过过的的网网络络数数和和路路由由数数，用用Ping程程序序可以检测一个指定主机的位置并确定是否可到达等。可以检测一个指定主机的位置并确定是否可到达等。2020/11/416第第8章计算机病毒与计算机安全章计算机病毒与计算机安全2 2）探探测测分分析析系系统统的的安安全全弱弱点点：使使用用TelnetTelnet或或FTPFTP等等软软件件向向目目标标主主机机申申请请服服务务，如如果果目目标标主主机机有有应应答答就就说说明明开开放放了了这这些些端端口口的的服服务务。其其次次使使用用InternetInternet安安全全扫扫描描程程序序ISSISS（Internet Internet Security Security ScannerScanner）或或网网络络安安全全分分析析工工具具SATANSATAN等等来来对对整整个个网网络络或或子子网网进进行行扫扫描描，寻寻找找系系统统的的安安全漏洞，获取攻击目标系统的非法访问权。全漏洞，获取攻击目标系统的非法访问权。3 3）实实施施攻攻击击：在在受受到到攻攻击击的的目目标标系系统统安安装装探探测测器器软软件件，如如特特洛洛伊伊木木马马程程序序，在在目目标标系系统统中中建建立立新新的的安安全全漏漏洞洞或或后后门门，收收集集黑黑客客感感兴兴趣趣的的一一切切信信息息，如如账账号号与与口口令令等等敏敏感数据。感数据。2020/11/417第第8章计算机病毒与计算机安全章计算机病毒与计算机安全2.黑客的攻击方式黑客的攻击方式1）密码破解）密码破解 一一般般采采用用字字典典攻攻击击、假假登登录录程程序序和和密密码码探探测测程程序序等等来获取系统或用户的口令文件来获取系统或用户的口令文件。2）IP嗅探（嗅探（Sniffing）与欺骗）与欺骗(Spoofing)嗅嗅探探又又叫叫网网络络监监听听，通通过过改改变变网网卡卡的的操操作作模模式式让让它它接接受受流流经经该该计计算算机机的的所所有有信信息息包包，这这样样就就可可以以截截获获其他计算机的数据报文或口令。其他计算机的数据报文或口令。欺欺骗骗:即即将将网网络络上上的的某某台台计计算算机机伪伪装装成成另另一一台台不不同同的的主主机机，目目的的是是欺欺骗骗网网络络中中的的其其他他计计算算机机误误将将冒冒名名顶顶替替者者当当作作原原始始的的计计算算机机而而向向其其发发送送数数据据或或允允许许它它修修改改数数据据。如如IP欺欺骗骗、路路由由欺欺骗骗、DNS欺欺骗骗、ARP欺骗以及欺骗以及Web欺骗等。欺骗等。2020/11/418第第8章计算机病毒与计算机安全章计算机病毒与计算机安全3 3）系统漏洞）系统漏洞 利利用用系系统统中中存存在在的的漏漏洞洞如如“缓缓冲冲区区溢溢出出”来来执执行行黑客程序。黑客程序。4 4）端口扫描）端口扫描 查查看看系系统统中中哪哪些些端端口口对对外外开开放放，然然后后利利用用这这些些端端口口通通信信来来达达到到入入侵侵的的目目的的。如如“冰冰河河V8.0V8.0”木木马马就是利用了系统的就是利用了系统的20012001号端口。号端口。2020/11/419第第8章计算机病毒与计算机安全章计算机病毒与计算机安全8.2.2 防止黑客攻击的策略防止黑客攻击的策略1 1）数据加密：）数据加密：提高了数据传输的安全性。提高了数据传输的安全性。2 2）身身份份认认证证：只只对对确确认认了了身身份份的的用用户户给给予予相相应应的的访访问问权限权限 。3 3）建建立立完完善善的的访访问问控控制制策策略略：设设置置入入网网访访问问权权限限、网网络络共共享享资资源源的的访访问问权权限限、目目录录安安全全等等级级控控制制、网网络络端端口和结点的安全控制、防火墙的安全控制等。口和结点的安全控制、防火墙的安全控制等。4 4）审审计计：记记录录与与安安全全有有关关的的事事件件，保保存存在在日日志志文文件件以以备查询。备查询。