防火墻及防病毒技術(shù)

防火墻及防病毒技術(shù)防火墻及防病毒技術(shù)第2頁,共107頁，2024年2月25日，星期天第一部分：防火墻技術(shù)第3頁,共107頁，2024年2月25日，星期天

防火墻的定義傳統(tǒng)的防火墻概念概念：防火墻被設(shè)計用來防止火從大廈的一部分傳播到另一部分第4頁,共107頁，2024年2月25日，星期天IT領(lǐng)域使用的防火墻概念兩個安全域之間通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進出網(wǎng)絡(luò)的行為

一種高級訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡(luò)的訪問行為。第5頁,共107頁，2024年2月25日，星期天防火墻發(fā)展軟件防火墻

軟硬件結(jié)合防火墻

硬件防火墻

運行在通用操作系統(tǒng)上性能依靠于計算機CPU,內(nèi)存等極易造成網(wǎng)絡(luò)帶寬瓶頸(20%--70%)可以滿足低帶寬低流量環(huán)境下的安全需要高速環(huán)境下容易造成系統(tǒng)崩潰有用戶限制，性價比較低管理復(fù)雜，與系統(tǒng)有關(guān)

機箱+CPU+防火墻軟件采用專用或通用操作系統(tǒng)核心技術(shù)仍然為軟件只能滿足中低帶寬要求(20%--70%)在高流量環(huán)境下會造成堵塞甚至系統(tǒng)崩潰性價比不高管理比較方便

用專用芯片處理數(shù)據(jù)包使用專用的操作系統(tǒng)平臺高帶寬，高吞吐量，真正線速防火墻安全與速度同時兼顧性價比高管理簡單，快捷，具有良好的總體成本低第6頁,共107頁，2024年2月25日，星期天

防火墻分類包過濾防火墻應(yīng)用代理防火墻狀態(tài)檢測防火墻第7頁,共107頁，2024年2月25日，星期天防火墻在網(wǎng)絡(luò)中的位置防火墻放置于不同網(wǎng)絡(luò)安全域之間第8頁,共107頁，2024年2月25日，星期天

第一代防火墻和最基本形式防火墻檢查每一個通過的網(wǎng)絡(luò)包，或者丟棄，或者放行，取決于所建立的一套規(guī)則。所以稱為包過濾防火墻。包過濾防火墻的特點第9頁,共107頁，2024年2月25日，星期天包過濾防火墻第10頁,共107頁，2024年2月25日，星期天包過濾防火墻

缺點：配置困難,因為包過濾防火墻的配置很復(fù)雜，人們經(jīng)常會忽略建立一些必要的規(guī)則，或者錯誤配置了已有的規(guī)則，在防火墻上留下漏洞。為特定服務(wù)開放的端口存在著危險，可能會被用于其他傳輸?？赡苓€有其他方法繞過防火墻進入網(wǎng)絡(luò)，例如撥入連接。優(yōu)點：防火墻對每條傳入和傳出網(wǎng)絡(luò)的包實行低水平控制。防火墻可以識別和丟棄帶欺騙性源IP地址的包。第11頁,共107頁，2024年2月25日，星期天安全網(wǎng)域HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包控制策略數(shù)據(jù)包過濾依據(jù)主要是TCP/IP報頭里面的信息，不能對應(yīng)用層數(shù)據(jù)進行處理數(shù)據(jù)TCP報頭IP報頭分組過濾判斷信息包過濾防火墻工作原理圖第12頁,共107頁，2024年2月25日，星期天應(yīng)用代理防火墻應(yīng)用程序代理防火墻接受來自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信，然后建立于公共網(wǎng)絡(luò)服務(wù)器單獨的連接。網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的服務(wù)器通信，所以服務(wù)器不能直接訪問內(nèi)部網(wǎng)的任何一部分。第13頁,共107頁，2024年2月25日，星期天應(yīng)用代理防火墻第14頁,共107頁，2024年2月25日，星期天

