计算机网络安全基础第6章

2018/12/10,计算机网络安全基础,第6章 计算机病毒的防治,计算机病毒的防御对网络管理员来说是一个望而生畏的任务。特别是随着病毒的越来越高级，情况就变得更是如此。目前，几千种不同的病毒不时地对计算机和网络的安全构成严重威胁。因此，了解和控制病毒威胁的需要显得格外的重要，任何有关网络数据完整性和安全的讨论都应考虑到病毒。,2018/12/10,计算机网络安全基础,第6章 计算机病毒的防治,本章主要内容： 1计算机病毒 2计算机病毒的传播 3计算机病毒的特点及破坏行为 4宏病毒及网络病毒 5 病毒的预防、检查和清除 6 病毒防御解决方案,2018/12/10,计算机网络安全基础,6.1 什么是计算机病毒,计算机病毒是一种“计算机程序”，它不仅能破坏计算机系统，而且还能够传播、感染到其它系统。它通常隐藏在其它看起来无害的程序中，能生成自身的复制并将其插入其它的程序中，执行恶意的行动。 通常，计算机病毒可分为下列几类。 （1）文件病毒。该病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上，然后，利用这些指令来调用附在文件中某处的病毒代码。当文件执行时，病毒会调出自己的代码来执行，接着又返回到正常的执行系列。通常，这些情况发生得很快，以致于用户并不知道病毒代码已被执行。,2018/12/10,计算机网络安全基础,6.1 什么是计算机病毒,（2）引导扇区病毒。它会潜伏在软盘的引导扇区，或者是在硬盘的引导扇区，或主引导记录（分区扇区中插入指令）。此时，如果计算机从被感染的软盘引导时，病毒就会感染到引导硬盘，并把自己的代码调入内存。软盘并不需要一定是可引导的才能传播病毒，病毒可驻留在内存内并感染被访问的软盘。触发引导区病毒的典型事件是系统日期和时间。 （3）多裂变病毒。多裂变病毒是文件和引导扇区病毒的混合种，它能感染可执行文件，从而能在网上迅速传播蔓延。,2018/12/10,计算机网络安全基础,6.1 什么是计算机病毒,（4）秘密病毒。这种病毒通过挂接中断把它所进行的修改和自己的真面目隐藏起来，具有很大的欺骗性。因此，当某系统函数被调用时，这些病毒便“伪造”结果，使一切看起来非常正常。秘密病毒摧毁文件的方式是伪造文件大小和日期，隐藏对引导区的修改，而且使大多读操作重定向。 （5）异形病毒。这是一种能变异的病毒，随着感染时间的不同而改变其不同的形式。不同的感染操作会使病毒在文件中以不同的方式出现，使传统的模式匹配法对此显得软弱无力。,2018/12/10,计算机网络安全基础,6.1 什么是计算机病毒,（6）宏病毒。宏病毒不只是感染可执行文件，它可以感染一般软件文件。虽然宏病毒不会有严重的危害，但它仍是令人讨厌的，因为它会影响系统的性能以及用户的工作效率。宏病毒是利用宏语言编写的，不面向操作系统，所以，它不受操作平台的约束，可以在DOS、Windows、Unix、Mac甚至在OS/2系统中散播。这就是说，宏病毒能被传到任何可运行编写宏病毒的应用程序的机器中。宏病毒对病毒而言是一次革命。现在通过E-mail、3W强大的互联能力及宏语言的进一步强化，极大地增强了它的传播能力。,2018/12/10,计算机网络安全基础,6.2 计算机病毒的传播,6.2.1 计算机病毒的由来 计算机病毒是由计算机黑客们编写的，这些人想证明它们能编写出不但可以干扰和摧毁计算机，而且能将破坏传播到其它系统的程序。 最早被记录在案的病毒之一是1983年由南加州大学学生Fred Cohen编写的，当该程序安装在硬盘上后，就可以对自己进行复制扩展，使计算机遭到“自我破坏”。 1985年病毒程序通过电子公告牌向公众提供。,2018/12/10,计算机网络安全基础,6.2 计算机病毒的传播,6.2.2 计算机病毒的传播 计算机病毒通过某个入侵点进入系统来感染该系统。最明显的也是最常见的入侵点是从工作站传到工作站的软盘。