2016-2022年中国光学材料市场发展深度调研及十三五未来前景研究报告

1、单元二 数据安全及病毒、木马的防范项目三防病毒技术与防火墙的应用教学目标1理解防病毒技术与防火墙概念及相关技术；2掌握利用系统功能实现病毒的防范或清除的设置；3完成宏病毒、网页病毒及CodeBue病毒的制作和防范；4熟练掌握瑞星防火墙的正确使用与配置。教学要求1认真听讲，专心操作, 操作规范， 认真记录实验过程，总结操作经验和写好实验报告，在实验中培养严谨科学的实践操作习惯；2遵守学校的实验室纪律，注意人身和设备的安全操作，爱护实验设备、及时上缴作业；3教学环境： Windows 7以及Windows server2003/2008以上操作系统。知识要点1防病毒技术的概念、触发机制、判定及检测

2、病毒存在的方法、病毒防治的策略；2防火墙的概念、工作原理、功能、防火墙技术及实施方式。技术要点1掌握利用系统功能实现病毒的防范或清除的设置；2完成宏病毒、网页病毒及CodeBue病毒的制作和防范；3熟练掌握瑞星防火墙的正确使用与配置。技能训练一讲授与示范正确启动计算机，在最后一个磁盘上建立以学号为名的文件夹，从指定的共享文件夹中将“实习指导书”和其他内容复制到该文件夹中。(一)计算机病毒1计算机病毒定义计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。2计算机病毒触发机制1）时间触发 包括特定的时间触发、染毒后累计

3、工作时间触发、文件写入时间触发等。2）键盘触发 包括击键次数触发、组合键触发、热启动触发等。3）感染触发 包括运行感染文件个数触发、感染序数触发等。4）启动触发 将机器的启动次数作为触发条件。5）访问磁盘次数触发 将对磁盘访问的次数作为触发条件。6）调用中断功能触发 将中断调用次数作为触发条件。7）CPU型号/主板型号触发 以预定CPU型号/主板型号作为触发条件。3病毒的隐藏之处1）可执行文件。2）引导扇区。3）表格和文档。 4）Java小程序和ActiveX控件。5）压缩文件、电子邮件4判断病毒的存在1）经常死机2）系统无法启动3）文件打不开4）经常报告内存不够5）提示硬盘空间不够6）光盘等

4、设备未访问时出读写信号7）出现大量来历不明的文件8）数据丢失9）键盘或鼠标无端地锁死10)系统运行速度慢11)系统自动执行操作5.计算机病毒的防治及检测策略1）建立、健全法律和管理制度 2）加强培训和宣传 3）采取更有效的技术措施 系统安全：使用开机检测和扫描病毒应用程序或杀毒软件，或者防病毒卡和防病毒芯片。 软件过滤 识别某一类特殊的病毒，防止它们进入系统和不断复制，主要用于大中型计算机。 文件加密利用数字签名完成加密，将其附加在可执行文件之后。 生产过程控制 备份恢复 其他有效措施 a.重要的磁盘和重要的带后缀.COM和.EXE的文件赋予只读功能，避免病毒写到磁盘上或可执行文件中，或注意文

5、件的长度；b.消灭传染源； c.建立程序的特征值档案；d.严格内存管理，进行内存检查（低端内存为640KB，内存标准655360B）；e.严格中断向量的管理；g.强化物理访问控制措施；f.一旦发现病毒蔓延，要采用可靠的杀毒软件和请有经验的专家处理，必要时需报告计算机安全监察部门，特别要注意不要使其继续扩散。4）网络计算机病毒的防治 在网络中，尽量多用无盘工作； 在网络中，要保证系统管理员有最高访问权限，避免过多的超级用户； 对非共享软件，将其执行文件和覆盖文件如*.COM、*.EXE、*.OVL等备份到文件服务器，定期从服务器上拷贝到本地硬盘上进行重写操作； 接收远程文件输入时，一定不要将文件

6、直接写入本地硬盘，而应将远程输入文件写到工作站上，然后对其进行查毒，确认无毒后再拷贝到本地硬盘上； 工作站采用防病毒芯片，这样可防止引导型病毒； 正确设置文件属性，合理规范用户的访问权限； 建立健全的网络系统安全管理制度，严格操作规程和规章制度，定期作文件备份和病毒检测； 目前预防病毒最好的办法就是在计算机中安装防病毒软件，这和人体注射疫苗是同样的道理。采用优秀的网络防病毒软件，如LAN Protect和LAN Clear for NetWare等； 为解决网络防病毒的要求，已出现了病毒防火墙，在局域网与Internet，用户与网络之间进行隔离。5）采用检测病毒方法 校验和法 将正常文件的内容

