计算机病毒与设备安全.ppt

,第七章 计算机病毒与设备安全,第七章 计算机病毒与设备安全,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,本章学习重点,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,计算机病毒概述 典型病毒分析 恶意软件 物理环境与设备安全,7.1 计算机病毒概述,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,计算机病毒的概念,“计算机病毒”为什么叫做病毒。首先，与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。能潜伏在计算机存储介质里,当达到某种条件时即被激活,是对计算机资源进行破坏的这样一组程序或指令集合。1994年2月18日，我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例，在条例第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。,7.1 计算机病毒概述,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,计算机病毒产生的原因,那么究竟它是如何产生的呢？其过程可分为：程序设计传播潜伏触发运行实行攻击。究其产生的原因不外乎以下几种：开个玩笑，一个恶作剧 报复心理 版权保护 特殊目的,7.1 计算机病毒概述,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,计算机病毒的历史,自从1946年第一台冯.诺依曼型计算机ENIAC出世以来，计算机已被应用到人类社会的各个领域。然而，1988年发生在美国的“蠕虫病毒”事件，给计算机技术的发展罩上了一层阴影。蠕虫病毒是由美国CORNELL大学研究生莫里斯编写。虽然并无恶意，但在当时，“蠕虫”在INTERNET上大肆传染，使得数千台连网的计算机停止运行，并造成巨额损失，成为一时的舆论焦点。,7.1 计算机病毒概述,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,计算机病毒的特征,1.传染性 传染性是病毒的基本特征。在生物界，通过传染病毒从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒是一段人为编制的。,7.1 计算机病毒概述,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,计算机病毒的特征,2.隐蔽性 病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。,7.1 计算机病毒概述,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,计算机病毒的特征,3.潜伏性 大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其破坏模块。只有这样它才可进行广泛地传播。如“PETER-2”在每年2月27日会提三个问题，答错后会将硬盘加密。著名的“黑色星期五”在逢13号的星期五发作。国内的“上海一号”会在每年三、六、九月的13日发作。当然，最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好，只有在发作日才会露出本来面目。,7.1 计算机病毒概述,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,计算机病毒的特征,4.破坏性 任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源。这类病毒较多，如：GENP、小球、W-BOOT等。恶性病毒则有明确得目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。这也反映出病毒编制者的险恶用心。,7.2 典型的病毒分析,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,U盘是目前使用最为广泛的移动存储器，也是传播病毒的主要途径之一，有人统计发现U盘有病毒的比例高达90%。具2008年1月2日，江民科技发布了2007年年度病毒疫情报告以及十大病毒排行，如表所示。其中U盘病毒高位居第一位。,7.2 典型的病毒分析,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,U盘“runauto.”文件夹病毒及清除方法,1.“runauto.”文件夹病毒 经常在计算机硬盘里会发现名为“runauto.”的一个文件夹，在正常模式或安全模式下都无法删除，粉碎也不可以。如图所示为runauto.文件夹。,7.2 典型的病毒分析,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,U盘“runauto.”文件夹病毒及清除方法,2.病毒清除方法 假设这个文件夹，在C盘，则删除办法是：在桌面点击“开始”“运行”，输入“cmd”，再输入“C:”输入“rd/s/q runauto.”。就可以了，如图所示为删除runauto.文件夹的方法。,7.2 典型的病毒分析,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,U盘autorun.inf文件病毒及清除方法,1.autorun.inf文件病毒 目前几乎所有U盘类的病毒的最大特征都是利用autorun.inf这个来侵入的，而事实上autorun.inf相当于一个传染途径，经过这个途径入侵的病毒，理论上是“任何”病毒。autorun.inf这个文件是很早就存在的，在WinXP以前的其他windows系统（如Win98，2000等），需要让光盘、U盘插入到机器自动运行的话，就要靠autorun.inf。这个文件是保存在驱动器的根目录下的，是一个隐藏的系统文件。它保存着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序，也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。所以，这本身是一个常规且合理的文件和技术。,7.2 典型的病毒分析,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,U盘autorun.inf文件病毒及清除方法,1.autorun.inf文件病毒 目前几乎所有U盘类的病毒的最大特征都是利用autorun.inf这个来侵入的，而事实上autorun.inf相当于一个传染途径，经过这个途径入侵的病毒，理论上是“任何”病毒。