2020/11/420第第8章计算机病毒与计算机安全章计算机病毒与计算机安全5 5）其他安全防护措施：）其他安全防护措施：不随便从不随便从InternetInternet上下载软件上下载软件不运行来历不明的软件不运行来历不明的软件不随便打开陌生人发来的邮件附件不随便打开陌生人发来的邮件附件不随意去点击具有欺骗诱惑性的网页超级链接不随意去点击具有欺骗诱惑性的网页超级链接 2020/11/421第第8章计算机病毒与计算机安全章计算机病毒与计算机安全8.2.3 防火墙技术防火墙技术 1.1.防防火火墙墙概概述述 防防火火墙墙是是设设置置在在被被保保护护的的内内部部网网络络和和外外部部网网络络之之间间的的软软件件和和硬硬件件设设备备的的组组合合，对对内内部部网网络络和和外外部部网网络络之之间间的的通通信信进进行行控控制制，通通过过监监测测和和限限制制跨跨越越防防火火墙墙的的数数据据流流，尽尽可可能能地地对对外外部部屏屏蔽蔽网网络络内内部部的的结结构构、信信息息和和运运行行情况。情况。2020/11/422第第8章计算机病毒与计算机安全章计算机病毒与计算机安全2.防火墙的主要类型防火墙的主要类型1 1）包包过过滤滤防防火火墙墙：在在网网络络层层对对数数据据包包进进行行分分析析、选选择择和和过过滤滤。通通过过系系统统内内设设置置的的访访问问控控制制表表，指指定定允允许许哪哪些些类类型型的的数数据据包包可可以以流流入入或或流流出出内内部部网网络络。一一般般可可以以直直接接集集成成在在路路由由器器上上，在在进进行路由选择的同时完成数据包的选择与过滤。行路由选择的同时完成数据包的选择与过滤。特特点点：速速度度快快、逻逻辑辑简简单单、成成本本低低、易易于于安安装装和和使使用用，但但配配置置困难，容易出现漏洞。困难，容易出现漏洞。2 2）应应用用代代理理防防火火墙墙：防防火火墙墙内内外外计计算算机机系系统统间间应应用用层层的的连连接接由由两两个个代代理理服服务务器器的的连连接接来来实实现现，使使得得网网络络内内部部的的计计算算机机不不直直接接与与外外部部的的计计算算机机通通信信，同同时时网网络络外外部部计计算算机机也也只只能能访访问问到到代代理理服服务务器器，从从而而起起到到隔隔离离防防火火墙墙内内外外计计算算机机系系统统的的作作用用。但但执执行速度慢，操作系统容易遭到攻击。行速度慢，操作系统容易遭到攻击。2020/11/423第第8章计算机病毒与计算机安全章计算机病毒与计算机安全3 3）状状态态检检测测防防火火墙墙：在在网网络络层层由由一一个个检检查查引引擎擎截截获获数数据据包包并并抽抽取取出出与与应应用用层层状状态态有有关关的的信信息息，并并以以此此作作为为依依据据决决定定对对该该数数据据包包是是接接受受还还是是拒拒绝绝。状状态态检检测测防防火火墙墙克克服服了了包包过过滤滤防防火火墙墙和和应应用用代代理理防防火火墙墙的的局局限限性性，能能够够根根据据协协议议、端端口口及及IPIP数数据据包包的的源源地地址址、目目的的地地址址的的具具体体情情况况来来决决定定数数据包是否可以通过。据包是否可以通过。3.常见的防火墙常见的防火墙Windows Windows 防防火火墙墙,这这是是windows windows xpxp操操作作系系统统自自带带的的防防火火墙墙,可可以以限限制制从从其其他他计计算算机机上上发发送送来来的的信信息息，更更好好地地控控制制自自己己计计算算机机上上的的数数据据，这这样样就就对对那那些些未未经经允允许许而而尝尝试试连连接接的的用用户或程序（包括病毒和蠕虫）提供了一道屏障。户或程序（包括病毒和蠕虫）提供了一道屏障。2020/11/424第第8章计算机病毒与计算机安全章计算机病毒与计算机安全天天网网个个人人防防火火墙墙,属属于于包包过过滤滤类类型型防防火火墙墙，根根据据系系统统预预先先设设定定的的过过滤滤规规则则以以及及用用户户自自己己设设置置的的过过滤滤规规则则来来对对网网络络数数据据的的流流动动情情况况进进行行分分析析、监监控控和和管管理理，能能够够有有效效地地提提高高计计算机的抗攻击能力。算机的抗攻击能力。