《《计算机网络技术实用教程》-第七章幻灯片》由会员分享,可在线阅读,更多相关《《计算机网络技术实用教程》-第七章幻灯片(62页珍藏版)》请在金锄头文库上搜索。
1、第7章 计算机网络安全本章学习目标n计算机病毒的概念、特征和防范n密码学概述和加密算法n信息隐藏和数字水印n防火墙的工作原理7.1 计 算 机 病 毒7.1.1 计 算 机 病 毒 的 历 史 及 定 义1计 算 机 病 毒 的 历 史著 名 的 数 学 家、计 算 机 科 学 的 创 始 人 冯 诺 依 曼 早 在40 多 年 前 就 指 出,一 部 实 际 上 足 够 复 杂 的 机 器 具 有 复 制自 身 的 能 力。冯 诺 依 曼 提 出 的 这 种 可 能 性,最 早 是 在 科幻 小 说 中 出 现 的 。u1975年,美国科普作家约翰布鲁勒尔写了一本名为“震荡波骑 士”的书,在
2、该书中,作者第一次描述了信息社会,而且计算机 作为正义和邪恶双方斗争的工具,使之成为当年最佳畅销书之一 。u1977年夏天,托马斯捷瑞安的科幻小说“P-1的春天”描写了 一种可以在计算机中互相传染的病毒,病毒最后控制了7000台 计算机,造成了异常灾难。u1983年,程序自我复制的机制秘密被公开,同年11月,美国 计算机安全专家Fred Cohen在美国一次“计算机安全每周会议” 上,将具有自我复制能力且寄生于其他程序之上的“活的”计算机 程序编码实现的可能性问题提出来之后,伦艾德勒曼将其取名 为计算机病毒。uFred Cohen经过在VAX/750机上连续8个小时的试验之后, 将一种攻击VA
3、X/750机的计算机病毒制造出来,从而成为世界 上第一例在公开场合下进行病毒试验的事件。u1988年11月2日下午5时1分59秒,美国康奈尔大学的计算机 科学系研究生,23岁的莫里斯(Morris)将其编写的蠕虫程序 输入计算机网络,在几小时内导致网络堵塞,运行迟缓,这个 网络连接着大学、研究机关的155 000台计算机。u1988年下半年,我国在统计局系统首次发现了“小球”( Ping Pong)病毒,它对统计系统影响极大。继小球病毒之后 ,随之又出现了大麻(stone)、巴基斯坦(brain)、黑色星 期五(jerusalem)、磁盘杀手(diskkiller)、杨基都督( yankeed
4、odle)、雨点(1701)、毛毛虫(1575)等病毒。 当时在全国约有75%的计算机感染病毒。从1993年开始,计算机病毒一改原有的表现形式,悄悄地侵入计算机系统,神出鬼没地进行感染,典型代表就是“幽灵”病毒。1995年,一种新型的计算机病毒即宏病毒出现。1998年,我国发现了一种CIH恶性计算机病毒,这种病毒是我国迄今为止发现的首例直接攻击、破坏硬件系统的计算机病毒。这种病毒可通过软件之间的相互拷贝进行传染,也可通过互联网络传输文件时进行传染。 1999年,一种叫BO黑客的病毒开始在我国互联网Chinanet传播,计算机一旦感染这种病毒,整个系统将在网上暴露无疑。因此,也称这种病毒也称为“
5、后门”病毒。 3月24日,新蠕虫病毒“Ganda”出现。该病毒以邮件附件的形式传播,将自身组件嵌入在Win32 PE可执行文件中,并尽力避开反病毒软件的检测。该病毒进入系统后,一旦发现以virus,firewall,fsecure,symantec,mcafee,pc-cillin,trend micro,kaspersky,sophos,norton等字符为名称的进程(这些都是著名的反病毒软件),将立即中止该进程,先发制人把反毒软件干掉。反病毒软件失效后,该病毒就可以顺利逃避反病毒 软件的检测。 Ganda蠕虫病毒是在伊拉克战争爆发时传播的,病毒会用许多与伊拉克战争有关的邮件主题吸引大家的兴
6、趣,譬 如,一张希望终止间谍侦察行动的动画,一个关于乔治布什的屏保,一幅执行特殊侦察任务的美国的某侦察卫星的特写镜头等。病毒利用这些伎俩,诱使你打开附件中招。7.1.2 计算机病毒的特征“计算机病毒”不是天然存在的,而是人故意编制的一种特殊的计算机程序。这种程序具有如下特征:感染性、流行性、繁殖性、变种性、潜伏性、针对性、表现性。1感染性计算机病毒可以从一个程序传染到另一个程序,从一台计算机传染到另一台计算机,从一个计算机网络传染到另一个计算机网络,或在网络内各个系统上传染、蔓延,同时使被感染的程序、计算机、网络成为计算机病毒的生存环境及新的传染源。 2流行性一种计算机病毒出现之后,可以影响一