優(yōu)點：指定對連接的控制，例如允許或拒絕基于服務(wù)器IP地址的訪問，或者是允許或拒絕基于用戶所請求連接的IP地址的訪問。

通過限制某些協(xié)議的傳出請求，來減少網(wǎng)絡(luò)中不必要的服務(wù)。

大多數(shù)代理防火墻能夠記錄所有的連接，包括地址和持續(xù)時間。這些信息對追蹤攻擊和發(fā)生的未授權(quán)訪問的事件事很有用的。缺點：

必須在一定范圍內(nèi)定制用戶的系統(tǒng)，這取決于所用的應(yīng)用程序。一些應(yīng)用程序可能根本不支持代理連接。應(yīng)用代理防火墻第15頁,共107頁，2024年2月25日，星期天安全網(wǎng)域HostCHostD數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)包應(yīng)用代理可以對數(shù)據(jù)包的數(shù)據(jù)區(qū)進行分析，并以此判斷數(shù)據(jù)是否允許通過控制策略數(shù)據(jù)TCP報頭IP報頭分組過濾判斷信息應(yīng)用代理判斷信息應(yīng)用代理防火墻原理圖第16頁,共107頁，2024年2月25日，星期天狀態(tài)/動態(tài)檢測防火墻狀態(tài)檢測技術(shù)：在包過濾的同時，檢察數(shù)據(jù)包之間的關(guān)聯(lián)性，數(shù)據(jù)包中動態(tài)變化的狀態(tài)碼。跟蹤通過防火墻的網(wǎng)絡(luò)連接和包，使用一組附加的標準，以確定是否允許和拒絕通信。監(jiān)測引擎技術(shù)：采用一個或若干個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件模塊，抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測，獲得狀態(tài)信息，并動態(tài)地保存起來作為以后執(zhí)行安全策略的參考。當用戶訪問請求到達網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)監(jiān)視器要抽取有關(guān)數(shù)據(jù)進行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、身份認證、報警或給該通信加密等處理動作?？梢詫崿F(xiàn)拒絕攜帶某些數(shù)據(jù)的網(wǎng)絡(luò)通信，如帶有附加可執(zhí)行程序的傳入電子消息，或包含ActiveX程序的Web頁面。第17頁,共107頁，2024年2月25日，星期天應(yīng)用層表示層會話層傳輸層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會話層傳輸層監(jiān)測引擎狀態(tài)檢測示意圖第18頁,共107頁，2024年2月25日，星期天優(yōu)點：檢查IP包的每個字段的能力，并遵從基于包中信息的過濾規(guī)則。識別帶有欺騙性源IP地址包的能力。包過濾防火墻是兩個網(wǎng)絡(luò)之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是困難的。基于應(yīng)用程序信息驗證一個包的狀態(tài)的能力，例如基于一個已經(jīng)建立的FTP連接，允許返回的FTP包通過。基于應(yīng)用程序信息驗證一個包狀態(tài)的能力，例如允許一個先前認證過的連接繼續(xù)與被授予的服務(wù)通信。

記錄有關(guān)通過的每個包的詳細信息的能力。基本上，防火墻用來確定包狀態(tài)的所有信息都可以被記錄，包括應(yīng)用程序?qū)Π恼埱?，連接的持續(xù)時間，內(nèi)部和外部系統(tǒng)所做的連接請求等。狀態(tài)/動態(tài)檢測防火墻第19頁,共107頁，2024年2月25日，星期天狀態(tài)/動態(tài)檢測防火墻的缺點

狀態(tài)/動態(tài)檢測防火墻唯一的缺點就是所有這些記錄、測試和分析工作可能會造成網(wǎng)絡(luò)連接的某種遲滯，特別是在同時有許多連接激活的時候，或者是有大量的過濾網(wǎng)絡(luò)通信的規(guī)則存在時。

解決辦法就是將特定信息通過硬件進行處理，硬件速度越快，這個問題就越不易察覺，而且防火墻的制造商一直致力于提高他們產(chǎn)品的速度。第20頁,共107頁，2024年2月25日，星期天狀態(tài)檢測防火墻原理圖安全網(wǎng)域HostCHostD數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包數(shù)據(jù)包查找對應(yīng)的控制策略拆開數(shù)據(jù)包根據(jù)策略決定如何處理該數(shù)據(jù)包數(shù)據(jù)包

狀態(tài)檢測可以結(jié)合前后數(shù)據(jù)包里的數(shù)據(jù)信息進行綜合分析決定是否允許該包通過控制策略數(shù)據(jù)3TCP報頭IP報頭數(shù)據(jù)2TCP報頭IP報頭數(shù)據(jù)1TCP報頭IP報頭狀態(tài)檢測第21頁,共107頁，2024年2月25日，星期天市場發(fā)展需要的新技術(shù)軟件防火墻專用硬件

