计算机网络安全第6章.ppt

《计算机网络安全第6章.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全第6章.ppt（47页珍藏版）》请在三一办公上搜索。

1、2023/11/17,病毒,1,第六章 病毒,本章内容：第一节 计算机病毒简介 第二节 网络病毒及其防治 第三节 典型病毒介绍 第四节 常用杀毒软件介绍,2023/11/17,病毒,2,知识点,病毒的定义、分类、特点及防治 网络病毒的特点、传播及防治 网络反病毒技术的特点,2023/11/17,病毒,3,难 点,网络反病毒技术 宏病毒的清除方法,2023/11/17,病毒,4,要求,熟练掌握以下内容：病毒的定义、分类、特点及防治 网络病毒的特点、传播及防治 常用杀毒软件的使用了解以下内容：病毒的结构 典型病毒,2023/11/17,病毒,5,第一节 计算机病毒简介,病毒的概念 病毒的发展史 病

2、毒的特点 病毒的分类 病毒的结构 病毒的识别与防治,2023/11/17,病毒,6,6.1.1 病毒的概念,计算机病毒在中华人民共和国计算机信息系统安全保护条例中的定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。,2023/11/17,病毒,7,6.1.2 病毒的发展史,1DOS时代 DOS是一个安全性较差的操作系统，所以在DOS时代，计算机病毒无论是数量还是种类都非常多。按照传染方式可以分为：系统引导病毒、外壳型病毒、复合型病毒。各类病毒的具体内容见“病毒的分类”。,2023/11/17,病毒,8,2Windows

3、时代 1995年8月，微软发布了Windows95，标志着个人电脑的操作系统全面进入了Windows9X时代，而Windows9X对DOS的弱依赖性则使得计算机病毒也进入了Windows时代。这个时代的最大特征便是大量DOS病毒的消失以及宏病毒的兴起。,2023/11/17,病毒,9,3Internet时代 可以这样说，网络病毒大多是Windows时代宏病毒的延续，它们往往利用强大的宏语言读取用户E-mail软件的地址簿，并将自身作为附件发向地址簿内的那些E-mail地址去。由于网络的快速和便捷，网络病毒的传播是以几何级数进行的，其危害比以前的任何一种病毒都要大。,2023/11/17,病毒,

4、10,6.1.3 病毒的特点,1传染性2破坏性3隐蔽性4潜伏性5不可预见性,2023/11/17,病毒,11,6.1.4 病毒的分类,1系统引导病毒 系统引导病毒又称引导区型病毒。直到20世纪90年代中期，引导区型病毒是最流行的病毒类型，主要通过软盘在DOS操作系统里传播。引导区型病毒侵染软盘中的引导区，蔓延到用户硬盘，并能侵染到用户硬盘中的“主引导记录”。一旦硬盘中的引导区被病毒感染，病毒就试图侵染每一个插入计算机的从事访问的软盘的引导区。,2023/11/17,病毒,12,2文件型病毒 文件型病毒是文件侵染者，也被称为寄生病毒。它运作在计算机存储器里，通常它感染扩展名为COM、EXE、DR

5、V、BIN、OVL、SYS等文件。每一次它们激活时，感染文件把自身复制到其他文件中，并能在存储器里保存很长时间，直到病毒又被激活。,2023/11/17,病毒,13,3.复合型病毒 复合型病毒有引导区型病毒和文件型病毒两者的特征。4.宏病毒 宏病毒一般是指用 Word Basic书写的病毒程序，寄存在 Microsoft Office文档上的宏代码。它影响对文档的各种操作，如打开、存储、关闭或清除等。当打开Office文档时，宏病毒程序就会被执行，即宏病毒处于活动状态，当触发条件满足时，宏病毒才开始传染、表现和破坏。,2023/11/17,病毒,14,6.1.5 病毒的结构,计算机病毒在结构上

6、有着共同性，一般由引导部分、传染部分、表现部分三部分组成。1.引导部分 也就是病毒的初始化部分，它随着宿主程序的执行而进入内存，为传染部分做准备。2.传染部分 作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前，要首先判断传染条件是否满足，判断病毒是否已经感染过该目标等，如CIH病毒只针对Windows 95/98操作系统。,2023/11/17,病毒,15,3.表现部分 是病毒间差异最大的部分，前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的。,2023/11/17,病毒,16,6.1.6 病毒的识别与

