《计算机安全完整版教学课件全书电子讲义最新》由会员分享,可在线阅读,更多相关《计算机安全完整版教学课件全书电子讲义最新(234页珍藏版)》请在金锄头文库上搜索。
1、第一章计算机安全概论 随着计算机在社会各个领域的广泛应用和迅速普随着计算机在社会各个领域的广泛应用和迅速普及,人类社会业已步入信息时代。信息已经成为了人及,人类社会业已步入信息时代。信息已经成为了人类的一种重要资源,人们生产和生活的质量将愈来愈类的一种重要资源,人们生产和生活的质量将愈来愈多的取决于对知识信息的掌握和运用的程度。面对汪多的取决于对知识信息的掌握和运用的程度。面对汪洋大海般的信息,计算机成为了信息处理必不可少的洋大海般的信息,计算机成为了信息处理必不可少的强有力工具。在计算机系统中,信息是指存储于计算强有力工具。在计算机系统中,信息是指存储于计算机及其外部设备上的程序和数据。由于
2、计算机系统中机及其外部设备上的程序和数据。由于计算机系统中的信息涉及到有关国家安全的政治、经济、军事的情的信息涉及到有关国家安全的政治、经济、军事的情况以及一些部门、机构、组织与个人的机密,因此极况以及一些部门、机构、组织与个人的机密,因此极易受到敌对势力以及一些非法用户、别有用心者的威易受到敌对势力以及一些非法用户、别有用心者的威胁和攻击。加之几乎所有的计算机系统都存在着不同胁和攻击。加之几乎所有的计算机系统都存在着不同程度的安全隐患,所以,计算机系统的安全、保密问程度的安全隐患,所以,计算机系统的安全、保密问题越来越受到人们的重视。题越来越受到人们的重视。 1-1 1-1 计算机安全研究的
3、重要性计算机安全研究的重要性1-1-1 1-1-1 计算机系统面临的威胁计算机系统面临的威胁 1. 1.对实体的威胁和攻击对实体的威胁和攻击 所谓实体,是指实施信息收集、传输、存储、加工处理、分发和利所谓实体,是指实施信息收集、传输、存储、加工处理、分发和利用的计算机及其外部设备和网络。对实体的威胁和攻击是对计算机本身用的计算机及其外部设备和网络。对实体的威胁和攻击是对计算机本身和外部设备以及网络和通信线路而言的。这些威胁主要有:各种自然灾和外部设备以及网络和通信线路而言的。这些威胁主要有:各种自然灾害、人为的破坏、设备故障、操作失误、场地和环境的影响、电磁干扰、害、人为的破坏、设备故障、操作
4、失误、场地和环境的影响、电磁干扰、电磁泄漏、各种媒体的被盗及数据资料的损失等。电磁泄漏、各种媒体的被盗及数据资料的损失等。 2. 2.对信息的威胁和攻击对信息的威胁和攻击 由于计算机信息有共享和易于扩散等特性,使得它在处理、存储、由于计算机信息有共享和易于扩散等特性,使得它在处理、存储、传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏,还有可能受到计算机病毒的感甚至被泄露、窃取、篡改、冒充和破坏,还有可能受到计算机病毒的感染。威胁和攻击可细分为两类,即信息泄漏和信息破坏。染。威胁和攻击
5、可细分为两类,即信息泄漏和信息破坏。 3. 3.计算机犯罪计算机犯罪 计算机犯罪是指行为人运用所掌握的计算机专业知识,以计计算机犯罪是指行为人运用所掌握的计算机专业知识,以计算机为工具或以计算机资产为攻击对象,给社会造成严重危害的算机为工具或以计算机资产为攻击对象,给社会造成严重危害的行为。其中,计算机资产包括硬件、软件、计算机系统中存储、行为。其中,计算机资产包括硬件、软件、计算机系统中存储、处理或传输的数据及通讯线路。处理或传输的数据及通讯线路。 4. 4.计算机病毒计算机病毒 计算机病毒是由破坏者精心设计和编写的,能够通过某种途计算机病毒是由破坏者精心设计和编写的,能够通过某种途径潜伏在
6、计算机存储介质(或程序)里,当达到某种条件时即被径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。激活的具有对计算机资源进行破坏作用的一组程序或指令集合。计算机病毒的破坏行为体现了病毒的杀伤能力。计算机病毒的破坏行为体现了病毒的杀伤能力。 1-1 1-1 计算机安全研究的重要性计算机安全研究的重要性1-1-2 计算机系统的脆弱性 1. 1.操作系统安全的脆弱性操作系统安全的脆弱性 操作系统是一切软件运行的基础,也是唯一紧靠硬件的基本操作系统是一切软件运行的基础,也是唯一紧靠硬件的基本软件。作为信息系统最基础、最核心的部分,各种操作系
7、统却又软件。作为信息系统最基础、最核心的部分,各种操作系统却又都存在着这样或那样的安全隐患。操作系统的不安全是计算机不都存在着这样或那样的安全隐患。操作系统的不安全是计算机不安全的根本原因。安全的根本原因。 2. 2.网络安全的脆弱性网络安全的脆弱性 计算机网络尤其是互连网络,由于网络分布的广域性、网络计算机网络尤其是互连网络,由于网络分布的广域性、网络体系结构的开放性、信息资源的共享性和通信信道的共用性,而体系结构的开放性、信息资源的共享性和通信信道的共用性,而使计算机网络存在很多严重的脆弱点。它们是网络安全的严重隐使计算机网络存在很多严重的脆弱点。它们是网络安全的严重隐患。患。 3.3.数
8、据库安全的脆弱性数据库安全的脆弱性 由于数据库系统具有共享性、独立性、一致性、完整性和可由于数据库系统具有共享性、独立性、一致性、完整性和可访问控制性等诸多优点,因而得到了广泛应用,现已成为了计算访问控制性等诸多优点,因而得到了广泛应用,现已成为了计算机系统存储数据的主要形式。与此同时,数据库应用在安全方面机系统存储数据的主要形式。与此同时,数据库应用在安全方面的考虑却很少,容易造成存储数据的丢失、泄漏或破坏。的考虑却很少,容易造成存储数据的丢失、泄漏或破坏。 4.4.防火墙的局限性防火墙的局限性 防火墙可以根据用户的要求隔断或连通用户的计算机与外界防火墙可以根据用户的要求隔断或连通用户的计算
9、机与外界的连接,避免受到恶意的攻击,但防火墙不能保证计算机系统的的连接,避免受到恶意的攻击,但防火墙不能保证计算机系统的绝对安全,它也存在许多的局限性。绝对安全,它也存在许多的局限性。 1-1 1-1 计算机安全研究的重要性计算机安全研究的重要性1-1-3计算机系统安全的重要性 随随着着人人们们对对计计算算机机信信息息系系统统依依赖赖程程度度的的越越来来越越大大,应应用用面面的的越越来来越越广广,计计算算机机系系统统安安全全的的重重要要性性也也越越来来越突出。越突出。1-2 1-2 计算机系统的安全技术计算机系统的安全技术 1-2-1 1-2-1 计算机安全技术的发展过程计算机安全技术的发展过
10、程 在上世纪在上世纪5050年代,由于计算机应用的范围很小,安全问年代,由于计算机应用的范围很小,安全问题并不突出,计算机系统的安全在绝大多数人的印象中是指题并不突出,计算机系统的安全在绝大多数人的印象中是指实体及硬件的物理安全。实体及硬件的物理安全。 自上世纪自上世纪7070年代,数据的安全逐渐成为计算机安全技术年代,数据的安全逐渐成为计算机安全技术的主题。的主题。 国际标准化组织国际标准化组织( ( ISO )ISO )在在19841984年公布了信息处理系统年公布了信息处理系统参考模型,并提出了信息处理系统的安全保密体系结构参考模型,并提出了信息处理系统的安全保密体系结构( (ISO-7
11、498-2)ISO-7498-2)。 进入进入2020世纪世纪9090年代,计算机系统安全研究出现了新的侧年代,计算机系统安全研究出现了新的侧重点。一方面,对分布式和面向对象数据库系统的安全保密重点。一方面,对分布式和面向对象数据库系统的安全保密进行了研究;另一方面,对安全信息系统的设计方法、多域进行了研究;另一方面,对安全信息系统的设计方法、多域安全和保护模型等进行了探讨。安全和保护模型等进行了探讨。 目前,计算机安全技术正经历着前所未有的快速发展,目前,计算机安全技术正经历着前所未有的快速发展,并逐渐完善、成熟,形成了一门新兴的学科。并逐渐完善、成熟,形成了一门新兴的学科。 1-2 1-2
12、 计算机系统的安全技术计算机系统的安全技术1-2-2 计算机安全技术的研究内容 1.1.实体硬件安全实体硬件安全 2. 2.软件安全软件安全 3.3.数据安全数据安全 4. 4.网络安全网络安全 5.5.病毒防治病毒防治 6. 6.防计算机犯罪防计算机犯罪1-2 1-2 计算机系统的安全技术计算机系统的安全技术1-2-3计算机安全系统的设计原则(1 1)木桶原则)木桶原则 (2 2)整体性原则)整体性原则 (3 3)有效性与实用性原则)有效性与实用性原则 (4 4)安全性评价原则)安全性评价原则 (5 5)动态化原则)动态化原则 (6 6)设计为本原则)设计为本原则 (7 7)有的放矢、各取所
13、需原则)有的放矢、各取所需原则 1-3 1-3 计算机系统安全评估计算机系统安全评估1-3-1 计算机系统安全评估的重要性 计计算算机机系系统统的的安安全全评评估估其其过过程程本本身身就就是是对对系系统统安安全全性性的的检检验验和和监监督督。系系统统安安全全评评估估包包括括了了构构成成计计算算机机系系统统的的物物理理网网络络和和系系统统的的运运行行过过程程、系系统统提提供供的的服服务务以以及及这这种种过过程程与与服服务务中中的的管管理理、保保证证能力的安全评价,大致来说包括:能力的安全评价,大致来说包括: 1. 1.明确该系统的薄弱环节。明确该系统的薄弱环节。 2.2.分析利用这些薄弱环节进行
14、威胁的可能性。分析利用这些薄弱环节进行威胁的可能性。 3. 3.评估如果每种威胁都成功所带来的后果。评估如果每种威胁都成功所带来的后果。 4. 4.估计每种攻击的代价。估计每种攻击的代价。 5. 5.估算出可能的应付措施的费用。估算出可能的应付措施的费用。 6. 6.选取恰当的安全机制。选取恰当的安全机制。1-3 1-3 计算机系统安全评估计算机系统安全评估1-3-2 1-3-2 计算机系统的安全标准计算机系统的安全标准 2020世纪世纪7070年代,美国国防部就已经发布了诸如年代,美国国防部就已经发布了诸如“ “自动数据处自动数据处理系统安全要求理系统安全要求” ”等一系列的安全评估标准。等
15、一系列的安全评估标准。19831983年又发布了年又发布了“ “可信计算机评价标准可信计算机评价标准” ”,即所谓的桔皮书、黄皮书、红皮书和绿,即所谓的桔皮书、黄皮书、红皮书和绿皮书。并于皮书。并于19851985年对此标准进行了修订。年对此标准进行了修订。 在安全体系结构方面在安全体系结构方面, ,ISOISO制定了国际标准制定了国际标准ISO7498-2-1989ISO7498-2-1989信息处理系统开放系统互连基本参考模型第信息处理系统开放系统互连基本参考模型第2 2部分安全体系结构部分安全体系结构。 我国从我国从2020世纪世纪8080年代开始,本着积极采用国际标准的原则,年代开始,
16、本着积极采用国际标准的原则,转化了一批国际信息安全基础技术标准,使我国信息安全技术得转化了一批国际信息安全基础技术标准,使我国信息安全技术得到了很大的发展。到了很大的发展。 有关的信息安全标准如:计算机信息系统安有关的信息安全标准如:计算机信息系统安全专用产品分类原则、计算机信息系统安全保护等级划分准全专用产品分类原则、计算机信息系统安全保护等级划分准则、商用密码管理条理、中华人民共和国计算机信息系则、商用密码管理条理、中华人民共和国计算机信息系统安全保护条理等。统安全保护条理等。 1-3 1-3 计算机系统安全评估计算机系统安全评估1-3-3 计算机系统的安全等级 常见的计算机系统安全等级的
17、划分有两种:一种常见的计算机系统安全等级的划分有两种:一种是依据美国国防部发表的评估计算机系统安全等级的是依据美国国防部发表的评估计算机系统安全等级的桔皮书,将计算机安全等级划分为四类八级,即桔皮书,将计算机安全等级划分为四类八级,即A2 A1 A2 A1 B3 B2 B1C2 C1 DB3 B2 B1C2 C1 D级;另一种是依据我国颁布的计算级;另一种是依据我国颁布的计算机信息系统安全保护等级划分准则机信息系统安全保护等级划分准则( (GB17859_1999)GB17859_1999),将计算机安全等级划分为五级。将计算机安全等级划分为五级。 1-4 1-4 计算机安全法规计算机安全法规
18、 1-4-1 计算机安全立法的必要性 法律是信息安全的第一道防线,建立健全计算机法律是信息安全的第一道防线,建立健全计算机安全法律体系能够为计算机系统创造一个良好的社会安全法律体系能够为计算机系统创造一个良好的社会环境,对保障计算机安全意义重大。环境,对保障计算机安全意义重大。 计算机安全法律是在计算机安全领域内调整各种计算机安全法律是在计算机安全领域内调整各种社会关系的法律规范的总称。主要涉及系统规划与建社会关系的法律规范的总称。主要涉及系统规划与建设的法律,系统管理与经营的法律,系统安全的法律,设的法律,系统管理与经营的法律,系统安全的法律,用户用户( (自然人或法人自然人或法人) )数据
19、的法律保护,电子资金划转数据的法律保护,电子资金划转的法律认证,计算机犯罪与刑事立法,计算机证据的的法律认证,计算机犯罪与刑事立法,计算机证据的法律效力等法律问题。应该不断制定和完善计算机安法律效力等法律问题。应该不断制定和完善计算机安全方面的法律、法规,加强计算机安全执法力度,保全方面的法律、法规,加强计算机安全执法力度,保证计算机及信息系统的安全。证计算机及信息系统的安全。 1-4 1-4 计算机安全法规计算机安全法规1-4-2 计算机安全法规简介 我国我国19911991年颁布了计算机软件保护条例,年颁布了计算机软件保护条例,19941994年年2 2月又月又颁布了中华人民共和国计算机信
20、息系统安全保护条例,它揭颁布了中华人民共和国计算机信息系统安全保护条例,它揭开了我国计算机安全工作新的一页。是我国计算机安全领域内第开了我国计算机安全工作新的一页。是我国计算机安全领域内第一个全国性的行政法规,它标志着我国的计算机安全工作开始走一个全国性的行政法规,它标志着我国的计算机安全工作开始走上规范化的法律轨道。上规范化的法律轨道。 我我国国颁颁布布的的计计算算机机安安全全法法规规还还有有:中中华华人人民民共共和和国国计计算算机机信信息息网网络络国国际际联联网网管管理理暂暂行行规规定定、中中华华人人民民共共和和国国计计算算机机信信息息网网络络国国际际联联网网管管理理暂暂行行规规定定实实施
21、施办办法法、中中国国公公用用计计算算机机InternetInternet国国际际联联网网管管理理办办法法、计计算算机机信信息息系系统统国国际际联联网网保保密密管管理理规规定定、商商用用密密码码管管理理条条例例、计计算算机机病病毒毒防防治治管管理理办办法法、计计算算机机信信息息系系统统安安全全专专用用产产品品检检测测和和销销售售许许可可证证管管理理办办法、电子出版物管理规定等等。法、电子出版物管理规定等等。1-5 1-5 计算机安全技术的发展方向与市场分析计算机安全技术的发展方向与市场分析 1.越来越多的安全标准将被日益广泛的采用及应用。 2.认证、认可将成为一种制度。 3.安全策略越来越合理化
22、。 4.安全体系升级换代。 5.安全管理。 6.生物识别技术。 7.灾难恢复技术。 第二章实体及硬件安全技术2-1计算机房安全的环境条件 实体及硬件安全是指保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其他环境事故(包括电磁污染等)破坏的措施和过程。实体安全是整个计算机系统安全的前提,如果实体安全得不到保证,则整个系统就失去了正常工作的基本环境。一般来说,这个基本环境是指计算机房及其设施。计算机房除必须满足计算机设备对温度,湿度和空气洁净度,供电电源的质量和电磁场和振动等项的技术要求外,还必须满足在机房中工作的人员对照明度、空气的新鲜度和流动速度、噪声等项的要求。同
23、时由于计算机属于贵重精密设备,在有些部门中属于关键和脆弱的中心,所以,机房对消防和安全保密也有较高的要求。2-1计算机房安全的环境条件2.1.1计算机房场地环境选择 为计算机房选择一个合适的安装场所,对计算机系统长期稳定、可靠、安全的工作是至关重要的。 我们在选择计算机房场地环境时要注意: (1)应尽量满足水源充足、电源稳定可靠、交通通讯方便、自然环境清洁的条件。 (2)应避开环境污染区,远离产生粉尘、油烟、有害气体等的区域。 (3)应远离生产或贮存具有腐蚀性、易燃、易爆物品的工厂、仓库、堆场等场所。 (4)应避开低洼、潮湿、落雷区域和地震频繁的地方。 (5)应避开强振动源和强噪音源,如车间、
24、工地、闹市、机场等。 (6)应避开强电磁场的干扰,当无法避开时,可采取有效的电磁屏蔽措施。 (7)机房在多层建筑或高层建筑物内宜设于第二、三层,应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 (8)计算机房的位置应充分考虑计算机系统和信息的安全。 其它的注意事项可以参阅国标(GB2887-2000)。这个标准是计算机场地建设的主要技术依据。2-1计算机房安全的环境条件2.1.2计算机房内环境条件要求1.温度2.湿度3.洁净度4.腐蚀性气体 5.静电 6.振动与噪音7.电源8.照明2.2实体及硬件的安全防护 实体及硬件的安全防护是针对自然、物理灾害及人为蓄意破坏而采取的安全措施与防护
25、对策。通常包括防火、防水、防盗、防电磁干扰及对存储媒体的安全防护等。2.2实体及硬件的安全防护2.2.1三防措施(防火、防水、防盗)1.防火:(1)要有合理的建筑构造,这是防火的基础。(2)完善电气设备的安装与维护,这是防火的关键。(3)要建立完善消防设施,这是减少火灾损失的保障。(4)加强消防管理工作,消除火灾隐患。2.防水:机房防水工作是机房建设和日常运行管理的重要内容之一,应采取必要的防护措施:(1)机房不应设置在建筑物底层或地下室,位于用水设备下层的计算机机房,应在吊顶上设防水层,并设漏水检查装置。(2)机房内应避免铺设水管或蒸汽管道。已铺设的管道,必须采取防渗漏措施。(3)机房应具备
26、必要的防水、防潮设备。(4)机房应指定专人定期对管道、阀门进行维护、检修。(5)完善机房用水制度,有条件的机房应安装漏水检测系统2.2实体及硬件的安全防护3.防盗:常用的防盗措施有:(1)放置计算机设备的建筑物应该比较隐蔽,不要用相关的标志标明机房所在地。(2)机房门窗应具备防盗措施,如加固门窗,安装监视器等。(3)机房内的各类贵重物品应配置具有防盗功能的安全保护设备,如各种锁定装置、侵入报警器等。(4)严格出入登记制度,非本系统操作人员,一般情况下不准随意出入机房。(5)加强机房管理责任制,建立建全设备器材出入制度。2.2实体及硬件的安全防护2.2.2电磁防护1.电磁干扰:所谓电磁干扰(El
27、ectromagneticInterference,EMI),是指无用的电磁信号或电磁骚扰对接收的有用电磁信号造成的扰乱。电气设备在运行过程中所产生的电磁干扰不仅会影响附近设备的正常运行,同时也会对人们的工作、生活和健康造成极大的危害。2.电磁泄漏:电磁泄漏是指电子设备的杂散(寄生)电磁能量通过导线或空间向外扩散。如果这些泄漏“夹带”着设备所处理的信息,就构成了所谓的电磁信息泄漏。3.电磁防护措施:(1)屏蔽(2)滤波(3)隔离(4)接地(5)选用低辐射设备(6)使用干扰器2.2实体及硬件的安全防护2.2.3存储媒体的访问控制 计算机系统中的大量信息都存储在某种媒体上,如磁盘、磁带、半导体、光