autorun.inf这个文件是很早就存在的，在WinXP以前的其他windows系统（如Win98，2000等），需要让光盘、U盘插入到机器自动运行的话，就要靠autorun.inf。这个文件是保存在驱动器的根目录下的，是一个隐藏的系统文件。它保存着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序，也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。所以，这本身是一个常规且合理的文件和技术。,7.2 典型的病毒分析,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,U盘autorun.inf文件病毒及清除方法,2.autorun.inf文件病毒的隐藏方式 一种是假回收站方式：病毒通常在U盘中建立一个“RECYCLER”的文件夹，然后把病毒藏在里面很深的目录中，一般人以为这就是回收站了，而事实上，回收站的名称是“Recycled”，而且两者的图标是不同的如图所示。,7.2 典型的病毒分析,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,U盘autorun.inf文件病毒及清除方法,2.autorun.inf文件病毒的隐藏方式 另一种是假冒杀毒软件方式：病毒在U盘中放置一个程序，改名“RavMonE。Exe”，这很容易让人以为是瑞星的程序，实际上是病毒。,7.2 典型的病毒分析,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,U盘autorun.inf文件病毒及清除方法,2.autorun.inf文件病毒的隐藏方式 如果U盘带有这种病毒，还会出现一个现象，即点击U盘时，会多出一些东西，如图所示：,7.2 典型的病毒分析,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,U盘autorun.inf文件病毒及清除方法,3.autorun.inf文件病毒的清除方法(1)如果发现U盘有autorun.inf，且不是你自己创建生成的，请删除它，并且尽快查毒。(2)如果有貌似回收站、瑞星文件等文件，而你又能通过对比硬盘上的回收站名称、正版的瑞星名称，同时确认该内容不是你创建生成的，请删除它。(3)一般建议插入U盘时，不要双击U盘，另外有一个更好的技巧：插入U盘前，按住Shift键，然后插入U盘，建议按键的时间长一点。插入后，用右键点击U盘，选择“资源管理器”来打开U盘。,7.2 典型的病毒分析,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,U盘RavMonE.exe病毒及清除方法,1.病毒描述 经常有人发现自己的U盘有病毒，杀毒软件报出一个RavMonE.exe病毒文件，这个也是经典的一个U盘病毒。如图所示为RavMonE.exe病毒运行后出现在进程里。,7.2 典型的病毒分析,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,U盘RavMonE.exe病毒及清除方法,2.解决方法(1)打开任务管理器（ctrl+alt+del或者任务栏右键点击也可），终止所有RavmonE.exe进程。(2)进入病毒所在目录，删除其中的ravmone.exe。(3)打开系统注册表依次点开HK_Loacal_MachinesoftwareMicrosoftwindowsCurrentVersionRun，在右边可以看到一项数值是c:windowsravmone.exe的，把他删除掉。(3)完成后，重新启动计算机，病毒就被清除了。,7.2 典型的病毒分析,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,ARP病毒,1.病毒描述 ARP地址欺骗类病毒（以下简称ARP病毒）是一类特殊的病毒，该病毒一般属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。该病毒位居2007年病毒排行榜第二位。,7.2 典型的病毒分析,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,ARP病毒,7.2 典型的病毒分析,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,ARP病毒,2.解决方法 可以使用360ARP防火墙，在综合设置里面设置对ARP病毒的防护，如图所示。,7.2 典型的病毒分析,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,“熊猫烧香”病毒,2006年底，中国互联网上大规模爆发“熊猫烧香”病毒及其变种，这种病毒将感染的所有程序文件改成熊猫举着三根香的模样，如图所示。它还具有盗取用户游戏账号、账号等功能。截至案发为止，已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏，引起社会各界高度关注，被称为2006年中国大陆地区的“毒王”。,7.2 典型的病毒分析,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,“熊猫烧香”病毒,据警方调查，“熊猫烧香”病毒的制作者为湖北省武汉市的李俊，如图所示，另外雷磊等五名犯罪嫌疑人通过改写、传播“熊猫烧香”等病毒，构建“僵尸网络”，通过盗窃各种游戏和QQ账号等方式非法牟利。目前，6名犯罪嫌疑人已被刑事拘留。图为“熊猫烧香”病毒的制作者李俊。,7.2 典型的病毒分析,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,7.2.6 QQ与MSN病毒,目前，利用QQ、MSN等聊天工具，进行病毒传播时有发生，如图所示为通过QQ自动传播的病毒。如图所示为通过MSN传播的网页病毒。另外还有黑客给QQ、MSN上加木马，以盗取QQ、MSN的密码等信息。,7.2 典型的病毒分析,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,7.2.6 QQ与MSN病毒,这个网址很可怕，因为它的后面加了一个端口号。可以ping一下它的网址，如图所示。通过这种方式可以看到它的IP。,7.2 典型的病毒分析,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,7.2.6 QQ与MSN病毒,看到它的IP为 121.54.173.87，然后再到网站上查找一下就会发现这个网站实际上在香港。,7.2 典型的病毒分析,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,7.2.6 QQ与MSN病毒,2.QQ、MSN病毒防治方法,对于QQ和MSN病毒的防治，可以采用专杀工具。例如，对于QQ病毒可以下载QQ kav专杀工具，进行查杀。