《信息安全技术项目教程教学课件作者陈家迁项目4计算机病毒与木马防护》由会员分享,可在线阅读,更多相关《信息安全技术项目教程教学课件作者陈家迁项目4计算机病毒与木马防护(55页珍藏版)》请在金锄头文库上搜索。
1、计算机网络安全项目教程,项目1 认识网络安全,主 讲:XXX Q Q:XXXXX TEL :XXXXXXX,信息安全技术项目教程,陈家迁 主编 北京理工大学出版社,项目4 计算机病毒与木马防护,4.1 项目导入,随着各种新的网络技术的不断应用和迅速发展, 计算机网络的应用范围变得越来越广泛, 所起的作用越来越重要。而随着计算机技术的不断发展, 病毒也变得越来越复杂和高级, 新一代的计算机病毒充分利用某些常用操作系统与应用软件的低防护性的弱点不断肆虐, 最近几年随着因特网在全球的普及,通过网络传播病毒, 使得病毒的扩散速度也急骤提高, 受感染的范围越来越广。因此, 计算机网络的安全保护将会变得越
2、来越重要。,4.2 职业能力目标和要求,掌握计算机病毒的类别、结构与特点。 掌握计算机病毒的检测与防范。 掌握杀毒软件的使用。 掌握综合检测与清除病毒的方法,计算机病毒与木马防护: 计算机病毒的起源 计算机病毒的定义 计算机病毒的分类 计算机病毒的结构 计算机病毒的危害 常见的计算机病毒 木马 计算机病毒的检测与防范,4.3 相关知识,4.3.1 计算机病毒的起源,关于计算机病毒的起源,目前有很多种说法,一般人们认为,计算机病毒来源于早期的特洛伊木马程序。这种程序借用古希腊传说中特洛伊战役中木马计的故事:特洛伊王子在访问希腊时,诱走希腊王后,因此希腊人远征特洛伊,9年围攻不下。第十年,希腊将领
3、献计,将一批精兵藏在一巨大的木马腹中,放在城外,然后佯作撤兵,特洛伊人以为敌人已退,将木马作为战利品推进城去,当夜希腊伏兵出来,打开城门里应外合攻占了特洛伊城。一些程序开发者利用这一思想开发出一种外表上很有魅力而且显得很可靠的程序,但是这些程序在被用户使用一段时间或者执行一定次数后,便会产生故障,出现各种问题。,4.3.2 计算机病毒的定义,一般来讲,凡是能够引起计算机故障,能够破坏计算机中的资源(包括硬件和软件)的代码,统称为计算机病毒。美国国家计算机安全局出版的计算机安全术语汇编对计算机病毒的定义是:“计算机病毒是一种自我繁殖的特洛伊木马,它由任务部分、接触部分和自我繁殖部分组成”。而在我
4、国也通过条例的形式给计算机病毒下了一个具有法律性、权威性的定义,中华人民共和国计算机信息系统安全保护条例明确定义:“计算机病毒(Computer Virus)是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。,1按病毒存在的媒体分类 根据病毒存在的媒体,病毒可以划分为网络病毒、文件病毒、引导型病毒和混合型病毒。 网络病毒:通过计算机网络传播感染网络中的可执行文件。 文件病毒:感染计算机中的文件(如:COM,EXE,DOC等)。 引导型病毒:感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)。 混合型病毒:是上述三种情况的混
5、合。例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。,4.3.3 计算机病毒的分类,4.3.3 计算机病毒的分类,2按病毒传染的方法分类 根据病毒的传染方法,可将计算机病毒分为引导扇区传染病毒、执行文件传染病毒和网络传染病毒。 引导扇区传染病毒:主要使用病毒的全部或部分代码取代正常的引导记录,而将正常的引导记录隐藏在其他地方。 执行文件传染病毒:寄生在可执行程序中,一旦程序执行,病毒就被激活,进行预定活动。 网络传染病毒:这类病毒是当前病毒的主流,特点是通过因特网络进行传播。例如,蠕虫病毒就是通过