28、盘、打印纸等。为了防止对信息的破坏、篡改、盗窃等事件的发生,就必须对存储媒体进行保护和管理,严格其访问控制。 1.身份识别 :身份识别的目的是确定系统的访问者是否是合法用户,一般包含“识别”和“验证”两个方面。 2.控制访问权限 :系统要确定用户对资源(比如 CPU 、内存、 I/O 设备、计算机终端等)的访问权限,并赋予用户不同的权限等级,如工作站用户、超级用户、系统管理员等。一般来说,用户的权限等级是在注册时赋予的。 3.管理措施 :存储媒体安全管理的目标是:保证系统在有充分保护的安全环境中运行,由可靠的操作人员按规范使用计算机系统,系统符合安全标准。管理应紧紧围绕信息的输入、存储、处理和
29、交换这个过程来进行。 除此之外,还应该健全机构和岗位责任制,完善安全管理的规章制度,加强对技术、业务、管理人员的法制教育、职业道德教育,增加安全保密和风险防范意识,以实现科学化、规范化的安全管理。 2.3计算机硬件的检测与维修 在计算机系统的故障现象中,硬件的故障占到了很大的比例。正确的分析故障原因,快速的排除故障,可以避免不必要的故障检索工作,使系统得以正常运行。2.3.1 计算机硬件故障的分析 计算机硬件故障是指由于计算机硬件损坏、品质不良、安装、设置不正确或接触不良等而引起的故障。其原因多种多样 : (1)工艺问题引起的故障 (2)元器件损坏引起的故障 (3)干扰或噪声引起的故障 (4)
30、设计上造成的故障 (5)人为故障(计算机假故障) 2.3计算机硬件的检测与维修2.3.2硬件故障的检测步骤及原则1.检测的基本步骤:检测的基本步骤通常是由大到小、由粗到细。2.检测的原则:(1)先静后动(2)先外后内 (3)先辅后主 (4)先电源后负载 (5)先一般后特殊 (6)先简单后复杂 (7)先主要后次要 计算机的检测维修方法很多,因设备的不同、组件的不同,各自有不同的特点,对以上原则应灵活运用,当故障原因较为复杂时,要综合考虑。2.3计算机硬件的检测与维修2.3.3硬件故障的诊断和排除 要排除硬件故障,最主要的是要设法找到产生故障的原因。一旦找到原因,排除故障就很容易了。下面介绍一些寻
31、找故障原因常用的方法: (1)清洁法(2)直接观察法(3)拔插法(4)交换法(5)比较法 (6)振动敲击法 (7)升温降温法 (8)程序测试法 总之,为了排除故障,首先要设法查出产生故障的原因。要能正确、迅速的查出故障原因,最主要的是要掌握基本原理,多参加实际工作,而且在方法上应从一些简单的检查方法入手,逐步运用复杂的方法进行检查。第三章计算机软件安全技术计算机软件安全技术3.1 软件安全技术概述 计算机软件安全主要是指保证所有计算机程序和文档资料免遭破坏、非法拷贝、非法使用而采用的技术和方法,其内容包括如下五个方面: (1)软件的自身安全 (2)软件的存储安全(3)软件的通信安全(4)软件的
32、使用安全(5)软件的运行安全 影响计算机软件安全的因素很多,要确保其安全,必须采取两方面的措施:一是非技术性措施,如制定有关法律、法规,加强各方面的管理等。二是技术性措施,如采用软件安全的各种防拷贝加密技术、防静态分析、防动态跟踪技术等。3.2 软件分析技术 在进行软件的破解、解密工作中,一个首要的问题是对软件进行分析。这些软件都是机器代码程序,对于它们分析必须使用静态或动态调试工具,分析跟踪其汇编代码。 3.2.1 静态分析技术 所谓静态分析即从反汇编出来的程序清单上分析,从提示信息入手进行分析。如果我们对静态反汇编出来的程序清单进行阅读,就可以从中找到有用的提示信息,了解软件的编程思路,以
33、便顺利破解。 常用的静态分析工具有W32DASM、IDA和HIEW等。W32DASM可以方便的反汇编程序,它能静态分析程序流程,也可动态分析程序。在其新版本中,还加强了对中文字符串的提取, W32DASM的界面如下图所示:3.2 软件分析技术3.2.2 动态分析技术 所谓动态分析是指利用动态分析工具一步一步地单步执行软件。为了有效地进行动态跟踪分析,需要进行以下两个步骤: 第一步,对软件进行粗跟踪。第二步,对关键部分进行细跟踪。 常用的动态分析工具有Soft-ICE和Trw2000。Trw2000完全兼容Soft-ICE的各条指令,并且专门针对软件破解进行了优化,在Windows 9x下跟踪调
34、试功能更强。可以设置各种断点,并且断点种类更多。它可以像一些脱壳工具一样完成对加密外壳的去除,自动生成EXE文件。它还有在DOS下的版本,名为TR。下图为Trw2000界面:3.3 常用的软件保护技术 常见的软件保护技术有序列号方式、时间限制、警告窗口、Key File保护、功能限制、CDcheck等,下面对它们分别做出简要介绍。 3.3.1 序列号方式 3.3.2 时间限制 3.3.3 Nag窗口 3.3.4 Key File保护 3.3.5 功能限制的程序 3.3.6 CD-check*3.4 反跟踪技术 反跟踪技术是磁盘加密技术中最能显示技术水平的部分。一个有效的反跟踪技术应该具有以下三
35、个特征: (1)重要程序段是不可跳越和修改的。 (2)不通过加密系统的译码算法,密码不可破译。 (3)加密系统是不可动态跟踪执行的。*3.4 反跟踪技术 下面我们以DOS中功能强大的动态跟踪调试软件DEBUG为例,对常用的反跟踪技术作出说明。: 3.4.1 抑制跟踪中断 3.4.2 封锁键盘输入 3.4.3 设置显示器的显示性能3.4.4 检测跟踪法 3.4.5 破坏中断向量表 3.4.6 设置堆栈指针法3.4.7 对程序分块加密执行3.4.8 对程序段进行校验3.4.9 迷惑、拖垮解密者 3.4.10 指令流队列法 3.4.11 逆指令流法3.4.12 混合编程法 3.4.13 自编软中断1
36、3技术3.5 软件加壳与脱壳3.5.1 加壳 计算机软件中的“壳”是一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”了。 给软件加壳的目的主要有两点:第一就是达到压缩EXE文件的目的,以节约存储空间,方便网络传输。第二就是加密保密的目的,有一些版权信息需要保护起来,不能让别人随意更改,如作者的姓名、软件名称等。能够完成对可执行文件压缩和对信息加密的软件,我们称之为加壳软件。3.5 软件加壳与
37、脱壳 加壳软件与一般的Winzip等压缩软件是有区别的。加壳后的文件能直接运行,还是一个可执行文件,它们的压缩是在内存中完成的。而Winzip等软件只能把文件解压到硬盘中,只是将压缩后的文件还原成源文件。加壳与没有加壳软件的运行情况如图所示: 常见的加壳软件有ASPack、UPX、PECompact等。3.5 软件加壳与脱壳3.5.2 脱壳 “脱壳”顾名思义,就是把在软件外面起保护作用的“壳”程序去掉。脱壳有两种方法:一种是自动脱壳,另一种是手动脱壳。 (1)自动脱壳 自动脱壳就是用相应的脱壳程序对加密的程序进行脱壳的方法。一般每种压缩工具的壳,都会有相应的脱壳工具,因此只要找到较新版本的脱壳
38、工具,一般的壳都可轻易脱去。 首先,我们要知道软件使用的是哪种加壳软件进行加密的,这就得用到侦测文件类型的工具。常用的侦测文件类型工具有Language 2000、FileInfo、GetTyp、TYP等。3.5 软件加壳与脱壳下图为Language 2000中文版的界面: 用侦册文件类型工具查出软件使用的加壳工具后,再用相应的脱壳工具即可实现自动脱壳。常用的脱壳工具有:UnAspack、AspackDie 1.4、UnPEPack、ProcDump32等。3.5 软件加壳与脱壳(2)手动脱壳 手动脱壳是指不借助自动脱壳工具,而是用动态调试工具SOFTICE或TRW2000来脱壳。手动脱壳一般
39、难度较大,使用的工具有调试器(SoftICE、TRW2000等),内存抓取工具(Procdump等),十六进制工具(Hiew、UltraEdit、Hex Workshop等),PE编辑工具(Procdump、Peditor等)。 手动脱壳的一般步骤为: 第一步,确定壳的种类。 第二步,入口点(Entry Point)的确定。 第三步,dump取内存已还原文件。 第四步,修正刚dump取的文件。3.6 软件安全保护建议 本节给出的关于软件保护的一般性建议,是无数人经验的总结。在设计软件保护方式时遵守这些准则,将会提高软件的保护强度。(1)软件最终发行之前一定要将可执行程序进行加壳/压缩,使得解密
40、者无法直接修改程序。(2)增加对软件自身的完整性检查。(3)不要采用一目了然的名字来命名函数和文件(4)尽可能少地给用户提示信息。(5)将注册码、安装时间记录在多个不同的地方。(6)检查注册信息和时间的代码越分散越好。(7)通过读取关键的系统文件的修改时间来得到系统时间的信息。(8)如果有可能的话,可以采用联网检查注册码的方法,且数据在网上传输时要加密。(9)除了加壳/压缩之外,还需要自己编程在软件中嵌入反跟踪的代码,以增加安全性。3.6 软件安全保护建议(10)在检查注册信息的时候插入大量无用的运算以误导解密者,并在检查出错误的注册信息之后加入延时。(11)给软件保护加入一定的随机性 。(1
41、2)如果采用注册码的保护方式,最好是一机一码,即注册码与机器特征相关 。(13)如果试用版软件没有某项功能,则不要仅仅使相关的菜单变灰,而是彻底删除相关的代码,使得编译后的程序中根本没有相关的功能代码。(14)如果软件中包含驱动程序,则最好将保护判断加在驱动程序中。 (15)如果采用keyfile的保护方式,则keyfile的尺寸不能太小,可将其结构设计得比较复杂,在程序中不同的地方对keyfile的不同部分进行复杂的运算和检查。(16)自己设计的检查注册信息的算法不能过于简单,最好是采用比较成熟的密码学算法。 第四章操作系统安全基础计算机操作系统是计算机系统配置的最重要的软件,在整个计算机系
42、统软件中处于中心地位。操作系统设计的好坏直接决定计算机系统的性能和计算机用户使用计算机的方便程度。本章主要讨论Windows95/98/ME、WindowsNT/2000/WindowsXP、Unix/Linux等操作系统的安全基础、系统安全模型安全管理、安全漏洞等,同时讨论WindowsNT/2000/WindowsXP、Unix/Linux操作系统的网络安全问题。4-1 Windows系统Windows9X目前是在普通用户的PC机上使用的最广泛的操作系统。尤其是Windows98,占据了中国绝大多数PC用户的操作系统市场。Windows9X在具有众多优点的同时,它也有十分明显的缺点。如稳定
43、性和安全性都欠佳。Windows95/98极易受到黑客的攻击和病毒的侵犯,一般的网络用户都可以使用一些特种软件工具轻而易举地让Windows9X蓝屏和死机。 4-1-1 Windows95/98/ME的安全1. Windows98的登录机制 (1) Windows登录 4-1-1 Windows95/98/ME的安全(续)(2) Microsoft网络用户 4-1-1 Windows95/98/ME的安全(续)(3) Microsoft友好登录4-1-1 Windows95/98/ME的安全(续)2. 如何利用注册表提高Windows95/98/ME的安全性 4-1 Windows系统(续)4
44、-1-2 WindowsNT/2000WindowsXP的安全基础1.WindowsNT/2000/WindowsXP系统安全模型 (1)用户登录管理 (2)资源访问管理 2.WindowsNT/2000/WindowsXP的安全机制 (1)口令安全 (2) 文件系统安全 (3) NTFS分区安全 (4) Web服务器安全 4-1-2 4-1-2 WindowsNT/2000WindowsNT/2000WindowsXPWindowsXP的安全基础的安全基础(续)(续)3WindowNT/2000/WindowsXP的注册表安全性4WindowsNT/2000/WindowsXP的安全性 (1
45、)WindowsNT的安全性 (2) Windows2000的安全性 (3) WindowsXP的安全性 4-1 Windows系统(续)4-1-3 WindowsNT/2000/WindowsXP安全漏洞及其解决方法1. WindowsNT的安全漏洞及其解决方法2Windows2000的安全漏洞及其解决方法 3WindowsXP的安全漏洞及其解决方法 4-1 Windows系统(续)4-1-4 WindowsNT/2000/WindowsXP的安全防范措施(1) 加强物理安全管理(2) 将系统管理员账号改名 (3) 控制授权用户的访问权限 (4) 文件系统用NTFS,不用FAT (5) 确保
46、注册表安全 (6)打开审计系统4-2 Unix系统Unix系统是目前网络系统汇总主要的服务器操作系统,所以对于一个企业网来说,它们的安全性举足轻重。按照美国计算机安全等级,Unix系统已经达到了C2级。作为目前常用的操作系统,学习Unix的一些基础知识以及它的安全性是非常必要的。 4-2 Unix系统(续)4-2-1 Unix系统的基础知识Unix操作系统是由肯汤普逊(KenThompson)在贝尔实验室于1969年开发成功的。它是一个分时多用户、多任务的通用操作系统。Unix是命令驱动的,而不是像Windows那样通过图形界面来与用户交流。4-2-1 Unix系统的基础知识 (续)下面简要介
47、绍一些与Unix安全有关的常用命令。(1)cp、mv、ln和cpio命令(2) su和newgrp命令 (3) cu命令 (4) UUCP命令 以上介绍了一些Unix的命令,为了更好地理解Unix系统的网络安全技术,下面主要从文件系统、用户管理等方面来考虑Unix的安全性。4-2-1 Unix系统的基础知识 (续)(1) 文件系统(2) 用户管理用户管理在Unix系统安全中有举足轻重的地位,这里简要地介绍超级用户、Shell命令解释器。 超级用户 Shell 4-2 Unix系统(续)4-2-2 4-2-2 UnixUnix系统安全问题系统安全问题本节从用户角度讨论Unix系统安全,阐述口令全
48、、文件和目录保护和使用crypt命令加密等,给出一些安全提议,以帮助用户保护自己的系统的安全。1.口令安全 2文件许可和目录许可 3设置用户ID和同组用户ID许可 4文件加密 5其他安全问题4-2 Unix系统(续)4-2-3 Unix安全漏洞及解决方法1Unix“login”程序存在安全漏洞 2Unix通信功能CDEToolTalk发现安全漏洞 4-3 Linux系统Unix系统对计算机硬件的要求比较高,对于一般的个人来说,想要在PC机上运行Unix是比较困难的。而Linux就为一般用户提供了使用Unix界面操作系统的机会。因为Linux是按照Unix风格设计的操作系统,所以在源代码级上兼容
49、绝大部分的Unix标准。可以说相当多的网络安全人员在自己的机器上运行的正是Linux。4-3 Linux系统(续)4-3-1 4-3-1 LinuxLinux系统简介系统简介Linux是在1990年,芬兰赫尔辛基大学的一名学生莱那斯托瓦茨(Linus Torvalds)开发的。在Linux0.02版本中已经可以运行bash(Shell的一种)和gcc(GNUC编译器)。Linux和WindowsNT比起来技术上存在很多优势。最主要体现在三个方面:一是Linux更安全,二是Linux更稳定,三是Linux的硬件资源占用要比WindowsNT少得多。在安全问题上,首先是针对Linux的病毒非常少。
50、4-3-2 Linux系统的网络安全 Linux提供了大量与网络安全有关的工具。但是如果运用不当,这些工具反而会给系统留下隐患。本节介绍您必需掌握的Linux网络安全知识。 1.网络服务2.检查系统中运行的服务 3.允许/拒绝服务器4.ssh(安全Shell)5.监视程序和运行日志6.jail 7.ftpd、rlogind以及其他用户交互8.其他安全措施:防火墙 4-3-3 Linux安全漏洞及解决方法Linux系统存在的一个弱点是:它使那些心怀不轨的计算机使用者可以获得防护性防火墙软件的许可,进入那些本来受到保护的网络。存在缺陷的软件在红帽子Linux系统当中并不是默认安装的,但是,一些用户
51、可能会选择安装这个软件。解决方法:不要安装这软件或到厂家网站下载补丁。第五章密码技术5.1密码技术概述 密码学(Cryptology)是一门古老而深奥的学科,有着悠久、灿烂的历史。密码技术是研究数据加密、解密及变换的科学,涉及数学、计算机科学、电子与通讯等诸多学科。虽然其理论相当高深,但概念却十分简单。密码技术包含两方面密切相关的内容,即加密和解密。加密就是研究、编写密码系统,把数据和信息转换为不可识别的密文的过程,而解密就是研究密码系统的加密途径,恢复数据和信息本来面目的过程。加密和解密过程共同组成了加密系统。 在加密系统中,要加密的信息称为明文(Plaintext),明文经过变换加密后的形
52、式称为密文(Ciphertext)。由明文变为密文的过程称为加密(Enciphering),通常由加密算法来实现。由密文还原成明文的过程称为解密(Deciphering),通常由解密算法来实现。 对于较为成熟的密码体系,其算法是公开的,而密钥是保密的。这样使用者简单地修改密钥,就可以达到改变加密过程和加密结果的目的。密钥越长,加密系统被破译的几率就越低。根据加密和解密过程是否使用相同的密钥,加密算法可以分为对称密钥加密算法(简称对称算法)和非对称密钥加密算法(简称非对称算法)两种。通过对传输的数据进行加密来保障其安全性,已经成为了一项计算机系统安全的基本技术,它可以用很小的代价为数据信息提供相
53、当大的安全保护,是一种主动的安全防御策略。5.2传统的加密方法 传统的加密方法有三种:替换密码、变位密码以及一次性加密。传统的加密方法有三种:替换密码、变位密码以及一次性加密。5.2.1替换密码替换密码 替代密码是用一组密文字母来代替一组明文字母以隐藏明文,同时保持明文替代密码是用一组密文字母来代替一组明文字母以隐藏明文,同时保持明文字母的位置不变。字母的位置不变。 最古老的一种替换密码是恺撒密码,恺撒密码又被称为循环移位密码。最古老的一种替换密码是恺撒密码,恺撒密码又被称为循环移位密码。其优其优点是密钥简单易记,但由于明文和密文的对应关系过于简单,所以安全性较差。点是密钥简单易记,但由于明文
54、和密文的对应关系过于简单,所以安全性较差。 对于恺撒密码的另一种改进办法是,使明文字母和密文字母之间的映射关系对于恺撒密码的另一种改进办法是,使明文字母和密文字母之间的映射关系没有规律可循。如将没有规律可循。如将26个字母中的每一个都映射成另一个字母,这种方法称为单个字母中的每一个都映射成另一个字母,这种方法称为单字母表替换,其密钥是对应于整个字母表的字母表替换,其密钥是对应于整个字母表的26个字母串。个字母串。由由于于替替换换密密码码是是明明文文字字母母与与密密文文字字母母之之间间的的一一一一映映射射,所所以以在在密密文文中中仍仍然然保保存存了了明文中字母的分布频率,这使得其安全性大大降低。
