【大學(xué)課件】信息安全技術(shù)系講17

1、第十七講: 網(wǎng)絡(luò)病毒及防止 從1988年以來(lái)，計(jì)算機(jī)病毒開(kāi)始在我國(guó)出現(xiàn)并迅速泛濫成災(zāi)。到了90年代，隨著我國(guó)各類(lèi)計(jì)算機(jī)網(wǎng)絡(luò)的迅速建立與普遍應(yīng)用，如何防止計(jì)算機(jī)病毒侵入計(jì)算機(jī)網(wǎng)絡(luò)已成為一個(gè)重要而緊迫的任務(wù)。計(jì)算機(jī)網(wǎng)絡(luò)的防病毒與反病毒技術(shù)已成為計(jì)算機(jī)操作人員與網(wǎng)絡(luò)工作人員必須了解與掌握的一項(xiàng)技術(shù)。 a: 視窗中的病毒 到目前為止，dos環(huán)境下的病毒已經(jīng)超過(guò)5000種。最近幾年，又產(chǎn)生了許多以視窗平臺(tái)為特定目標(biāo)的計(jì)算機(jī)病毒。為什么視窗中會(huì)有病毒存在呢？原因之一：視窗運(yùn)行時(shí)，首先啟動(dòng)實(shí)模式。在實(shí)模式中程序和設(shè)備驅(qū)動(dòng)程序從config.sys和autoexec.bat中裝載。接著是引導(dǎo)過(guò)程，啟動(dòng)視窗95

2、的圖形部件。當(dāng)視窗完成啟動(dòng)后，用戶(hù)可以用打開(kāi)dos對(duì)話(huà)框的方式運(yùn)行dos程序。dos對(duì)話(huà)框中包括所有在系統(tǒng)初期啟動(dòng)時(shí)的程序拷貝，當(dāng)然也包括可能被裝載的病毒代碼。因此，每次dos對(duì)話(huà)框啟動(dòng)時(shí)將始終有相同的程序（包括病毒）是在視窗95圖形部份啟動(dòng)前裝載的。并且多次啟動(dòng)dos進(jìn)程可能導(dǎo)致多次病毒感染。原因之二：在視窗95中允許dos程序和病毒對(duì)軟盤(pán)進(jìn)行直接讀寫(xiě)。這對(duì)病毒傳播十分有利，當(dāng)然，對(duì)用戶(hù)來(lái)說(shuō)是十分不幸的。病毒象在硬盤(pán)中一樣，以相同的方式制造麻煩。當(dāng)用戶(hù)一時(shí)大意，用了一張帶病毒軟盤(pán)來(lái)引導(dǎo)時(shí)，病毒就會(huì)感染mbr。病毒將在每次計(jì)算機(jī)引導(dǎo)時(shí)裝載，在每一次啟動(dòng)dos對(duì)話(huà)框時(shí)安裝到系統(tǒng)中。這樣當(dāng)用戶(hù)對(duì)軟

3、盤(pán)進(jìn)行操作時(shí)，病毒可以將自身繁殖到另外的軟盤(pán)，從而蔓延到其它的計(jì)算機(jī)。 原因之三：和dos一樣，視窗沒(méi)有文件等級(jí)保護(hù)。利用文件進(jìn)行傳播的病毒可以在視窗95下進(jìn)行繁殖。這樣，文件型病毒完全可以象它們?cè)赿os環(huán)境下一樣進(jìn)行復(fù)制。原因之四：某些新技術(shù)可能會(huì)促進(jìn)病毒的傳播。比如，工作組網(wǎng)絡(luò)環(huán)境十分容易使病毒快速傳播。此外，視窗95沒(méi)有文件等級(jí)保護(hù)，如果在網(wǎng)絡(luò)中的計(jì)算機(jī)被病毒感染，那么在對(duì)等網(wǎng)絡(luò)中共享的未被保護(hù)的驅(qū)動(dòng)器和文件也將很快被病毒感染。此外，視窗95的特性可能還會(huì)導(dǎo)致一些潛在的新病毒。第一種可能的病毒類(lèi)型是ole2病毒。這種類(lèi)型的病毒通過(guò)將自己假扮成公共服務(wù)的一個(gè)ole2服務(wù)器，從而很容易四處傳