7、，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒；优点：方法简单能发现未知病毒、被查文件的细微变化也能发现；缺点：发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒； 行为监测法 利用病毒的特有行为特征性来监测病毒的方法，行为特征如下：A.占有INT 13H所有的引导型病毒，都攻击Boot扇区或主引导扇区。系统启动时，当Boot扇区或主引导扇区获得执行权时，系统刚刚开工。一般引导型病毒

8、都会占用INT 13H功能，因为其他系统功能未设置好，无法利用。引导型病毒占据INT 13H功能，在其中放置病毒所需的代码。B.改系统的数据区的内存总量 病毒常驻内存后，为了防止系统将其覆盖，必须修改系统内存总量。C.对COM、EXE文件做写入动作病毒要感染，必须写COM、EXE文件。D.病毒程序与宿主程序的切换 染毒程序运行中，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。长处：可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法短处：可能误报警、不能识别病毒名称、实现时有一定难度。 移植检查法利用编码技术,在可执行程序前添加一段自我检查程序，如果发现中毒，则主动修复。特

9、点：不认病毒，无需经常更新，不用备份缺点：移植（加载）检查段前，必须确定无毒增加可执行文件长度，减少可用空间，加长运行时间病毒代码比较法病毒码库10 11 01 11 00 11 11 00 00 01 11 10 11 01 01100110001110101010011101110111.染毒程序特点：速度慢，误报警率低缺点：不能检查多态性病毒，不能对付隐藏性病毒软件模拟法：主要针对多态性病毒：该工具开始运行时，使用特征代码法检测病毒，如发现隐蔽病毒或多态性病毒嫌疑时，启动软件模拟模块，监视病毒的运行，待病毒自身的密码译码以后，再运用特征代码法识别其种类。先知扫描法（VICE）：是软件模拟

10、后的一大技术突破：可以建立一个保护模式下的DOS虚拟机器，模拟CPU动作并假执行程序以解开变体引擎病毒，那么应用类似的技术也可以用来分析一般程序检查可疑的病毒码实时I/O扫描：目的：用于即时对数据输入/输出动作做病毒码对比，希望在病毒尚未被执行前，能防堵下来。特点：文件传入就进行一次扫描缺点：影响数据的输入输出6病毒清除不掉的因素问题：病毒清除不掉的原因(二)防火墙技术1防火墙的定义防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间，并对经过它的网络流量进行检查的一系列部件的组合。防火墙实质上是一种隔离控制技术，其核心思想是在不安全的网络环境下构造一种相对安全的内

11、部网络环境。2防火墙的工作原理防火墙是一种访问控制技术，位于可信和不可信网络之间，通过设置一系列安全规则对两个网络之间的通信进行控制，检测交换信息，防止对重要信息资源的非法存取和访问，以达到保护系统的目的。3防火墙的功能防火墙由于处于网络边界的特殊位置，因而被设计集成了非常多的安全防护功能和网络连接管理功能。1）访问控制功能2）防止外部攻击功能3）NAT地址转换功能4）日志与报警功能5）身份认证功能4防火墙的实现技术1）过滤技术2）应用代理技术3）状态检测技术5防火墙的实施方式1）基于网络主机的防火墙 一种是以现有的平台为基础，防火墙作为一个在商业操作系统上运行的应用程序。 另一种是将防火墙整

12、合成操作系统的一部分，这些系统通常并不具有商业操作系统的全部功能，其中所有防火墙不需要的功能都被删除了。 2）基于路由器的防火墙 基于路由器的防火墙设备有很强的包过滤功能，而且使用方便。 在一些优化了的防火墙和路由器的体系结构中，路由器只执行简单的包检查功能，防火墙则对能够通过路由器的数据包进行检查。 3）基于单个主机的防火墙 基于单个主机的防火墙通常是安装在单个系统上的一种软件，只保护本系统不受侵害。 4）硬件防火墙 硬件防火墙是一种软硬件相结合的设备，是出于优化防火墙功能的目的而特意设计的，它对到达的网络流量进行检测以便决定是否转发该流量。 (三)常见防病毒技术的使用任务1 利用系统功能实

13、现病毒防范或清除步聚：1利用系统功能对病毒防范或清除1）利用BIOS设置防毒 方法：开机按Del或F2进入主界面BIOS FEATURES SETUPAuti-Virus Protection项设置为“EnABLED”开启防病功能按F10再回车。2）根据进程名查杀病毒 说明：主要针对有些很顽固性病毒不能结束掉其进程来清除方法：在“任务管理器”找到病毒进程名开始运行taskkill /im 进程名。3）根据进程号查杀病毒方法：开始运行tasklist列出了所在进程的进程号PID。 开始运行 ntsd c q p PID，可强行杀死病毒4）巧用故障恢复控制台删除病毒 方法：用XP安装光盘启动电脑，