防火墻軟件VPN專用VPN網(wǎng)關(guān)加密處理芯片軟件內(nèi)容掃描安全內(nèi)容

處理網(wǎng)關(guān)內(nèi)容處理芯片狀態(tài)檢測處理芯片第22頁,共107頁，2024年2月25日，星期天基于狀態(tài)檢測的硬件防火墻采用ASIC芯片硬件設(shè)計體系具有內(nèi)容處理芯片和內(nèi)容處理加速單元可以實現(xiàn)實時分析和數(shù)據(jù)包協(xié)調(diào)處理具有優(yōu)化內(nèi)容搜索、模式識別和數(shù)據(jù)分析功能同時具有病毒掃描、VPN、內(nèi)容過濾和基于網(wǎng)絡(luò)的入侵檢測功能。主流防火墻發(fā)展趨勢第23頁,共107頁，2024年2月25日，星期天底層內(nèi)容過濾原理圖物理接口(10/100,GigE,etc.)…OS操作系統(tǒng)系統(tǒng)總線中心CPU(s)會話調(diào)度ASIC內(nèi)容處理器特征存儲器內(nèi)容重組和掃描存儲器系統(tǒng)管理(CLI,Web,SNMP,AutoUpdate)加密引擎(DES,3DES,MD5,SHA1,AES)包過濾引擎特征掃描引擎流量管理引擎第24頁,共107頁，2024年2月25日，星期天防火墻的性能指標

延時

并發(fā)連接數(shù)

平均無故障時間

吞吐量防火墻在不丟包的情況下能夠達到的最大包轉(zhuǎn)發(fā)速率

數(shù)據(jù)包通過防火墻所用的時間防火墻能夠同時處理的點對點連接的最大數(shù)目系統(tǒng)平均能夠正常運行多長時間，才發(fā)生一次故障第25頁,共107頁，2024年2月25日，星期天防火墻產(chǎn)品功能特性組業(yè)界標準：符合工業(yè)標準的防火墻工作模式：網(wǎng)絡(luò)地址轉(zhuǎn)換，透明模式，路由模式。用戶認證：內(nèi)建用戶認證數(shù)據(jù)庫，支持RADIUS認證數(shù)據(jù)庫。服務(wù)：支持標準服務(wù)（例如：FTP、HTTP），用戶自定義服務(wù)，還支持用戶定義服務(wù)組。時間表：根據(jù)小時、日、周和月建立一次性或循環(huán)時間表，防火墻根據(jù)不同的時間表定義安全策略。虛擬映射：外部地址映射到內(nèi)部或DMZ網(wǎng)絡(luò)上的地址IP/MAC綁定：阻止來自IP地址欺騙的攻擊

第26頁,共107頁，2024年2月25日，星期天操作模式:NAT/Route/TransparentNAT–

網(wǎng)絡(luò)地址翻譯，每個接口有一個IP地址，向外的包IP地址翻譯成對外端口的IP地址Route–

每個接口有IP地址，IP包從一個端口路由到另一端口，沒有地址翻譯Transparent–

網(wǎng)絡(luò)接口沒有IP地址，類似于二層交換機第27頁,共107頁，2024年2月25日，星期天雙向NAT外部的端口：8080正向NAT反向NAT（端口映射）InternetINTERNAL端口：80端口：21/24客戶機http://外部影射的IP:8080INTERNAL外部的端口：2121External第28頁,共107頁，2024年2月25日，星期天透明模式的支持受保護網(wǎng)絡(luò)如果防火墻支持透明模式則內(nèi)部網(wǎng)絡(luò)主機的配置不用調(diào)整HostAHostCHostDHostB同一網(wǎng)段透明模式下，這里不用配置IP地址透明模式下，這里不用配置IP地址DefaultGateway=防火墻相當于網(wǎng)橋，原網(wǎng)絡(luò)結(jié)構(gòu)沒有改變第29頁,共107頁，2024年2月25日，星期天基于時間的策略控制管理員設(shè)置員工上網(wǎng)時間限制在防火墻上制定基于時間的訪問控制策略上班時間不允許訪問Internet下班時間可以自由訪問公司的網(wǎng)絡(luò)InternetHostCHostD第30頁,共107頁，2024年2月25日，星期天IP/MAC綁定InternalExternal

00-20-ED-A8-81-60IP//MACTable:

00-20-Ef-A8-82-61

00-20-ED-A8-81-64(甲）（丙）

嚴格限制內(nèi)部用戶的網(wǎng)絡(luò)地址增加網(wǎng)絡(luò)安全，抵御網(wǎng)絡(luò)攻擊沒有在表中的配置項不能通過第31頁,共107頁，2024年2月25日，星期天HA功能高可用性(HA)提高可靠性和負載分配。負載分配：增強性能，在失敗恢復(fù)的時候不會發(fā)生服務(wù)中斷?？蛻魴C客戶機客戶機服務(wù)器服務(wù)器服務(wù)器第32頁,共107頁，2024年2月25日，星期天病毒檢測Exe/doc/zip病毒庫病毒檢測：掃描郵件附件（SMTP，POP3，IMAP）、

Web內(nèi)容和插件（HTTP）的病毒特征碼和宏病毒InternetDMZEmailHTTP財務(wù)部市場部研發(fā)部Router第33頁,共107頁，2024年2月25日，星期天蠕蟲保護蠕蟲保護：掃描所有進出的電子郵件及附件（SMTP,POP3,IMAP）檢測網(wǎng)頁里的插件和下載的內(nèi)容（HTTP）第34頁,共107頁，2024年2月25日，星期天內(nèi)容安全控制內(nèi)容安全控制

網(wǎng)絡(luò)訪問的內(nèi)容控制，支持WEB內(nèi)容的關(guān)鍵字過濾，屏蔽具有激越或敏感的網(wǎng)頁內(nèi)容，提供了內(nèi)容級可控制手段。阻塞有害的Web語言攻擊，包括JavaApplet、Activex、Cookie等ＵＲＬ管理與控制Reject:/xxx.asp?返回結(jié)果：所訪問網(wǎng)頁包含管理員禁止內(nèi)容，以被屏蔽??！第35頁,共107頁，2024年2月25日，星期天入侵檢測InternetDMZEmailHTTP財務(wù)部市場部研發(fā)部Router惡意的攻擊和掃描IDS127-TELNET-oginIncorrect

2003/7/209：10/index攻擊方法目的地址源地址時間攻擊描述第36頁,共107頁，2024年2月25日，星期天抵抗DOS/DDOS攻擊防止入侵者的掃描防止源路由攻擊防止IP碎片攻擊防止ICMP/IGMP攻擊防止IP欺騙攻擊入侵檢測內(nèi)容第37頁,共107頁，2024年2月25日，星期天虛擬專用網(wǎng)（VPN）虛擬專用網(wǎng)（VPN）

在網(wǎng)絡(luò)之間或網(wǎng)絡(luò)與客戶端之間進行安全通訊，支持IPSec、PPTP、L2TP等標準。硬件加速加密：支持DES，3DES加密算法密鑰交換算法：支持自動IKE和手工密鑰交換。VPN客戶端通過：沒有專門的配置需求，支持PPTP、L2TP第38頁,共107頁，2024年2月25日，星期天VPN解決方案遠程訪問Internet分支機構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)合作伙伴內(nèi)部網(wǎng)第39頁,共107頁，2024年2月25日，星期天企業(yè)VPN解決方案(一)外部端口地址內(nèi)部網(wǎng)絡(luò)/24內(nèi)部網(wǎng)絡(luò)/24外部端口地址虛擬私有網(wǎng)第40頁,共107頁，2024年2月25日，星期天企業(yè)VPN解決方案(二)內(nèi)部網(wǎng)絡(luò)/24外部端口地址外部端口地址內(nèi)部網(wǎng)絡(luò)/24虛擬私有網(wǎng)第41頁,共107頁，2024年2月25日，星期天基于PPTP/L2TP的撥號VPN在Internal端網(wǎng)絡(luò)定義遠程地址池每個客戶端動態(tài)地在地址池中為VPN會話獲取地址客戶端先得撥號（163/169）得到一個公網(wǎng)地址，然后和公司的防火墻設(shè)備利用PPTP/L2TP協(xié)議進行VPN的建立建立VPN的用戶可以訪問公司內(nèi)部網(wǎng)絡(luò)的所有資源，就象在內(nèi)部網(wǎng)中一樣客戶端不需要附加軟件的安裝，簡單方便Dial-UpNATPool/24---0

第42頁,共107頁，2024年2月25日，星期天基于ipsec的撥號VPN利用IPSEC協(xié)議的通道模式進行VPN的建立無需為客戶分配IPPool用戶端要安裝IPSECClient軟件建立VPN的用戶可以訪問公司內(nèi)部網(wǎng)絡(luò)的所有資源，就象在內(nèi)部網(wǎng)中一樣第43頁,共107頁，2024年2月25日，星期天基于瀏覽器界面配置管理使用HTTPS遠程登錄管理第44頁,共107頁，2024年2月25日，星期天基于字符和命令行界面配置管理提供Console口或ＳＳＨ遠程連接通過使用ＳＮＭＰ遠程管理第45頁,共107頁，2024年2月25日，星期天防火墻不足之處