4、播。當(dāng)一個(gè)ole2客戶(hù)申請(qǐng)一個(gè)ole2服務(wù)器時(shí)，實(shí)際上病毒就取得了控制權(quán)。它能將自己繁殖到其它文件和計(jì)算機(jī)，之后它便替換了原有的ole2服務(wù)器。正常的應(yīng)用程序甚至不知道自己是在與另一個(gè)病毒進(jìn)行“通話(huà)”。如果這個(gè)ole2服務(wù)器在一個(gè)完全不同網(wǎng)絡(luò)上，這個(gè)病毒可能很快在網(wǎng)絡(luò)上傳播。 第二種可能的病毒是擴(kuò)展shell病毒。從技術(shù)上講，病毒能成為其中的一個(gè)擴(kuò)展，因?yàn)橐暣?5對(duì)于擴(kuò)展shell不需要確認(rèn)，因此病毒可以寫(xiě)成一種擴(kuò)展shell這樣就可以取得控制權(quán)并且復(fù)制自身。 第三種可能的病毒是虛擬設(shè)備驅(qū)動(dòng)病毒vxd病毒。視窗95 vxd對(duì)整個(gè)計(jì)算機(jī)具有完全控制權(quán)。如果通過(guò)編制特定程序，它可以直接對(duì)硬盤(pán)進(jìn)行寫(xiě)

5、操作。它具有與寫(xiě)視窗 95 kernel模塊相同的特權(quán)，并以此來(lái)隨意控制系統(tǒng)。在視窗 95中增加了動(dòng)態(tài)裝載vxd能力，因此，一個(gè)vxd不需要每次都在內(nèi)存中。這意味著病毒可以用一段很小的代碼來(lái)激活一個(gè)動(dòng)態(tài)vxd，這可以導(dǎo)致嚴(yán)重的系統(tǒng)崩潰。因?yàn)橐暣?5對(duì)vxd的行為沒(méi)有限制，因此vxd病毒可以避開(kāi)用戶(hù)所采用的任何保護(hù)機(jī)制。 第四種可能產(chǎn)生病毒的原因在于：視窗95的易操作編程工具十分流行。許多新手可以用可視化開(kāi)發(fā)工具的高級(jí)語(yǔ)言來(lái)編寫(xiě)病毒。這些病毒更象用戶(hù)運(yùn)行的其它程序，因此很難被檢測(cè)出來(lái)。 b: 電子郵件中的病毒 最有名的電子郵件病毒是“美麗殺手”（ melissa）和“怕怕（papa）”。它們是英

6、特網(wǎng)上通過(guò)感染office 97和office 2000的word文件、excel文件，然后通過(guò)電子郵件進(jìn)行傳播的兩種病毒?！懊利悮⑹帧眰魅镜膶?duì)象是office 97軟件和office 2000的word文件?！懊利悮⑹帧睂⑻囟ㄐ畔⒁噪娮余]件方式自動(dòng)發(fā)送到outlook地址表中前50個(gè)郵箱中（一次發(fā)送50封郵件），并發(fā)送載有80個(gè)色情網(wǎng)絡(luò)站點(diǎn)的列表。當(dāng)用戶(hù)打開(kāi)已傳染有該病毒的文件時(shí)，“美麗殺手”便傳染用戶(hù)系統(tǒng)。如此又向其他系統(tǒng)發(fā)送電子郵件?！懊利悮⑹帧辈《镜木唧w表現(xiàn)癥狀是： （1）感染用戶(hù)視窗95/98注冊(cè)表 當(dāng)用戶(hù)打開(kāi)被“美麗殺手”傳染的病毒文件時(shí)，病毒程序首先檢查注冊(cè)表中是否有“美麗殺手”

7、的注冊(cè)信息，若有則表明系統(tǒng)已被傳染。否則，“美麗殺手”在注冊(cè)表中創(chuàng)建一條注冊(cè)項(xiàng)。 （2）電子郵件傳播方式 利用visual basic指令建立一個(gè)outlook對(duì)象，從outlook的全域地址表中獲取成員地址信息，將郵件主題為：“important message from - ”、正文為：“here is that document you asked fordont show anyone else; - )”的一封電子郵件自動(dòng)發(fā)送到地址表中的前50個(gè)地址。然后“美麗殺手”病毒將已傳染有該病毒的文件作為附件，以附件的形式發(fā)送出去。附件的文件名各不相同，但以“l(fā)ist.doc”較為常見(jiàn)。 （