瑞瑞星星企企业业级级防防火火墙墙RFW-100RFW-100,一一种种混混合合型型防防火火墙墙，集集状状态态包包过过滤滤、应应用用层层专专用用代代理理、敏敏感感信信息息的的加加密密传传输输和和详详尽尽灵灵活活的的日日志志审审计计等等多多种种安安全全技技术术于于一一身身，可可根根据据用用户户的的不不同同需需求求，提提供供强强大大的的访访问问控控制制、信信息息过过滤滤、代代理理服服务务和和流流量统计等功能。量统计等功能。2020/11/425第第8章计算机病毒与计算机安全章计算机病毒与计算机安全 8.3 计算机安全概述2020/11/426第第8章计算机病毒与计算机安全章计算机病毒与计算机安全 1计算机安全的定义计算机安全的定义 实体安全：实体安全：计算机硬件系统及其附属设备的安全计算机硬件系统及其附属设备的安全 软件安全软件安全：防止软件的非法复制等：防止软件的非法复制等 数据安全：数据安全：计算机安全的核心计算机安全的核心 运行安全：运行安全：强调管理机构、制度和工作人员强调管理机构、制度和工作人员 一切影响计算机安全的因素和保障计算机安全的措施一切影响计算机安全的因素和保障计算机安全的措施都是计算机安全所研究的内容都是计算机安全所研究的内容2020/11/427第第8章计算机病毒与计算机安全章计算机病毒与计算机安全 2.计算机网络信息安全计算机网络信息安全Internet所所使使用用的的TCP/IP协协议议是是一一个个基基于于相相互互信信任任环环境境下下的的协协议议体体系系，它它的的IP层层没没有有安安全全认认证证和和保保密密机机制制(只只基基于于IP地地址址进进行行数数据据包包的的寻寻址址，无无认认证证和和保保密密)。在传输层，在传输层，TCP连接能被欺骗、截取、操纵。连接能被欺骗、截取、操纵。黑客攻击：网络的开放性使得远程攻击成为可能。黑客攻击：网络的开放性使得远程攻击成为可能。2020/11/428第第8章计算机病毒与计算机安全章计算机病毒与计算机安全 3网络信息安全的技术对策网络信息安全的技术对策信信息息加加密密：现现代代密密码码算算法法不不仅仅可可以以实实现现加加密密，还还可可以以实实现现数数字字签签名名、鉴鉴别别等等功功能能，有有效效地地对对抗抗截截收收、非非法法访访问问、破破坏坏信信息息的的完完整整性性、冒冒充充、抵抵赖赖、重重演演等等威威胁胁，因因此此，密密码码技技术术是是信信息息网网络络安安全的核心技术。全的核心技术。2020/11/429第第8章计算机病毒与计算机安全章计算机病毒与计算机安全 3网络信息安全的技术对策网络信息安全的技术对策数数字字签签名名：数数字字签签名名采采用用一一种种数数据据交交换换协协议议，接接受受方方能能够够鉴鉴别别发发送送方方所所宣宣称称的的身身份份；发发送送方方以以后后不不能能否否认认他他发发送送过过数数据据这这一一事事实实。数数据据签签名名一一般般采采用用不不对对称称加加密密技技术术，发发送送方方对对整整个个明明文文进进行行加加密密变变换换，得得到到一一个个值值，将将其其作作为为签签名名。接接收收者者使使用用发发送送者者的的公公开开密密钥钥对对签签名名进进行行解解密密运运算算，如如其其结结果果为为明明文文，则则签签名名有有效效，证证明明对对方方身份是真实的。身份是真实的。2020/11/430第第8章计算机病毒与计算机安全章计算机病毒与计算机安全3网络信息安全的技术对策网络信息安全的技术对策身身份份鉴鉴别别：身身份份鉴鉴别别和和消消息息内内容容鉴鉴别别。数数字字签签名名是是较较好的鉴别方法好的鉴别方法访访问问控控制制：基基于于源源地地址址和和目目标标地地址址的的过过滤滤管管理理、网网络络签证技术等签证技术等防防火火墙墙：过过滤滤进进、出出网网络络的的数数据据；管管理理进进、出出网网络络的的访访问问行行为为；封封堵堵某某些些禁禁止止行行为为；记记录录通通过过防防火火墙墙的的信信息息内容和活动；对网络攻击进行检测和告警。内容和活动；对网络攻击进行检测和告警。2020/11/431第第8章计算机病毒与计算机安全章计算机病毒与计算机安全 8.4 计算机知识产权与网络道德2020/11/432