6、主机的漏洞在网上传播的。,3按病毒破坏的能力分类 根据病毒破坏的能力,计算机病毒可划分为无害型病毒、无危险病毒、危险型病毒和非常危险型病毒。 无害型:除了传染时减少磁盘的可用空间外,对系统没有其他影响。 无危险型:仅仅是减少内存、显示图像、发出声音及同类音响。 危险型:在计算机系统操作中造成严重的错误。 非常危险型:删除程序、破坏数据、清除系统内存和操作系统中重要的信息。,4.3.3 计算机病毒的分类,4按病毒算法分类 根据病毒特有的算法,病毒可以分为伴随型病毒、蠕虫型病毒、寄生型病毒、练习型病毒、诡秘型病毒和幽灵病毒.,4.3.3 计算机病毒的分类,4.3.3 计算机病毒的分类,5按病毒的攻
7、击目标分类 根据病毒的攻击目标,计算机病毒可以分为DOS病毒、Windows病毒和其他系统病毒。 DOS病毒:指针对DOS操作系统开发的病毒。 Windows病毒:主要指针对Windows 9x操作系统的病毒。 其他系统病毒:主要攻击Linux、Unix和OS2及嵌入式系统的病毒。由于系统本身的复杂性,这类病毒数量不是很多。,6按计算机病毒的链接方式分类 由于计算机病毒本身必须有一个攻击对象才能实现对计算机系统的攻击,并且计算机病毒所攻击的对象是计算机系统可执行的部分。因此,根据链接方式计算机病毒可分为:源码型病毒、嵌入型病毒、外壳型病毒、操作系统型病毒。,4.3.3 计算机病毒的分类,计算机
8、病毒一般由引导模块、感染模块、破坏模块、触发模块四大部分组成。根据是否被加载到内存,计算机病毒又分为静态和动态。处于静态的病毒存于存储器介质中,一般不执行感染和破坏,其传播只能借助第三方活动(如:复制、下载、邮件传输等)实现。当病毒经过引导进入内存后,便处于活动状态,满足一定的触发条件后就开始进行传染和破坏,从而构成对计算机系统和资源的威胁和毁坏。,4.3.4 计算机病毒的结构,1病毒对计算机数据信息的直接破坏作用。 2占用磁盘空间和对信息的破坏。 3抢占系统资源。 4影响计算机运行速度。 5计算机病毒会导致用户的数据不安全。,4.3.5 计算机病毒的危害,1蠕虫(Worm)病毒 2CIH病毒
9、 3宏病毒 4Word文档杀手病毒,4.3.6 常见的计算机病毒,木马是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表
10、,更改计算机配置等。,4.3.7 木马,1. 计算机病毒的检测技术 (1)特征判定技术 (2)校验和判定技术 (3)行为判定技术 2. 计算机病毒的防范 (1)病毒防治技术的几个阶段 (2)目前流行的技术,4.3.8 计算机病毒的检测与防范,任务4-1 360杀毒软件的使用 360杀毒是完全免费的杀毒软件,它创新性地整合了四大领先防杀引擎,包括国际知名的BitDefender病毒查杀引擎、 360云查杀引擎、360主动防御引擎、360QVM人工智能引擎。四个引擎智能调度,为您提供全时全面的病毒防护,不但查杀能力出色,而且能第一时间防御新出现的病毒木马。此外,360杀毒轻巧快速不卡机,误杀率远远
11、低于其它杀软,荣获多项国际权威认证,已有超过2亿用户选择360杀毒保护电脑安全。,4.4 项目实施,360杀毒软件工作界面,4.4 项目实施,360杀毒软件全盘扫面界面,4.4 项目实施,任务4-2 360安全卫士软件的使用 360安全卫士是当前功能更强、效果更好、更受用户欢迎的上网必备安全软件。由于使用方便,用户口碑好,目前,首选安装360的用户已超过4亿。 360安全卫士拥有查杀木马、清理插件、修复漏洞、电脑体检等多种功能,并独创了“木马防火墙”功能,依靠抢先侦测和云端鉴别,可全面、智能地拦截各类木马,保护用户的帐号、隐私等重要信息。,4.4 项目实施,安全卫士进行全盘扫描,推荐选择全盘扫
12、描,4.4 项目实施,清理恶评及系统插件,4.4 项目实施,管理应用软件,4.4 项目实施,修复系统漏洞,4.4 项目实施,开机加速修复操作,4.4 项目实施,任务4-3宏病毒和网页病毒的防范 1. 宏病毒 宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Excel(也许还有别的)其中之一。凡是只感染WORD文档的病毒格式是:Macro.Word;凡是感染EXCEL L文档的病毒格式是:该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。,4.