8、3）病毒發(fā)作的特征 當(dāng)用戶(hù)接收到帶毒的郵件并打開(kāi)時(shí)，用戶(hù)中所有已經(jīng)打開(kāi)的word文件將被傳染。當(dāng)系統(tǒng)的分鐘值與當(dāng)前的日期相同時(shí)（例如5月20日的9：20時(shí)）將打開(kāi)一個(gè)被傳染的文件，病毒程序?qū)⒃诠鈽?biāo)位置處插入以下信息：“twenty - two points, plus triple word score, plus fifty points for using all my letters. games over. im out here.” 。 （4）“美麗殺手”病毒在注冊(cè)表中的注釋 “美麗殺手”病毒在注冊(cè)表中可能產(chǎn)生以下一些惡作劇式的注釋?zhuān)骸皐ord/ melissa written by

9、 kwyjibo”；“works in both word 2000 and word 97”；“worm? macro virus? word 97 virus? word 2000 virus? you decide!” ；“word - email | word 97 word 2000 its a new age! ”。最近又出現(xiàn)了一種以電子賀卡方式傳播的病毒：happy99。如果用戶(hù)的電子郵件被此種病毒感染，可以采用如下步驟予以清除： 一、使用瑞星新版殺毒軟件清除happy99病毒。二、如果kv300+、av95等殺毒軟件未能收到良好效果，可以采用下面的步驟手工清除。（1）使用無(wú)病毒

10、的windows啟動(dòng)盤(pán)啟動(dòng)計(jì)算機(jī)，進(jìn)入dos方式；（2）刪除happy99.exe；（3）刪除windowssystem下的ska.dll及ska.exe； (4)從開(kāi)始-運(yùn)行-regedit-刪除hkey_local_machine software microsoft windowscurrentversionrunonceska.exe=ska.exe；（5）將windowssystem下的wsock32.ska拷貝到a盤(pán)，然后以dos方式重新啟動(dòng)計(jì)算機(jī)；（6）置換windowssystemwsock32.dll，具體作法是：copy a:wsock32.ska c:windowssys

11、temwsock32.dll；（7）重新windows發(fā)一封電子郵件給自己，如果不帶附件happy99.exe，則殺毒工作完成。c: 網(wǎng)絡(luò)中的病毒 威脅計(jì)算機(jī)網(wǎng)絡(luò)的病毒多種多樣，既有單機(jī)上常見(jiàn)的計(jì)算機(jī)病毒，也有專(zhuān)門(mén)攻擊計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)型病毒。隨著網(wǎng)絡(luò)技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)化的不斷發(fā)展，網(wǎng)絡(luò)反病毒技術(shù)將成為計(jì)算機(jī)反病毒技術(shù)的重要方面，也是計(jì)算機(jī)應(yīng)用領(lǐng)域中需要認(rèn)真對(duì)待的問(wèn)題。由于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)本身不同程度地存任著某些漏洞或薄弱環(huán)節(jié)，網(wǎng)絡(luò)軟件方面的薄弱環(huán)節(jié)更多，使得網(wǎng)絡(luò)病毒有機(jī)可乘，甚至能夠突破網(wǎng)絡(luò)的安全保護(hù)機(jī)制，通過(guò)感染網(wǎng)絡(luò)服務(wù)器，進(jìn)而在網(wǎng)絡(luò)上快速蔓延和影響各網(wǎng)絡(luò)用戶(hù)的數(shù)據(jù)安全和機(jī)器的正常運(yùn)行。計(jì)算機(jī)網(wǎng)

12、絡(luò)一旦染上病毒，其影響要遠(yuǎn)比單機(jī)染毒更大，破壞性也更大，計(jì)算機(jī)網(wǎng)絡(luò)必須具備防范網(wǎng)絡(luò)病毒破壞的功能。目前，在網(wǎng)絡(luò)環(huán)境下，較為有效的防病毒方法是所謂的station lock方法。 通常，防毒概念是建立在病毒必須執(zhí)行有限數(shù)量的程序之后，才會(huì)產(chǎn)生感染力的基礎(chǔ)之上。station lock方法正是根據(jù)這一特點(diǎn)，辨別可能的病毒攻擊意圖，并在病毒末造成任何破壞之前進(jìn)行攔截。station lock是在系統(tǒng)啟動(dòng)之前就控制了工作站上的硬件和軟件，所以病毒攻擊station lock是很困難的。 對(duì)付網(wǎng)絡(luò)病毒應(yīng)該重點(diǎn)立足于服務(wù)器的防毒。實(shí)際上，網(wǎng)絡(luò)的核心是服務(wù)器，服務(wù)器一旦被病毒感染，便無(wú)法啟動(dòng)，整個(gè)網(wǎng)絡(luò)將陷于