無法防護內(nèi)部用戶之間的攻擊無法防護基于操作系統(tǒng)漏洞的攻擊無法防護內(nèi)部用戶的其他行為無法防護端口反彈木馬的攻擊多數(shù)防火墻無法防護病毒的侵襲無法防護非法通道出現(xiàn)第46頁,共107頁，2024年2月25日，星期天企業(yè)部署防火墻的誤區(qū)

最全的就是最好的，最貴的就是最好的軟件防火墻部署后不對操作系統(tǒng)加固一次配置，永遠運行測試不夠完全審計是可有可無的第47頁,共107頁，2024年2月25日，星期天如何選擇防火墻選擇防火墻的標準有很多，但最重要的是以下幾條：

1、總擁有成本

2、防火墻本身是安全的

3、是硬件還是軟件

4、可擴充性

5、升級能力第48頁,共107頁，2024年2月25日，星期天第二部分：計算機病毒技術(shù)第49頁,共107頁，2024年2月25日，星期天計算機病毒定義

計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼?！浴吨腥A人民共和國計算機信 息系統(tǒng)安全保護條例》第50頁,共107頁，2024年2月25日，星期天計算機病毒的基本特性之一

1.寄生性（依附性）計算機病毒是一種特殊的計算機程序，它不是以獨立的文件的形式存在的，它寄生在合法的程序中.

病毒所寄生的合法程序被稱做病毒的載體，也稱為病毒的宿主程序。病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計算機病毒的寄生性。第51頁,共107頁，2024年2月25日，星期天計算機病毒的基本特性之二2.傳染性

計算機病毒的傳染性是指計算機病毒會通過各種渠道從已被感染的計算機擴散到未被感染的計算機。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。第52頁,共107頁，2024年2月25日，星期天計算機病毒的基本特性之三

計算機病毒在發(fā)作之前，必須能夠?qū)⒆陨砗芎玫碾[蔽起來，不被用戶發(fā)覺，這樣才能實現(xiàn)進入計算機系統(tǒng)、進行廣泛傳播的目的。計算機病毒的隱蔽性表現(xiàn)為傳染的隱蔽性與存在的隱蔽性。3．隱蔽性第53頁,共107頁，2024年2月25日，星期天計算機病毒的潛伏性是指病毒程序為了達到不斷傳播并破壞系統(tǒng)的目的，一般不會在傳染某一程序后立即發(fā)作，否則就暴露了自身。潛伏性愈好，其在系統(tǒng)中的存在時間就會愈長，病毒的傳染范圍就會愈大。4．潛伏性計算機病毒的基本特性之四第54頁,共107頁，2024年2月25日，星期天計算機病毒的基本特性之五

共同的危害，即降低計算機系統(tǒng)的工作效率，占用系統(tǒng)資源，其具體情況取決于入侵系統(tǒng)的病毒程序。計算機病毒的破壞性主要取決于計算機病毒設(shè)計者的目的。有時幾種本來沒有多大破壞作用的病毒交叉感染，也會導(dǎo)致系統(tǒng)崩潰等重大惡果。

5．破壞性第55頁,共107頁，2024年2月25日，星期天計算機病毒的基本特性之六6.可觸發(fā)性

因某個特征或數(shù)值的出現(xiàn)，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性。第56頁,共107頁，2024年2月25日，星期天計算機病毒的基本特性之七

計算機病毒存在的理論依據(jù)來自于馮·諾依曼結(jié)構(gòu)及信息共享，從理論上講如果要徹底消滅病毒，只有摒棄馮·諾依曼結(jié)構(gòu)及信息共享，顯然，此二者都是無法摒棄的。7．產(chǎn)生的必然性第57頁,共107頁，2024年2月25日，星期天計算機病毒的基本特性之八

從本質(zhì)上說，計算機病毒是非授權(quán)的對程序體的字符型信息加工過程。病毒具有正常程序的一切特性，它隱藏在正常程序中，當用戶調(diào)用正常程序時竊取到系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行，病毒的動作、目的對用戶是未知的，是未經(jīng)用戶允許的。8．非授權(quán)性第58頁,共107頁，2024年2月25日，星期天1、磁盤在使用中的傳遞2、軟件共享使用3、盜版軟件4、OFFICE文檔流行5、盜版光盤的泛濫6、網(wǎng)絡(luò)連接和INTERNET、局域網(wǎng)內(nèi)的目錄共享7、E-mail的傳播，是網(wǎng)絡(luò)蠕蟲病毒傳播的主要途徑