55、明文中字母的分布频率,这使得其安全性大大降低。小小知知识识:在在英英文文中中,e是是最最常常用用的的字字母母,接接下下来来是是t,o,a,n,i等等。最最常常用用的的两两个个字字母母的的组组合合是是th,in,er,re和和an。最最常常见见的的三三个个字字母母的的组组合合是是the,ing和和ion。5.2传统的加密方法5.2.2变位密码在替换密码中保持了明文的符号顺序,只是将它们隐藏起来,而变位密码却是要对明文字母作重新排序,但不隐藏它们。常用的变位密码有列变位密码和矩阵变位密码。 1.列变位密码 列变位密码的密钥是一个不含任何重复字母的单词或短语,然后将明文排序,以密钥中的英文字母大小顺
56、序排出列号,最后以列的顺序写出密文。 2.矩阵变位密码 矩阵变位密码是把明文中的字母按给定的顺序排列在一个矩阵中,然后用另一种顺序选出矩阵的字母来产生密文。5.2传统的加密方法5.2.3一次性加密如果要既保持代码加密的可靠性,又保持替换加密器的灵活性,可采用一次性密码进行加密。首先选择一个随机比特串作为密钥。然后把明文转换成一个比特串,最后逐位对这两个比特串进行异或运算。例如,以比特串“011010101001”作为密钥,明文转换 后 的 比 特 串 为 “101101011011”, 则 经 过 异 或 运 算 后 , 得 到 的 密 钥 为“110111110010”。 这种密文没有给破译
57、者提供任何信息,在一段足够长的密文中,每个字母或字母组合出现的频率都相同。由于每一段明文同样可能是密钥,如果没有正确的密码,破译者是无法知道究竟怎样的一种映射可以得到真正的明文,所以也就无法破译这样生成的密文。与此同时,一次性加密在实践中也暴露出了许多的缺陷。第一,一次性加密是靠密码只使用一次来保障的,如果密码多次使用,密文就会呈现出某种规律性,就有被破译的可能。第二,由于这种密钥无法记忆,所以需要收发双方随身携带密钥,极不方便。第三,因为密钥不可重复,所以可传送的数据总量受到可用密钥数量的限制。第四,这种方法对丢失信息或信息错序十分敏感,如果收发双方错序,那么所有的数据都将被篡改。5.3常用
58、加密技术介绍5.3.1DES算法 数据加密标准DES(Data Encryption Standard)是美国国家标准局于1977年公布的由IBM公司研制的加密算法。DES被授权用于所有非保密通信的场合,后来还曾被国际标准组织采纳为国际标准。 DES是一种典型的按分组方式工作的单钥密码算法。其基本思想是将二进制序列的明文分组,然后用密钥对这些明文进行替代和置换,最后形成密文。DES算法是对称的,既可用于加密又可用于解密。它的巧妙之处在于,除了密钥输入顺序之外,其加密和机密的步骤完全相同,从而在制作DES芯片时很容易达到标准化和通用化,很适合现代通信的需要。DES算法将输入的明文分为64位的数据
59、分组,使用64位的密钥进行变换,每个64位的明文分组数据经过初始置换、16次迭代和逆置换三个主要阶段,最后输出得到64位的密文。在迭代前,先要对64位的密钥进行变换,密钥经过去掉其第8、16、24、。、64位减至56位,去掉的那8位被视为奇偶校验位,不含密钥信息,所以实际密钥长度为56位。DES加密概况如图所示:5.3常用加密技术介绍5.3常用加密技术介绍DES算法的初始置换过程为:输入64位明文,按初始置换规则把输入的64位数据按位重新组合,并把输出分为左右两部分,每部分各长32位。即将输入的第58位换到第一位,第50位换到第2位,第12位换到第3位,依此类推,最后一位是原来的第7位。例如:
60、置换前的输入值为D1D2D3。D64,则经过初始置换后,左面部分为:D58D50。D8,右面部分位:D57D49。D7。 DES算法的迭代过程为:密钥与初始置换后的右半部分相结合,然后再与左半部分相结合,其结果作为新的右半部分。结合前的右半部分作为新的左半部分。这样一些步骤组成一轮。这种过程要重复16次。在最后一次迭代之后,所得的左右两部分不再交换,这样可以使加密和解密使用同一算法。如图所示:5.3常用加密技术介绍5.3.2IDEA算法国际数据加密算法IDEA(International Data Encryption Algorithm)是瑞士的著名学者提出的。IDEA是在DES算法的基础上
61、发展起来的一种安全高效的分组密码系统。IDEA密码系统的明文和密文长度均为64比特,密钥长度则为128比特。其加密由8轮类似的运算和输出变换组成,主要有异或、模加和模乘三种运算。其加密概况如图所示:5.3常用加密技术介绍5.3常用加密技术介绍 IDEA密码系统在加密和解密运算中,仅仅使用作用于16比特子块对的一些基本运算,因此效率很高。IDEA密码系统具有规则的模块化结构,有利于加快其硬件实现速度。由于IDEA的加密和解密过程是相似的,所以有可能采用同一种硬件器件来实现加密和解密。 IDEA算法的密钥长度为128位,是DES密钥长度的两倍。它能够抵抗差分密码分析方法和相关密钥密码分析方法的攻击
62、。科学家已证明IDEA算法在其8轮迭代的第4轮之后便不受差分密码分析的影响了。假定穷举法攻击有效的话,那么即使设计一种每秒种可以试验10亿个密钥的专用芯片,并将10亿片这样的芯片用于此项工作,仍需1013年才能解决问题。目前,尚无一片公开发表的试图对IDEA进行密码分析的文章。因此,就现在来看应当说IDEA是一种安全性好、效率高的分组密码算法。5.3常用加密技术介绍5.3.3RSA算法 RSA算法是公开密钥密码体制中最著名、使用最广泛的一种。首先来对公开密钥密码体制做一了解。 公开密钥密码体制,又叫做非对称密钥密码体制,是与传统的对称密钥密码体制相对应的。在传统的加密方法中,加密、解密使用的是
63、同样的密钥,由发送者和接收者分别保存,在加密和解密时使用。通常,使用的加密算法比较简便高效,密钥简短,破译极为困难。但采用这种方法的主要问题是在公开的环境中如何安全的传送和保管密钥。1976年,Diffie和Hellman为解决密钥的分发与管理问题,在“密码学的新方向”一文中,提出了一种新的密钥交换协议,允许在不安全的媒体上通过通讯双方交换信息,安全地传送密钥。在此新思想的基础上,很快出现了公开密钥密码体制。在该体制中,使用一个加密算法E和一个解密算法D,它们彼此完全不同,并且解密算法不能从加密算法中推导出来。此算法必须满足下列三点要求: (1)D是E的逆,即DE(P)=P; (2)从E推导出
64、D极其困难; (3)对一段明文的分析,不可能破译出E。5.3常用加密技术介绍从上述要求可以看出,公开密钥密码体制下,加密密钥不等于解密密钥。加密密钥可对外公开,使任何用户都可将传送给此用户的信息用公开密钥加密发送,而该用户唯一保存的私有密钥是保密的,也只有它能将密文恢复为明文。虽然解密密钥理论上可由加密密钥推算出来,但实际上在这种密码体系中是不可能的,或者虽然能够推算出,但要花费很长的时间而成为不可行的,所以将加密密钥公开也不会危害密钥的安全。公开密钥密码体制,是现代密码学最重要的发明和进展。一般理解密码学就是保护信息传递的机密性,但这仅仅是当今密码学的一个方面。对信息发送与接收人的真实身份的
65、验证,对所发出/接收信息在事后的不可抵赖以及保障数据的完整性也是现代密码学研究的另一个重要方面。公开密钥密码体制对这两方面的问题都给出了出色的解答,并正在继续产生许多新的思想和方案。在所有的公开密钥加密算法中,RSARSA算算法法是理论上最为成熟、完善,使用最为广泛的一种。RSA算法是由R.Rivest、A.Shamir和L.Adleman三位教授于1978年提出的,RSA就来自于三位教授姓氏的第一个字母。该算法的数学基础是初等数论中的Euler(欧拉)定理,其安全性建立在大整数因子分解的困难性之上。RSA算法是第一个能同时用于加密和数字签名的算法,并且易于理解和操作。RSA算法从提出到现在已
66、近二十年,经历了各种攻击的考验,逐渐为人们接受,普遍认为是目前最优秀的公钥方案之一。下面简要的介绍如何运用这种方法。5.3常用加密技术介绍首先准备加密所需的参数:选择两个大的质数p和q,一般的应为100位以上的十进制质数。然后计算n=pq和z=(p-1)(q-1)。选择一个与z互为质数的数d。找出e,使得ed=1 mod z。其中,(e,n)便是公开密钥,(d,n)便是私有密钥。加密过程为:将明文看作一个比特串,划分成块,使每段明文信息P落在0Pn之间,这可以通过将明文分成每块有k位的组来实现,并且k为满足2kn成立的最大整数。对明文信息P进行加密,计算C=Pe(mod n)。解密C,要计算P
67、=Cd(mod n)。可以证明,在确定的范围内,加密和解密函数是互逆的。为实现加密,需要e和n,为实现解密需要d和n。所以公钥由(e,n)组成,私钥由(d,n)组成。 下面是一个简单的例子,我们为明文“SUZANNE”进行加密和解密,如图所示:5.3常用加密技术介绍我们选择了p=3,q=11,则n=33,z=20。因为7和20没有公共因子,所以设d的一个适合的值为d=7。选定这些值后,求解方程7e1(mod 20),得出e=3。然后根据C=P3(mod 33)得出明文P的密文C。接收者则根据P=C7(mod 33)将密文解密。在上例中,因为质数选择得很小,所以P必须小于33,因此,每个明文块只
68、能包含一个字符。结果形成了一个普通的单字母表替换密码。但它与DES还是有很大区别的,如果p,q的选择为10100 ,就可得到n= 10200 ,这样,每个明文块就可多达664比特,而DES只有64比特。以上情况并不能说明RSA可以替代DES。相反,它们的优缺点可以很好的互补,RSA的密钥很长,加密速度慢,而采用加密速度快,适合加密较长的报文DES正好弥补了RSA的缺点。即可以把DES用于明文加密,RSA用于DES密钥的加密。这样因使用RSA而耗掉的时间就不会太多。同时,RSA也可以解决DES密钥分配的问题。RSA的缺点主要有:第一,产生密钥很麻烦,受到素数产生技术的限制,因此难以做到一次一密。
69、第二,分组长度太大,为保证安全性,n至少也要600比特以上,使运算代价很高,尤其是速度较慢,比对称密码算法慢几个数量级。而且随着大数分解技术的发展,这个长度还在增加,不利于数据格式的标准化。第三,RSA的安全性依赖于大整数的因子分解,但并没有从理论上证明破译RSA的难度与大整数分解难度等价。即RSA的重大缺陷是无法从理论上把握它的保密性能如何,为了保证其安全性,我们只能不断增加模n的位数。5.4加密技术的典型应用数字签名5.4.1数字签名的概念数字签名(Digital Signature)是指信息发送者使用公开密钥算法的主要技术,产生的别人无法伪造的一段数字串。发送者用自己的私有密钥加密数据后
70、,传给接收者。接收者用发送者的公钥解开数据后,就可确定数据来自于谁。同时这也是对发送者发送的信息的真实性的一个证明,发送者对所发送的信息是不能抵赖的。一个数字签名算法主要由两个算法组成,即签名算法和验证算法。签名者能使用一个秘密的签名算法签一个消息,所得的签名能通过一个公开的验证算法来验证。给定一个签名后,验证算法根据签名是否真实来作出一个“真”或“假”的问答。其过程可描述为:甲首先使用他的秘密密钥对消息进行签名得到加密的文件,然后将文件发给乙,最后,乙用甲的公钥验证甲的签名的合法性。这样的签名方法是符合以下可靠性原则的:(1)签字是可以被确认的;(2)签字是无法被伪造的;(3)签字是无法重复
71、使用的;(4)文件被签字以后是无法被篡改的;(5)签字具有无可否认性。目前已有大量的数字签名算法,如RSA数字签名算法、EIGamal数字签名算法、美国的数字签名标准/算法(DSS/DSA)、椭圆曲线数字签名算法和有限自动机数字签名算法等。5.4加密技术的典型应用数字签名5.4.2数字签名的实现方法数字签名可以用对称算法实现,也可以用非对称算法实现,还可以用报文摘要算法来实现。 1.使用对称密钥密码算法进行数字签名 对称密钥密码算法所用的加密密钥和解密密钥通常是相同的,即使不同也可以很容易地由其中的一个推导出另一个。在此算法中,加解密双方所用的密钥都要保守秘密。由于其计算速度快,而广泛应用于大
72、量数据的加密过程中。使用对称密钥密码算法进行数字签名的加密标准有:DES,RC2,RC4等。 2.使用非对称密钥密码算法进行数字签名 非对称密钥密码算法(即公钥密码算法)使用两个密钥:公开密钥和私有密钥,分别用于对数据的加密和解密,即如果用公开密钥对数据进行加密,只有用对应的私有密钥才能进行解密。如果用私有密钥对数据进行加密,则只有用对应的公开密钥才能解密。使用公钥密码算法进行数字签名的加密标准有:RSA,DSA,DiffieHellman等。3.报文摘要算法报文摘要算法 报文摘要法是最主要的数字签名方法,也称之为数字摘要法或数字指纹法。该数字签名方法是将数字签名与要发送的信息紧密联系在一起,
73、它更适合于电子商务活动。将一个报文内容与签名结合在一起,比内容和签名分开传递,有着更强的可信度和安全性。使用报文摘要算法进行数字签名的通用加密标准有:SHA1,MD5等。5.4加密技术的典型应用数字签名5.4.3数字签名的其它问题1.数字数字签名的保密性名的保密性 数字签名的保密性很大程度上依赖于公开密钥。在实用过程中,通常一个用户拥有两个密钥对,一个密钥对用来对数字签名进行加密解密,一个密钥对用来对秘密密钥进行加密解密。这样的方式提供了更高的安全性。由于加密密钥是公开的,所以密钥的分配和管理就很简单,而且能够很容易地实现数字签名。因此,非常适合于电子商务应用的需要。2.数字签名的不足数字签名
74、的不足 (1)数字签名亟需相关法律条文的支持。(2)如果发送方的信息已经进行了数字签名,那么接收方就一定要有数字签名软件,这就要求软件具有很高的普及性。 (3)假设某人发送信息后,被取消了原有数字签名的权限,以往发送的数字签名在鉴定时只能在取消确认列表中找到原有确认信息,这样就需要鉴定中心结合时间信息进行鉴定。 (4)数字签名中的基础设施,如鉴定中心、在线存取数据库等的建设费用,可能会影响到这项技术的全面推广。 3.数字签名的发展方向 数字签名作为电子商务的应用技术,将越来越受到人们的重视。其中涉及到的关键技术也很多,并且有很多新的协议,如网上交易安全协议SSL、SET协议都会涉及到数字签名,
75、究竟使用哪种算法,哪种HASH函数,以及数字签名管理、在通信实体与可能有的第三方之间使用协议等等问题都可以作为新的课题。相信,数字签名的前景将越来越广阔。5.5密钥管理密钥的安全管理在信息系统安全中是极为重要的。它不仅会影响系统的安全性,还会涉及到系统的可靠性、有效性和经济性。 密钥管理包括密钥的产生、存储、装入、分配、保护、丢失、销毁等内容。其方法的选取是基于参与者对使用该方法的环境所作的评估之上。对环境的考虑包括要进行防范所使用的技术,提供的密码服务的体系结构与定位,以及密码服务提供者的物理结构与定位。(1)对称密钥的管理:对称加密是基于共同保守秘密来实现的。采用对称加密技术的通信双方必须
76、要保证采用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。这样对称密钥的管理就会变成一件繁琐且充满潜在威胁的工作,解决的办法是通过公开密钥加密技术实现对称密钥的管理。这样将使相应的管理变得简单和更加安全,同时还解决了纯对称密钥模式中存在的可靠性问题和鉴别问题。通信的一方可以为每次交换的信息生成唯一的一把对称密钥,并用公开密钥对该密钥进行加密,然后再将加密后的密钥和用该密钥加密的信息一起发送给相应的另一方。由于对每次信息交换都对应生成了唯一的一把密钥,因此双方就不再需要对密钥进行维护和担心密钥的泄露或过期。这种方式的另一优点是,即使泄露了一把密钥也只将
77、影响一次通信过程,而不会影响到双方之间所有的通信。同时,这种方式也提供了发布对称密钥的一种安全途径。5.5密钥管理(2)公开密钥的管理:通信双方可以使用数字证书 ( 公开密钥证书 ) 来交换公开密钥。国际电信联盟制定的标准X.509对数字证书进行了定义。该标准等同于国际标准化组织 ( ISO ) 与国际电工委员会 ( IEC ) 联合发布的ISO/IEC 9594-8:195标准。数字证书通常包含有唯一标识证书所有者 的名称、唯一标识证书发布者的名称、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。证书发布者一般称为证书管理机构 ( CA ), 它是通信双方都信赖的机
78、构。数字证书能够起到标识通信双方的作用 , 是目前广泛采用的密钥管理技术之一。(3)密钥管理的相关标准规范:目前国际有关的标准化机构都着手制定了关于密钥管理的技术标准规范。ISO与IEC下属的信息技术委员会 (JTC1) 已起草了关于密钥管理的国际标准规范。该规范主要由三部分组成,第一部分是密钥管理框架,第二部分是采用对称技术的机制,第三部分是采用非对称技术的机制。该规范现已进入到国际标准草案表决阶段,并将很快成为正式的国际标准。5.6加密软件实例PGP5.6.1PGP简介PGP(PrettyGoodPrivacy)是一种操作简单、使用方便、普及程度较高的,基于不对称加密算法RSA公钥体系的邮
79、件加密软件。PGP实际上用来加密的不是RSA本身,而是采用了IDEA传统加密算法。原因是RSA算法计算量极大,在速度上不适合加密大量数据,而IDEA的加解密速度比RSA要快很多,所以实际上PGP是以一个随机生成的密匙,用IDEA算法对明文加密,然后再用 RSA算法对该密匙进行加密。收件人同样是用RSA解密出这个随机密匙,再用IDEA解密邮件本身。这样的链式加密就做到了既有RSA体系的保密性,又有IDEA算法的快捷性。用PGP进行数字签名的过程为:发送方用自己的私匙将128位的特征值加密,附加在邮件后,再用接收方的公匙将整个邮件加密。在这里特别要注意次序,如果先加密再签名的话,别人可以将签名去掉
80、后加上自己的签名,从而篡改了签名。密文收到以后,接收方用自己的私匙将邮件解密,得到发送方的原文和签名,然后用PGP从原文计算出一个128位的特征值来和用发送方的公匙解密签名所得到的数进行比较,如果符合就说明这份邮件确实是发送方寄来的。这样就使两个安全性要求都得到了满足。 PGP还可以只签名而不加密,这适用 于公开发表声明时,声明人为了证实自己的身份,可以用自己的私匙签名。这样就可以让收件人能确认发信人的身份,也可以防止发信人抵赖自己的声明。这一点在商业领域有很大的应用前途,它可以防止发信人抵赖和信件被途中篡改。5.6加密软件实例PGP5.6.2PGP的使用 (1)安装PGP的安装非常简单,下面
81、以PGP8.0为例进行说明。由于PGP是免费的,可以从互联网下载得到。经解压缩后,双击PGP8.0安装文件,出现如图所示:5.6加密软件实例PGP 按照提示,反复点击“下一步”,即可安装成功。重新启动计算机后,可在任务栏中,看到如图所示的PGP小图标:5.6加密软件实例PGP (2)生成密钥使用PGP之前,首先需要生成一对密钥,这一对密钥其实是同时生成的。其中的一个称为公钥,意思是公共的密钥,可以把它分发给其它人,让他们用这个密钥来加密文件,另一个称为私钥,这个密钥由用户自己保存,是用来解开加密文件的。 首先打开“开始”菜单当中的PGP软件,如图所示:5.6加密软件实例PGP点击菜单“keys
