信息安全技术丛书
退出
学习目的,
?了解黑客攻击原理,掌握黑客防范技术
?了解电脑病毒的感念、特征与分类
?了解电脑病毒传播途径,掌握检测方法
?掌握单机和小型局域网下电脑病毒防范技术
?了解大型网络的电脑病毒防范技术
?了解常见的防杀病毒软件与防火墙产品
?掌握防杀毒软件的安装、软件升级、使
用方法、以及最新病毒信息查询方法
?掌握常见防火墙产品安装、升级、使用,以及防
止黑客攻击技术和反特洛伊木马程序的使用
学习重点,
? 黑客攻击原理与黑客防范技术
? 常见的防火墙产品安装、使用和升级方法
? 电脑病毒的概念、特征
? 电脑病毒的传播途径与检测技术
? 单机和局域网下电脑病毒的防范技术
? 常见的电脑病毒防范产品的安装、使用和升级方法,
以及最新病毒资讯查询和各大著名反病毒网站的在线
杀毒和求助方法
5.1
黑客及防范
技术
5.1.1 黑客原理
黑客 ( Hacker) 的定义,
?黑客最初是指 技术通常十分高超的有强制力的计
算机程序员
?现在则指一批掌握计算机知识和技能,能破解加密
程序,窃取或破坏信息并以此作为业余爱好或半职
业、职业手段的人
?黑客的特点,
?一般为男性,很少有女性;
?主要是年轻人;
?计算机迷;
?聪明;
?工作狂;
?对理解,预测和控制极端感兴趣。
?黑客的类型,
?恶作剧型
?制造矛盾型
?信息截取型
?病毒袭击型
?窺密型
?商业间谍型
?事后报复型
?黑客的攻击手段,
?密码破解 (Crack)
?拒绝服务攻击 ( Denial of Service)
?IP欺骗 (Spoofing)
?缓冲区溢出攻击
?扫描
?特洛伊木马程序攻击
?电子邮件攻击
?其它手段
C SYN O
C SYN+ACK O
C ACK O
?IP欺骗 (Spoofing),
假设黑客主机是 H(Hacker),攻击目标服务器
是 O(Objective), 被 O 信 任 的 客 户 主 机 是
C(Client)。 客户 C与服务器 O建立一个 TCP通信连
接, 他们之间需要三次握手, 具体流程如下,
?IP欺骗攻击过程,
1.黑客 H发现 服务器 O与 客户 C的信任关系
2.用拒绝服务 攻击 客户 主机 C,使其瘫痪
3.猜测 ISN及其变化规律 攻击 服务器 主机 O
4.设置 服务器 主机 O的, 后门,,方便下次攻击
?黑客一般攻击过程描述,
1.隐藏攻击身份和位置
2.收集目标系统信息
3.安全漏洞的挖掘与分析
4.获取目标使用权限
5.隐藏攻击活动
6.攻击活动实施
7.开辟后门
8.攻击痕迹清除
?黑客防范技术,
1.针对密码破解的防范技术
提高警惕, 不要把密码 ( 口令 ) 写下来, 不要
告诉别人, 不要让人看见, 不要把口令存在网页和
文件中或调制解调器的字符串存储器中;设置一些
容易记住又难以猜测的密码, 比如有位数足够长的,
大小写混合的, 有字符, 数字, 标点符号, 控制字
符和空格混合的密码串;防止使用不安全的口令,
不要在不同系统使用同一口令, 不要交替使用几个
固定口令, 记住要常改口令
2,针对拒绝服务攻击的防范技术
利用系统管理员权限为系统设置各种级别
的使用权限, 比如最大的内存, 最大的 CPU时间,
可以生成的最大文件等 。
3.针对 IP欺骗防范技术
如果是来自网络外部的 IP欺骗, 可以在局域网的对外
路由器里设置不允许声称来自内部网络中的机器的包通过
就可以防住了, 当然同时不要忘记配置网络防火墙 。 如果
IP欺骗的主机与被攻击目标在同一局域网中, 攻击很容易
得手且不好防范, 这就是家贼难防 。 有些与外部网络相连
的路由器有支持内部子网的两个接口, 很容易受到 IP欺骗,
这也就是或许把 Web服务器放倒防火墙外面会更安全的原
因 。 IP欺骗也可以通过检查数据报来监控 。 用 netlog或
类似的数据报监控工具来检查外接口上的数据报, 如果发
现数据报的两个地址, 即源地址和目的地址都是本地域内
地址, 就说明有黑客准备攻击系统了 。 netlog工具软件可
以通过匿名 FTP下载,
