网络管理与信息安全

PPT
  • 阅读 222 次
  • 下载 0 次
  • 页数 22 页
  • 大小 127.430 KB
  • 2023-07-23 上传
  • 收藏
  • 违规举报
  • © 版权认领
下载文档22.00 元 加入VIP免费下载
此文档由【精品优选】提供上传,收益归文档提供者,本网站只提供存储服务。若此文档侵犯了您的版权,欢迎进行违规举报版权认领
网络管理与信息安全
可在后台配置第一页与第二页中间广告代码
网络管理与信息安全
可在后台配置第二页与第三页中间广告代码
网络管理与信息安全
可在后台配置第三页与第四页中间广告代码
网络管理与信息安全
网络管理与信息安全
还剩10页未读,继续阅读
【这是免费文档,您可以免费阅读】
/ 22
  • 收藏
  • 违规举报
  • © 版权认领
下载文档22.00 元 加入VIP免费下载
文本内容

【文档说明】网络管理与信息安全.pptx,共(22)页,127.430 KB,由精品优选上传

转载请保留链接:https://www.ichengzhen.cn/view-288245.html

以下为本文档部分文字说明:

8.5反病毒技术8.5.1病毒概述8.5.2宏病毒8.5.3CIH病毒8.5.4常用反病毒技术第8章网络安全计算机病毒的历史1983年11月3日,弗雷德·科恩(FredCohen)博士研制出一种在运行过程中可以复制自身的破坏性程序,伦·艾德勒曼(L

enAdleman)将它命名为计算机病毒(computervirus),并在每周一次的计算机安全讨论会上正式提出,8小时后专家们在VAX11/750计算机系统上运行,第一个病毒实验成功,一周后又获准进行5个实验的演示,从而在实验上验证了计算机病毒的存在。1986年初

,巴基斯坦的巴锡特(Basit)和阿姆杰德(Amjad)两兄弟编写了Pakistan病毒(即Brain病毒),该病毒在一年内流传到了世界各地。1988年11月2日,美国6000多台计算机被病毒感染,造成Internet不能正常运行据瑞星公司的不完全统计,2004年国

内共发现新病毒26025个,比2003年增加了20%。其中,木马13132个,后门程序6351个,蠕虫3154个,脚本病毒481个,宏病毒258个,其余类病毒2649个。由此可见,病毒的泛滥和危害已经到了十分危险的程度。第8章

网络安全8.5.1病毒概述1.病毒(Virus)定义计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。一般地,我们所讲的病毒包括特洛伊木马、病毒、细菌和蠕虫等等。特洛伊木马和病毒,它们不能脱离某些特定的的

应用程序、应用工具或系统而独立存在;而细菌和蠕虫是完整的程序,操作系统可以调度和运行它们。而且除特洛伊木马外,其他三种形式的病毒都有能够复制。第8章网络安全8.5.1病毒概述2.病毒传染方式病毒的传染途径有电磁波、有线电路、军用或民用设备或

直接放毒等。具体传播介质有计算机网络、软硬磁盘和光盘等。根据传输过程中病毒是否被激活,病毒传染分为静态传染和动态传染。➢静态传染是指由于用户使用了COPY、DISKCOPY等拷贝命令或类似操作,一个病毒连同其载体文件一起从一处被复制到另一处。而被复制后的病毒不会引起其他文件

感染。➢动态传染是指一个静态病毒被加载进入内存变为动态病毒后,当其传染模块被激活所发生的传染操作,这是一种主动传染方式。与动态传染相伴随的常常是病毒的发作。第8章网络安全病毒的生命周期隐藏阶段:处于这个阶段的病毒

不进行操作,而是等待事件触发,触发事件包括时间、其它程序或文件的出现、磁盘容量超过某个限度等。但这个周期不是必要的,有的病毒没有隐藏期,而是无条件地传播和感染。传播阶段:在这一阶段的病毒会把自身的一个副本传播到未感染这种病毒的程序或磁盘的某个扇区中去。每个被感染的程序将包含一个该病毒的副本,并且这