在计算机网络系统中，可能的入侵点还包括服务器、E-mail附加部分、BBS上下载的文件、3W站点、FTP文件下载、共享网络文件及常规的网络通信、盗版软件、示范软件、电脑实验室和其它共享设备。此外，也可以有其它的入侵点。 病毒一旦进入系统以后，通常用以下两种方式传播： （1）通过磁盘的关键区域； （2）在可执行的文件中。,2018/12/10,计算机网络安全基础,6.2 计算机病毒的传播,6.2.3 计算机病毒的工作方式 一般来说，病毒的工作方式与病毒所能表现出来的特性或功能是紧密相关的。病毒能表现出的几种特性或功能有：感染、变异、触发、破坏以及高级功能（如隐身和多态）。 1感染 任何计算机病毒的一个重要特性或功能是对计算机系统的感染。事实上，感染方法可用来区分两种主要类型的病毒：引导扇区病毒和文件感染病毒。 （1）引导扇区病毒 引导扇区病毒的一个非常重要的特点是对软盘和硬盘的引导扇区的攻击。,2018/12/10,计算机网络安全基础,6.2 计算机病毒的传播,引导扇区是大部分系统启动或引导指令所保存的地方，而且对所有的磁盘来讲，不管是否可以引导，都有一个引导扇区。感染的主要方式就是发生在计算机通过已被感染的引导盘（常见的如一个软盘）引导时发生的。,2018/12/10,计算机网络安全基础,6.2 计算机病毒的传播,（2）文件型病毒 文件型病毒与引导扇区病毒最大的不同之处是，它攻击磁盘上的文件。它将自己依附在可执行的文件（通常是.com和.exe）中，并等待程序的运行。这种病毒会感染其它的文件，而它自己却驻留在内存中。当该病毒完成了它的工作后，其宿主程序才被运行，使人看起来仿佛一切都很正常。,2018/12/10,计算机网络安全基础,6.2 计算机病毒的传播,覆盖型文件病毒的一个特点是不改变文件的长度，使原始文件看起来非常正常。即使是这样，一般的病毒扫描程序或病毒检测程序通常都可以检测到覆盖了程序的病毒代码的存在。 前依附型文件病毒将自己加在可执行文件的开始部分，而后依附型文件病毒将病毒代码附加在可执行文件的末尾。 伴随型文件病毒为.exe文件建立一个相应的含有病毒代码的.com文件。当运行.EXE文件时，控制权就转到隐藏的.com文件，病毒程序就得以运行。当执行完之后，控制权又返回到.exe文件。,2018/12/10,计算机网络安全基础,6.2 计算机病毒的传播,2变异 变异又称变种，这是病毒为逃避病毒扫描和其它反病毒软件的检测，以达到逃避检测的一种“功能”。 变异是病毒可以创建类似于自己，但又不同于自身“品种”的一种技术，它使病毒扫描程序难以检测。有的变异程序能够将普通的病毒转换成多态的病毒。 3触发 不少计算机病毒为了能在合适的时候从事它的见不得人的勾当，往往需要预先设置一些触发的条件，并使之先置于未触发状态。如以时间、程序运行了次数和在文件病毒被复制到不同的系统上多少次之后作为触发条件。,2018/12/10,计算机网络安全基础,6.2 计算机病毒的传播,4破坏 破坏，是大多数人所提心吊胆的。破坏的形式是多种多样的，从无害到毁灭性的。破坏的方式总的来说可以归纳如下列几种：修改数据、破坏文件系统、删除系统上的文件、视觉和听觉效果。 5高级功能病毒 计算机病毒经过几代的发展，在功能方面日趋高级，它们尽可能地逃避检测，有的甚至被设计成能够躲开病毒扫描和反病毒软件。隐身病毒和多态病毒就属于这一类。 多态病毒的最大特点能变异成不同的品种，每个新的病毒都与上一代有一些差别，每个新病毒都各不相同。,2018/12/10,计算机网络安全基础,6.3 计算机病毒的特点及破坏行为,6.3.1 计算机病毒的特点 根据对计算机病毒的产生、传染和破坏行为的分析，总结出病毒有以下几个主要特点。 1刻意编写人为破坏 2自我复制能力 3夺取系统控制权 4隐蔽性 5潜伏性 6不可预见性,2018/12/10,计算机网络安全基础,6.3 计算机病毒的特点及破坏行为,6.3.2 计算机病毒的破坏行为 （1）攻击系统数据区。攻击部位包括硬盘主引导扇区、Boot扇区、FAT表、文件目录。一般来说，攻击系统数据区的病毒是恶性病毒，受损的数据不易恢复。 （2）攻击文件。