《WindowsXP_Office2003实用教程第9章节计算机安全与维护幻灯片》由会员分享,可在线阅读,更多相关《WindowsXP_Office2003实用教程第9章节计算机安全与维护幻灯片(44页珍藏版)》请在金锄头文库上搜索。
1、第9章 计算机安全与维护,本章要点 计算机病毒 网络黑客与网络攻防 数据加密和数字签名 防火墙技术 本章难点 数据加密和数字签名 防火墙技术,9.1 计算机病毒,9.1.1计算机病毒的定义、特点及危害,1计算机病毒的定义 什么是计算机病毒?概括来讲指的就是具有破坏作用的程序或指令集合。在中华人民共和国计算机信息系统安全保护条例中的定义是:“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。,9.1.1计算机病毒的定义、特点及危害,2计算机病毒的特点 计算机病毒一般具有如下特点: 1)破坏性。破坏是广义的,不仅破坏计算
2、机软件系统,还能破坏计算机硬件系统。其破坏性包括:占用CPU时间、占用内存空间、破坏数据和文件、干扰系统的正常运行等。 2)传染性。计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。 3)隐蔽性。当运行受感染的程序时,病毒程序能首先获得计算机系统的监控权,进而能监视计算机的运行,并传染其他程序,但不到发作时机,整个计算机系统一切正常。 4)潜伏性。计算机病毒可能会长时间潜伏在计算机中,病毒的发作是由触发条件来确定的,在触发条件不满足时,系统没有异常症状。 5)寄生性。计算机病毒程序是一段精心编制的可执行代码,一般不独立存在。它的载体通常是磁盘系统区或程序文件,此即病毒的寄生性。,9.
3、1.1计算机病毒的定义、特点及危害,归纳起来,大致可以分成如下几方面: 破坏硬盘的主引导扇区,使计算机无法启动。 破坏文件中的数据,删除文件。 对磁盘或磁盘特定扇区进行格式化,使磁盘中信息丢失。 产生垃圾文件,占据磁盘空间,使磁盘空间逐个减少。 占用CPU运行时间,使运行效率降低。 破坏屏幕正常显示,破坏键盘输入程序,干扰用户操作。 破坏计算机网络中的资源,使网络系统瘫痪。 破坏系统设置或对系统信息加密,使用户系统紊乱。,9.1.2计算机病毒的分类,1按病毒攻击的操作系统来分类 1)攻击DOS系统的病毒 这类病毒出现最早、最多,变种也多,杀毒软件能够查杀的病毒中一半以上都是DOS病毒,可见DO
4、S时代DOS病毒的泛滥程度。 2)攻击Windows系统的病毒 目前Windows操作系统几乎已经取代DOS操作系统,从而成为计算机病毒攻击的主要对象。首例破坏计算机硬件的CIH病毒就是一个攻击Windows 95/98的病毒。 3)攻击UNIX系统的病毒 由于UNIX操作系统应用非常广泛,且许多大型的系统均采用UNIX作为其主要的操作系统,所以UNIX病毒的破坏性是很大的。 4)攻击OS/2系统的病毒 该类病毒比较少见。,9.1.2计算机病毒的分类,2按病毒攻击的机型来分类 1)攻击微型计算机的病毒,是传播最为广泛的一种病毒。 2)攻击小型机的计算机病毒。 3)攻击工作站的计算机病毒。 3按
5、病毒的破坏情况分类 1)良性计算机病毒 是指其不包含有立即对计算机系统产生直接破坏作用的代码,这类病毒主要是为了表现其存在,而不停地进行扩散,但它不破坏计算机内的程序和数据。 2)恶性计算机病毒 是指在其代码中包含有损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。如米开朗基罗病毒,当米氏病毒发作时,硬盘的前17个扇区将被彻底破坏,使整个硬盘上的数据无法被恢复,造成的损失是无法挽回的。,9.1.2计算机病毒的分类,4按病毒的寄生方式和传染对象来分类 1)引导型病毒 是一种在系统引导时出现的病毒,磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录,而将正常的