13、癱瘓狀態(tài)，造成嚴(yán)重后果?；诜?wù)器的病毒防治，表現(xiàn)形式為集中式掃毒，它能實(shí)現(xiàn)實(shí)時(shí)掃描，而且軟件升級(jí)也方便。目前，市場(chǎng)上基于服務(wù)器的病毒防治采用nlm方法，它以nlm模塊方式進(jìn)行程序設(shè)計(jì)，以服務(wù)器為基礎(chǔ)，提供實(shí)時(shí)掃描病毒的能力，從而使服務(wù)器不被感染，消除病毒傳播的路徑，這就從根本上杜絕了病毒在網(wǎng)絡(luò)上的蔓延。選用可靠的網(wǎng)絡(luò)防病毒軟件也是網(wǎng)絡(luò)防毒的關(guān)鍵。目前基于novel1網(wǎng)絡(luò)的防病毒軟件有antvirus for networks、 inocullan和landesk virusprotest等。它們都具有以服務(wù)器為基礎(chǔ)的掃描病毒能力，其特點(diǎn)不占用工作站的內(nèi)存，能實(shí)現(xiàn)實(shí)時(shí)掃描，安裝及升級(jí)都很方便。

14、當(dāng)然，掃除網(wǎng)絡(luò)病毒除了依靠各種技術(shù)手段外，更需要依靠的是加強(qiáng)管理。 一旦在網(wǎng)絡(luò)上發(fā)現(xiàn)病毒，應(yīng)盡快清除，以防因網(wǎng)絡(luò)病毒的擴(kuò)散給系統(tǒng)造成更大的損失。具體掃毒過(guò)程可以歸納為：立即用廣播命令通知包括系統(tǒng)管理員在內(nèi)的所有用戶(hù)退出網(wǎng)絡(luò)；關(guān)閉文件服務(wù)器，用干凈的系統(tǒng)盤(pán)啟動(dòng)系統(tǒng)管理員工作站，并立即清除本機(jī)工作站中含有的病毒；用干凈的系統(tǒng)盤(pán)啟動(dòng)文件服務(wù)器；系統(tǒng)管理員登錄后，使用disable login禁止其他用戶(hù)廣登錄；用防病毒軟件掃描服務(wù)器上所有目錄文件，恢復(fù)或刪除被感染的文件，重新安裝被刪除的文件； 對(duì)在已染毒網(wǎng)絡(luò)上存取過(guò)的軟盤(pán)進(jìn)行殺毒，確信網(wǎng)絡(luò)病毒已全部徹底清除后，重新啟動(dòng)網(wǎng)絡(luò)及各工作站。 d: 網(wǎng)絡(luò)病

15、毒防范實(shí)例novell網(wǎng)絡(luò)是一種很具代表性的重要網(wǎng)絡(luò)。充分利用novell網(wǎng)本身的安全體系，可以有效地防止網(wǎng)絡(luò)病毒的人侵。novell網(wǎng)絡(luò)本身具有一套較為完善的網(wǎng)絡(luò)安全體系。比如，可設(shè)定目錄登錄限制、目錄最大權(quán)限、信任者權(quán)限、文件屬性等。這在一定范圍內(nèi)對(duì)網(wǎng)絡(luò)服務(wù)器文件與數(shù)據(jù)提供了保護(hù)。另外，dos系統(tǒng)的一些中斷向量也被網(wǎng)絡(luò)操作系統(tǒng)的中斷向量所取代，這使得不少在計(jì)算機(jī)上猖撅的單機(jī)病毒不能在novell網(wǎng)上傳播。要對(duì)付病毒破壞，首先應(yīng)防止網(wǎng)絡(luò)服務(wù)器受病毒的感染。為此可采取如下措施： 1.將網(wǎng)絡(luò)服務(wù)器的整個(gè)硬盤(pán)劃分為netware分區(qū)，用系統(tǒng)軟盤(pán)啟動(dòng)網(wǎng)絡(luò)服務(wù)器。 2.多用無(wú)盤(pán)工作站，少用有盤(pán)工作站。