ftp://net.tamu.edu/pub/security/TAMU/netlog1.2.ta
r.gz
4.针对 缓冲区溢出攻击的防范 技术
缓冲区溢出攻击有巨大的危害, 现在许多系
统都开发了各种各样的, 补丁, 程序弥补缓冲区
溢出缺陷 。 如果没有, 补丁, 程序可用, 则暂时
的好办法是在防火墙上阻塞 ping( 比如只让那些
64字节长的 ping通过, 而阻止那些长于 1K的
ping), 但是寻找到操作系统的, 补丁, 程序才
是解决问题的正道 。
5.针对 电子邮件攻击的防范 技术
电子邮件往往给收件人带来很大的损害 。 针对
假冒邮件等欺骗, 坚决不要轻易上当按黑客的指
示去办, 而是通过正常渠道发封邮件和打个电话
询问证实邮件内容的真伪 。 电子邮件轰炸是拒绝
服务攻击的一种, 黑客很容易得手 。 当发现有邮
件服务器被攻击现象, 比如邮件收发速度变慢或
根本不能收发, 则管理员应迅速确定邮件炸弹的
攻击源, 并立即调整防火墙或路由器的配置, 过
虑掉那些来自源头的数据包 。
6.防范黑客攻击的有效工具-防火墙
防火墙主要采用包过滤, 电路网关, 应用网
关, 网络地址转化, 病毒防火墙, 邮件过滤, 状
态表检查等技术, 作为内网与外网之间的门户,
对其间的信息交流进行全面管理, 对用户使用网
络进行控制和记录 。
防火墙的特点是:所有出入内部网络的信息
流都必须经过防火墙;只有授权放行的信息流才
能通过防火墙;防火墙本身对内网是透明的 。
防火墙 类型,分为网络级防火墙和应用网关
防火墙两种类型 。
常见防火墙及其升级网址,
(1) 天网防火墙 SkyNet v2.50
http://www.sky.net.cn
(2) 蓝盾防火墙个人版
http://www.bluedon.com
(3) 瑞星个人防火墙
http://www.rising.com.cn
(4) 江民反黑王
http://www.jiangmin.com
(5) 美国赛门铁克 ( Symantec) 公司的诺顿防火墙
http://www.symantec.com
5.1.4 特洛伊木马简介
特洛伊木马 (Trojanhorse)定义:是一种基于远
程控制的黑客工具,其名取自希腊神话, 特洛伊木
马记, 。
特洛伊木马 (Trojanhorse)作用木马程序通过
窃取手段获得服务端的大部分操作权限,然后大肆
窃取密码、操作文件、修改注册表、控制鼠标键盘、
监视系统操作等。
木马组成
木马系统,
*硬件部分 *软件部分
*连接部分
硬件部分 软件部分
* 控制端 * 控制端程序
* 服务端 * 木马配置程序
* 网络 * 木马程序
木马攻击原理六个步骤,
*配置木马
*传播木马
*运行木马
*信息泄露
*建立连接
*远程控制
?木马防范技术,
防范木马必须,
* 删除木马启动标志
* 切断传播木马的途径,
一 是防止从邮件窗波木马
二 是防止从下载的软件中传播木马
?Email是否夹带木马程序三种判断方法,
一 是看图标, Email的附件基本上是 TXT,HTML这
两类文件, 假如发
现附件是 EXE文件, 或其它文件, 就要注意是否
夹带木马程序;
二 是测长度, 一般来说, 木马程序都在 100K以上,
而 TXT,HTML文件大都不会这么大;
三 是打开附件时观反应 。
5.2
病毒简介
5.2.1 病毒的概念
?广 义上讲凡能够引起计算机故障, 破坏计算机数据
的程序统称为计算机病毒 。
?1994年 2月 18日, 国家正式颁布实施了, 中华人民共
和国计算机信息系统安全保护条例,, 在第二十八条
中明确指出,计算机病毒是指编制或者在计算机程序
中插入的破坏计算机功能或者毁坏数据影响计算机使
用并能自我复制的一组计算机指令或者程序代码 。
?电脑病毒发展( 三个阶段 )
? 初期产生
( 从 1949年到 1987年第一只电脑病毒, C-BRAIN”
的诞生是病毒的初期产生阶段 )
? 早期蓬勃发展
( 从 1987年到 1995年网络在世界范围内普及前,
应该是病毒的早期蓬勃发展阶段 )
? 网络迅猛泛滥
( 1995年至今, 随着网络在世界范围内普及,