6、引导记录隐藏在磁盘的其他地方,所以系统一启动其就获得控制权,如“大麻”和“小球”病毒就是这种类型。 2)文件型病毒 该类病毒一般感染可执行文件(.exe和.com),病毒寄生在可执行程序中,只要程序被执行,病毒也就被激活,病毒程序会首先被执行,并将自身驻留在内存,然后设置触发条件,进行传染。 3)混合型病毒 综合了引导型和文件型病毒的特性,此种病毒通过这两种方式来感染,更增加了病毒的传染性,不管以哪种方式传染,只要中毒就会经开机或执行程序而感染其他的磁盘或文件。 4)宏病毒 是一种寄生于文档或模板宏中的计算机病毒,一旦打开这样的文档,宏病毒就会被激活,驻留在Normal模板上,所有自动保存的文
7、档都会感染上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。凡是具有写宏能力的软件都可能存在宏病毒,如Word和Excel等Office软件。,9.1.2计算机病毒的分类,5网络病毒 随着计算机网络的发展和应用,尤其是Internet的广泛应用,通过网络来传播病毒已经是当前病毒发展的主要趋势,影响最大的病毒当属计算机蠕虫。计算机蠕虫是通过网络的通信功能将自身从一个结点发送到另一个结点并自动启动的程序,往往导致网络堵塞、网络服务拒绝,最终造成整个系统瘫痪。例如W97M-MELISSA(美丽杀手)和ExploreZip(探险蠕虫),以邮件附件的形式藏匿在回复的电子邮
8、件中。用户一不小心打开那个名为Zip-files.exe的附件时,探险蠕虫就会感染计算机。蠕虫病毒在后台进行自我复制,将自身的副本作为附件向收件箱中所有未读邮件发送一封回信。更为可怕的是,它会疯狂地删除硬盘上的Office文档和各种程序语言的源程序文件,造成无可挽回的损失。,9.1.3计算机病毒的防治,1计算机病毒的预防 计算机病毒防治的关键是做好预防工作,首先在思想上给予足够的重视,采取“预防为主,防治结合”的方针;其次是尽可能切断病毒的传播途径,经常做病毒检测工作,最好在计算机中装入具有动态检测病毒入侵功能的软件。一般当计算机感染了病毒以后,系统会表现出一些异常的症状:如系统运行速度变慢、
9、文件的大小或日期发生改变、文件莫名其妙的丢失、屏幕上出现异常的提示或图形等等,计算机用户平时就应该留意这些现象并及时作出反应,尽早发现,尽早清除,这样既可以减少病毒继续传染的可能性,还可以将病毒的危害降低到最低限度。,9.1.3计算机病毒的防治,2计算机病毒的检测 计算机病毒的检测技术是指通过一定的技术手段判定出计算机病毒的一种技术。病毒检测技术主要有两种:一种是根据计算机病毒程序中的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术;另一种是不针对具体病毒程序的自身检验技术,即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地根据保
10、存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段的完整性已遭到破坏,从而检测到病毒的存在。,9.1.3计算机病毒的防治,3计算机病毒的清除 一旦检测到计算机病毒,就应该想办法将病毒立即清除,由于病毒的防治技术总是滞后于病毒的制作,所以并不是所有病毒都能马上得以清除。目前市场上的查杀毒软件有许多种,可以根据需要选购合适的杀毒软件。下面简要介绍常用的几个查杀毒软件: 1)金山毒霸 2)瑞星杀毒软件 3)诺顿防毒软件 4)江民杀毒软件,9.2 网络黑客及防范,9.2.1网络黑客,网络黑客(Hacker)一般指的是计算机网络的非法入侵者,他们大都是程序员,对计算机技术和网络技术非常精
11、通,了解系统的漏洞及其原因所在,喜欢非法闯入并以此作为一种智力挑战而沉醉其中。有些黑客仅仅是为了验证自己的能力而非法闯入,并不会对信息系统或网络系统产生破坏,但也有很多黑客非法闯入是为了窃取机密的信息、盗用系统资源或出于报复心理而恶意毁坏某个信息系统等。,9.2.2黑客常用的攻击方式,1黑客的攻击步骤 一般黑客的攻击分为以下3个步骤: 1)信息收集 2)探测分析系统的安全弱点 3)实施攻击 在获得了目标系统的非法访问权以后,黑客一般会实施以下的攻击: 1)试图毁掉入侵的痕迹,并在受到攻击的目标系统中建立新的安全漏洞或后门,以便在先前的攻击点被发现以后能继续访问该系统。 2)在目标系统安装探测器