7、防治,1.病毒发作常见的现象下列一些异常现象可以作为检测病毒的参考：（1）程序装入时间比平时长，运行异常；（2）有规律的发现异常信息；（3）用户访问设备（例如打印机）时发现异常情况，如打印机不能联机或打印符号异常；（4）磁盘的空间突然变小了，或不识别磁盘设备；（5）程序和数据神秘的丢失了，文件名不能辨认；（6）显示器上经常出现一些莫名其妙的信息或异常显示（如白斑、圆点等）；（7）机器经常出现死机现象或不能正常启动；（8）发现可执行文件的大小发生变化或发现不知来源的隐藏文件。,2023/11/17,病毒,17,2.病毒预防（l）用管理手段预防计算机病毒的传染（2）用技术手段预防计算机病毒的传染

8、3.病毒清除 目前病毒的破坏力越来越强，几乎所有的软、硬件故障都可能与病毒有牵连，所以，当操作时发现计算机有异常情况，首先应怀疑的就是病毒在作怪，而最佳的解决办法就是利用杀毒软件对计算机进行一次全面的清查。,2023/11/17,病毒,18,第二节 网络病毒及其防治,网络病毒的特点 网络病毒的传播 网络病毒的防治 网络反病毒技术的特点 病毒防火墙的反病毒的特点,2023/11/17,病毒,19,6.2.1 网络病毒的特点,1传染方式多2传播速度快3清除难度大4破坏性强,2023/11/17,病毒,20,6.2.2 网络病毒的传播,1文件病毒在网络上的传播与表现 局域网：大多数公司使用局域网文件

9、服务器，用户直接从文件服务器复制已感染的文件。用户在工作站上执行一个带毒操作文件，这种病毒就会感染网络上其他可执行文件。用户在工作站上执行内存驻留文件带毒，当访问服务器上的可执行文件时进行感染。,2023/11/17,病毒,21,对等网：使用网络的另一种方式是对等网络，在端到端网络上，用户可以读出和写入每个连接的工作站上本地硬盘中的文件。因此，每个工作站都可以有效地成为另一个工作站的客户和服务器。而且，端到端网络的安全性很可能比专门维护的文件服务器的安全性更差。这些特点使得端到端网络对基于文件的病毒的攻击尤其敏感。如果一台已感染病毒的计算机可以执行另一台计算机中的文件，那么这台感染病毒计算机中

10、的活动的、内存驻留病毒能够立即感染另一台计算机硬盘上的可执行文件。,2023/11/17,病毒,22,Internet：文件病毒可以通过Internet毫无困难地发送。而可执行文件病毒不能通过Internet在远程站点感染文件。此时Internet是文件病毒的载体。,2023/11/17,病毒,23,6.2.3 网络病毒的防治,1基于工作站的防治方法工作站病毒防护芯片:将防病毒功能集成在一个芯片上，安装于网络工作站，以便经常性地保护工作站及其通往服务器的途径。其基本原理是:网络上的每个工作站都要求安装网络接口卡，而网络接口上有一个Boot ROM芯卡，因为多数网卡的Boot ROM并没有充分利

11、用，都会剩余一些使用空间，所以如果防毒程序够小的话，就可以安装在网络的BOOt ROM的剩余空间内，而不必另插一块芯片。这样，将工作站存取控制与病毒保护能力合二为一地插在网卡的RPROM槽内，用户可以免去许多繁琐的管理工作。,2023/11/17,病毒,24,2基于服务器的防治方法 目前，基于服务器的防治病毒方法大都采用了以NLM（NetwWare Loadable Module）可装载模块技术进行程序设计，以服务器为基础，提供实时扫描病毒能力。市场上较有代表性的产品，如：Intel公司的 LANdesk Virus Protect和Symantec公司的 Center PointAnti一V

12、irus和 S&SSoftware International公司的 DrSolomons AntiVirus Toolkit，以及我国北京威尔德电脑公司的 LANClear For,2023/11/17,病毒,25,6.2.4 网络反病毒技术的特点,1网络反病毒技术的安全度取决于“木桶理论”被计算机安全界广泛采用的著名的“木桶理论”认为，整个系统的安全防护能力，取决于系统中安全防护能力最薄弱的环节。计算机网络病毒防治是计算机安全极为重要的一个方面，它同样也适用于这一理论。一个计算机网络，对病毒的防御能力取决于网络中病毒防护能力最薄弱的一个节点。,2023/11/17,病毒,26,2网络反病毒