电脑病毒进入了 网络迅猛泛滥阶段 )
?电脑病毒特征,
? 人为的特制程序
? 具有自我复制能力
? 很强的感染性
? 一定的潜伏性
? 特定的触发性
? 很大的破坏性
? 不可预见性
5.2.2 电脑病毒特征及分类
?电脑病毒分类,
下面以病毒的属性对病毒进行简单分类。
? 根据病毒存在的媒体, 病毒可以划分为网络病毒,
文件病毒和引导型病毒;
? 根据病毒的传染方法, 病毒可分为驻留型病毒和非
驻留型病毒;
? 根据病毒破坏的能力, 可划分为无害型病毒, 无危
险型病毒, 危险型病毒和非常危险型病毒;
? 根据病毒特有的算法, 病毒可划分为伴随型病毒,
,蠕虫, 型病毒, 寄生型病毒, 练习型病毒, 诡秘型
病毒和幽灵病毒等等 。
? 总之, 病毒的分类方法会随着不断出现的新病毒而
改变 。
5.3
病毒检测技术
5.3.1 病毒的传播途径
?四种传播途径
第一种途径:通过不可移动的计算机硬件设备
进行传播 ;
第二种途径:通过移动存储设备来传播 ;
第三种途径:通过计算机网络进行传播 ;
第四种途径:通过点对点通信系统和无线通道
传播 。
5.3.2 病毒检测方法
(1)特征代码法
(2)校验和法
(3)人工智能陷阱
(4)感染实验法
(5)软件模拟扫描法
(6)实时输入输出扫描法
5.4
病毒 防范技术
5.4.1 单机下的病毒防范技术
一是要在思想上重视, 管理上到位;
二是技术上依靠防杀计算机病毒软件
最好同时在单机上安装两个以上防毒软件,
一是国内防毒软件,
二是 国外的防杀毒软件 。
国内一些著名的防杀毒软件,
? 金山毒霸
? 瑞星
? 江民杀毒王
? 北信源
? 东方卫士
? 安全之星
国外的防杀毒软件,
? Symantec的诺顿
? McAfee的杀毒之星
? Panda Antivirus熊猫卫士
?单机下病毒防范采取的措施,
? 在启动防火墙和它的邮件监视器, 文件监视, Office
文档监视, 脚本监视, 网页监视和注册表监视的情况下,
再上网浏览 。
? 收发邮件不要随便直接运行或直接打开电子函件中夹
带的附件文件;下载软件,特别是一些共享软件和免费
软件, 尤其是一些 EXE文件和 Office文档 。
? 防火墙也最好装两个, 一个国产的, 一个国外的, 共
同抵御国内外的病毒和黑客攻击 。
? 在确保无毒的情况下, 利用 Ghost软件把系统盘 ( 一般
为 C盘 ) 所有文件备份, 使系统遭病毒破坏情况下, 能
迅速恢复系统, 最重要的提醒是, 新病毒与时俱进, 层
出不穷, 任何公司的防杀病毒产品都不是万能的, 各公
司防杀毒软件应当交替使用, 同时安装几个防杀毒软件
( 至少两个 ) 是非常必要的; 另一方面, 及时升级防杀
毒软件是非常重要也是非常必要的 。
? 当基于 Windows的防杀毒软件不好使时, 基于 DOS的杀
毒软件, 比如江民公司的 KV2003和它的升级版本可能非
常有效的 。
5.4.2 小型局域网的病毒防范技术
?金融, 证券等机构的N ovell网 病毒防范技术
( 1) 保护N ovell网的文件服务器
( 2) 利用N ovell网自身功能防毒, 比如,
用无毒盘启动本地工作站, 用常规的杀毒软件查毒
杀毒 。
确保只要一个工作站登陆文件服务器, 用杀毒软件
杀掉 sys:\login目录下的病毒 。
用 log/s:x,注意必须加参数 s:x,使登陆时不执行
logintext和 usetext。
扫描服务器 上的所有目录, 特别不能漏掉用户数据
部分 。
( 3) 限制用户权限
多用无盘站,
限制用户权限,
对重要的网络文件进行权限保护
对共用目录中的系统文件和工具软件设置为只读和
执行属性
在网络中安装具有实时监控能力的杀毒软件
?Unix/Linux网络防毒
( 1) 网络的防毒主要基于工作站的单机防毒
( 2) Unix/Linux必须装有实时监控能力的杀毒
软件
( 3) Unix/Linux必须装有防止黑客攻击的黑客
扫描软件
( 4) 可用的防杀毒软件和防火墙与单机下的病
毒防范技术中所提到的软件相同