病毒对文件的攻击方式很多，如删除、改名、替换内容、丢失簇和对文件加密等。 （3）攻击内存。内存是计算机的重要资源，也是病毒攻击的重要目标。病毒额外地占用和消耗内存资源，可导致一些大程序运行受阻。病毒攻击内存的方式有大量占用、改变内存总量、禁止分配和蚕食内存等。,2018/12/10,计算机网络安全基础,6.3 计算机病毒的特点及破坏行为,（4）干扰系统运行，使运行速度下降。此类行为也是花样繁多，如不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、时钟倒转、重启动、死机、强制游戏、扰乱串并接口等等。病毒激活时，系统时间延迟程序启动，在时钟中纳入循环计数，迫使计算机空转，运行速度明显下降。 （5）干扰键盘、喇叭或屏幕。病毒干扰键盘操作，如响铃、封锁键盘、换字、抹掉缓存区字符、输入紊乱等。许多病毒运行时，会使计算机的喇叭发出响声。病毒扰乱显示的方式很多，如字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写等。,2018/12/10,计算机网络安全基础,6.3 计算机病毒的特点及破坏行为,（6）攻击CMOS。在机器的CMOS中，保存着系统的重要数据，如系统时钟、磁盘类型和内存容量等，并具有校验和。有的病毒激活时，能够对CMOS进行写入动作，破坏CMOS中的数据。例如CIH病毒破坏计算机硬件，乱写某些主板BIOS芯片，损坏硬盘。 （7）干扰打印机。如假报警、间断性打印或更换字符。 （8）网络病毒破坏网络系统，非法使用网络资源，破坏电子邮件，发送垃圾信息，占用网络带宽等。,2018/12/10,计算机网络安全基础,6.4 宏病毒及网络病毒,6.4.1 宏病毒 所谓宏，就是软件设计者为了在使用软件工作时，避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法，把常用的动作写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作。在Word中对宏定义为“宏就是能组织到一起作为一独立的命令使用的一系列Word命令，它能使日常工作变得更容易。”Word宏是使用Word Basic语言来编写的。,2018/12/10,计算机网络安全基础,6.4 宏病毒及网络病毒,1宏病毒的行为和特征 所谓“宏病毒”，就是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒，可以在Windows 9X、Windows NT、OS/2和Macintosh System 7等操作系统上执行病毒行为。 （1）宏病毒行为机制 Word模式定义出一种文件格式，将文档资料以及该文档所需要的宏混在一起放在后缀为.doc的文件之中，这种作法已经不同于以往的软件将资料和宏分开存储的方法。这种宏是文档资料，而文档资料的携带性极高，如果宏随着文档而被分派到不同的工作平台，只要能被执行，它也就类似于计算机病毒的传染过程。,2018/12/10,计算机网络安全基础,（2）宏病毒特征 宏病毒会感染.doc文档和.dot模板文件。 宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时，激活宏病毒。病毒宏将自身复制到Word通用（Normal）模板中，以后在打开或关闭文件时宏病毒就会把病毒复制到该文件中。 多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏，通过这些自动宏病毒取得文档（模板）操作权。 宏病毒中总是含有对文档读写操作的宏命令。 宏病毒在.doc文档、.dot模板中以.BFF（Binary File Format）格式存放，这是一种加密压缩格式，不同Word版本格式可能不兼容。,6.4 宏病毒及网络病毒,2018/12/10,计算机网络安全基础,6.4 宏病毒及网络病毒,2宏病毒的防治和清除方法 （1）使用选项“