13、技术尤其是网络病毒实时监测技术应符合“最小占用”原则 该技术符合“最小占用”原则，对网络运行效率不产生本质影响。网络反病毒产品是网络应用的辅助产品，因此对网络反病毒技术，尤其是网络病毒实时监测技术，在自身的运行中不应影响网络的正常运行。网络反病毒技术的应用，理所当然会占用网络系统资源（增加网络负荷、额外占用CPU、占用服务器内存等）。正由于此，网络反病毒技术应符合“最小占用”原则，以保证网络反病毒技术和网络本身都能发挥出应有的正常功能。,2023/11/17,病毒,27,3.网络反病毒技术的兼容性是网络防毒的重点与难点 网络上集成了那么多的硬件和软件，流行的网络操作系统也有好几种，按照一定网络

14、反病毒技术开发出来的网络反病毒产品，要运行于这么多的软、硬件之上，与它们和平共处，实在是非常之难，远比单机反病毒产品复杂。这既是网络反病毒技术必须面对的难点，又是其必须解决的重点。,2023/11/17,病毒,28,第三节 典型病毒介绍,宏病毒 电子邮件病毒 几个病毒实例,2023/11/17,病毒,29,6.3.1 宏病毒,1宏病毒的定义 所谓宏，就是软件设计者为了在使用软件工作时，避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法，把常用的动作写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，去完成某项特定的任务，而不必再重复相同的工作。所谓宏病毒，就是利用软件所支持的宏

15、命令编写成的具有复制、传染能力的宏。,2023/11/17,病毒,30,2宏病毒的分类 宏病毒根据传染的宿主的不同可以分为：传染Word的宏病毒、传染Excel的宏病毒和传染AmiPro的宏病毒。由于目前国内Word系统应用较多，所以大家谈论的宏病毒一般是指Word宏病毒。,2023/11/17,病毒,31,3Word宏病毒的特点（1）以数据文件方式传播，隐蔽性好，传播速度快，难于杀除（2）制作宏病毒以及在原型病毒上变种非常方便（3）破坏可能性极大,2023/11/17,病毒,32,4Word宏病毒的表现 Word宏病毒在发作时，会使Word运行出现怪现象，如自动建文件、开窗口、内存总是不够、

16、关闭WORD不对已修改文件提出未存盘警告、存盘文件丢失等，有的使打印机无法正常打印。Word宏病毒在传染时，会使原有文件属性和类型发生改变，或Word自动对磁盘进行操作等。当内存中有Word宏病毒时，原Word文档无法另存为其他格式的文件，只能以模板形式进行存储。,2023/11/17,病毒,33,5Word宏病毒的防范（1）对于已染病毒的NORMAL.DOT文件，首先应将NORMAL.DOT中的自动宏清除，然后将NORMAL.DOT置成只读方式。（2）对于其它已感染病毒的文件均应将自动宏清除，这样就可以达到清除病毒的目的。（3）平时使用时要加强防范。定期检查活动宏表，对来历不明的宏最好予以删

17、除；如果发现后缀为.DOC的文件变成模板（.DOT）时，则可怀疑其已染宏病毒，其主要表现是在Save As文档是，选择文件类型的框变为灰色。,2023/11/17,病毒,34,（4）在启动Word、创建文档、打开文档、关闭文档以及退出Word时，按住SHIFT键可以阻止自动宏的运行。例如，当用含有AutoNew宏的模板新建一文档时，在“新建”对话框中单击“确定”按钮时按住SHIFT键，就可以阻止AutoNew宏的执行。（5）存储一个文档时，务必明确指定该文档的扩展名。宏病毒总是试图把模板文件的扩展名加到你指定的文件名后面，无论扩展名是否已经存在。例如，你指定文件名如下TEST.DOC，最终这个

18、文件名会变为TEST.DOC.DOT，显然这个文件名在DOS下不可接受的。由此就可以察觉到宏病毒的存在。,2023/11/17,病毒,35,6宏病毒的清除（1）手工清除Word宏病毒（2）使用杀毒软件清除Word宏病毒,2023/11/17,病毒,36,6.3.2 电子邮件病毒,电子邮件病毒的防范:（1）思想上要有防毒意识（2）使用防毒软件,2023/11/17,病毒,37,6.3.3 几个病毒实例,1CIH病毒 CIH病毒是一种文件型病毒，主要传染 Windows 9598应用程序。该病毒发作时，破坏计算机系统Flash Memory芯片中的BIOS系统程序，导致系统主板损坏，同时破坏硬盘中