病毒傳播途徑：病毒傳播途徑第59頁,共107頁，2024年2月25日，星期天病毒的危害影響系統(tǒng)效率進行反動宣傳

占用系統(tǒng)資源刪除、破壞數(shù)據(jù)干擾正常操作阻塞網(wǎng)絡(luò)第60頁,共107頁，2024年2月25日，星期天1)Dos病毒

2)Windows病毒

3)UNIX病毒

4）攻擊OS/2系統(tǒng)的病毒。

5）攻擊嵌入式操作系統(tǒng)的病毒。

1.按照病毒依賴的操作系統(tǒng)來分

一般說來，特定的病毒只能在特定的操作系統(tǒng)下運行。病毒分類之一第61頁,共107頁，2024年2月25日，星期天病毒分類之二2.按照計算機病毒的鏈結(jié)方式分為：

源碼型病毒

入侵型病毒

操作系統(tǒng)型病毒

外殼型病毒第62頁,共107頁，2024年2月25日，星期天病毒分類之二

源碼型病毒：較為少見，亦難以編寫。因為它要攻擊高級語言編寫的源程序，在源程序編譯之前插入其中，并隨源程序一起編譯、連接成可執(zhí)行文件。此時剛剛生成的可執(zhí)行文件便已經(jīng)帶毒了。

入侵型病毒：可用自身代替正常程序中的部分模塊或堆棧區(qū)。因此這類病毒只攻擊某些特定程序，針對性強。一般情況下也難以被發(fā)現(xiàn)，清除起來也較困難。第63頁,共107頁，2024年2月25日，星期天病毒分類之二

外殼型病毒：將自身附在正常程序的開頭或結(jié)尾，相當于給正常程序加了個外殼。大部份的文件型病毒都屬于這一類。操作系統(tǒng)型病毒：可用其自身部分加入或替代操作系統(tǒng)的部分功能。因其直接感染操作系統(tǒng)，這類病毒的危害性也較大。第64頁,共107頁，2024年2月25日，星期天病毒分類之三良性病毒：小球病毒、三維球病毒、WM/Concept病毒

3.按照病毒危害程度來分為：惡性病毒：沖擊波病毒、蠕蟲王病毒、CIH病毒、 愛蟲病毒第65頁,共107頁，2024年2月25日，星期天病毒演示之一——女鬼病毒第66頁,共107頁，2024年2月25日，星期天病毒演示之二—千年老妖第67頁,共107頁，2024年2月25日，星期天其他病毒演示—白雪公主第68頁,共107頁，2024年2月25日，星期天手機病毒2004年，針對使用Symbian的藍牙手機的病毒出現(xiàn)針對使用PocketPC的驗證性攻擊程序也被發(fā)現(xiàn)手機功能和操作系統(tǒng)通用性不斷增強，會有越來越多針對手機的攻擊第69頁,共107頁，2024年2月25日，星期天病毒分類之四4．按寄生方式分為：引導(dǎo)型病毒文件型病毒混合型病毒第70頁,共107頁，2024年2月25日，星期天引導(dǎo)型病毒:

引導(dǎo)型病毒是藏匿在磁盤片或硬盤的第一個扇區(qū)。因為DOS的架構(gòu)設(shè)計,使得病毒可以在每次開機時,在操作系統(tǒng)還沒被加載之前就被加載到內(nèi)存中,這個特性使得病毒可以針對DOS的各類中斷(Interrupt)得到完全的控制,并且擁有更大的能力進行傳染與破壞。典型病毒：Michelangelo—米開朗基羅病毒潛伏期：一年發(fā)病日：3月6日

產(chǎn)地：瑞典（也有一說為臺灣）癥狀：病毒發(fā)作后，使用者一開機若出現(xiàn)黑畫面，那表示硬盤資料全部丟失。引導(dǎo)型病毒第71頁,共107頁，2024年2月25日，星期天