?Windows NT网络防毒
( 1 ) Windows NT网络中心服务器必须采用 NTFS分区格
式, 防止 DOS病毒的感染 。
( 2 ) 严格控制共享文件, 硬盘和光盘的使用, 严格控制
外来软盘光盘的使用 。
( 3 ) 用户的权限和文件的读写要加以限制, 多数文件设
置为只读属性 。
( 4 ) 服务器上应安装基于 Windows NT的 32位的杀毒软件 。
( 5 ) 工作站要安装具有实时监视和杀毒软件 。 阻止病毒
从工作站进入网络 。
( 6 ) 注意随时更新服务器和工作站上的杀毒软件,
( 7 ) 注意尽可能少地在中心服务器上运行各种应用程序
( 8 ) 保证中心服务器除管理员外不能有外人接触, 防止
非法用户暗中捣乱 。
5.4.3 大型网络的病毒防范技术
大型网络面临的网络安全问题主要有,
? 内网安全问题
? 外部网安全问题
? 应用网安全问题
? 网络服务器的安全问题
? 网络防杀毒软件的升级更新问题
大型网络的病毒防范措施,
? 大型网络采用防毒软件网络版组建一个分布式防
病毒体系
对整个网络采用分级管理, 多重防护策略 。
? 外网专设一台服务器, 安装服务器版网络防杀病
毒软件, 对整个网络进行实时监控, 外网上的工作
站, 需要进行单机布防, 适当参考小型局域网防范
要点进行有选择地增加 。
? 内网的安全需求一般最高, 本身是物理隔离的子
网, 除了物理的安全外, 基本都是访问控制和授权
方面的, 还需要防止黑客或内部网对内部核心网络
的破坏性攻击 。
? 中间应用业务网结一般结构复杂, 网络规模大 。
首先, 要保障应用服务器的安全, 可以使用文件加
密, 授权访问, 复杂的访问机制等来加强访问控制,
通过升级操作系统, 加固操作系统可以使操作系统
更加可靠安全 。 其次是要保证应用数据库系统的安
全 。
? 大型网络的认证系统能提供用户身份验证服务,
是最重要的安全业务 。
? 大型网络的安全管理应急性的处理措施和技术 。
5.5
病毒防范产
品介绍
5.5.1 病毒防范产品介绍
防毒产品 分类
? 硬件和软件两大类
? 杀毒软件主要分为单机版与网络版两类
防毒产品的特点
?程序短小
?占用内存少
?有极佳的程序相容性和稳定性
?杀毒界面友好
?使用简单方便
?有强大的技术支持
?在线升级功能
对计算机病毒防治产品的要求,
* 拥有病毒检测扫描器
* 实时监控程序
* 未知计算机病毒的检测
* 病毒特征代码库升级
* 支持 FAT32和 NTFS等多种分区格式
* 注重计算机病毒检测率
常见的计算机病毒防治产品,
? 安全之星 http:// www.vrv2000.com
? KV2003 http://www.jiangmin.com.cn
? 瑞星杀毒软件 http//www.rising.com.cn
? KILL http//www.kill.com.cn
? 金山毒霸 2003 http://www.antivirus.kingsoft.net
? Panda Antivirus http://www.pandasoftware.com
? Norton AntiVirus http://www.symantec.com
? Virus Buster http://www.pc-cillin.com
5.6
本章小结
本章首先讲解了各种黑客攻击原理, 详细分析了黑
客攻击过程以及各种实用的黑客防范技术, 特别介绍
了防范黑客攻击的世界上比较著名的防火墙软件 。
本章接着说明了电脑病毒的概念, 特征及分类, 传
播途径及检测方法;提出了根据各种不同规模网络
( 比如单机, 局域网, 大型网络 ) 的电脑病毒防范技
术与策略;通过整合不同的资源, 最大限度让读者了
解并熟知一些主流的国内外病毒防范产品 。 最重要的
是读者应该与时俱进不断上网关注最新的电脑病毒资
讯, 及时下载并更新病毒库, 保证不同的病毒防范产
品和反黑客程序一启动计算机就打开 ( 包括它们的各
种附属监视软件 ), 一发现病毒和黑客就杀个干净彻
底, 切实维护计算机和互联网网络安全 。