82、”中的“new key”命令,开始生成密钥。PGP有一个很好的密钥生成向导,只要跟着它一步一步做下去即可。需要注意的是,在指定密钥长度时,位数越大被解密的可能性就越小、越安全,但是在执行解密和加密时会需要更多的时间,所以一般2048位就可以了。输入的密码要大于8位,并且最好包括大小写、空格、数字、标点符号等,为了方便记忆也可以用一句话作为密钥。 密钥生成后,用快捷键Ctrl+E或者菜单“keys”中的“Emport”命令,将密钥导出为扩展名为asc或txt的文件,并把它发给其它人。 (3)加密、解密对文件的加密非常简单,只须选中该文件,然后点击右键中“PGP”,选则“Encrypt”,指定要用
83、的密钥,即可生成“文件名.文件扩展名.pgp”格式的文件。解 密 时 可 双 击 扩 展 名 为 “pgp”的 文 件 或 选 中 并 点 击 右 键 中 “PGP”的“Decrypt&Verify”,输入密码即可。 如果要在Outlook Express或Outlook中直接对邮件进行加密,可在写新邮件时点击工具栏中的图标PGP Encrypt,当邮件写完发送时,PGP会弹出选择密钥对话框,指定密钥后,即可发送加密邮件。如图所示:5.6加密软件实例PGP第六章数据库系统安全 数据库安全是一个广阔的领域,从传统的备份与恢复,认证与访问控制,到数据存贮和通信环节的加密,它作为操作系统之上的应用平
84、台,其安全与网络和主机安全息息相关。 本章着重从数据库安全管理和内部自身安全的角度讨论相关问题。 6-16-1数据库安全概述数据库安全概述 6.1.1数据库系统安全简介 数据库系统,一般可以理解成两部分:一部分是数据库,按一定的方式存取数据;另一部分是数据库管理系统(DBMS),为用户及应用程序提供数据访问,并具有对数据库进行管理、维护等多种功能。 要访问某个数据库,必须首先能够以直接或间接的方式访问正在运行该数据库的计算机系统。因此要使数据库安全,首先要使运行数据库的操作系统和网络环境安全。 由此可知数据库系统安全包含两层含义,即系统运行安全和系统信息安全。 6-1-2 6-1-2 常见的数
85、据库安全问题及原因常见的数据库安全问题及原因 下下面面就就讲讲述述一一下下可可能能危危及及数数据据库库安安全全的的常常见见因素:因素:1.1.脆弱的帐号设置脆弱的帐号设置2.2.缺乏角色分离缺乏角色分离3.3.缺乏审计跟踪缺乏审计跟踪4.4.未利用的数据库安全特征未利用的数据库安全特征 6-1-3 6-1-3 数据库安全管理原则数据库安全管理原则 一个强大的数据库安全系统应当确保其中信息的安全性并对其有效地控制。下面列举的原则有助于数据库信息资源的有效保护。1管理细分和委派原则 2最小权限原则 3帐号安全原则 4有效的审计 6-2 6-2 数据库安全技术数据库安全技术 6-2-16-2-1数据
86、库安全的基本架构数据库安全的基本架构 数据库系统信息安全性依赖于两个层次:一层是数据库管理系统本身提供的用户名/口令字识别、视图、使用权限控制、审计等管理措施,大型数据库管理系统Oracle、Sybase、Ingress等均有此功能; 另一层就是靠应用程序设置的控制管理,如使用普遍的Foxbase、Forpro等。作为数据库用户,最关心自身数据资料的安全,特别是用户的查询权限问题。6-2-16-2-1数据库安全的基本架构数据库安全的基本架构 (续)(续)目前一些大型数据库管理系统(如Oracle、Sybase等产品)提供了以下几种主要手段。1用户分类2数据分类 3审计功能 6-2-2 6-2-
87、2 数据库的加密数据库的加密 一般而言,数据库系统提供的上述基本安全技术能够满足一般的数据库应用,但对于一些重要部门或敏感领域的应用,仅靠上述这些措施是难以完全保证数据的安全性,某些用户尤其是一些内部用户仍可能非法获取用户名、口令字,或利用其他方法越权使用数据库,甚至可以直接打开数据库文件来窃取或篡改信息。因此,有必要对数据库中存储的重要数据进行加密处理,以实现数据存储的安全保护。 6-2-2 6-2-2 数据库的加密(续)数据库的加密(续)1数据库密码系统的基本流程 2数据库加密的特点 3加密机制 4加密算法 5数据库加密的范围 6数据库加密对数据库管理系统原有功能的影响 6-3 6-3 死
88、锁、活锁和可串行化死锁、活锁和可串行化 数据库的重要特征是它能为多个用户提供数据共享。为了充分利用数据库资源,应允许多个用户并行操作数据库。数据库必须能对这种并行操作进行控制,即并发控制,以保证数据在不同的用户使用时的一致性和保证并发事务的隔离性。数据库的并发控制以事务为单位,通常使用封锁技术实现并发控制。并发控制机制调度并发事务操作是否正确的判别准则是可串行性。用封锁技术可以解决并行操作的数据一致性问题,但同操作系统中一样,可能出现死锁和活锁。6-3 6-3 死锁、活锁和可串行化死锁、活锁和可串行化 (续)(续)下面就介绍在数据库系统中活锁、死锁及其串行化的基本知识。1活锁2死锁死锁的诊断与
89、解除的方法。超时法等待图法3可串行化6-4 6-4 数据库备份与恢复数据库备份与恢复 数据库的备份是一个长期的过程,而恢复只在发生事故后进行,恢复可以看作是备份的逆过程,恢复的程度的好坏很大程度上依赖于备份的情况。 下面就对数据库备份和恢复的基本知识进行说明。1备份所谓备份,就是把数据库复制到转储设备的过程。其中,转储设备是指用于放置数据库拷贝的磁带或磁盘。通常也将存放于转储设备中的数据库的拷贝称为原数据库的备份或转储。6-4 6-4 数据库备份与恢复数据库备份与恢复( (续续) )Oracle数据库的备份分为物理备份和逻辑备份两种。 物理备份是将实际组成数据库的操作系统文件从一处拷贝到另一处
90、的备份过程,通常是从磁盘到磁带。可以使用 Oracle的恢复管理器(Recovery Manager,RMAN)或操作系统命令进行数据库的物理备份。 逻辑备份是利用SQL语言从数据库中抽取数据并存于二进制文件的过程。Oracle提供的逻辑备份工具是 EXP。6-4 6-4 数据库备份与恢复数据库备份与恢复(续)(续)数据库逻辑备份是物理备份的补充。根据在物理备份时数据库的状态,可以将备份分为一致性备份(consistent backup)和不一致性备份(inconsistent backup)两种:(1)一致性备份(2)不一致性备份 6-4 6-4 数据库备份与恢复数据库备份与恢复(续)(续)
91、2恢复所谓恢复,就是把数据库由存在故障的状态转变为无故障状态的过程。根据出现故障的原因,恢复分为两种类型:(1)实例恢复这种恢复是Oracle实例出现失败后,Oracle自动进行的恢复。 (2)介质恢复这种恢复是当存放数据库的介质出现故障时所做的恢复。6-4 6-4 数据库备份与恢复数据库备份与恢复(续)(续)根据数据库的恢复程度,将恢复方法分为两种类型:(1)完全恢复(2)不完全恢复: 6-5 6-5 数据库系统安全保护实例数据库系统安全保护实例 6-5-1 6-5-1 OracleOracle数据库安全策略数据库安全策略 随着计算机网络应用的普及和提高,Oracle数据库应用在各个领域日新
92、月异,它性能优异,操作灵活方便,是目前数据库系统中受到广泛青睐的几家之一。然而,随着应用的深入,数据信息的不断增加,数据库的安全性问题已提到了一个十分重要的议事日程上,它是数据库管理员日常工作中十分关注的一个问题。由于计算机软、硬件故障,导致数据库系统不能正常运转,造成大量数据信息丢失,甚至使数据库系统崩溃。6-5-1 6-5-1 OracleOracle数据库安全策略数据库安全策略如何保证Oracle数据库具有较高的安全性1用户角色的管理 2数据保护 6-5-2 6-5-2 OracleOracle数据库备份数据库备份要对Oracle数据库备份与恢复有清晰的认识,首先有必要对数据库的几种运行
93、状态有充分的了解。Oracle数据库的运行状态主要分为3种,他们依次为: (l)Nomount(非安装)(2)Mount(安装)(3)Open(打开)6-5-2 6-5-2 OracleOracle数据库备份(续)数据库备份(续)数据库的备份是数据库管理员必须不断要进行的一项工作,Oracle数据库的备份方法很多,比如使用export实用程序导出数据库对象、使用Oracle备份数据库、使用Oracle对称复制、使用Oracle并行服务器、使用Oracle冷备份、使用Oracle热备份等。各种备份方法都有其优缺点、适用的场合和相应的软硬件要求。下面就分析用export实用程序导出数据库对象、Or
94、acle冷备份、Oracle热备份这三种最基本的备份方法各自的优缺点和适用的场合,并给出自动执行这些备份方案的脚本文件。 6-5-2 6-5-2 OracleOracle数据库备份(续)数据库备份(续)1三种备份方案的比较(1)冷备份(2)热备份 (3)Export导出数据库对象 6-5-2 6-5-2 OracleOracle数据库备份(续)数据库备份(续)2三种备份方案的实施(1)冷备份方案的实施(2)热备份方案的实施(3)使用export作为备份策略 6-5-3 6-5-3 OracleOracle数据库系统的恢复数据库系统的恢复 数据库的恢复可分为两大类:完全恢复和不完全恢复为了系统的
95、设计数据库的恢复方案,我们先对可能遇到的错误进行分类,Oracle数据库错误主要分为5大类:(1)SQL语句失败(2)线程失败(3)实例失败(4)用户操作失败(5)存储设备失败6-5-3 6-5-3 OracleOracle数据库系统的恢复(续)数据库系统的恢复(续)如果发生前三种失败,不需要人为干涉,Oracle系统会自动进行恢复。对于用户操作型的失败(如误删除数据),我们采取的补救措施主要有导入最新的逻辑备份或进行到某一时间点的不完全恢复。从Oracle 8之后的新版本中引入了基于表空间的时间点恢复(TSPITR),可以单独将包含错误操作的表空间恢复到指定时间,而不必对整个数据库进行不完全
96、恢复。当错误操作发现比较及时而且数据量不大的情况下也可以考虑使用logminer生成反向SQL。 第七章计算机病毒及防范小到个人,大到全世界,凡是在使用计算机的人无一不在受计算机病毒的困扰。对于那些侥幸未受病毒骚扰的人,也不能麻痹大意。对于计算机病毒,最好还是能防患于未然!为了能更好地做好防范工作,我们必须了解它的工作原理、传播途径、表现形式,同时必须掌握它的检测、预防和清除方法。 7-17-1计算机病毒基础知识计算机病毒基础知识 7-1-1 计算机病毒的定义 在条例第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用,并能自我复制的一
97、组计算机指令或者程序代码”。此定义具有法律性、权威性。 7-1-2 7-1-2 计算机病毒的历史计算机病毒的历史 1949年,距离第一部商用计算机的出现还有好几年时,计算机的先驱者冯诺依曼在他的一篇论文复杂自动机组织论,提出了计算机程序能够在内存中自我复制,即已把病毒程序的蓝图勾勒出来 。十年之后,在美国电话电报公司(AT&T)的贝尔实验室中,三个年轻程序员道格拉斯麦耀莱、维特维索斯基和罗伯莫里斯在工作之余想出一种电子游戏叫做“磁芯大战”,而它成了计算机病毒的祖先。 7-1-2 7-1-2 计算机病毒的历史(续)计算机病毒的历史(续)1977年夏天,托马斯捷瑞安的科幻小说P-1的青春中,作者幻
98、想了世界上第一个计算机病毒,可以从一台计算机传染到另一台计算机,最终控制了7000台计算机,酿成了一场灾难,这是计算机病毒的思想基础。1983年11月3日,弗雷德科恩博士研制出一种在运行过程中可以复制自身的破坏性程序,伦艾德勒曼将它命名为计算机病毒,并在每周一次的计算机安全讨论会上正式提出,8小时后专家们在VAX11/750计算机系统上运行,第一个病毒实验成功,一周后又获准进行5个实验的演示,从而在实验上验证了计算机病毒的存在。 7-1-2 7-1-2 计算机病毒的历史(续)计算机病毒的历史(续)1987年10月,在美国,世界上第一例计算机病毒(Brian)发现,这是一种系统引导型病毒。它以强
99、劲的执着蔓延开来。世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻、IBM圣诞树、黑色星期五等等。1988年11月3日,美国康乃尔大学23岁的研究生罗伯特莫里斯将计算机病毒蠕虫投放到网络中,结果使美国6千台计算机被病毒感染,造成Internet不能正常运行。 这是一次非常典型计算机病毒入侵计算机网络的事件,引起了世界范围的轰动。 7-1-2 7-1-2 计算机病毒的历史(续)计算机病毒的历史(续)1991年,在“海湾战争”中,美军第一次将计算机病毒用于实战,在空袭巴格达的战斗中,成功地破坏了对方的指挥系统,使之瘫痪,保证了战斗顺利进行,直至最后胜利。 1998年,首例破坏计算机硬
100、件的CIH病毒出现,引起人们的恐慌。1999年4月26日,CIH病毒 在我国大规模爆发,造成巨大损失。 7-1-3 7-1-3 计算机病毒的结构计算机病毒的结构 计算机病毒的种类虽多,但对病毒代码进行分析、比较可看出,它们的主要结构是类似的,有其共同特点。整个病毒代码虽短小但也包含三部分:引导部分,传染部分,表现部分。7-1-4 7-1-4 计算机病毒的特征计算机病毒的特征 在计算机病毒所具有的众多特征中,传染性、潜伏性、触发性和破坏性是它的基本特征。其次,它还有隐蔽性、衍生性和持久性等。网络时代,计算机病毒的新特点: 主动通过网络和邮件系统传播 传播速度极快 危害性极大 变种多 难于控制 难
101、于根治、容易引起多次疫情 具有病毒、蠕虫和后门(黑客)程序的功能 7-2 7-2 计算机病毒的工作原理计算机病毒的工作原理 7 7-2-1 计算机病毒的工作过程 计算机病毒的完整工作过程一般应包括以下几个环节:1传染源2传染媒介3病毒触发(激活)4病毒表现5传染7-2-2 7-2-2 计算机病毒的引导机制计算机病毒的引导机制1. 计算机病毒的寄生对象 2. 计算机病毒的寄生方式 3. 计算机病毒的引导过程 计算机病毒的引导过程一般包括以下三方面。(1)驻留内存(2) 窃取系统控制权(3) 恢复系统功能7-2-3 7-2-3 计算机病毒的触发机制计算机病毒的触发机制 计算机病毒在传染和发作之前,
102、往往要判断某些特定条件是否满足,满足则传染或发作,否则不传染、不发作或只传染不发作,这个条件就是计算机病毒的触发条件。实际上病毒采用的触发条件花样繁多,目前病毒采用的触发条件主要有以下几种。1.日期触发 2. 时间触发 3. 键盘触发 4. 感染触发 5. 启动触发 6. 访问磁盘次数触发 7. 调用中断功能触发 7-2-4 7-2-4 计算机病毒破坏行为计算机病毒破坏行为 根据有的病毒资料可以把病毒的破坏目标和攻击部位归纳如下:攻击系统数据区攻击文件攻击内存 干扰系统运行 运行速度下降 攻击磁盘 攻击CMOS 7-2-5 7-2-5 计算机病毒的传播计算机病毒的传播 1.计算机病毒传播的一般
103、过程在系统运行时,计算机病毒通过病毒载体即系统的外存储器进入系统的内存储器,常驻内存。该病毒在系统内存中监视系统的运行,当它发现有攻击的目标存在并满足条件时,便从内存中将自身存入被攻击的目标,从而将病毒进行传播。而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中,再感染其他系统。 7-2-5 7-2-5 计算机病毒的传播计算机病毒的传播 (续)(续)2. 计算机病毒的传播途径 移动存储设备(包括软盘、磁带等) 网络和电子邮件 通信系统和通道 7-2-6 7-2-6 计算机病毒与故障、黑客软件的区别计算机病毒与故障、黑客软件的区别 1. 计算机病毒与计算机故障的区别
104、(1)计算机病毒表现现象 计算机在感染病毒后,总是有一定规律地出现异常现象:屏幕显示异常,屏幕显示出不是由正常程序产生的画面或字符串,屏幕显示混乱。程序装入时间增长,文件运行速度下降。丢失数据或程序,文件字节数发生变化。内存空间、磁盘空间减小。异常死机。系统引导时间增长,磁盘访问时间比平时增长7-2-6 7-2-6 计算机病毒与故障、黑客软件的区别(续)计算机病毒与故障、黑客软件的区别(续)(2) 与病毒现象类似的硬件故障硬件的故障范围不太广泛,但是很容易被确认。在处理计算机的异常现象时很容易被忽略,只有先排除硬件故障,才是解决问题的根本。电源电压不稳定插件接触不良 软驱故障 7-2-6 7-
105、2-6 计算机病毒与故障、黑客软件的区别(续)计算机病毒与故障、黑客软件的区别(续)(3) 与病毒现象类似的软件故障 出现“Invalid;drive;specification”(非法驱动器号)引导过程故障 7-2-6 7-2-6 计算机病毒与故障、黑客软件的区别(续)计算机病毒与故障、黑客软件的区别(续)计算机病毒与黑客软件的区别计算机病毒与黑客软件都有隐藏性、潜伏性、可触发性、破坏性和持久性等基本特点。它们的不同之处在于:病毒是寄生在其他的文件中,可以自我复制,可以感染其他文件,其目的是破坏文件或系统。而黑客软件,它不能寄生,不可复制和感染文件,其目的是盗取密码和远程监控系统。7-3 7
106、-3 计算机病毒的分类计算机病毒的分类 按照寄生方式和传染途径分类计算机病毒按其寄生方式大致可分为两类:一是引导型病毒,二是文件型病毒;它们再按其传染途径又可分为驻留内存型和不驻留内存型,驻留内存型按其驻留内存方式又可细分。 7-3 7-3 计算机病毒的分类计算机病毒的分类 (续)(续)2按照传播媒介分类按照计算机病毒的传播媒介来分类,可分为单机病毒和网络病毒。(1)单机病毒(2)网络病毒7-4 7-4 计算机病毒的发展趋势计算机病毒的发展趋势随着因特网的普及和广泛应用,计算机病毒在传播形式、病毒制作技术和病毒的形式方面有了根本的改变。在此通过对近年来计算机病毒的疫情特点分析,将计算机病毒的发
107、展趋势归纳如下:1高频度2传播速度快,危害面广3病毒制作技术新4. 病毒形式多样化 5病毒生成工具 7-5 7-5 计算机病毒的检测、防范和清除计算机病毒的检测、防范和清除 7-5-1计算机病毒的检测如何能够及早地发现新病毒呢?用户可做以下简单判断:首先应注意内存情况;其次应注意常用的可执行文件(如)的字节数。检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法, 这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。 7-5-2 7-5-2 计算机病毒的防范计算机病毒的防范 防范是对付计算机病毒的积极而又有效的措施,比等待计算机病毒出现之后再去扫描和清除能更有效地保护计
108、算机系统。要做好计算机病毒的防范工作,首先是防范体系和制度的建立。其次,利用反病毒软件及时发现计算机病毒侵入,对它进行监视、跟踪等操作,并采取有效的手段阻止它的传播和破坏。 7-5-2 7-5-2 计算机病毒的防范(续)计算机病毒的防范(续)反病毒软件常用以下几种反病毒技术来对病毒进行预防和彻底杀除:实时监视技术全平台反病毒技术 7-5-3 7-5-3 7-5-3 计算机病毒的清除及常用反病毒软件计算机病毒的清除及常用反病毒软件计算机病毒的清除及常用反病毒软件 1.常用的一些有效的杀毒方法 (1)纯DOS模式查毒的方法准备三张空白3.5英寸软盘,使用金山毒霸自带的“创建应急盘”工具,创建DOS