些副本也可以向其它未感染的程序继续传播病毒的副本。触发阶段:这个阶段病毒将被激活去执行病毒设计者预先设计好的功能。病毒进入这一阶段也需要一些系统事件的触发,比如:病毒本身进行复制的副本数达到了某个数量。执

行阶段:这一阶段病毒将执行预先设计的功能直至执行完毕。这些功能可能是无害的,比如:向屏幕发送一条消息;也可能是有害的,比如:删除程序或文件、强行关机等。第8章网络安全8.5.1病毒概述3.病毒的分类按病毒感染的途

径,病毒分为三类:➢引导型病毒。它是是藏匿在磁盘片或硬盘的第一个扇区。每次启动计算机时,在操作系统还没被加载之前就被加载到内存中,这个特性使得病毒完全控制DOS的各类中断,并且拥有更大的能力进行传染与破坏。➢文件型病毒。文件型病毒通常寄生在可执行

文件中当这些文件被执行时,病毒的程序就跟着被执行。根据病毒依传染方式的不同,它分成非常驻型和常驻型。➢复合型病毒。这类病毒兼具引导型病毒以及文件型病毒的特性。它们可以传染*.COM和*.EXE文件,也可以传染磁盘的引导区。第8章

网络安全8.5.1病毒概述4.病毒结构计算机病毒是一种特殊的程序,它寄生在正常的、合法的程序中,并以各种方式潜伏下来,伺机进行感染和破坏。在这种情况下,称原先的那个正常的、合法的程序为病毒的宿主或宿主程序。病毒程序一般由以下部份组成:➢初始化部分。

它指随着病毒宿主程序的执行而进入内存并使病毒相对独立于宿主程序的部分。➢传染部分。它指能使病毒代码连接于宿主程序之上的部分,由传染的判断条件和完成病毒与宿主程序连接的病毒传染主体部分组成。➢破坏部分或表现部分。主要指破坏被传染系统或者在被传染系统设备上表现特定的现象。它是病毒程序的主体,在一定

程度上反映了病毒设计者的意图。第8章网络安全8.5.1病毒概述5.病毒感染原理➢引导型病毒感染原理引导型病毒通过执行启动计算机的动作作为感染的途径。一般正常软盘启动动作为:开机、执行BIOS、读入BOOT程序执行和加载DOS。假定某张启动软盘已经了感染病毒,

那么该软盘上的BOOT扇区将存放着病毒程序,而不是BOOT程序。所以,“读入BOOT程序并执行”将变成“读入病毒程序并执行”,等到病毒入侵内存后,等到病毒入侵内存后,再由病毒程序读入原始BOOT程序,既然病毒DOS先

一步进入内存中,自然在DOS下的所有读写动作将受到病毒控制。所以,当使用者只要对另一张干净的软盘进行读写,驻在内存中的病毒可以感染这张软盘。第8章网络安全8.5.1病毒概述若启动盘是硬盘。因硬盘多了一个分区表,分区表位于硬盘的第0面第0道第1扇区。当在“读入BOOT程序并执行”之前是

“读入分区表并执行”,比软盘启动多了一道手续。所以和感染软盘不同的地方是病毒不但可以感染硬盘的BOOT扇区还可以感染硬盘的分区表。感染BOOT扇区是在“读入分区表并执行”之后,“读入BOOT程序并执行”之前“读入病毒程序并执行”。感染分区表是在“读入病毒程序并执行”之后,“读入分区表并执行”

之前“读入BOOT程序并执行”。不管是软盘还是硬盘,引导型病毒一定比DOS早一步进入内存中,并控制读写动作,伺机感染其他未感染病毒的磁盘。第8章网络安全8.5.1病毒概述➢文件型病毒感染原理对非常驻型病毒而言,只要

一执行中毒的程序文件,病毒便立即寻找磁盘中尚未感染病毒的文件,若找到了便加以感染。一般而言,对于.COM型文件,病毒替换它的第一条指令;对于.ExE文件,病毒改变入口指针。而常驻型病毒必须常驻内存,才能达到感染其他文件的目的。在每一个程序文件在执行时,都会调用INT21H中断命令,所以病毒必须

拦截INT21H的调用,使其先通过病毒的程序,再去执行真正的INT21H服务程序。这样,每个要被执行的程序文件都要先通过病毒“检查”是否已中毒,若未中毒则病毒感染该文件。➢复合型病毒感染原理就启动动作来说