7、类计算机程序、计算机系统和计算机网络,并且这种影响在一定的地域内或者一定的应用领域内是广泛的。3繁殖性计算机病毒在传染系统之后,可以利用系统环境进行繁殖或称之为自我复制,使得自身数量增多。4变种性计算机病毒在发展、演化过程中可以产生变种。5潜伏性计算机病毒在感染计算机系统后,发作条件满足前,病毒可能在系统中没有表现症状,不影响系统的正常使用。6针对性一种计算机病毒并不能感染所有的计算机系统或程序,如:有的感染IBM PC及兼容机,有的感染APPLEII计算机,有的感染COMMAND.COM或EXE程序。7表现性计算机病毒感染系统后,被传染的系统在病毒表现及破坏部分被触发时,表现出一定的症状,如
8、:显示屏异常、系统速度慢、文件被删除、死机等。7.1.3 计算机病毒的工作原理计算机病毒传染的过程是这样的:病毒一般利用操作系统的加载机制或引导机制从带毒载体进入内存。当系统运行一个带毒文件或用一带毒系统盘启动时,病毒就进入内存。而从RAM侵入无毒介质则利用了操作系统的读写磁盘中断或加载机制。内存中的病毒时刻监视着操作系统的每一个操作,一旦该操作满足病毒设定的传染条件(通常为访问一无毒盘或加载一无毒文件等),病毒程序便将自身代码拷贝到受攻击目标上去,使之受传染。病毒传染一般是利用其自身的传染机制实现的,是病毒的主动攻击。常见的还有另一种传染方式,例如,把一个带病毒的文件拷贝到一新盘上去或对一个
9、带毒盘作全盘拷贝都会使新盘受到传染,这种传染是一种被动传染,这期间病毒的传染机制并没起作用。主动传染和被动传染在效果上是等效的,后者的成功取决于用户对病毒的存在没有察觉。 1计算机病毒的传染过程(1) 驻入内存。病毒停留在内存中,监视系统的运行,选择机会进行传染。这一步通常由引导模块实现,如果没有引导模块,则这一步也不会有 (2)判断传染条件。传染模块被激活后,会马上对攻击目标进行判断,以决定是否进行传染。(3)传染。通过适当的方式把病毒写入磁盘,同时保证被攻击的对象(引导记录、原执行文件)仍可正常运行,即进行的是传染而非破坏,因为病毒要以一个特洛伊木马的形式寄生。 p计算机病毒的传播途径有如
10、下几种形式。 l通过软盘:通过使用外界被感染的软盘进行传播。l通过光盘:一些软件在写入光盘前就已经被病毒感染,这种带毒的光盘也是病毒传播的一种途径。2计算机病毒的分类根据病毒存在的载体,病毒可以划分为网络病毒、文件病毒和引导型病毒。 网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如com,exe,doc等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)。 (1)标准1:病毒存在的载体。 还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密
11、和变形算法。 (2)标准2:病毒的破坏能力 根据病毒破坏的能力可将病毒划分为以下几种。 无害型:除了传染时减少磁盘的可用空间外,对系统没有其他影响。 无危险型:这类病毒仅仅是减少内存、显示图像、发出声音等。 危险型:这类病毒在计算机系统操作中造成严重的错误。 非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。 (3)标准3:病毒特有的算法。 根据病毒特有的算法,可以将病毒划分为伴随型病毒、“蠕虫”型病毒、寄生型病毒。1)伴随型病毒。这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,同EXE文件具有同样的名字和不同的扩展名(COM),例如:XCOPY.E