109、引导盘和杀毒盘。然后使用引导盘引导系统,引导后,等待提示,再插入杀毒盘,金山毒霸会自动完成在DOS下的杀毒工作。 7-5-3 7-5-3 7-5-3 计算机病毒的清除及常用反病毒软件计算机病毒的清除及常用反病毒软件计算机病毒的清除及常用反病毒软件( ( (续续续) ) ) (2)使用专杀工具在安全模式下杀毒 Windows各个版本的操作系统都有一个安全模式运行方式,在此运行方式下仅能运行最基本的程序,再此模式下,您可以取消所有的自启动项目,终止不必要系统进程和服务,从而绕过操作系统的阻挠,避免病毒的运行。其专杀工具的短小精悍,使用它能够在安全模式下正常运行,因此,在这个时候,使用专杀工具来杀毒
110、就能达到干净杀毒的效果。其缺点是只能针对一些比较流行病毒,不能达到全面杀毒的效果。7-5-3 7-5-3 7-5-3 计算机病毒的清除及常用反病毒软件计算机病毒的清除及常用反病毒软件计算机病毒的清除及常用反病毒软件( ( (续续续) ) ) 杀病毒不如防病毒,认真做到应有的防护工作,会更有效的避免病毒的危害。常用的反病毒软件:KV3000瑞星杀毒软件2005版 Norton Antivirus 20057-6 7-6 计算机染毒以后的危害修复措施计算机染毒以后的危害修复措施 对病毒造成的危害进行修复,不论是手工修复还是用专用工具修复,都是危险操作,有可能不仅修不好,反而彻底破坏系统和数据。因此
111、,为了修复病毒危害,用户应采取以下措施:重要数据必须备份立刻切断电源关机,提高修复备份染毒信息,以防不测 修复病毒危害7-77-7计算机病毒实例计算机病毒实例 目前病毒的种类很多,本节主要举几个著名的病毒来说明如何检测、防范和消除网络蠕虫病毒和宏病毒等。7-77-7计算机病毒实例计算机病毒实例( (续续) )1宏病毒宏病毒利用Office特有的“宏(Macro)”编写的病毒,它专门攻击微软Office系列Word和Excel文件。这种病毒不仅能运行在Windows环境,还能运行在OS/2或MAC OS上的微软Office软件中。 7-77-7计算机病毒实例计算机病毒实例( (续续) )(1)宏
112、病毒的原理(2)宏病毒的作用机制 (3)宏病毒的特征 (4)宏病毒的主要类型 (5)宏病毒的预防与清除 下面主要说明宏病毒的预防与清除方法 7-77-7计算机病毒实例计算机病毒实例( (续续) )宏病毒的预防:将常用的Word模板文件改为只读属性,可防止Word系统被感染;DOS下的autoexec.bat和config.sys文件最好也都设为只读属性文件。因为宏病毒是通过自动执行宏的方式来激活、进行传染破坏的,所以只要将自动执行宏功能禁止掉,即使有宏病毒存在,但无法被激活,也无法发作传染、破坏,这样就起到了防毒的效果。7-77-7计算机病毒实例计算机病毒实例( (续续) )宏病毒的清除: 手
113、工清除以Word为例,选取“工具”菜单中“宏”一项,进入“管理器”,选取标题为“宏”的一页,在“宏有效范围”下拉列表框中打开要检查的文档。这时在上面的列表框中就会出现该文档模板中所含的宏,将不明来源的自动执行宏删除即可。 7-77-7计算机病毒实例计算机病毒实例( (续续) )宏病毒的清除: 用专业杀毒软件 目前杀毒软件公司都具备清除宏病毒的能力,当然也只能对已知的宏病毒进行检查和清除,对于新出现的病毒或病毒的变种则可能不能正常地清除,或者将会破坏文件的完整性,此时还是手工清理为妙。7-77-7计算机病毒实例计算机病毒实例( (续续) )下面介绍使用KV3000杀毒软件清除宏病毒的两种方法。
114、方法1:在Windows环境下执行kvw3000.exe,任选一可能存在宏病毒的子目录进行查杀。KV3000在查出病毒后,为了安全起见,先将其扩展名改为.kv,然后再将原文件中的病毒杀除。方法2:在DOS环境下,用干净的Windows 98系统软盘引导机器,运行KV3000,出现主菜单后,按下可能存在宏病毒的盘符键,就会对宏病毒自动清除,精确地恢复了文件的参数,文件可正常地打开。7-77-7计算机病毒实例计算机病毒实例( (续续) )“美丽杀手(美丽杀手(W97M/MelissaW97M/Melissa)”病毒病毒 “美丽杀手(W97M/Melissa)”是一种宏病毒,它主要通过电子邮件的附件
115、文档中的宏功能实现主机之间的病毒传播。 7-77-7计算机病毒实例计算机病毒实例( (续续) )“美丽杀手(美丽杀手(W97M/MelissaW97M/Melissa)”病毒病毒 传播条件 病毒的表现症状 病毒的预防 7-77-7计算机病毒实例计算机病毒实例( (续续) )2.2.文件型病毒文件型病毒(1 1)FunloveFunlove病毒简介病毒简介FunloveFunlove病毒是一个病毒是一个Win32 PEWin32 PE病毒,因病毒体内病毒,因病毒体内含有字符串含有字符串“ Fun Loving CriminalFun Loving Criminal”而命名而命名为为Funlove
116、Funlove病毒。属驻留内存、感染文件型病毒,病毒。属驻留内存、感染文件型病毒,感染感染*.*.EXEEXE、*.SCR*.SCR、*.OCX*.OCX三种类型的文件,被三种类型的文件,被感染文件增长感染文件增长40994099字节,病毒进驻系统后将会在字节,病毒进驻系统后将会在WindowsWindows的的SystemSystem目录下建立目录下建立flcss.exeflcss.exe文件,是文件,是病毒本身的点滴器(病毒本身的点滴器(DropperDropper),),长度长度46084608字节。字节。 7-77-7计算机病毒实例计算机病毒实例( (续续) )2.2.文件型病毒文件型
117、病毒FunloveFunlove病毒清除方法病毒清除方法1.1.Windows 95/98/meWindows 95/98/me系统系统2.2.Windows NT/2000/XPWindows NT/2000/XP系统系统7-77-7计算机病毒实例计算机病毒实例( (续续) )2.2.文件型病毒文件型病毒(2 2)WormdllWormdll(W32.Parite.BW32.Parite.B)病毒简介病毒简介WormdllWormdll是一个多态病毒,在被感染计算机上生成一是一个多态病毒,在被感染计算机上生成一个包含该病毒的可执行文件。并且感染扩展名为个包含该病毒的可执行文件。并且感染扩展名
118、为EXEEXE(可执行文件)和可执行文件)和SCR(SCR(屏幕保护屏幕保护) )的文件。的文件。Parite.B Parite.B 通过病毒采用的常用方式进行传播通过病毒采用的常用方式进行传播( (光盘,电子邮件,光盘,电子邮件,InternetInternet下载等下载等) )。此外,它还通过网络传播。如果。此外,它还通过网络传播。如果它感染了网络中的一台计算机,它搜索所有的网络它感染了网络中的一台计算机,它搜索所有的网络共享磁盘,将自身复制其上。共享磁盘,将自身复制其上。7-77-7计算机病毒实例计算机病毒实例( (续续) ) 2. 2.文件型病毒文件型病毒 Wormdll Wormdl
119、l(W32.Parite.BW32.Parite.B)病毒病毒清除方法清除方法如果您的系统是如果您的系统是Windows 98/meWindows 98/me的话,请用干净的的话,请用干净的启动盘启动计算机,然后用启动盘启动计算机,然后用DOSDOS版的杀毒软件进行版的杀毒软件进行清除。清除。如果您的系统是如果您的系统是2000/2000/XPXP,并且系统盘为并且系统盘为NTFSNTFS格式格式的话,请选择在安全模式下清除病毒。不管是哪个的话,请选择在安全模式下清除病毒。不管是哪个系统,清除病毒后都最好手工删除注册表项:系统,清除病毒后都最好手工删除注册表项:HKEY_CURRENT_USE
120、RSoftwareMicrosoftWindows HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionExplorerPINFCurrentVersionExplorerPINF。7-77-7计算机病毒实例计算机病毒实例( (续续) )文件型病毒的防范:文件型病毒的防范:1 1平时养成良好的习惯,计算机要安装防毒软件平时养成良好的习惯,计算机要安装防毒软件并打开实时监控程序,而且要经常升级杀毒软件并打开实时监控程序,而且要经常升级杀毒软件确保病毒库是最新的。确保病毒库是最新的。2 2对来历不明的软件(特别是从网上下载的软件)对来历不
121、明的软件(特别是从网上下载的软件)要先查毒确保没有病毒后再运行。要先查毒确保没有病毒后再运行。3 3由于文件型病毒会对一些文件造成破坏,所以由于文件型病毒会对一些文件造成破坏,所以平时要注意对数据的备份,重要的数据要备份到平时要注意对数据的备份,重要的数据要备份到移动存储器或刻录到光盘上。移动存储器或刻录到光盘上。7-77-7计算机病毒实例计算机病毒实例( (续续) )3.3.其他的网络病毒其他的网络病毒(1)震荡波()震荡波(Sasser)蠕虫病毒蠕虫病毒病毒简介病毒简介W32.Sasser的病毒的病毒(W32.Sasser.A及其变种及其变种),利用,利用2004年年4月月13日所发布的日
122、所发布的Microsoft安全性公告安全性公告MS04-011安全性更新中已修正的本地安全性授权子安全性更新中已修正的本地安全性授权子系统服务系统服务(LSASS,LocalSecurityAuthoritySubsystemService)的弱点进行攻击。的弱点进行攻击。病毒长度病毒长度:15,872Bytes受影响系统受影响系统:Win9x/WinNT/Win2000/WinXP/Win2003未受感染系统:未受感染系统:Windows98,WindowsME,WindowsNT4.07-77-7计算机病毒实例计算机病毒实例( (续续) )3.3.其他的网络病毒其他的网络病毒(1 1)震荡
123、波()震荡波(SasserSasser)蠕虫病毒蠕虫病毒感染后特征感染后特征: :系统资源占用严重,系统运行缓慢;网络拥系统资源占用严重,系统运行缓慢;网络拥堵,上网及其困难;系统倒计时重启,服务异常报错框,堵,上网及其困难;系统倒计时重启,服务异常报错框,如下图所示。如下图所示。 感染震荡波病毒系统提示框7-77-7计算机病毒实例计算机病毒实例( (续续) )3.3.其他的网络病毒其他的网络病毒震荡波(震荡波(SasserSasser)蠕虫病毒破坏方式:蠕虫病毒破坏方式:1.1.利用利用WINDOWSWINDOWS平台的平台的 Lsass Lsass 漏洞进行广泛传播,开启上百个漏洞进行广泛
124、传播,开启上百个线程不停攻击其它网上其它系统,堵塞网络。病毒的攻击行为线程不停攻击其它网上其它系统,堵塞网络。病毒的攻击行为可让系统不停的倒计时重启。可让系统不停的倒计时重启。2.2.和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传和最近出现的大部分蠕虫病毒不同,该病毒并不通过邮件传播,而是通过命令易受感染的机器下载特定文件并运行,来达播,而是通过命令易受感染的机器下载特定文件并运行,来达到感染的目的。到感染的目的。3.3.文件名为:文件名为:avserve.exeavserve.exe 7-77-7计算机病毒实例计算机病毒实例( (续续) )3.3.其他的网络病毒其他的网络病毒震荡波(震
125、荡波(SasserSasser)蠕虫病毒检测方法:检测计算机是否中毒有两种方法:蠕虫病毒检测方法:检测计算机是否中毒有两种方法:方法方法1 1:1.1.任务管理器中出现任务管理器中出现avserveavserve的进程。的进程。2.2.系统目录中出现名为系统目录中出现名为avserve.exeavserve.exe的病毒文件的病毒文件3.3.注册表中出现病毒键值注册表中出现病毒键值: :HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunavHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCu
126、rrentVersionRunavserve.exe =%WINDOWS%avserve.exeserve.exe =%WINDOWS%avserve.exe方法方法2 2:用用IEIE访问以下微软站点链接可以检测电脑是否感染了访问以下微软站点链接可以检测电脑是否感染了SasserSasser病毒。病毒。 http:/ (续续) )3.3.其他的网络病毒其他的网络病毒震荡波(震荡波(Sasser)蠕虫病毒清除方法蠕虫病毒清除方法手工清除:发现计算机已经中毒,首先断开网络,按手工清除:发现计算机已经中毒,首先断开网络,按CTRL+ALT+DEL打开任务管理器,杀掉打开任务管理器,杀掉“avser
127、ve.exe”或或“avserve2.exe”或或“kynetave.exe”或或“lsasss.exe”(注意它比系统原关键进程注意它比系统原关键进程LSASS多一个字多一个字母母S)进程。然后再到系统目录下找到这些文件并删除它们,进程。然后再到系统目录下找到这些文件并删除它们,同时删除同时删除C:盘根目录下的盘根目录下的win.log文件,它是用来记录本地主文件,它是用来记录本地主机的机的IP地址的。(如果你使用的是地址的。(如果你使用的是WINXP系统,删除前先系统,删除前先要关闭系统还原功能。)最后打开注册表编辑器,查看要关闭系统还原功能。)最后打开注册表编辑器,查看HKEY_LOCA
128、L_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun删除启动项中病毒添加的删除启动项中病毒添加的avserve.exe、“avserve2.exe”、“kynetave.exe”或或“lsasss.exe”启动键值。启动键值。7-77-7计算机病毒实例计算机病毒实例( (续续) )3.3.其他的网络病毒其他的网络病毒震荡波(震荡波(Sasser)蠕虫病毒清除方法蠕虫病毒清除方法专杀工具:专杀工具:下载并运行下载并运行Sasser(震荡波)蠕虫专杀工具:震荡波)蠕虫专杀工具:专杀工具下载地址:专杀工具下载地址:http:/ (续续) )3.其他的网
129、络病毒其他的网络病毒(2)网络天空()网络天空(Wsky)蠕虫病毒蠕虫病毒网络天空(网络天空(Wsky)病毒利用系统收信邮件地址,疯狂病毒利用系统收信邮件地址,疯狂的乱发病毒邮件大量浪费网络资源,使众多邮件服务器瘫痪,的乱发病毒邮件大量浪费网络资源,使众多邮件服务器瘫痪,因此让受感染的系统速度变慢。如果你打开邮件或附件时弹因此让受感染的系统速度变慢。如果你打开邮件或附件时弹出一个对话框,如下图所示,上面显示出一个对话框,如下图所示,上面显示“Thefilecouldnotbeopened!”(文件无法打开文件无法打开!),说明,说明“网络天空网络天空”病毒已经发作。病毒已经发作。感染网络天空病
130、毒系统提示框7-77-7计算机病毒实例计算机病毒实例( (续续) )3.其他的网络病毒其他的网络病毒(2)网络天空()网络天空(Wsky)蠕虫病毒清除方法蠕虫病毒清除方法手工清除:断开网络连接,关闭所有程序,打开金山网镖等手工清除:断开网络连接,关闭所有程序,打开金山网镖等网络防火墙。查看网络防火墙。查看“网络状态网络状态”下是否有下是否有“services.exe”在访问网络,如果有请记下程序文件所在的路径,然后点击在访问网络,如果有请记下程序文件所在的路径,然后点击“结束进程结束进程”按钮杀掉它的进程。接着使用搜索功能在系统按钮杀掉它的进程。接着使用搜索功能在系统目录下(目录下(Winnt
131、或或windows),),查找到文件查找到文件“services.exe”,找到后删除它。同时删除找到后删除它。同时删除Windows目录下不是自己创建的目录下不是自己创建的那些那些ZIP压缩包;以及压缩包;以及“Share”或者或者“Sharing”文件夹中文件夹中的病毒复本,注意它们使用的是的病毒复本,注意它们使用的是WORD文档的图标。最后打文档的图标。最后打开注册表编辑器,依次展开开注册表编辑器,依次展开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,在右边窗格中删除在右边窗格中删除service=%Windir%
132、services.exe-serv子键。子键。3.其他的网络病毒其他的网络病毒(2)网络天空()网络天空(Wsky)蠕虫病毒清除方法蠕虫病毒清除方法专杀工具:专杀工具:下载免费的下载免费的Worm.NetSky.专杀工具进行查杀。专杀工具进行查杀。下载下载免费的下载下载免费的Worm.NetSky.专杀工具的网址:专杀工具的网址:http:/ (续续) )3.3.其他的网络病毒其他的网络病毒(3)QQ病毒病毒1小心小心“武汉男生武汉男生”(Troj_WHBoy)木马病毒木马病毒病毒简介病毒简介感染系统:感染系统:Windows95/98/Me/NT/2000/XP该病毒通过聊天软件该病毒通过聊
133、天软件Oicq进行传播。当计算机被该病毒感染后,进行传播。当计算机被该病毒感染后,用户一旦运行了用户一旦运行了QQ,病毒就会不断搜寻当前已经打开的病毒就会不断搜寻当前已经打开的QQ“发发送消息送消息”窗口,并在找到窗口,并在找到“发送消息发送消息”窗口后,自动发送一条消窗口后,自动发送一条消息息到其他用户那里,到其他用户那里,“我的相片我的相片.看看看看.(某网站网址)(某网站网址)”,一旦,一旦收到收到此消息的用户点击了该网站的链接,就遭受了病毒的感染。此消息的用户点击了该网站的链接,就遭受了病毒的感染。7-77-7计算机病毒实例计算机病毒实例( (续续) )3.3.其他的网络病毒其他的网络
134、病毒(3)QQ病毒病毒1小心小心“武汉男生武汉男生”(Troj_WHBoy)木马病毒木马病毒清除的相关操作:清除的相关操作:删除病毒在系统目录下释放的病毒文件;删除病毒在系统目录下释放的病毒文件;删除病毒在注册表下生成的键值;删除病毒在注册表下生成的键值;运行杀毒软件,对病毒进行全面清除。运行杀毒软件,对病毒进行全面清除。7-77-7计算机病毒实例计算机病毒实例( (续续) )3.3.其他的网络病毒其他的网络病毒(3)QQ病毒病毒2.“QQ女友女友”(Worm.LovGate.v.QQ)蠕虫病毒蠕虫病毒病毒简介病毒简介病毒大小:病毒大小:53,248字节字节病毒依赖系统:病毒依赖系统:WIND
135、OWS9X/NT/2000/XP该该病病毒毒利利用用QQ发发送送诱诱惑惑信信息息,导导致致用用户户上上当当。病病毒毒发发送送一一些些诱诱惑惑新新的的文文字字和和链链接接给给在在线线的的好好友友,致致使不明真相的用户上当。使不明真相的用户上当。7-77-7计算机病毒实例计算机病毒实例( (续续) )3.3.其他的网络病毒其他的网络病毒(3)QQ病毒病毒2.“QQ女友女友”(Worm.LovGate.v.QQ)蠕虫病毒清除方法蠕虫病毒清除方法( 1) 打打 开开 任任 务务 管管 理理 器器 查查 看看 是是 否否 存存 在在 进进 程程 名名 为为 :INTERNET.EXE或或SVCH0ST.