,假设以感染复合型病毒的磁盘启动,那么病毒便先潜入内存中,伺机感染其他未中毒的磁盘,而当DOS载入内存后,病毒再拦截INT21H已达到感染文件的目的。第8章网络安全8.5.1病毒概述第8章网络安全8.5.2宏病毒1.宏病毒的传染原理每个Word文本对应一个模板,而且对文本进行操作时

,如打开、关闭文件等,都执行了相应模板中的宏程序,由此可知:➢当打开一个带病毒模板后,该模板可以通过执行其中的宏程序,如AutoOpen、AutoExit等将自身所携带病毒程序拷贝到Word系统中的通用模板上,如Normal.dot中。➢若使用带病毒模板对文件进行操作时,如存盘FileS

ave等,可以将该文本文件重新存盘为带毒模板文件,即由原来不带宏程序的纯文本文件转换为带病毒的模板文件。上述两步循环就构成了病毒的基本传染原理。第8章网络安全8.5.2宏病毒2.宏病毒的危害Word宏病毒几乎是唯一可跨越不同硬件平台而生存、传染和流行的一类病毒。与感染普通.EXE或.CO

M文件的病毒相比,Word宏病毒具有隐蔽性强,传播迅速,危害严重,难以防治等特点。具体表现为:➢对Word的运行破坏。不能正常打印、封闭或改变文件存储路径、将文件改名等。➢对系统的破坏。WordBasic语言能够调用系统命令,这

将造成破坏。第8章网络安全8.5.2宏病毒3.宏病毒的预防与清除为了有效防止Word系统被感染,可将常用的Word模板文件改为只读属性。当文件被感染后,应及时加以清除,以防其进一步扩散和复制。通常可采取以下措施:➢手工杀毒。以Word为例,从“工具”菜单选取“宏”一项,进入“管理

器”,选取标题为“宏”的一页,在“宏有效范围”下拉列表框中打开要检查的文档。这时在上面的列表框中就会出现该文档模板中所含的宏,将不明来源的自动执行宏删除即可。➢使用专业软件杀毒。目前杀毒软件公司都具备清除宏病毒的能力,当然也只能对已知的宏病毒进行检查和清除,

对于新出现的病毒或病毒的变种则可能不能正常地清除,或者将会破坏文件的完整性,此时还是采取手工清理。第8章网络安全8.5.3CIH病毒1.CIH病毒工作原理CIH病毒属于文件型病毒,只感染Windows9X下可执行

文件。当受感染的.EXE文件执行后,该病毒便驻留内存中,并感染所接触到的其他PE格式执行程序。CIH通过攻击BIOS,覆盖硬盘,进入Windows内核实现对硬盘的破坏。➢攻击BIOS。当CIH发作时,它会试图向BIOS中写入垃圾信息,BIOS中的内容

会被彻底洗去。➢覆盖硬盘。CIH发作时,调节器用IOS-SendCommand直接对硬盘进行存取,将垃圾代码以205个扇区为单位,循环写入硬盘,直到所有硬盘上的数据均被破坏为止。➢进入Windows内核。无论是要攻击BIOS,还是设法驻留内存

来为病毒传播创造条件,对CIH这类病毒而言,关键是要进入Windows内核,取得核心级控制权。第8章网络安全8.5.2CIH病毒2.CIH病毒防范措施➢修改系统时间,跳过病毒的发作日。➢有些电脑系统主板具备BIOS写保护跳线,但一般

设置均为开,可将其拨至关的位置,这样可以防止病毒向BIOS写入信息。➢检查CIH病毒的方法可采用压缩并解压缩文件的方式,如果解压缩出现问题,多半可以肯定有CIHV1.2的存在,但用该方法不能判断CIHV1.4病毒。➢用户不要轻易启

动从电子邮件或从网站上下载的未知软件。➢由于病毒将垃圾码写入硬盘,导致硬盘的数据是不能恢复,务必将重要数据备份,以免造成损失。第8章网络安全8.5.4常用反病毒技术1.反病毒技术分类从研究的角度,反病毒技术主要分3类:➢预防病毒技术。它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统