一般只傳染磁盤上的可執(zhí)行文件（COM，EXE）。在用戶調(diào)用染毒的可執(zhí)行文件時，病毒首先被運行，然后病毒駐留內(nèi)存伺機傳染其他文件或直接傳染其他文件。其特點是附著于正常程序文件，成為程序文件的一個外殼或部件。這是較為常見的傳染方式。根據(jù)文件型的病毒依傳染方式的不同,又分成非常駐型以及常駐型兩種。文件型病毒文件型病毒：第72頁,共107頁，2024年2月25日，星期天

非常駐型病毒將自己寄生在*.COM,*.EXE或是*.SYS的文件中。當這些中毒的程序被執(zhí)行時，就會嘗試去傳染給另一個或多個文件。(1)非常駐型病毒(Non-memoryResidentVirus):典型病毒：DatacrimeII資料殺手

發(fā)病日：10月12日起至12月31日

發(fā)現(xiàn)日：1989.3

產(chǎn)地：荷蘭

癥狀：低級階格式化硬盤，高度破壞數(shù)據(jù)資料

非常駐型病毒第73頁,共107頁，2024年2月25日，星期天

常駐型病毒躲在內(nèi)存中，其行為就好象是寄生在各類的低階功能一般(如Interrupts)，由于這個原因,常駐型病毒往往對磁盤造成更大的傷害。一旦常駐型病毒進入了內(nèi)存中,只要執(zhí)行文件被執(zhí)行,它就對其進行感染的動作,其效果非常顯著。發(fā)病日：每逢13號星期五

產(chǎn)地：南非

癥狀：將任何你想執(zhí)行的中毒文件刪除，該病毒感染速度相當快，其發(fā)病的唯一征兆是軟驅(qū)的燈會一直亮著。

(2)常駐型病毒(MemoryResidentVirus):典型病毒：Friday13th

黑色（13號）星期五常駐型病毒第74頁,共107頁，2024年2月25日，星期天復(fù)合型病毒(Multi-PartiteVirus)

復(fù)合型病毒兼具開機型病毒以及文件型病毒的特性。它們可以傳染*.COM,*.EXE文件，也可以傳染磁盤的開機系統(tǒng)區(qū)(BootSector)。由于這個特性,使得這種病毒具有相當程度的傳染力。一旦發(fā)病，其破壞的程度將會非?？捎^。復(fù)合型病毒

典型病毒：Flip翻轉(zhuǎn)發(fā)病日：每月2日

產(chǎn)地：瑞士(也有一說為西德)

癥狀：每個月2號，如果使用被寄生的磁盤或硬盤開機時，則在16時至16時59分之間，屏幕會呈水平翻動。

第75頁,共107頁，2024年2月25日，星期天病毒分類之五

宏病毒：美麗莎

系統(tǒng)病毒:CIH病毒

蠕蟲病毒：紅色代碼，尼姆達

木馬病毒：QQ尾巴

黑客病毒：007

破壞性程序、網(wǎng)頁腳本病毒：萬花谷病毒6．按照病毒的感染特性來分第76頁,共107頁，2024年2月25日，星期天病毒概念擴展對病毒概念的擴展：第77頁,共107頁，2024年2月25日，星期天蠕蟲病毒（一）蠕蟲病毒與一般病毒的差異比較普通病毒蠕蟲病毒存在形式寄存文件獨立程序傳染機制宿主程序運行主動攻擊傳染目標本地文件網(wǎng)絡(luò)計算機第78頁,共107頁，2024年2月25日，星期天蠕蟲病毒（二）

蠕蟲的破壞和發(fā)展趨勢病毒名稱持續(xù)時間造成損失莫里斯蠕蟲1988年6000多臺計算機停機,直接經(jīng)濟損失達9600萬美元美麗殺手1999年3月政府部門和一些大公司緊急關(guān)閉了網(wǎng)絡(luò)服務(wù)器,經(jīng)濟損失超過12億美元愛蟲病毒2000年5月至今眾多用戶電腦被感染，損失超過100億美元以上紅色代碼2001年7月網(wǎng)絡(luò)癱瘓，直接經(jīng)濟損失超過26億美元求職信2001年12月至今大量病毒郵件堵塞服務(wù)器，損失達數(shù)百億美元SQL蠕蟲王2003年1月網(wǎng)絡(luò)大面積癱瘓,銀行自動提款機運做中斷,直接經(jīng)濟損失超過26億美元第79頁,共107頁，2024年2月25日，星期天蠕蟲發(fā)作的一些特點和發(fā)展趨勢病毒制作技術(shù)新潛在的威脅和損失更大與黑客技術(shù)相結(jié)合利用操作系統(tǒng)和應(yīng)用程序的漏洞主動進行攻擊傳播方式多樣第80頁,共107頁，2024年2月25日，星期天SQL蠕蟲