12、软件,如特洛伊木马程序,用来窥探目标系统的活动,继续收集黑客感兴趣的一切信息,如账号与口令等敏感数据。 3)进一步发现目标系统的信任等级,以展开对整个系统的攻击。 4)如果黑客在被攻击的目标系统上获得了特许访问权,那么他就可以读取邮件,搜索和盗取私人文件,毁坏重要数据以至破坏整个网络系统,那么后果将不堪设想。,9.2.2黑客常用的攻击方式,2黑客的攻击方式 黑客攻击通常采用以下几种典型的攻击方式: 1)密码破解 通常采用的攻击方式有字典攻击、假登录程序、密码探测程序等,主要是获取系统或用户的口令文件。 字典攻击 是一种被动攻击,黑客先获取系统的口令文件,然后用黑客字典中的单词一个一个地进行匹配
13、比较,由于计算机速度的显著提高,这种匹配的速度也很快,而且由于大多数用户的口令采用的是人名、常见的单词或数字的组合等,所以字典攻击成功率比较高。 假登录程序 设计一个与系统登录画面一模一样的程序并嵌入到相关的网页上,以骗取他人的账号和密码。当用户在这个假的登录程序上输入账号和密码后,该程序就会记录下所输入的账号和密码。 密码探测 在Windows NT系统内保存或传送的密码都经过单向散列函数(Hash)的编码处理,并存放到SAM数据库中。于是网上出现了一种专门用来探测NT密码的程序LophtCrack,它能利用各种可能的密码反复模拟NT的编码过程,并将所编出来的密码与SAM数据库中的密码进行比
14、较,如果两者相同就得到了正确的密码。,9.2.2黑客常用的攻击方式,2)IP嗅探(Sniffing)与欺骗(Spoofing) 嗅探 是一种被动式的攻击,又叫网络监听,就是通过改变网卡的操作模式让它接受流经该计算机的所有信息包,这样就可以截获其他计算机的数据报文或口令。监听只能针对同一物理网段上的主机,对于不在同一网段的数据包会被网关过滤掉。 欺骗 是一种主动式的攻击,即将网络上的某台计算机伪装成另一台不同的主机,目的是欺骗网络中的其他计算机误将冒名顶替者当作原始的计算机而向其发送数据或允许它修改数据。常用的欺骗方式有IP欺骗、路由欺骗、DNS欺骗、ARP(地址转换协议)欺骗以及Web欺骗等。
15、典型的Web欺骗原理是:攻击者先建立一个Web站点的副本,使它具有与真正的Web站点一样的页面和链接,由于攻击者控制了副本Web站点,被攻击对象与真正的Web站点之间的所有信息交换全都被攻击者所获取,如用户访问Web服务器时所提供的账号、口令等信息,攻击者还可以假冒成用户给服务器发送数据,也可以假冒成服务器给用户发送消息,这样攻击者就可以监视和控制整个通信过程。,9.2.2黑客常用的攻击方式,3)系统漏洞 漏洞是指程序在设计、实现和操作上存在错误。由于程序或软件的功能一般都较为复杂,程序员在设计和调试过程中总有考虑欠缺的地方,绝大部分软件在使用过程中都需要不断地改进与完善。被黑客利用最多的系统
16、漏洞是缓冲区溢出,因为缓冲区的大小有限,一旦往缓冲区中放入超过其大小的数据,就会产生溢出,多出来的数据可能会覆盖其他变量的值,正常情况下程序会因此出错而结束,但黑客却可以利用这样的溢出来改变程序的执行流程,转向执行事先编好的黑客程序。,9.2.2黑客常用的攻击方式,4)端口扫描 由于计算机与外界通信都必须通过某个端口才能进行,黑客可以利用一些端口扫描软件,如SATAN、IP Hacker等对被攻击的目标计算机进行端口扫描,查看该机器的哪些端口是开放的,由此可以知道与目标计算机能进行哪些通信服务。例如,邮件服务器的25号端口是接收用户发送的邮件,而用户接收邮件则与邮件服务器的110号端口通信,访问web服务器一般都是通过其80号端口,等等。了解了目标计算机开放的端口服务以后,黑客一般会通过这些开放的端口发送特洛伊木马程序到目标计算机上,利用木马来控制被攻击的目标,如“冰河V8.0”木马就是利用了系统的2001号端口。,9.2.3防止黑客攻击的策略,1数据加密 加密的目的是保护系统内的数据、文件、口