中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。➢检测病毒技术。它是通过对计算机病毒的特征来进行判断的侦测技术,如自身校验、关键字等。➢消除病毒技术。它通过对病毒的分析,杀除病毒并恢复原文件。第8章网络安全8.5.4常用反病毒技术2.常用反病毒技术从具体实现技术的角度,常

用的反病毒技术有:➢病毒代码扫描法。将新发现的病毒加以分析后根据其特征编成病毒代码,加入病毒特征库中。每当执行杀毒程序时,便立刻扫描程序文件,并与病毒代码比对,便能检测到是否有病毒。➢加总比对法(Check-sum)。根据每个程序的文件名称、大小、时间、日期及内容,加总为一个检查码,再将检查码附在

程序后面,或是将所有检查码放在同一个资料库中,再利用Check-sum系统,追踪并记录每个程序的检查码是否遭更改,以判断是否中毒。第8章网络安全8.5.4常用反病毒技术➢人工智能陷阱。它是一种监测电脑行为的常驻式扫描技术

。它将所有病毒所产生的行为归纳起来,一旦发现内存的程序有任何不当的行为,系统就会有所警觉,并告知用户。➢软件模拟扫描法。它专门用来对付千面人病毒。千面人病毒在每次传染时,都以不同的随机数加密于每个中毒的文件中,传统病毒代码比对的方式根本就无法找到这种病毒。软件模拟技术则是成功地模拟CP

U执行,在其设计的DOS虚拟机器下模拟执行病毒的变体引擎解码程序,将多型体病毒解开,使其显露原本的面目,再加以扫描。➢VICE先知扫描法。由于软件模拟可以建立一个保护模式下的DOS虚拟机器,模拟CPU动作并模拟执行程序以解开变体引擎病毒,应用类

似的技术也可以用来分析一般程序检查可疑的病毒代码。因此,VICE将工程师用来判断程序是否有病毒代码存在的方法,分析归纳成专家系统知识库,再利用软件工程的模拟技术假执行新的病毒,就可分析出新病毒代码对付以后的病毒。第8章网络安全8.5.4常用反病毒技术➢实时的I/O扫描。通过即时地对信息的输入

/输出动作做病毒代码比对的动作,希望能够在病毒尚未被执行之前,就能够将其防堵下来。理论上,这样的实时扫描程序会影响到整体的信息传输速率,但是使用实时的I/O扫描,文件传送进来之后,就等于扫过了一次毒。➢文件宏病毒陷阱。它结合了病毒代码比对与人工智慧陷阱技术,依病毒行为模式来检测已知

及未知的宏病毒。其中,配合对象链接与嵌套技术,可将宏与文件分开,回快扫描,并可有效地将宏病毒彻底清除。➢空中抓毒。在信息传输过程中经过的一个节点即一台电脑上设计一套防毒软件,把网络中所有可能带有病毒的信息进行扫描,接收从网络中送来的信息。把我们要扫描的信息在这台电脑中暂时储存起来,然后扫描储存的

信息,并根据管理员的设定处理中毒的文件,最后把检查过或处理过的信息传送到它原来要传送的电脑上。第8章网络安全8.5.4常用反病毒技术➢主动内核技术。它是将已经开发的各种网络防病毒技术从源程序级嵌入到操作系统或网络系统的内核中,实现网络防病毒产品与操作系统的无缝连接。这种

技术可以保证网络防病毒模块从系统的底层内核与各种操作系统和应用环境密切协调,确保防毒操作不会伤及到操作系统内核,同时确保杀灭病毒的功效。第8章网络安全病毒的发展趋势(1)传播网络化(2)利用操作系统和应用程序的漏洞(3)混合型威胁(4)病毒制作技术新(5)病毒家族化特征显著

精品优选
精品优选
该用户很懒,什么也没有留下。
  • 文档 34925
  • 被下载 0
  • 被收藏 0
广告代码123
若发现您的权益受到侵害,请立即联系客服,我们会尽快为您处理。侵权客服QQ:395972555 (支持时间:9:00-21:00) 公众号
Powered by 太赞文库
×
确认删除?