13、4 项目实施,下面通过一个实例来对宏病毒的原理与运行机制进行分析: 1启动Word,创建一个新文档。 2在新文档中打开工具菜单、选择宏、查看宏。 3为宏起一个名字,自动宏的名字规定必须为autoexec。 4单击“创建”按钮,如图所示。,4.4 项目实施,5在宏代码编辑窗口,输入VB代码,调用Windows自带的音量控制程序,如图所示。 Shell(“c:windowssystem32sndvol32.exe”),4.4 项目实施,6关闭宏代码编辑窗口,将文档存盘并关闭。 7再次启动刚保存的文档,可以看到音量控制程序被自动启动。,4.4 项目实施,2. 网页病毒 所谓网页病毒,就是网页中含有病
14、毒脚本文件或JAVA小程序,当你打开网页时,这些恶意程序就会自动下载到你的硬盘中,修改注册表、嵌入系统进程;当系统重启后,病毒体又会自我更名、复制、再伪装,进行各种破坏活动。 (1)管理Cookie 在IE中,打开“工具”“Internet选项”“隐私”对话框,这里设定了“阻止所有Cookie”、“高”、“中高”、“中”、“低”、“接受所有Cookie”六个级别(默认为“中”),你只要拖动滑块就可以方便地进行设定,而点击下方的“编辑”按钮,在“网站地址”中输入特定的网址,就可以将其设定为允许或拒绝它们使用Cookie。,4.4 项目实施,2. 网页病毒 (2)禁用或限制使用Java程序及Act
15、iveX控件 在网页中经常使用Java、Java Applet、ActiveX编写的脚本,它们可能会获取用户标识、IP地址,乃至口令,甚至会在机器上安装某些程序或进行其他操作,因此应对Java、Java小程序脚本、ActiveX控件和插件的使用进行限制。打开“Internet选项”“安全”“自定义级别”,就可以设置“ActiveX控件和插件”、“Java”、“脚本”、“下载”、“用户验证”以及其它安全选项。对于一些不太安全的控件或插件以及下载操作,应该予以禁止、限制,至少要进行提示。,4.4 项目实施,(3)防止泄露自己的信息 缺省条件下,用户在第一次使用Web地址、表单、表单的用户名和密码后
16、,同意保存密码,在下一次再进入同样的Web页及输入密码时,只需输入开头部分,后面的就会自动完成,给用户带来了方便,但同时也留下了安全隐患,不过可以通过调整“自动完成”功能的设置来解决。设置方法如下:依次点击“Internet选项”“内容”“自动完成”,打开“自动完成设置”对话框,选中要使用的“自动完成”复选项。 (4)清除已浏览过的网址 在“Internet选项”对话框中的“常规”标签下单击历史记录区域的“清除历史记录”按钮即可。若只想清除部分记录,单击IE工具栏上的“历史”按钮,在左栏的地址历史记录中,找到希望清除的地址或其下网页,单击鼠标右键,从弹出的快捷菜单中选取“删除”。,4.4 项目实施,(5)清除已访问过的网页 为了加快浏览速度,IE会自动把你浏览过的网页保存在缓存文件夹下。当你确认不再需要浏览过的网页时,在此选中所有网页,删除即可。或者在“Internet选项”的“常规”标签下单击“Internet临时文件”项目中的“删除文件”按钮,在打开的“删除文件”对话框中选中“删除所有脱机内容”,单击“确定”