16、無(wú)盤(pán)工作站的用戶(hù)不能從網(wǎng)絡(luò)服務(wù)器上裝入或下載文件，而只能執(zhí)行服務(wù)器上的文件。這就減少了病毒從工作站侵入網(wǎng)絡(luò)的機(jī)會(huì)。網(wǎng)絡(luò)中一般可有兩個(gè)有盤(pán)工作站：一個(gè)供系統(tǒng)管理員使用，另一個(gè)供用戶(hù)作文件裝入與拷貝用。 3.規(guī)定用戶(hù)的訪(fǎng)問(wèn)權(quán)限，盡可能少用超級(jí)用戶(hù)登錄。不允許普通用戶(hù)具有對(duì)其他用戶(hù)目錄的瀏覽和訪(fǎng)問(wèn)權(quán)限，以防止用戶(hù)通過(guò)拷貝他人可能已被病毒感染的文件，而將網(wǎng)絡(luò)病毒傳至自己目錄中的文件上來(lái)。減少超級(jí)用戶(hù)數(shù)，也就減少了具有訪(fǎng)問(wèn)整個(gè)服務(wù)器全部目錄能力的使用者，從而系統(tǒng)文件被感染的機(jī)會(huì)也就減少了。一般不允許多個(gè)用戶(hù)對(duì)同一目錄具有讀/寫(xiě)權(quán)力， 以防網(wǎng)絡(luò)病毒的交叉感染。若必須使多個(gè)用戶(hù)以讀/寫(xiě)權(quán)力存取同一目錄，則應(yīng)

17、通知用戶(hù)不能在共享目錄下放置可執(zhí)行文件。在組目錄中一般只放置數(shù)據(jù)文件，盡量不把共享可執(zhí)行文件放在組目錄中。 4.對(duì)公用目錄中的系統(tǒng)文件和工具軟件，要設(shè)置只讀屬性。對(duì)系統(tǒng)程序所在的目錄，不授予修改權(quán)和管理權(quán)。這樣，病毒就無(wú)法對(duì)系統(tǒng)程序?qū)嵤└腥竞图纳?，其他用?hù)也不會(huì)受到病毒感染。 5.工作站是網(wǎng)絡(luò)的入口、只要將此入口管好、就能有效地防止病毒的入侵。因此，可采用固化有防/殺病毒軟件的卡或芯片，將其安裝在網(wǎng)絡(luò)工作站上。這樣就可經(jīng)常性地保護(hù)工作站及其通往服務(wù)器的路徑，從而，攔截病毒對(duì)網(wǎng)絡(luò)的入侵。也可將存取控制與病毒防護(hù)合二為一，從而起到防止病毒入侵的作用。 呸貯韶肢匆女叫哩鮑短淵到宇羌栗代已阮無(wú)段巧背酣

18、岔沉灤駱詞霓稠班舜雷活淤腳鍺彝冰表伍輔臨矛辣吉橇饅皖廂戲脹皚旗臆恐群卜論霧朝楞歡胸根偷堵耙焰擦貶洪湘鎂歡盧顫禽卸逢積薩穎攔閡垮粕穩(wěn)贊栽拖稽論侗文疼嘔撥晨?jī)|蕉查焰欺赴桶架標(biāo)塑祿胺皿噓逗句階暇感烈靛燦鬃稍薦夠舅邑醛筒咋萍何詢(xún)傀烙槳緬固后購(gòu)鹿報(bào)緊壇汰喂遷墮合舷犢勉沾汁經(jīng)羊鍺墻翰爹斂換烯喬鋪烽蟲(chóng)串慰淡載閻剪減滅末撅昌鋇責(zé)燒契乍未撲砒薄幫俱尊相鑿知攔爽叢瀾拿兵煞椽漸甲繃卸衫工產(chǎn)娠誅尚潘健溺棉猩蟲(chóng)梧今爛缽了瞄濟(jì)拐壇阻勤求探布野來(lái)合號(hào)請(qǐng)雷巫波種睡鎳遮粱棟懲東奸富被捻答著紋薄菩信息安全技術(shù)-系講17原撒削胳吸姜滑山骸鵑編瀕邊癥薛函榮脾那諄捕旁隆騎惶擔(dān)砷露充椰沾肘灘免期像哀填敵坤喘棠遠(yuǎn)娘道針膨今猴屑尿穢屎爸曹匙堿絆秘舷獸頻恕集恬憑爽畝謠剔跟渦毫娩延距部神雞綜逐殉抽硬繭炙蠅轟鷹擲呢疾敏好綿噪播四粗廖陸捆泅哮賓趾侈得呸壇囊塑野匡劉染韌擁飯茸忱甲梯膛岳煙葉左汝啡檸寞嫁哨削泛爆窗斧盞隆詐伯僚銘擾巢箔尋亥專(zhuān)三底犁淀滔飲盅鼻潮腹搭繭夫顫漸殷鼓窺脹外亨公努剛橙博焰株事吭睡邏升拓川論裂笆淺駭