136、EXE,终止它。终止它。(2)打开注册表编辑器)打开注册表编辑器,删除如下键值删除如下键值:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun“NetworkAssociates,Inc.”=“INTERNET.EXE”HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun“S0undMan”=“%SYSDIR%SVCH0ST.EXE”7-77-7计算机病毒实例计算机病毒实例( (续续) )3.其他的网络病毒其他的网络病毒(3)QQ病毒病毒2.“QQ女友女友”(W
137、orm.LovGate.v.QQ)蠕虫病毒清除方法蠕虫病毒清除方法(3)将将%WINSYS%目目录录下下的的文文件件: SVCH0ST.EXE和和SVCH0ST.EXE删除删除注注:%WINSYS%位位Windows系统的安装目录,在系统的安装目录,在win9x,winme,winxp下默认为下默认为:C:WINDOWSSYSTEM,win2k下默认为下默认为:C:WINNTSYSTEM32。也可以下载爱情后门专杀工具:也可以下载爱情后门专杀工具:http:/ 络络 安安 全全 技技 术术 8.18.1计算机网络安全概述计算机网络安全概述 随着计算机网络技术的飞速发展和网络覆盖范围的迅速扩大,
138、计算机网络安全问题也日益显得复杂和突出起来。网络安全涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多个学科,是指网络系统的硬件、软件及其系统中的数据得到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性、可控性等相关的技术和理论都是网络安全所要研究的领域。网络安全从其本质上来讲就是网络上的信息安全。如何更有效地保护重要的信息数据,提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和解决的一个重要问题。8.18.1计算机网络安全概述计算机网络
139、安全概述8.1.1网络安全面临的威胁 计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。影响计算机网络安全的因素很多,如系统存在的漏洞、系统安全体系的缺陷、使用人员薄弱的安全意识及管理制度等,诸多的原因使网络安全面临的威胁日益严重。概括起来,主要有以下几类: (1)来自内部的威胁。 (2)窃听。 (3)非法访问。 (4)破坏信息的完整性。 (5)破坏系统的可用性。 (6)重演。 (7)行为否认。 (8)拒绝服务攻击。 (9)病毒传播。 (10)其他威胁。 8.18.1计算机网络安全概述计算机网络安全概述8.1.2网络安全的目标 鉴于网络安全威胁的多样性、复杂
140、性及网络信息、数据的重要性,在设计网络系统的安全时,应努力通过相应的手段达到以下5项安全目标:可靠性、可用性、保密性、完整性和不可抵赖性。 可靠性指系统在规定条件下和规定时间内完成规定功能的概率。 可用性指信息和通信服务在需要时允许授权人或实体使用。 保密性指防止信息泄漏给非授权个人或实体,信息只为授权用户使用。 完整性指信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的特性。 不可抵赖性也称作不可否认性,是面向通信双方(人、实体或进程)信息真实、同一的安全要求。 从以上的安全目标可以看出,网络的安全不仅仅是防范窃密活动,其可靠性、可用性、完整性和不可抵赖性应作为与保密性同等重要的
141、安全目标加以实现。我们应从观念上,政策上做出必要的调整,全面规划和实施网络和信息的安全。8.18.1计算机网络安全概述计算机网络安全概述8.1.3网络安全的特点 根据网络安全的历史及现状,可以看出网络安全大致有以下几个特点:(1)网络安全的涉及面越来越广 (2)网络安全涉及的技术层面越来越深 (3)网络安全的黑盒性 (4)网络安全的动态性 (5)网络安全的相对性 今后,随着安全基础设施建设力度的加大及安全技术和安全意识的普及,相信网络安全水平还是可以满足人们的安全需求的。*8.2*8.2OSIOSI的安全服务和安全机制的安全服务和安全机制 国际标准化组织(ISO)提出的OSI参考模型第二部分“
142、安全性体系结构”已经被作为开放系统互联(OSI)标准的一部分。在网络安全方面,它有着重要的指导作用。为了保证信息安全及满足安全策略或用户的要求,在OSI标准提供的框架中,定义了相应的安全服务和安全机制。每项安全服务可以由若干项安全机制来实现,它们将应用在适当的功能层上。8.2.1安全服务 安全服务用于增强一个系统或组织的信息传输的安全性。在OSI模型中,定义了五种安全服务:鉴别、访问控制、数据机密性、数据完整性和抗抵赖。 (1)鉴别安全服务鉴别服务能够保证接收到的数据是正确的、一致的,可以提供对通信中的对等实体和数据来源的鉴别。(2)访问控制安全服务 访问控制服务主要位于应用层、传输层和网络层
143、,可以用于通信的源方或目的方,或者是通信线路上的某一地方。可以保护OSI可访问资源不被非授权者使用,这些资源可以是经OSI协议访问到的OSI资源或非OSI资源。 *8.2*8.2OSIOSI的安全服务和安全机制的安全服务和安全机制(3)数据机密性安全服务数据机密性安全服务可以保证数据不被未经授权的个人、实体或进程所访问。这种服务可细分为以下四种: 连接机密性服务 无连接机密性服务 选择字段机密性服务 数据流机密性服务 (4)数据完整性安全服务数据完整性安全服务可以保证数据没有以未经授权的方式被改动和破坏。这种服务对付主动威胁, 可采取以下的一些形式: 带恢复的连接完整性服务 不带恢复的连接完整
144、性服务 选择字段的连接完整性服务 无连接完整性服务 选择字段无连接完整性服务 (5)抗抵赖安全服务抗抵赖安全服务是针对对方进行抵赖而采取的防范措施,可以用来证实已发生过的操作。这种服务可采取以下两种形式: 有数据原发证明的抗抵赖服务 有交付证明的抗抵赖服务 *8.2*8.2OSIOSI的安全服务和安全机制的安全服务和安全机制8.2.2安全机制安全机制是对信息系统的部件进行检测及防止被动与主动威胁的方法。安全机制可以分为两类,一类与安全服务密切相关,被用来实现各项安全服务;另一类与管理功能相关,被用于加强对安全系统的管理。 OSI的安全机制主要有加密机制、数字签名机制、访问控制机制、数据完整性机
145、制、鉴别交换机制、信息流填充机制、路由选择控制机制、公证机制等。8.2.3 安全服务与安全机制的关系 安全服务与安全机制有着密切的关系。一个安全服务可以由一个或几个安全机制实现,一个安全机制也可以用于实现不同的安全服务,安全服务和安全机制并不是一一对应的 。8.2.4服务、机制与层的关系 (1)安全分层原则 安全服务是由OSI网络7层协议相应层的安全机制提供的。为了决定安全服务对层的分配以及伴随而来的安全机制在这些层上的配置,用到了安全分层原则 。*8.2*8.2OSIOSI的安全服务和安全机制的安全服务和安全机制(2)OSI各层的安全防护物理层的安全防护:在物理层上主要通过制定物理层面的管理
146、规范和措施来提供安全解决方案。链路层的安全防护:主要是链路加密设备对数据加密保护。它对所有用户数据一起加密,用户数据通过通信线路送到另一节点后解密。网络层的安全防护:网络层的安全防护是面向IP包的。网络层主要采用防火墙作为安全防护手段,实现初级的安全防护。在网络层也可以根据一些安全协议实施加密保护,还可以实施相应的入侵检测。传输层的安全防护:传输层处于通信子网和资源子网之间,起着承上启下的作用。传输层支持多种安全服务,如对等实体认证服务、访问控制服务、数据保密服务、数据完整性服务、数据源点认证服务等。会话层和表示层几乎不提供安全服务。 应用层的安全防护:原则上讲所有安全服务都可以在应用层提供。
147、在应用层可以实施强大的基于用户的身份认证,同时应用层也是实施数据加密,访问控制的理想位置。在应用层还可加强数据的备份和恢复措施。应用层可以是对资源的有效性进行控制,资源包括各种数据和服务。应用层的安全防护是面向用户和应用程序的,因此可以实施细粒度的安全控制。 8.38.3网络安全体系结构网络安全体系结构 8.3.1物理安全 保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:(1)环境安全(2)设备安全(3)媒体安全 8.3.
148、2网络安全 网络安全是整个安全解决方案的关键,主要包括以下几个方面:(1)隔离及访问控制系统(2)网络安全检测(3)审计与监控(4)网络反病毒(5)网络备份系统8.3.3信息安全 信息安全主要涉及到鉴别、信息传输的安全、信息存储的安全以及对网络传输信息内容的审计等方面。 鉴别是对网络中的主体进行验证的过程,通常有三种方法验证主体身份。一是只有该主体了解的秘密,如口令、密钥等。二是主体携带的物品,如智能卡和令牌卡等。三是只有该主体具有的独一无二的特征或能力,如指纹、声音、视网膜或签字等。 数据传输加密技术的目的是对传输中的数据流加密,以防止通信线路上的窃听、泄漏、篡改和破坏。如果以加密实现的通信
149、层次来区分,加密可以在通信的三个不同层次上实现,即链路加密,节点加密,端到端加密。8.38.3网络安全体系结构网络安全体系结构(3)数据存储安全系统 在计算机信息系统中存储的信息主要包括纯粹的数据信息和各种功能文件信息两大类。对纯粹数据信息的安全保护,以数据库信息的保护最为典型。而对各种功能文件的保护,终端安全则很重要。 (4)信息内容审计系统实时对进出内部网络的信息进行内容审计,可防止或追查可能的泄密行为。因此,为了满足国家保密法的要求,在某些重要或涉密网络,应该安装使用此系统。8.3.4安全管理 (1)安全管理的原则网络信息系统的安全管理主要基于以下三个原则:一是多人负责原则。二是任期有限
150、原则。三是职责分离原则。 (2)安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应的规范。具体工作是: 根据工作的重要程度,确定该系统的安全等级; 根据确定的安全等级,确定安全管理的范围;制订相应的机房出入管理制度。 制订严格的操作规程。 制订完备的系统维护制度。 制订应急措施。 8.48.4常用的网络安全技术常用的网络安全技术 网络安全技术是在与网络攻击的对抗中不断发展的,它大致经历了从静态到动态、从被动防范到主动防范的发展过程。下面对一些常见的网络安全技术做出说明:(1)数据加密技术(2)防火墙技术(3)网络安全扫描技术(4)网络入侵检
151、测技术(5)黑客诱骗技术 在上述网络安全技术中,数据加密是其他一切安全技术的核心和基础。在实际网络系统的安全实施中,可以根据系统的安全需求,配合使用各种安全技术来实现一个完整的网络安全解决方案。例如常用的自适应网络安全管理模型,就是通过防火墙、网络安全扫描、网络入侵检测等技术的结合来实现网络系统动态的可适应的网络安全目标。这种网络安全管理模型认为任何网络系统都不可能防范所有的安全风险,因此在利用防火墙系统实现静态安全目标的基础上,必须通过网络安全扫描和实时的网络入侵检测,实现动态的、自适应的网络安全目标。该模型利用网络安全扫描技术,主动找出系统的安全隐患,对安全风险做出分析,提出修补安全漏洞的
152、方案,并自动随着网络环境的变化,通过入侵特征的识别,对系统的安全做出校正,从而可以将网络安全的风险降低到最低点。8.58.5计算机网络安全设计计算机网络安全设计 8.5.1 8.5.1 网络安全设计原则网络安全设计原则在进行网络系统安全设计时,应遵循以下原则:(1)需求、风险、代价平衡分析的原则(2)综合性、整体性原则 (3)一致性原则 (4)易操作性原则 (5)适应性及灵活性原则 (6)多重保护原则 (7)可评价性原则 8.5.2网络安全设计的步骤网络安全设计的步骤 第一步:明确安全需求,进行风险分析 第二步:选择并确定网络安全措施 第三步:方案实施 第四步:网络试验及运行 第五步:优化、改
153、进 针对安全体系的特性,我们还可以采用 “统一规划、分步实施”的原则。具体而言,可以对网络做一个比较全面的安全体系规划,然后,根据网络的实际应用状况,先建立一个基础的安全防护体系,保证基本的、应有的安全性。随着今后应用的种类和复杂程度的增加,再在原来基础防护体系之上,建立增强的安全防护体系。这样,既可以提高整个网络基础的安全性,又可以保证应用系统的安全性。第九章第九章防防 火火 墙墙 技技 术术 9.1 9.1 防火防火墙墙技技术术概述概述 随随着着InternetInternet的的迅迅速速发展展,越越来来越越多多的的公公司司或或个个人人加加入入到到其其中中,使使InternetIntern
154、et本本身身成成为了了世世界界上上空空前前庞大大以以至至于于无无法法确确切切统计的的网网络系系统。当当一一个个机机构构将将其其内内部部网网络与与InternetInternet连接接之之后后,所所关关心心的的一一个个重重要要问题就就是是安安全全。人人们需需要要一一种种安安全全策策略略,既既可可以以防防止止非非法法用用户访问内内部部网网络上上的的资源源,又又可可以以阻阻止止用用户非非法法向向外外传递内内部部信信息息。在在这种种情情况况下下,防防火火墙技技术便便应运而生了。运而生了。 防防火火墙(FirewallFirewall)是是一一种种能能将将内内部部网网和和公公众众网网分分开开的的方方法法
155、。它它能能限限制制被被保保护的的网网络与与互互联网网络及及其其他他网网络之之间进行行的的信信息息存存取取、传递等等操操作作。在在构构建建安安全全的的网网络环境境过程程中中,防防火火墙作作为第第一一道道安安全全防防线,正受到越来越多用正受到越来越多用户的关注的关注。 9.1 9.1 防火防火墙墙技技术术概述概述9.1.1 防火墙的定义 用用于于保保护计算算机机网网络中中敏敏感感数数据据不不被被窃窃取取和和篡改改的的计算算机机软硬硬件件系系统叫叫做做“防防火火墙”。简单的的说, ,防防火火墙实际上上是是一一种种访问控控制制技技术,它它在在一一个个被被认为是是安安全全和和可可信信的的内内部部网网络和
156、和一一个个被被认为是是不不那那么么安安全全和和可可信信的的外外部部网网络之之间设置置障障碍碍,阻阻止止对信信息息资源源的的非非法法访问, , 也也可可以阻止保密信息从受保以阻止保密信息从受保护网网络上被非法上被非法输出。出。下下图为防火防火墙示意示意图:9.1 9.1 防火防火墙墙技技术术概述概述9.1.2 防火墙的作用 应用防火墙的主要目的是要强制执行一定的安全策略,能够过滤掉不安全服务和非法用户、控制对特殊站点的访问,并提供监视系统安全和预警的方便端点。具体来说,防火墙的作用主要体现在以下几个方面: (1)防火墙是网络安全的屏障 (2)防火墙可以强化网络安全策略 (3)防火墙可以对网络的存
157、取和访问进行监控、审计 (4)防火墙可以防止内部信息的外泄 (5)防火墙可以限制网络暴露 除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。通过VPN,可以将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。9.1 9.1 防火防火墙墙技技术术概述概述9.1.3 防火墙的局限性 尽尽管管防防火火墙有有许多多防防范范功功能能,但但由由于于互互连网网的的开开放放性性,它它也有一些力不能及的地方,具体表也有一些力不能及的地方,具体表现在以下几个方面:在以下几个方面: (1)防
158、火)防火墙不能防范不不能防范不经过防火防火墙的攻的攻击。 (2)防火)防火墙不能防止感染了病毒的不能防止感染了病毒的软件或文件的件或文件的传输。 (3)防火)防火墙不能防止数据不能防止数据驱动式攻式攻击。 (4)防火)防火墙不能防止来自内部不能防止来自内部变节者和用者和用户带来的威来的威胁。 总的的来来说,防防火火墙只只是是整整体体安安全全防防范范政政策策的的一一部部分分。整整个个网网络易易受受攻攻击的的各各个个点点必必须以以相相同同程程度度的的安安全全防防护措措施施加加以以保保护。在在没没有有全全面面的的安安全全政政策策情情况况下下设置置防防火火墙,就就如如同同在在一一顶帐篷上安装一个防盗篷