退出
学习目的,
?了解黑客攻击原理,掌握黑客防范技术
?了解电脑病毒的感念、特征与分类
?了解电脑病毒传播途径,掌握检测方法
?掌握单机和小型局域网下电脑病毒防范技术
?了解大型网络的电脑病毒防范技术
?了解常见的防杀病毒软件与防火墙产品
?掌握防杀毒软件的安装、软件升级、使
用方法、以及最新病毒信息查询方法
?掌握常见防火墙产品安装、升级、使用,以及防
止黑客攻击技术和反特洛伊木马程序的使用
学习重点,
? 黑客攻击原理与黑客防范技术
? 常见的防火墙产品安装、使用和升级方法
? 电脑病毒的概念、特征
? 电脑病毒的传播途径与检测技术
? 单机和局域网下电脑病毒的防范技术
? 常见的电脑病毒防范产品的安装、使用和升级方法,
以及最新病毒资讯查询和各大著名反病毒网站的在线
杀毒和求助方法
5.1
黑客及防范
技术
5.1.1 黑客原理
黑客 ( Hacker) 的定义,
?黑客最初是指 技术通常十分高超的有强制力的计
算机程序员
?现在则指一批掌握计算机知识和技能,能破解加密
程序,窃取或破坏信息并以此作为业余爱好或半职
业、职业手段的人
?黑客的特点,
?一般为男性,很少有女性;
?主要是年轻人;
?计算机迷;
?聪明;
?工作狂;
?对理解,预测和控制极端感兴趣。
?黑客的类型,
?恶作剧型
?制造矛盾型
?信息截取型
?病毒袭击型
?窺密型
?商业间谍型
?事后报复型
?黑客的攻击手段,
?密码破解 (Crack)
?拒绝服务攻击 ( Denial of Service)
?IP欺骗 (Spoofing)
?缓冲区溢出攻击
?扫描
?特洛伊木马程序攻击
?电子邮件攻击
?其它手段
C SYN O
C SYN+ACK O
C ACK O
?IP欺骗 (Spoofing),
假设黑客主机是 H(Hacker),攻击目标服务器
是 O(Objective), 被 O 信 任 的 客 户 主 机 是
C(Client)。 客户 C与服务器 O建立一个 TCP通信连
接, 他们之间需要三次握手, 具体流程如下,
?IP欺骗攻击过程,
1.黑客 H发现 服务器 O与 客户 C的信任关系
2.用拒绝服务 攻击 客户 主机 C,使其瘫痪
3.猜测 ISN及其变化规律 攻击 服务器 主机 O
4.设置 服务器 主机 O的, 后门,,方便下次攻击
?黑客一般攻击过程描述,
1.隐藏攻击身份和位置
2.收集目标系统信息
3.安全漏洞的挖掘与分析
4.获取目标使用权限
5.隐藏攻击活动
6.攻击活动实施
7.开辟后门
8.攻击痕迹清除
?黑客防范技术,
1.针对密码破解的防范技术
提高警惕, 不要把密码 ( 口令 ) 写下来, 不要
告诉别人, 不要让人看见, 不要把口令存在网页和
文件中或调制解调器的字符串存储器中;设置一些
容易记住又难以猜测的密码, 比如有位数足够长的,
大小写混合的, 有字符, 数字, 标点符号, 控制字
符和空格混合的密码串;防止使用不安全的口令,
不要在不同系统使用同一口令, 不要交替使用几个
固定口令, 记住要常改口令
2,针对拒绝服务攻击的防范技术
利用系统管理员权限为系统设置各种级别
的使用权限, 比如最大的内存, 最大的 CPU时间,
可以生成的最大文件等 。
3.针对 IP欺骗防范技术
如果是来自网络外部的 IP欺骗, 可以在局域网的对外
路由器里设置不允许声称来自内部网络中的机器的包通过
就可以防住了, 当然同时不要忘记配置网络防火墙 。 如果
IP欺骗的主机与被攻击目标在同一局域网中, 攻击很容易
得手且不好防范, 这就是家贼难防 。 有些与外部网络相连
的路由器有支持内部子网的两个接口, 很容易受到 IP欺骗,
这也就是或许把 Web服务器放倒防火墙外面会更安全的原
因 。 IP欺骗也可以通过检查数据报来监控 。 用 netlog或
类似的数据报监控工具来检查外接口上的数据报, 如果发
现数据报的两个地址, 即源地址和目的地址都是本地域内
地址, 就说明有黑客准备攻击系统了 。 netlog工具软件可
以通过匿名 FTP下载,