它的主界面如图所示。,7.3 恶意软件,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,7.3.1 恶意软件的概念,恶意软件俗称流氓软件，是对破坏系统正常运行的软件的统称。恶意软件介于病毒软件和正规软件之间，同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来实质危害。目前，互联网上有许多恶意软件，如一搜工具条、完美网译通、博采网摘、百度搜霸、3721上网助手、很棒小秘书、网络猪、划词搜索等。,7.3 恶意软件,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,7.3.1 恶意软件的概念,在中国对于恶意软件定义最权威的要属于中国互联网协会反恶意软件协调工作组对恶意软件的定义。2006 年，中国互联网协会反恶意软件协调工作组在充分听取成员单位意见的基础上，最终确定了“恶意软件”定义并向社会公布：恶意软件俗称“流氓软件”，是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包含我国法律法规规定的计算机病毒。,7.3 恶意软件,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,7.3.1 恶意软件的概念,恶意软件的认定，具有下列特征之一的软件可以被认为是恶意软件：1.强制安装：指未明确提示用户或未经用户许可，在用户计算机或其他终端上安装软件的行为。2.难以卸载：指未提供通用的卸载方式，或在不受其他软件影响、人为破坏的情况下，卸载后仍然有活动程序的行为。3.浏览器劫持：指未经用户许可，修改用户浏览器或其他相关设置，迫使用户访问特定网站或导致用户无法正常上网的行为。4.广告弹出：指未明确提示用户或未经用户许可，利用安装在用户计算机或其他终端上的软件弹出广告的行为。5.恶意收集用户信息：指未明确提示用户或未经用户许可，恶意收集用户信息的行为。7.恶意卸载：指未明确提示用户、未经用户许可，或误导、欺骗用户卸载其他软件的行为。7.恶意捆绑：指在软件中捆绑已被认定为恶意软件的行为。8.其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。,7.3 恶意软件,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,7.3.2 恶意软件的类型,根据恶意软件的表现，可以分为以下9类：1.广告软件2.间谍软件 3.浏览器劫持 4.行为记录软件 5.恶意共享软件 7.搜索引擎劫持7.自动拨号软件8.网络钓鱼 9.ActiveX控件,7.3 恶意软件,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,7.3.3 恶意软件的清除,防止恶意软件入侵可以采取如下方法：1.养成良好健康的上网习惯，不访问不良网站，不随便点击小广告。2.下载安装软件尽量到该软件的官方网站，或者信任度高的大下载站点进行下载。3.安装软件的时候每个安装步骤最好能仔细看清楚，防止捆绑软件入侵。4.安装如360安全卫士等安全类软件，定时对系统做诊断，查杀恶意软件。如图所示为360安全卫士的主界面。,7.3 恶意软件,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,7.3.3 恶意软件的清除,7.4 物理环境与设备安全,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,7.4.1 物理安全威胁,网络的物理安全风险主要指由于网络周边环境和物理特性引起的网络设备和线路的不可用，而造成网络系统的不可用。例如：设备被盗、设备老化、意外故障、无线电磁辐射泄密等。如果局域网采用广播方式，那么本广播域中的所有信息都可以被侦听。,7.4 物理环境与设备安全,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,7.4.2 物理安全防护,1、物理位置选择 机房应选择在具有防震、防风和防雨等能力的建筑内；机房的承重要求应满足设计要求；机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁；机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染，易发生火灾、水灾，易遭受雷击的地区。,7.4 物理环境与设备安全,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,7.4.2 物理安全防护,2、物理访问控制 有人值守机房出入口应有专人值守，鉴别进入的人员身份并登记在案；无人值守的机房门口应具备告警系统；应批准进入机房的来访人员，限制和监控其活动范围；应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；应对重要区域配置电子门禁系统，鉴别和记录进入的人员身份并监控其活动,并且门禁可以是带考勤的，这样就不用公司现在的考勤卡了。可以考虑每个员工进入公司时，有一个身份卡，这样出了安全问题后，容易找到具体实施的人。服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。,7.4 物理环境与设备安全,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,7.4.2 物理安全防护,3、防盗窃和防破坏 应将相关服务器放置在物理受限的范围内；应利用光、电等技术设置机房的防盗报警系统，以防进入机房的盗窃和破坏行为；应对机房设置监控报警系统。,7.4 物理环境与设备安全,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,7.4.2 物理安全防护,4、防雷击 机房建筑应设置避雷装置；应设置防雷保安器，防止感应雷；应设置交流电源地线。,7.4 物理环境与设备安全,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,7.4.2 物理安全防护,5、防火 应设置火灾自动消防系统，自动检测火情，自动报警，并自动灭火；机房及相关的工作房间和辅助房，其建筑材料应具有耐火等级。,7.4 物理环境与设备安全,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,7.4.2 物理安全防护,6、防水和防潮 水管安装不得穿过屋顶和活动地板下；应对穿过墙壁和楼板的水管增加必要的保护措施，如设置套管；应采取措施防止雨水通过屋顶和墙壁渗透；应采取措施防止室内水蒸气结露和地下积水的转移与渗透。,计算机网络技术及其应用,Computer Network Technology and Applications,课件制作：马强,