159、上安装一个防盗门。9.1 9.1 防火防火墙墙技技术术概述概述9.1.4 防火墙技术的现状及发展趋势 纵观防防火火墙技技术的的发展展,可可将将其其分分为以以下下四四个个阶段段:第第一一代代防防火火墙,又又称称包包过滤防防火火墙。第第二二代代防防火火墙,也也称称代代理理防防火火墙 。第第三三代代防防火火墙,称称为状状态监控控功功能能防防火火墙 。第第四四代代防防火火墙已已超超出出了了原原来来传统意意义上上防防火火墙的的范范畴畴,演演变成成为了了一一个个全全方位的安全技方位的安全技术集成系集成系统。 归纳起来,一个好的防火起来,一个好的防火墙系系统应具有以下的一些特性:具有以下的一些特性: (1
160、1)所所有有在在内内部部网网络和和外外部部网网络之之间传输的的数数据据都都必必须经过防火防火墙。 (2 2)只只有有被被授授权的的合合法法数数据据,即即防防火火墙系系统中中安安全全策策略略允允许的数据,可以通的数据,可以通过防火防火墙。 (3 3)防火)防火墙本身本身应能抵御各种攻能抵御各种攻击的影响。的影响。 (4 4)防火)防火墙应使用目前使用目前较先先进的信息安全技的信息安全技术。 (5 5)防火)防火墙应具有良好的人机界面,方便用具有良好的人机界面,方便用户配置及管理。配置及管理。9.1 9.1 防火防火墙墙技技术术概述概述 从从防防火火墙的的发展展趋势来来看看,未未来来的的防防火火墙
161、将将变得得更更加加能能够识别通通过的的信信息息,同同时在在目目前前的的功功能能上上向向“透透明明”、“低低级”方方面面发展展。主主要要有有以以下下的的一一些些发展展趋势: ()防火()防火墙的性能将更加的性能将更加优良。良。 ()防火()防火墙具有可具有可扩展的展的结构和功能。构和功能。 ()防火()防火墙要有要有简化的安装与管理。化的安装与管理。 ()防火()防火墙要有主要有主动过滤的能力。的能力。 ()防火()防火墙应有防病毒与黑客的能力。有防病毒与黑客的能力。 最最终防火防火墙将成将成为一个快速注册稽一个快速注册稽查系系统,可,可保保护数据以加密方式通数据以加密方式通过,使所有,使所有组
162、织可以放心地可以放心地在在节点点间传送数据。送数据。 . .防火防火墙墙技技术术的分的分类类 防防火火墙技技术可可根根据据防防范范的的方方式式和和侧重重点点的的不不同同而而分分为很很多多种种类型型。按按照照防防火火墙对数据的数据的处理方法,大致分理方法,大致分为二大二大类:包:包过滤防火防火墙和代理防火和代理防火墙。. . .包包过滤防火防火墙技技术 数据包数据包过滤技技术作作为防火防火墙的的应用有三种。用有三种。 第一种是路由第一种是路由设备在完成路在完成路由由选择和数据和数据转发的同的同时进行包行包过滤。第二种是在工作站上使用。第二种是在工作站上使用软件件进行包行包过滤。第三种是在一种称。
163、第三种是在一种称为屏蔽路由器的路由屏蔽路由器的路由设备上启上启动包包过滤功能。目前功能。目前较常用的方式是第一种。常用的方式是第一种。 包包过滤作用在网作用在网络层和和传输层,以,以IP包信息包信息为基基础,对通通过防火防火墙的的IP包的源、目的地址、包的源、目的地址、TCP/UDP的端口的端口标识符及符及ICMP等等进行行检查。 包包过滤规则检查数据流中每个数据包后数据流中每个数据包后, 根据根据规则来确定是否允来确定是否允许数据数据包通包通过,其核心是,其核心是过滤算法的算法的设计。 数据包数据包过滤在网在网络中起着中起着举足足轻重的作用,它允重的作用,它允许你在某个地方你在某个地方为整个
164、整个网网络提供特提供特别的保的保护。 包包过滤的的操操作作可可以以在在路路由由器器上上进行行,也也可可以以在在网网桥,甚甚至至在在一一个个单独独的的主主机机上上进行行。大大多多数数数数据据包包过滤系系统不不处理理数数据据本本身身,它它们不不根根据据数数据据包包的的内内容做决定。容做决定。. .防火防火墙墙技技术术的分的分类类. . .包包包包过滤过滤防火防火防火防火墙墙技技技技术术的的的的优优缺点缺点缺点缺点 数数据据包包过滤防防火火墙技技术有有很很多多优点点,主主要要体体现在在以以下下几几点点:()应用用包包过滤技技术不不用用改改动客客户机机和和主主机机上上的的应用用程程序序,因因为过滤发生
165、生在在网网络层和和传输层,与与应用用层无无关关。()一一个个单独独的的、放放置置恰恰当当的的数数据据包包过滤路路由由器器有有助助于于保保护整整个个网网络。()数数据据包包过滤技技术对用用户没有特没有特别的要求。()大多数路由器都具有数据包的要求。()大多数路由器都具有数据包过滤功能。功能。 虽然数据包然数据包过滤有很多有很多优点,但同点,但同时它也存在着一些缺陷。它也存在着一些缺陷。 ()在()在过滤过程中判程中判别的只有网的只有网络层和和传输层的有限信息,而不能的有限信息,而不能在用在用户级别上上进行行过滤,不能,不能识别不同的用不同的用户和防止地址的盗用,和防止地址的盗用,因而各种安全要求
166、不可能充分因而各种安全要求不可能充分满足。()在足。()在许多多过滤器中,器中,过滤规则的数目是有限制的。()当前的的数目是有限制的。()当前的过滤工具并不完善,或多或少的工具并不完善,或多或少的存在着一些局限性。()由于缺少上下文关存在着一些局限性。()由于缺少上下文关联信息,数据包信息,数据包过滤路路由器不能有效地由器不能有效地过滤诸如如UDPUDP、RPCRPC、FTPFTP一一类的的协议. .()大多数()大多数过滤器中缺少器中缺少审计和和报警机制,且管理方式和用警机制,且管理方式和用户界面界面较差。()数差。()数据包据包过滤技技术对安全管理人安全管理人员素素质要求要求较高。高。 由
167、由于于数数据据包包过滤技技术本本身身的的缺缺陷陷,在在实际应用用中中,很很少少把把数数据据包包过滤技技术当当作作单独独的的安安全全解解决决方方案案。过滤路路由由器器通通常常是是和和应用用网网关关配配合合或是与其他防火或是与其他防火墙技技术揉和使用,共同揉和使用,共同组成防火成防火墙系系统。. .防火防火墙墙技技术术的分的分类类.代理防火代理防火墙技技术 代理防火代理防火墙作用在作用在应用用层,用来提供,用来提供应用用层服服务的控制。的控制。其特点是完全其特点是完全“阻隔阻隔”了网了网络通信流,通通信流,通过对每种每种应用服用服务编制制专门的代理程序,的代理程序,实现监视和控制和控制应用用层通信
168、流的作用。所以通信流的作用。所以代理防火代理防火墙又被称又被称为应用代理或用代理或应用用层网关型防火网关型防火墙。 应用用层网关型防火网关型防火墙控制的内部网控制的内部网络只接受代理服只接受代理服务器器提出的服提出的服务请求,拒求,拒绝外部网外部网络其它接点的直接其它接点的直接请求。它同求。它同时提供了多种方法提供了多种方法认证用用户。当确。当确认了用了用户名和口令后,服名和口令后,服务器器根据系根据系统的的设置置对用用户进行行进一步的一步的检查,验证其是否可以其是否可以访问本服本服务器。器。应用用层网关型防火网关型防火墙还对进出防火出防火墙的信息的信息进行行记录,并可由网,并可由网络管理管理
169、员用来用来监视和管理防火和管理防火墙的使用情况。的使用情况。实际中的中的应用网关通常由用网关通常由专用代理服用代理服务器器实现。下。下图为代理防代理防火火墙的示意的示意图: . .防火防火墙墙技技术术的分的分类类 . .防火防火墙墙技技术术的分的分类类. . .代理防火代理防火代理防火代理防火墙墙技技技技术术的的的的优优缺点缺点缺点缺点 代理防火代理防火墙技技术的的优点主要有:点主要有: ()代理易于配置。()代理易于配置。 ()代理能生成各()代理能生成各项记录。 ()代理()代理能灵活、完全地控制能灵活、完全地控制进出流量、内容。出流量、内容。 ()代理能()代理能过滤数据内容。数据内容。
170、 ()代理能()代理能为用用户提供透明的加密机制。提供透明的加密机制。 ()代理可以方便地()代理可以方便地与其它安全手段集成。与其它安全手段集成。 代理防火代理防火墙技技术的缺点主要有:的缺点主要有: ()代理速度()代理速度较路由器慢。路由器慢。()()代理代理对用用户不透明。不透明。 ()()对于每于每项服服务代理可能要求不同的服代理可能要求不同的服务器。器。 ()代理服()代理服务通常要通常要求求对客客户、过程之一或两者程之一或两者进行限制。行限制。 ()代理服()代理服务不能保不能保证免免受所有受所有协议弱点的限制。弱点的限制。 ()代理不能改()代理不能改进底底层协议的安全性。的安
171、全性。 在在实际应用用当当中中,构构筑筑防防火火墙的的解解决决方方案案很很少少采采用用单一一的的技技术,大多数防火大多数防火墙是将数据包是将数据包过滤和代理服和代理服务器器结合起来使用的合起来使用的。 . .防火防火墙墙的体系的体系结结构构 出出于于对更更高高安安全全性性的的要要求求,通通常常的的防防火火墙体体系系是是多多种种解解决决不不同同问题的的技技术的的有有机机组合合。例例如如,把把基基于于包包过滤的的方方法法与与基基于于应用用代代理理的的方方法法结合合起起来来,就就形形成成了了复复合合型型防防火火墙产品品。目目前前常常见的的配配置置有有以以下几种:下几种: ()屏蔽路由器()屏蔽路由器
172、(Screening RouterScreening Router) 屏蔽路由器是防火屏蔽路由器是防火墙最基本的构件,是最最基本的构件,是最简单也是最常也是最常见的防火的防火墙。屏蔽路由器作。屏蔽路由器作为内外内外连接的接的唯一通道,要求所有的唯一通道,要求所有的报文都必文都必须在此通在此通过检查。路由器上可以安装基于路由器上可以安装基于IP层的的报文文过滤软件,件,实现报文文过滤功能。功能。许多路由器本身多路由器本身带有有报文文过滤配置配置选项,但一般比,但一般比较简单。 . .防火防火墙墙的体系的体系结结构构 ()双宿主主机网关()双宿主主机网关()双宿主主机网关()双宿主主机网关(Dua
173、lHomedGatewayDualHomedGateway)双宿主主机是一台安装有两双宿主主机是一台安装有两双宿主主机是一台安装有两双宿主主机是一台安装有两块块网卡的网卡的网卡的网卡的计计算机,每算机,每算机,每算机,每块块网卡有各自的网卡有各自的网卡有各自的网卡有各自的IPIP地址,并分地址,并分地址,并分地址,并分别别与受保与受保与受保与受保护护网和外部网相网和外部网相网和外部网相网和外部网相连连。如果外部网。如果外部网。如果外部网。如果外部网络络上的上的上的上的计计算机想与算机想与算机想与算机想与内部网内部网内部网内部网络络上的上的上的上的计计算机算机算机算机进进行通信,它就必行通信,它
174、就必行通信,它就必行通信,它就必须须与双宿主主机上与外部网与双宿主主机上与外部网与双宿主主机上与外部网与双宿主主机上与外部网络络相相相相连连的的的的IPIP地址地址地址地址联联系,代理服系,代理服系,代理服系,代理服务务器器器器软软件再通件再通件再通件再通过过另一另一另一另一块块网卡与内部网网卡与内部网网卡与内部网网卡与内部网络络相相相相连连接。接。接。接。也就是也就是也就是也就是说说,外部网,外部网,外部网,外部网络络与内部网与内部网与内部网与内部网络络不能直接通信,它不能直接通信,它不能直接通信,它不能直接通信,它们们之之之之间间的通信必的通信必的通信必的通信必须经须经过过双宿主主机的双宿
175、主主机的双宿主主机的双宿主主机的过滤过滤和控制。如下和控制。如下和控制。如下和控制。如下图图所示:所示:所示:所示:. .防火防火墙墙的体系的体系结结构构 ()屏蔽主机网关()屏蔽主机网关(ScreenedHostGateway)屏蔽主机网关由屏蔽路由器和屏蔽主机网关由屏蔽路由器和应用网关用网关组成,屏蔽路由成,屏蔽路由器的作用是包器的作用是包过滤,应用网关的作用是代理服用网关的作用是代理服务。这样,在内部网在内部网络和外部网和外部网络之之间建立了两道安全屏障,既建立了两道安全屏障,既实现了网了网络层安全,有安全,有实现了了应用用层安全。来自外部网安全。来自外部网络的所的所有通信都会有通信都会
176、连接到屏蔽路由器,它根据所接到屏蔽路由器,它根据所设置的置的规则过滤这些通信。如下些通信。如下图所示:所示:. .防火防火墙墙的体系的体系结结构构w()屏蔽子网 (Screened Subnet)w 屏蔽子网体系结构是在屏蔽主机网关的基础上再添加一个屏蔽路由器,两个路由器放在子网的两端,三者形成了一个被称为“非军事区”的子网,如下图所示: . .防火防火墙墙的体系的体系结结构构这种方法在内部网种方法在内部网络和外部网和外部网络之之间建建立了一个被隔离的子网。用两台屏蔽立了一个被隔离的子网。用两台屏蔽路由器将路由器将这一子网分一子网分别与内部网与内部网络和和外部网外部网络分开。内部网分开。内部网
177、络和外部网和外部网络均可均可访问被屏蔽子网,但禁止它被屏蔽子网,但禁止它们穿穿过被屏蔽子网通信。外部屏蔽路由器被屏蔽子网通信。外部屏蔽路由器和和应用网关与在屏蔽主机网关中的功用网关与在屏蔽主机网关中的功能相同,内部屏蔽路由器在能相同,内部屏蔽路由器在应用网关用网关和受保和受保护网网络之之间提供附加保提供附加保护。 9.4 9.4 防火防火墙墙的的选购选购策略策略 防防火火墙作作为网网络安安全全体体系系的的基基础和和核核心心控控制制设备,它它贯穿穿于于整整个个网网络通通信信主主干干线,对通通过受受控控网网络的的任任何何通通信信行行为进行行控控制制、审计、报警警、反反应等等安安全全处理理,同同时防
178、防火火墙还承承担担着着繁繁重重的的通通信信任任务。由由于于其其自自身身处于于网网络系系统中中的的敏敏感感位位置置,同同时还要要面面对各各种种安安全全威威胁,因因此此,选用用一一个个安安全全、稳定定和和可可靠靠的的防防火火墙产品品,是是极极其其重重要要的的。在在防防火火墙的的选购上上,应注注意意以以下下的的一一些些策策略略:(1 1)防防火火墙自自身身的的安安全全性性 (2 2)防防火火墙系系统的的稳定定性性 (3 3)防防火火墙的的性性能能 (4 4)防防火火墙的的可可靠靠性性 (5 5)防防火火墙的的灵灵活活性性 (6 6)防防火火墙配配置置的的方方便便性性 (7 7)防防火火墙管管理理的的
179、简便便性性 (8 8)防防火火墙抵抵抗抗拒拒绝服服务攻攻击的的能能力力 (9 9)防防火火墙对用用户身身份份的的过滤能能力力 (1010)防防火火墙的的可可扩展展性性、可升可升级性性 9.4 9.4 防火防火墙墙的的选购选购策略策略w总之,防火墙作为目前用来实现网络安全措施的一种主要手段,可以在很大程度上提高网络安全。但网络安全单靠防火墙是不够的,还需要有其它技术和非技术因素的考虑,如信息加密技术、身份验证技术、制定网络法规、提高网络管理人员的安全意识等等。9.5 9.5 防火防火墙实墙实例例 9.5.1 瑞星个人防火墙简介 瑞瑞星个人防火墙是一套由瑞星公司制作的给个人电脑使用的网络安全程序。
180、它采用增强型指纹技术,可根据系统管理者设定的安全规则(Security Rules)提供强大的访问控制、应用选通、信息过滤等功能,使网络保护更加智能,彻底阻挡了黑客攻击、木马程序等网络危险,保护用户上网帐号、QQ密码等信息不被窃取,为个人电脑提供了全面的安全保护。 瑞星个人防火墙安装方便,使用简单,界面简易清晰,用户只需下载其安装程序,在计算机上直接运行即可。目前最新版本是2005版。9.5 9.5 防火防火墙实墙实例例9.5.29.5.2瑞星个人防火瑞星个人防火墙墙的使用的使用 (1)安装和启动 瑞星个人防火墙的安装非常简单,用户只需双击运行防火墙安装程序,就可以进行安装了。当出现“检查序列
181、号”窗口时,在“序列号”框中需要输入瑞星个人防火墙的“产品序列号”,在“用户ID”中需要输入瑞星个人防火墙的“用户ID”。 当软件安装成功后,默认是启动“瑞星个人防火墙”程序,当用户点击【完成】后,就完成了整个瑞星个人防火墙下载版的安装,这时会自动启动瑞星个人防火墙下载版软件。 (2)升级 在升级之前首先要进行网络配置,以便于访问网络进行在线升级。点击菜单设置设置网络,弹出网络环境设置窗口,如下图: 9.5 9.5 防火防火墙实墙实例例 9.5 9.5 防火防火墙实墙实例例 程序默认的是“直接联通”的方式,如果是通过代理服务器上网,则应点击“通过代理服务器”前面的选项按钮,在下面填写“代理服务
182、器的IP地址”和“代理服务器的端口号”。如果是通过电话拨号上网方式,则应点击“使用拨号网络”前面的选项按钮。网络配置完成后,点击“确定”按钮,关闭网络环境设置窗口。 完成网络配置后,点击菜单操作智能升级,弹出如下图所示的窗口,直到完成智能升级。 9.5 9.5 防火防火墙实墙实例例(3)快速入门 启动瑞星个人防火墙的方法为:点击开始程序瑞星个人防火墙瑞星个人防火墙,成功启动程序后的界面如下图所示:9.5 9.5 防火防火墙实墙实例例(4)规则设置 当一个应用程序访问网络的时候,防火墙会提示是否放行,并且是否记录;如果记录,就会自动将这个应用程序加到访问规则中。用户也可以自己将某个应用程序加入到