ftp://net.tamu.edu/pub/security/TAMU/netlog1.2.ta
r.gz
4.针对 缓冲区溢出攻击的防范 技术
缓冲区溢出攻击有巨大的危害, 现在许多系
统都开发了各种各样的, 补丁, 程序弥补缓冲区
溢出缺陷 。 如果没有, 补丁, 程序可用, 则暂时
的好办法是在防火墙上阻塞 ping( 比如只让那些
64字节长的 ping通过, 而阻止那些长于 1K的
ping), 但是寻找到操作系统的, 补丁, 程序才
是解决问题的正道 。
5.针对 电子邮件攻击的防范 技术
电子邮件往往给收件人带来很大的损害 。 针对
假冒邮件等欺骗, 坚决不要轻易上当按黑客的指
示去办, 而是通过正常渠道发封邮件和打个电话
询问证实邮件内容的真伪 。 电子邮件轰炸是拒绝
服务攻击的一种, 黑客很容易得手 。 当发现有邮
件服务器被攻击现象, 比如邮件收发速度变慢或
根本不能收发, 则管理员应迅速确定邮件炸弹的
攻击源, 并立即调整防火墙或路由器的配置, 过
虑掉那些来自源头的数据包 。
6.防范黑客攻击的有效工具-防火墙
防火墙主要采用包过滤, 电路网关, 应用网
关, 网络地址转化, 病毒防火墙, 邮件过滤, 状
态表检查等技术, 作为内网与外网之间的门户,
对其间的信息交流进行全面管理, 对用户使用网
络进行控制和记录 。
防火墙的特点是:所有出入内部网络的信息
流都必须经过防火墙;只有授权放行的信息流才
能通过防火墙;防火墙本身对内网是透明的 。
防火墙 类型,分为网络级防火墙和应用网关
防火墙两种类型 。
常见防火墙及其升级网址,
(1) 天网防火墙 SkyNet v2.50
http://www.sky.net.cn
(2) 蓝盾防火墙个人版
http://www.bluedon.com
(3) 瑞星个人防火墙
http://www.rising.com.cn
(4) 江民反黑王
http://www.jiangmin.com
(5) 美国赛门铁克 ( Symantec) 公司的诺顿防火墙
http://www.symantec.com
5.1.4 特洛伊木马简介
特洛伊木马 (Trojanhorse)定义:是一种基于远
程控制的黑客工具,其名取自希腊神话, 特洛伊木
马记, 。
特洛伊木马 (Trojanhorse)作用木马程序通过
窃取手段获得服务端的大部分操作权限,然后大肆
窃取密码、操作文件、修改注册表、控制鼠标键盘、
监视系统操作等。
木马组成
木马系统,
*硬件部分 *软件部分
*连接部分
硬件部分 软件部分
* 控制端 * 控制端程序
* 服务端 * 木马配置程序
* 网络 * 木马程序
木马攻击原理六个步骤,
*配置木马
*传播木马
*运行木马
*信息泄露
*建立连接
*远程控制
?木马防范技术,
防范木马必须,
* 删除木马启动标志
* 切断传播木马的途径,
一 是防止从邮件窗波木马
二 是防止从下载的软件中传播木马
?Email是否夹带木马程序三种判断方法,
一 是看图标, Email的附件基本上是 TXT,HTML这
两类文件, 假如发
现附件是 EXE文件, 或其它文件, 就要注意是否
夹带木马程序;
二 是测长度, 一般来说, 木马程序都在 100K以上,
而 TXT,HTML文件大都不会这么大;
三 是打开附件时观反应 。
5.2
病毒简介
5.2.1 病毒的概念
?广 义上讲凡能够引起计算机故障, 破坏计算机数据
的程序统称为计算机病毒 。
?1994年 2月 18日, 国家正式颁布实施了, 中华人民共
和国计算机信息系统安全保护条例,, 在第二十八条
中明确指出,计算机病毒是指编制或者在计算机程序
中插入的破坏计算机功能或者毁坏数据影响计算机使
用并能自我复制的一组计算机指令或者程序代码 。
?电脑病毒发展( 三个阶段 )
? 初期产生
( 从 1949年到 1987年第一只电脑病毒, C-BRAIN”
的诞生是病毒的初期产生阶段 )
? 早期蓬勃发展
( 从 1987年到 1995年网络在世界范围内普及前,
应该是病毒的早期蓬勃发展阶段 )
? 网络迅猛泛滥
( 1995年至今, 随着网络在世界范围内普及,