SQL蠕蟲攻擊的是微軟數(shù)據(jù)庫系MicrosoftSQLServer2000。利用了MSSQL2000服務(wù)遠程堆棧緩沖區(qū)溢出漏洞。此蠕蟲病毒本身除了對網(wǎng)絡(luò)產(chǎn)生拒絕服務(wù)攻擊外,并沒有別的破壞措施。但如果病毒編寫者在編寫病毒的時候加入破壞代碼,后果將不堪設(shè)想。第81頁,共107頁，2024年2月25日，星期天紅色代碼(Codered)病毒紅色代碼(Codered)病毒該蠕蟲感染運行MicrosoftIndexServer2.0的系統(tǒng)，或是在Windows2000、IIS中啟用了IndexingService(索引服務(wù))的系統(tǒng)。該蠕蟲利用了一個緩沖區(qū)溢出漏洞進行傳播（未加限制的IndexServerISAPIExtension緩沖區(qū)使WEB服務(wù)器變的不安全）。該蠕蟲只存在于內(nèi)存中，并不向硬盤中拷文件。第82頁,共107頁，2024年2月25日，星期天該病毒影響運行Windows95,98,ME,NT和2000的客戶端和服務(wù)器通過Email傳播通過網(wǎng)絡(luò)共享傳播通過瀏覽器傳播通過主動掃描未打補丁的IIS服務(wù)器進行傳播攜帶該病毒的郵件的包含兩部分Nimda病毒第83頁,共107頁，2024年2月25日，星期天計算機病毒命名之一第84頁,共107頁，2024年2月25日，星期天計算機病毒命名之二第85頁,共107頁，2024年2月25日，星期天計算機病毒命名之三第86頁,共107頁，2024年2月25日，星期天計算機病毒命名之四第87頁,共107頁，2024年2月25日，星期天計算機病毒命名之五第88頁,共107頁，2024年2月25日，星期天計算機病毒邏輯結(jié)構(gòu)分析第89頁,共107頁，2024年2月25日，星期天常見病毒類型流程分析一第90頁,共107頁，2024年2月25日，星期天常見病毒類型流程分析二第91頁,共107頁，2024年2月25日，星期天常見病毒類型流程分析三第92頁,共107頁，2024年2月25日，星期天如何發(fā)現(xiàn)病毒之一

計算機病毒發(fā)作時，通常會出現(xiàn)以下幾種情況，這樣我們就能盡早地發(fā)現(xiàn)和清除它們。（1）電腦運行比平常遲鈍。（2）程序載入時間比平常久。（3）對一個簡單的工作，磁盤似乎花了比預(yù)期長的時間。（4）不尋常的錯誤信息出現(xiàn)。（5）由于病毒程序的異?；顒樱斐蓪Υ疟P的異常訪問。當你 沒有存取磁盤，但磁盤指示燈卻亮了，表示電腦這時已經(jīng) 受到病毒感染了。（6）系統(tǒng)內(nèi)存容量忽然大量減少。（7）磁盤可利用的空間突然減少。（8）可執(zhí)行程序的大小改變第93頁,共107頁，2024年2月25日，星期天如何發(fā)現(xiàn)病毒之二（9）由于病毒可能通過將磁盤扇區(qū)標記為壞簇的方式把自己隱藏起來，磁盤壞簇會莫名其妙地增多。（10）程序同時存取多部磁盤。（11）內(nèi)存內(nèi)增加來路不明的常駐程序。（12）文件、數(shù)據(jù)奇怪的消失。（13）文件的內(nèi)容被加上一些奇怪的資料。（14）文件名稱，擴展名，日期，屬性被更改過。（15）打印機出現(xiàn)異常。（16）死機現(xiàn)象增多。（17）出現(xiàn)一些異常的畫面或聲音。異?，F(xiàn)象的出現(xiàn)并不表明系統(tǒng)內(nèi)肯定有病毒，仍需進一步的檢查。第94頁,共107頁，2024年2月25日，星期天什么是病毒代碼(VirusPattern)?

所謂的病毒代碼其實可以想像成是犯人的指紋,當防毒軟件公司收集到一只新的病毒時,他們就會從這個病毒程序中截取一小段獨一無二而且足以表示這只病毒的二進位程序碼(BinaryCode),來當做殺毒程序辨認此病毒的依據(jù),而這