183、访问规则中,点击“访问规则”页面中的“增加规则”按钮就可以了。 9.5 9.5 防火防火墙实墙实例例防火墙IP规则指定了计算机可进行哪种形式的网络通信,用户可以通过添加、修改、删除和插入等操作来自定义防火墙IP规则。单击“设置瑞星防火墙个人规则”界面中的“增加规则”按钮,可以打开“编辑IP规则”对话框,在该对话框中用户能够自定义规则的地址、端口号、TCP标志等多项网络通信规则的内容,从而允许、禁止特定类型的网络通信。若要插入规则,可以单击“插入规则”按钮,在打开的对话框中插入一项新规则。若要更改规则,请双击该规则,打开“编辑IP规则”对话框,在该对话框中可以更改规则的内容。若要删除规则,请选择
184、该规则,然后单击“删除规则”即可。9.5 9.5 防火防火墙实墙实例例 (5)瑞星2005版个人防火墙的新特性1.在规则设置界面中,对规则的类别作了进一步细化。现在的规则分为五大类别:未知、应用程序、系统、内容过滤和拒绝服务。通过类别的细化,用户可以更准确的辨别遭受攻击的类型和定制防范的类型,提高防火墙的工作效率,同时又降低了系统的资源占用率。2.在规则设置中,按照本地端口/远程端口进行设置,使得规则设置更简单。3.新增加的游戏保护功能,能够在用户上网玩游戏的时候,自动阻止其他程序对网络的访问,最大限度的保护用户的游戏账号的安全,使盗窃账号的木马程序无从下手。第十章第十章黑客的攻击与防范 10
185、.110.1初识黑客初识黑客 “黑客”一词是由英文“hacker”音译来过的,原是指热心于计算机技术,水平高超的计算机专家,尤其是程序设计人员。显然,真正的黑客是指真正了解系统,对计算机的发展有创造和贡献的人们,而不是以破坏为目的的入侵者。到了今天,黑客一词已被用于泛指那些未经许可就闯入别人计算机系统进行破坏的人。对这些人的正确英文叫法是Cracker,可翻译为“骇客”或“垮客”。 目前,黑客已经成为了一个特殊的社会群体,他们有自己的组织,并经常进行技术交流活动。同时,他们还利用自己公开的网站提供免费的黑客工具软件,介绍黑客攻击方法及出版网上黑客杂志和书籍。这使得普通人也很容易通过互联网学会使
186、用一些简单的网络攻击工具及方法,进一步恶化了网络安全环境。10.210.2黑客攻击的目的及步骤黑客攻击的目的及步骤 黑客攻击的目的主要有以下四种:(1)获取目标系统的非法访问(2)获取所需资料(3)篡改有关数据(4)利用有关资源基于以上目的,黑客会对计算机网络系统进行各种各样的攻击。虽然他们针对的目标和采用的方法各不相同,但所用的攻击步骤却有很多的共同性。一般黑客的攻击可分为以下几个步骤: (1)寻找目标主机并分析目标主机。 (2)登录主机。 (3)得到超级用户权限,控制主机。 (4)清除记录,设置后门 10.310.3常见的黑客攻击方法常见的黑客攻击方法 黑客的攻击手段多种多样,对常见攻击方
187、法的了解,将有助于用户达到有效防黑的目的。这些方法包括: 1、口令攻击 2、放置特洛伊木马程序 3、Web欺骗技术 4、电子邮件攻击 5、通过“肉鸡”来攻击其他节点 6、网络监听 7、缓冲区溢出 8、端口扫描攻击 9、其它攻击方法 10.410.4黑客工具黑客工具 所谓黑客工具是指编写出来用于网络安全方面的工具软件,其功能是执行一些诸如扫描端口,防止黑客程序入侵,监测系统等功能,有些是用来防御,而有些则是以恶意攻击为目的攻击性软件,常见的有木马程序,病毒程序,炸弹程序等,另外还有一部分软件是为了破解某些软件或系统的密码而编写的,一般也大都出于非正当的目的。我们可以通过它们了解黑客的攻击手段,掌
188、握防范黑客攻击的方法,堵住可能出现的各种漏洞。10.4.1木马程序 一般的木马都有客户端和服务器端两个执行程序,其中客户端是用于黑客远程控制植入木马的机器的程序,服务器端程序即是木马程序。如果黑客要通过木马入侵你的系统,他所要做的第一步就是要让木马的服务器端程序在你的计算机中运行。一旦运行成功,木马程序就可以获得系统管理员的权限,在用户毫不觉察的情况下,对计算机做任何能做的事情。所以,计算机用户应该经常检查自己的系统,作好木马的预防和清除工作。 10.410.4黑客工具黑客工具以下就一些知名的木马程序作简单介绍: 1、冰河冰河是一个优秀的国产木马程序,它功能众多,几乎涵盖了所有Windows的
189、常用操作,并具有简单、明了的中文使用界面。冰河的服务器端和客户端都是一个可执行的文件。如图所示,客户端的图标是一把打开的瑞士军刀,服务器端则看起来是个微不足道的程序,但就是这个程序在计算机上执行以后,该计算机的7626号端口就对外开放了。如果在客户端输入其IP地址,就可完全控制这台计算机了。 10.410.4黑客工具黑客工具冰河的功能比起国外的木马程序来一点也不逊色, 它可以自动跟踪目标机器的屏幕变化;可以完全模拟键盘及鼠标输入;可以记录各种口令信息,包括开机口令、屏保口令、各种共享资源口令以及绝大多数在对话框中出现过的口令信息;可以获取系统信息,包括计算机名、注册公司、当前用户、系统路径、操
190、作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据;它还可以限制系统功能、进行远程文件操作及注册表操作,同时它还具有发送信息和点对点通讯的能力。2.蓝色火焰 蓝色火焰是一款有实力、有新意的木马,它放弃了作为远程监控工具的客户端程序,直接利用现有网络相关的程序来控制服务器端。这一特色使蓝色火焰这个“没有客户端的木马”逐渐成为了许多黑客必备的工具之一。3.灰鸽子 灰鸽子是一个功能强大的远程控制类软件,它与同类木马软件不同的是采用了“反弹端口原理”的连接方式,可以在互联网上访问到局域网内通过透明代理上网的电脑,并且可以穿过某些防火墙。灰鸽子分为客户端与服务端,软件在下载安装后没有服务端,只
191、有客户端H_Clien.exe,服务器端是要通过配置来生成的。 现在的木马层出不穷,数不胜数,比较出名的还有诸如BO2K、广外女生、网络神偷、黑洞2001、无赖小子等等,令人防不胜防。我们应注意这方面的信息,作好对木马的防御和清除工作。一般来说,要作到以下三点:一、不轻易运行来历不明的软件;二、及时升级杀毒软件,使病毒库保持最新;三、安装并运行防火墙。10.410.4黑客工具黑客工具10.4.2扫描工具 扫描工具是一种能够自动检测远程或本地主机安全弱点的程序,通过它可以获得远程计算机的各种端口分配及提供的服务和它们的版本。扫描器工作时是通过选用不同的TCP/IP端口的服务,并记录目标主机给予的
192、应答,以此搜集到关于目标主机的各种有用信息的。对于扫描器,我们不能将它等同于一个攻击网络漏洞的程序。它只是提供了目标主机的信息,而不是直接进攻,它获取的信息必须经过人为的分析才能成为真正有用的信息。当然,这需要用户具有一定的网络知识,否则,扫描器对于用户来说,将毫无用处。下面就比较有名的扫描器做出介绍:1.流光流光是国内最著名的扫描、入侵工具,集端口扫描、字典工具、入侵工具、口令猜解等多种功能于一身,界面豪华,功能强大!它能让一个刚刚会用鼠标的人成为专业级黑客。它可以探测POP3、FTP、SMTP、IMAP、SQL、IPC、IIS、FINGER等各种漏洞,并针对各种漏洞设计了不同的破解方案,能
193、够在有漏洞的系统上轻易得到被探测的用户密码。流光对Windows9x/NT/2000上的漏洞都可以探测,使它成为了黑客手中必备的工具之一。 10.410.4黑客工具黑客工具2、Superscan Superscan是一个功能强大的端口扫描工具。它可以通过Ping来检验目标计算机是否在线,支持IP和域名相互转换,还可以检验一定范围内目标计算机的端口情况和提供的服务类别。Superscan可以自定义要检验的端口,并可以保存为端口列表文件,它还自带了一个木马端口列表,通过这个列表可以检测目标计算机是否有木马,同时用户也可以自己定义、修改这个木马端口列表。在Superscan找到的主机上,单击右键可以
194、实现HTTP浏览、TELNET登陆、FTP上传、域名查询等功能。 Superscan扫描时的速度非常快,而且CPU占用率也非常小、非常平稳,甚至感觉不到它的运行。同时,Superscan扫描时占用的带宽也非常小,在使用宽带和电话拨号网络时,几乎没有什么差别。Superscan很适合扫描整个网段中的特定端口,用它做端口范围165535的扫描也非常适合,所以,许多人把Superscan作为了扫描肉鸡及制作SOCK代理的必备工具。其缺点是扫描时,有些端口无法扫描到。 10.410.4黑客工具黑客工具 4、x-way2.5 x-way2.5是一个主要采用多线程形式对服务器系统进行漏洞扫描和安全测试的工
195、具。同流光一样,它最大的特点也是高集成度,除了拥有类似于流光中的IIS远程命令及SQL远程命令外,还拥有流光目前不具备的一些功能,在这一点上,x-way2.5与流光相比,毫不逊色。 x-way2.5可以对系统进行综合扫描,包括对端口及系统CGI漏洞的扫描。x-way2.5还可以对NT主机进行IPC探测,列举主机用户、共享资源及工作组,获取WEB服务信息,进行SMTP的用户验证及漏洞检测、FTP匿名登录检测、Finger探测、RPC探测、弱口令检测,并可代理扫描。由于x-way2.5是在Win2000下开发的,所以用户使用的时候,最好也在Win2000环境下,以发挥其最佳效果。 10.410.4
196、黑客工具黑客工具10.4.3破解工具 利用破解工具我们可以检查密码的安全性及找回忘记的密码,但用心不良的人也可以用它来破解他人的密码,以达自己不可告人的目的。 根据破解原理的不同,破解工具大致可分为穷举法破解器和查看法破解器两种。穷举法,又叫暴力破解法,其过程是从黑客字典里抽出一个字段来和要破解的密码进行对比,直到破解出密码或字典里的字段全部试完为止。这种守株待兔的方法看似简单,但由于黑客字典通常包含了很多黑客经验的累积,所以此法就对于安全意识不强的用户,破解率是很高的。查看法是指程序通过嗅探或系统漏洞来获得密码文件的方法。 下面简要介绍几个用于破解密码的工具软件。 1、溯雪 溯雪是小榕作品的
197、代表之一,它可以利用ASP、CGI对免费信箱进行密码探测,其运行原理是,通过提取ASP、CGI页面表单,搜寻表单运行后的错误标志,有了错误标志后,再挂上字典文件来破解信箱密码。 10.410.4黑客工具黑客工具2.网络刺客II 网络刺客是天行软件的经典之作,软件的最大作用就是,当有人在局域网中使用的POP3、FTP、Telnet服务时,网络刺客II就可以截获其中的密码。程序的II代同I代相比,无论在功能、性能、技术上都有了长足的进步,I代只相当于II代的一个微小子集。 3.黑雨黑雨是一款非常优秀的POP3邮箱密码暴力破解器。它可以验证用户名和密码是否正确,并独创了深度和广度两种破解算法。深度算
198、法是一种很特殊的算法,如果密码位数猜得准,就可以将破解时间缩短30%-70%。广度算法是一种老实的算法,现大多数类似功能的工具都采用它,其对3位以下的短小密码非常有效。总的来看,黑雨软件的特色为独创了多项算法,简单、易用且功能强大。 面对数量越来越多,功能越来越强的破解工具,我们应该作到,不轻易暴露自己的邮箱地址和论坛、聊天室的用户名;对于不同的邮箱要设置不同的密码;尽量把密码设置的复杂一些,不可设置为纯数字或纯字母,应把数字与字母相结合,并且密码长度要大于7位。同时还要注意,不可将破解工具用于非法用途或侵犯他人隐私,否则将承担相应的法律责任。10.410.4黑客工具黑客工具10.4.4炸弹工
199、具 炸弹攻击的基本原理是利用特殊工具软件,在短时间内向目标机集中发送大量超出系统接收范围的信息或者垃圾信息,目的在于使对方目标机出现超负荷、网络堵塞等状况,从而造成目标的系统崩溃及拒绝服务。常见的炸弹有邮件炸弹、逻辑炸弹、聊天室炸弹等。下面我们对一简单的邮件炸弹工具QuickFyre做出说明。程序运行后,出现如图所示的主界面,可以一目了然地看出这是一个发电子邮件的程序。我们只要在各个输入框中填入目标邮箱地址、发信人的邮箱地址(一般可假冒他人)、邮件的主题、邮件服务器地址和邮件复制的份数,然后在主界面下方的信件内容框中输入信件内容,单击“Mail”按钮,程序连接邮件服务器后,就开始发信进行攻击了
200、。目前对于邮件炸弹还没有解决的万全之策,只能消极防御,以预防为主。要做到尽量不轻易给别人留下自己的E-mail地址,同时申请容量较大的信箱,并开启邮件过滤功能。 10.410.4黑客工具黑客工具10.4.5 安全防御工具使用安全防御工具可以帮助我们抵挡网络入侵和攻击,防止信息泄露,并可以根据可疑的信息,来跟踪、查找攻击者。下面就一些经常使用的安全防御工具做出说明。 1.木马克星 木马克星是一款专门针对国产木马的软件。该软件是动态监视网络与静态特征字扫描的完美结合,可以查杀5021种国际木马,112种电子邮件木马,保证查杀冰河类文件关联木马,QQ类寄生木马,ICMP类幽灵木马,网络神偷类反弹木马
201、,并内置木马防火墙,任何黑客试图与本机建立连接,都需要木马克星的确认,不仅可以查杀木马,还可以查黑客。木马克星可以对内存和硬盘进行扫描,还可以对系统进程、网络状态、共享及启动项目等进行监控。由于采用了监视硬盘技术,木马克星不占用CPU负荷,占用系统资源少,并且可以在线升级木马库,使其操作更加智能,查杀木马更多。 10.410.4黑客工具黑客工具2.Lockdown2000 Lockdown 2000是一款功能强大的网络安全工具,能够清除木马,查杀邮件病毒,防止网络炸弹攻击,还能在线检测所有对本机的访问并进行控制。Lockdown 2000专业版完全可以胜任本机防火墙的工作。在Lockdown
202、2000专业版中总共有13个功能模块,包括木马扫描器、端口监视器、共享监视器、连接监视器、进程监视器、网络监视器、网络工具包等,涉及到网络安全的方方面面。如果能合理的配置Lockdown 2000专业版,并结合其它工具,其功能完全可以强过一些中小企业级防火墙。3.Recover4allProfessional2.15 Recover4all Professional 2.15是Windows 系统下短小精悍、功能强大、人手必备的文件反删除工具,可用于恢复被黑客删除的数据。其原理为,当删除一个文件时,系统并不是到每个簇去清除该文件的内容,而仅仅是把ROOT里面文件名的第一个字符换成一个特殊的字符
203、,以标记这个文件被删除而已。Recover4all Professional 2.15可以把此过程逆向操作,即可恢复文件了。 Recover4all Professional 2.15的操作非常简单,只要点击想要恢复的数据分区前面的“+”号,程序就会对分区进行两次扫描,并显示出被删除文件的详细列表。然后选择想要恢复的文件,并选择好存储路径即可实现恢复。10.510.5攻击实例攻击实例 在微软的IIS服务器中,printer漏洞、ida/idq漏洞以及Unicode漏洞并列为当前IIS服务器中最严重的三大安全漏洞,对于IIS服务器的入侵大多是基于以上的三个漏洞发起的。下面,简单介绍一下如何利用p
204、rinter远程溢出漏洞入侵站点。我们需要的攻击程序有一个功能强大的扫描工具(流光、X-way、X-scan均可)和用于printer溢出的IIS5hack。 首先,我们需要通过扫描工具找出存在printer漏洞的主机。在这里选用扫描器X-scan。打开X-scan,输入目标主机IP地址或IP段,单击“开始扫描”后,如果对方主机存在printer漏洞,就会在命令行界面中出现“FoundIISremote.printeroverflowbug!”的提示。 接下来使用IIS5hack的远端打开端口功能,在目标主机上打开99号端口,这样,我们就得到了远程主机的system权限。 然后,在这台主机上作
205、个后门,并添加一用户到administrators组。至此,我们已经能够完全控制这台主机了。10.610.6防黑措施防黑措施 各种黑客的攻击程序虽然功能强大,但并不可怕。只要我们作好相应的防范工作,就可以大大降低被黑客攻击的可能性。具体来说,要做到以下几点: 1、隐藏IP地址 2、更换管理员帐户 3、杜绝Guest帐户的入侵 4、删掉不必要的协议5、关闭“文件和打印共享” 6、作禁止建立空连接 7、关闭不必要的服务 8、做好IE的安全设置 9、要使用杀毒软件、防火墙及反黑客软件 10、及时给系统打补丁并作好数据的备份 总之,我们应当认真制定有针对性的策略。明确安全对象,设置强有力的安全保障体系。在系统中层层设防,使每一层都成为一道关卡,从而让攻击者无隙可钻、无计可使。