电脑病毒进入了 网络迅猛泛滥阶段 )
?电脑病毒特征,
? 人为的特制程序
? 具有自我复制能力
? 很强的感染性
? 一定的潜伏性
? 特定的触发性
? 很大的破坏性
? 不可预见性
5.2.2 电脑病毒特征及分类
?电脑病毒分类,
下面以病毒的属性对病毒进行简单分类。
? 根据病毒存在的媒体, 病毒可以划分为网络病毒,
文件病毒和引导型病毒;
? 根据病毒的传染方法, 病毒可分为驻留型病毒和非
驻留型病毒;
? 根据病毒破坏的能力, 可划分为无害型病毒, 无危
险型病毒, 危险型病毒和非常危险型病毒;
? 根据病毒特有的算法, 病毒可划分为伴随型病毒,
,蠕虫, 型病毒, 寄生型病毒, 练习型病毒, 诡秘型
病毒和幽灵病毒等等 。
? 总之, 病毒的分类方法会随着不断出现的新病毒而
改变 。
5.3
病毒检测技术
5.3.1 病毒的传播途径
?四种传播途径
第一种途径:通过不可移动的计算机硬件设备
进行传播 ;
第二种途径:通过移动存储设备来传播 ;
第三种途径:通过计算机网络进行传播 ;
第四种途径:通过点对点通信系统和无线通道
传播 。
5.3.2 病毒检测方法
(1)特征代码法
(2)校验和法
(3)人工智能陷阱
(4)感染实验法
(5)软件模拟扫描法
(6)实时输入输出扫描法
5.4
病毒 防范技术
5.4.1 单机下的病毒防范技术
一是要在思想上重视, 管理上到位;
二是技术上依靠防杀计算机病毒软件
最好同时在单机上安装两个以上防毒软件,
一是国内防毒软件,
二是 国外的防杀毒软件 。
国内一些著名的防杀毒软件,
? 金山毒霸
? 瑞星
? 江民杀毒王
? 北信源
? 东方卫士
? 安全之星
国外的防杀毒软件,
? Symantec的诺顿
? McAfee的杀毒之星
? Panda Antivirus熊猫卫士
?单机下病毒防范采取的措施,
? 在启动防火墙和它的邮件监视器, 文件监视, Office
文档监视, 脚本监视, 网页监视和注册表监视的情况下,
再上网浏览 。
? 收发邮件不要随便直接运行或直接打开电子函件中夹
带的附件文件;下载软件,特别是一些共享软件和免费
软件, 尤其是一些 EXE文件和 Office文档 。
? 防火墙也最好装两个, 一个国产的, 一个国外的, 共
同抵御国内外的病毒和黑客攻击 。
? 在确保无毒的情况下, 利用 Ghost软件把系统盘 ( 一般
为 C盘 ) 所有文件备份, 使系统遭病毒破坏情况下, 能
迅速恢复系统, 最重要的提醒是, 新病毒与时俱进, 层
出不穷, 任何公司的防杀病毒产品都不是万能的, 各公
司防杀毒软件应当交替使用, 同时安装几个防杀毒软件
( 至少两个 ) 是非常必要的; 另一方面, 及时升级防杀
毒软件是非常重要也是非常必要的 。
? 当基于 Windows的防杀毒软件不好使时, 基于 DOS的杀
毒软件, 比如江民公司的 KV2003和它的升级版本可能非
常有效的 。
5.4.2 小型局域网的病毒防范技术
?金融, 证券等机构的N ovell网 病毒防范技术
( 1) 保护N ovell网的文件服务器
( 2) 利用N ovell网自身功能防毒, 比如,
用无毒盘启动本地工作站, 用常规的杀毒软件查毒
杀毒 。
确保只要一个工作站登陆文件服务器, 用杀毒软件
杀掉 sys:\login目录下的病毒 。
用 log/s:x,注意必须加参数 s:x,使登陆时不执行
logintext和 usetext。
扫描服务器 上的所有目录, 特别不能漏掉用户数据
部分 。
( 3) 限制用户权限
多用无盘站,
限制用户权限,
对重要的网络文件进行权限保护
对共用目录中的系统文件和工具软件设置为只读和
执行属性
在网络中安装具有实时监控能力的杀毒软件
?Unix/Linux网络防毒
( 1) 网络的防毒主要基于工作站的单机防毒
( 2) Unix/Linux必须装有实时监控能力的杀毒
软件
( 3) Unix/Linux必须装有防止黑客攻击的黑客
扫描软件
( 4) 可用的防杀毒软件和防火墙与单机下的病
毒防范技术中所提到的软件相同