19、的数据。CIH病毒是首例直接攻击、破坏硬件系统的计算机病毒，是迄今为止破坏力最为严重的病毒之一。,2023/11/17,病毒,38,2“台湾 1号”宏病毒 在每月 13日，若用户使用打开一个带“台湾 1号”宏病毒的Word文档（模板）时，该病毒会被激发。激发时的现象是：在屏幕正中央弹出一个对话框，该对话框提示用户做一个心算题，如做错，它将会无限制地打开文件，直至Word内存不够，Word出错为止；如心算题作对，会提示用户“什么是巨集病毒（宏病毒）？”，回答是“我就是巨集病毒”，再提示用户：“如何预防巨集病毒？”，回答是“不要看我”。,2023/11/17,病毒,39,3电子邮件炸弹 电子邮件炸

20、弹是指发件者以不明来历的电子邮件地址，不断重复将电子邮件寄于同一个收件人。由于情况就像是战争时利用某种战争工具对同一个地方进行大轰炸，因此称为电子邮件炸弹（Email Bomber）。,2023/11/17,病毒,40,瑞星杀毒软件KV3000KILL2000,第四节 常用杀毒软件介绍,2023/11/17,病毒,41,6.4.1 瑞星杀毒软件,“瑞星杀毒软件”是北京瑞星电脑科技开发有限责任公司针对流行于国内外危害较大的计算机病毒和有害程序，自主研制的反病毒安全工具。用于对已知病毒、黑客等的查找、实时监控和清除、恢复被病毒感染的文件或系统，维护计算机系统的安全。能全面清除感染DOS、Windo

21、ws、Office等系统的病毒以及危害计算机安全的各种“黑客等有害序。“瑞星杀毒软件”分为世纪版、标准版和 OEM版。注：对于杀毒软件的特点、使用需要上机演示，这里不在赘述。,2023/11/17,病毒,42,6.4.2 KV3000,1.KV3000可以查杀更多的计算机病毒的种类和数量 2.KV3000提供更加完善的硬盘救护箱功能 3.KV3000内部增加了多种查杀计算机病毒的方法 4.KV3000可识别的压缩文件的格式更多5.KV3000升级更加方便、快捷 6.KV3000清除宏病毒的功能得到很大的提高 7.KV3000提供详细的检查病毒的报告文件 8.KV3000提供清除病毒向导功能 9

22、.KV3000提供自动定时扫描功能,2023/11/17,病毒,43,6.4.3 KILL2000,1KILL2000单机版简介（1）KILL 2000单机系列产品 KILL for Win2000 Professional KILL for Win95/98 KILL for Windows NT Workstation KILL for Win&Dos,2023/11/17,病毒,44,（2）KILL 2000单机版产品特点 经国际计算机安全协会认证对病毒能够100%的快速有效清除，使用简单、功能强大、性能突出。全面兼容WINDOWS 2000系列。针对所有流行单机平台实现有效的病毒和黑客

23、的实时监控和清除功能。,2023/11/17,病毒,45,2KILL2000网络版简介（1）KILL2000系列网络反病毒产品 KILL2000 for Windows NT/2000 server KILL2000 for Netware Server KILL2000 for Exchange Server（插件）KILL2000 for Notes Server（插件）KILL2000 for 95/98 client pack KILL2000 for NT/2000 client pack KILL2000 Internet Protector,2023/11/17,病毒,46,（2

24、）KILL 2000网络系列反病毒产品特点 具有强大的网络管理能力和病毒防杀能力，通过网关-服务器-邮件系统-客户端的系统安全体系，实现全面网络安全解决方案，与冠群金辰公司的其它网络安全软件组合，能够确保企业网络安全。,2023/11/17,病毒,47,小结：,随着计算机在各行各业的大量应用，计算机病毒也随之渗透到计算机世界的每个角落，常以人们意想不到的方式侵入计算机系统。计算机病毒的流行引起人们的普遍关注，成为影响计算机安全运行的一个重要因素。本章主要介绍病毒的基础知识，包括病毒的定义、特点、分类、结构、预防及清除方法。并针对网络病毒独有的特点进行讨论，提出网络病毒的防治措施。同时，还介绍了几种典型病毒以及常用杀毒软件的功能特点。,