12、XE的伴随体是XCOPY.COM。病毒把自身写入COM文件而并不改变EXE文件,当DOS加载文件时,伴随体优先执行,再由伴随体加载执行原来的EXE文件2)“蠕虫”型病毒。这类病毒通过计算机网络传播,不改变文件 和资料信息,利用网络从一台机器的内存传播到其他机器的内 存。有时它们在系统存在,一般除了内存不占用其他资源。3)寄生型病毒。除了伴随型和“蠕虫”型,其他病毒均可称为寄生型病毒。它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按算法可以分为练习型病毒、诡秘型病毒和变型病毒。练习型病毒自身包含错误,不能进行很好的传播,例 如一些病毒尚在调试阶段;诡秘型病毒一般不直接修改DOS中断和
13、扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术,利用DOS空闲的数据区进行工作。变型病毒,又称幽灵病毒,这一类病毒使用一个复杂的算法,使自己每复制一份都具有不同的内容和长度。一般的作法是由一段混有无关指令的解码算法和被变化过的病毒体组成。7.1.4 病毒检测的方法在与病毒的对抗中,及早发现病毒很重要。早发现,早处置,可以减少损失。检测病毒的方法有特征代码法、校验和法、行为监测法、软件模拟法,这些方法依据的原理不同,实现时所需的开销不同,检测范围不同,各有所长 。1特征代码法特征代码法早期被应用于SCAN、CPAV等著名病毒检测 工具中。国外专家认为特征
14、代码法是检测已知病毒的最简单、开 销最小的方法。特征代码法的实现步骤如下:(1)采集已知病毒样本,病毒如果既感染COM文件,又感染EXE文件,对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。 (2)在病毒样本中,遵从一定的原则抽取特征代码,并存入病毒数据库中。 (3)打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。抽取特征代码的原则是,抽取的代码要比较特殊,不要与普通正常程序代码吻合。抽取的代码要有适当的长度,一方面要维持特征代码的惟一性,另一方面又不要有太大的空间与时间的开销。如果一 种病毒的特征代码增长一字节,那么要检测3000种病毒,增加的空间就是 3
15、000字节。在保持惟一性的前提下,尽量使特征代码长度短些,以减少空间与时间开销。 特征代码法的特点如下: 速度慢。随着病毒种类的增多,检索时间变长。如果检索5000种病毒,必须对5000个病毒特征代码逐一检查。如果病毒种数再增加,检索病毒的时间开销就变得十分可观。此类工具检测的高速性,将变得日益困难。 误报警率低。 不能检查多态性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。 不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码 剥去,检测工具的确是在检查一个虚假的“好文件”,而不能报警,
16、被隐蔽性病毒所蒙骗 2校验和法对正常文件的内容计算其校验和,将该校验和写入文件中或写入别的文件中保存。以后定期地或在每次使用文件前,检查根据文件现在的内容计算出的校验和与原来保存的校验和是否一致,就可以发现文件是否感染病毒,这种方法叫校验和法。它既可 发现已知病毒,也可发现未知病毒。在SCAN和CPAV工具的后期版本中除了用病毒特征代码法之外,还引入了校验和法,以提高其检测能力。 校验和法也有不足 其一,它不能识别病毒种类,不能报出病毒名称。而且由于病毒感 染并非是文件内容改变的惟一的非他性原因,文件内容的改变有可 能是正常程序引起的,所以校验和法常常误报警,而且此种方法也会影响文件的运行速度。 其二,校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗,对一个有毒文件算出正常校验和。校验和法查病毒的方式有:l在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常 状态的校验和,将校验和值写入被查文件中或检测工具中,