?Windows NT网络防毒
( 1 ) Windows NT网络中心服务器必须采用 NTFS分区格
式, 防止 DOS病毒的感染 。
( 2 ) 严格控制共享文件, 硬盘和光盘的使用, 严格控制
外来软盘光盘的使用 。
( 3 ) 用户的权限和文件的读写要加以限制, 多数文件设
置为只读属性 。
( 4 ) 服务器上应安装基于 Windows NT的 32位的杀毒软件 。
( 5 ) 工作站要安装具有实时监视和杀毒软件 。 阻止病毒
从工作站进入网络 。
( 6 ) 注意随时更新服务器和工作站上的杀毒软件,
( 7 ) 注意尽可能少地在中心服务器上运行各种应用程序
( 8 ) 保证中心服务器除管理员外不能有外人接触, 防止
非法用户暗中捣乱 。
5.4.3 大型网络的病毒防范技术
大型网络面临的网络安全问题主要有,
? 内网安全问题
? 外部网安全问题
? 应用网安全问题
? 网络服务器的安全问题
? 网络防杀毒软件的升级更新问题
大型网络的病毒防范措施,
? 大型网络采用防毒软件网络版组建一个分布式防
病毒体系
对整个网络采用分级管理, 多重防护策略 。
? 外网专设一台服务器, 安装服务器版网络防杀病
毒软件, 对整个网络进行实时监控, 外网上的工作
站, 需要进行单机布防, 适当参考小型局域网防范
要点进行有选择地增加 。
? 内网的安全需求一般最高, 本身是物理隔离的子
网, 除了物理的安全外, 基本都是访问控制和授权
方面的, 还需要防止黑客或内部网对内部核心网络
的破坏性攻击 。
? 中间应用业务网结一般结构复杂, 网络规模大 。
首先, 要保障应用服务器的安全, 可以使用文件加
密, 授权访问, 复杂的访问机制等来加强访问控制,
通过升级操作系统, 加固操作系统可以使操作系统
更加可靠安全 。 其次是要保证应用数据库系统的安
全 。
? 大型网络的认证系统能提供用户身份验证服务,
是最重要的安全业务 。
? 大型网络的安全管理应急性的处理措施和技术 。
5.5
病毒防范产
品介绍
5.5.1 病毒防范产品介绍
防毒产品 分类
? 硬件和软件两大类
? 杀毒软件主要分为单机版与网络版两类
防毒产品的特点
?程序短小
?占用内存少
?有极佳的程序相容性和稳定性
?杀毒界面友好
?使用简单方便
?有强大的技术支持
?在线升级功能
对计算机病毒防治产品的要求,
* 拥有病毒检测扫描器
* 实时监控程序
* 未知计算机病毒的检测
* 病毒特征代码库升级
* 支持 FAT32和 NTFS等多种分区格式
* 注重计算机病毒检测率
常见的计算机病毒防治产品,
? 安全之星 http:// www.vrv2000.com
? KV2003 http://www.jiangmin.com.cn
? 瑞星杀毒软件 http//www.rising.com.cn
? KILL http//www.kill.com.cn
? 金山毒霸 2003 http://www.antivirus.kingsoft.net
? Panda Antivirus http://www.pandasoftware.com
? Norton AntiVirus http://www.symantec.com
? Virus Buster http://www.pc-cillin.com
5.6
本章小结
本章首先讲解了各种黑客攻击原理, 详细分析了黑
客攻击过程以及各种实用的黑客防范技术, 特别介绍
了防范黑客攻击的世界上比较著名的防火墙软件 。
本章接着说明了电脑病毒的概念, 特征及分类, 传
播途径及检测方法;提出了根据各种不同规模网络
( 比如单机, 局域网, 大型网络 ) 的电脑病毒防范技
术与策略;通过整合不同的资源, 最大限度让读者了
解并熟知一些主流的国内外病毒防范产品 。 最重要的
是读者应该与时俱进不断上网关注最新的电脑病毒资
讯, 及时下载并更新病毒库, 保证不同的病毒防范产
品和反黑客程序一启动计算机就打开 ( 包括它们的各
种附属监视软件 ), 一发现病毒和黑客就杀个干净彻
底, 切实维护计算机和互联网网络安全 。