14、在安装界面中按“R”键选择修复安装，进入控制台，在命令提示符下运行“del c:路径 病毒名”，即可删除病毒。5）清理U盘病毒”autorun” 方法：资源管理器工具文件夹选项查看高级设置显示所有文件和文件夹。打开U盘图标，找到autorun并打开，删除其相关联的病毒文件。6）清除“WAY”木马 方法：打开任务管理器，结束CWAY进程，删除注册表启动项中的WAY键值项；在“文件夹选项”对话框中取消“隐藏受保护的操作系统文件”；进入C:WINDOWSsystem目录，找到msgsvc.exe并删除。7）设置Temp文件夹的权限防止病毒放侵 要求：去掉Temp文件夹的文件的文件运行权限，防止木马运

15、行方法：NTFS内TMEP属性安全点击登录用户(administrator) 高级查看/编辑遍历文件夹/文件运行勾取“拒绝”2下载“补丁”防范或清除病毒1）给电脑打上“魔波”补丁方法：下载补丁(/china/technet/security/bulletin/MS06-040.mspx),安装重启计算机即可。2）利用专杀工具查杀“熊猫烧香”病毒 方法：下载补丁(/channels/service/index.html)，运行下载的NimayaKiller.scr，然后在其主界面单击”杀毒”按钮即可进行查杀

16、。3）清除“威金蠕虫”病毒 方法：下载“威金病毒专杀工具”查杀机器中的病毒，下载补丁(/channels/service/2006-071153119832d22607.shtml) ，运行该工具，然后在其主界面单击”杀毒”按钮即可进行查杀。4）解除IE的分级审查口令方法：进入注册表，找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionpoliciesRatings，若有一个名为key的主键，这是设置的分级审查口令，直接将它删除即可。任务2 宏病毒、网页病毒及CodeBue病毒的制作和防

17、范1工作原理 1）宏病毒利用一些数据处理系统内置宏编程指令的特性而形成的一种特殊病毒，主要依附于Word文件上的宏，利用Word的打开或关闭进执行内部宏命令代码，从而感染系统。2）网页病毒利用脚本开发语言将类似于VBScript代码添加到HTML页面中，编写Web应用程序时实现系统功能的应用，同时也可利用此功能制作具有特定功能的网页病毒。3）Code Bule蠕虫病毒“蓝色代码” 病毒主要感染Windows NT和Windows 2X服务器，主要攻击微软inetinfo.exe IIS服务程序的漏洞，并植入名为SvcHost.exe的黑客程序。该程序不断生成新的线程，导致系统运行缓慢，甚至瘫痪

18、。2宏病毒的制作与防范1）完整安装Office的Word组件2）Word窗口的菜单栏的“插入”“对象”“对象类型”“包”选项 “确定”3）在弹出的“对象包装程序”窗口中的“编辑” “命令行” “命令行”对话框中输入“C:Windowssystem32telnet.exe”。“对象包装程序”窗口中的“插入图标” 为该命令行选一个有诱惑力的图标，并关闭该窗口，此时会在文档的相关位置出现一个和相关命令关联的图标，并且可以在图标旁边添加具有鼓动性的文字。4）宠病毒的清除与防范使用杀毒软件检查Word安装目录下的Startup目录文件和Normal.dot文件。打开Word应用程序，但不双击word文档

19、，选择“工具” 宏 安全性 选择“高”或“非常高”。3网页病毒的制作与防范1）配置好IIS服务器和Web服务器2）编辑代码，利用记事本编辑test.asp代码：3）将该文件保存到Web服务器的路径中：Inetpubwwwroottest.asp 。4）启动Web服务器后，在IE浏览器中输入“http:/localhost/test.asp”，若无语法错误则会在浏览器中出现信息“新建文件myfile”，在D盘根目录下建一个文件myfile。5）网页病毒的防范使用“regsvr32 scrrun.dll/u”命令禁用文件系统对象“FileSystemObject”自定义安全级别：Internet选

20、项 “安全” “自定义安全级别” 禁用“ActiveX控件及插件”4CodeBlue病毒的防范1）文件查看病毒系统C盘根目录，查看是否存在svchost.exe和httpext.dll。 (两个文件是隐藏性)2）注册表编辑器regedit.exe查看HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun是否存在“Domain Manager”的字符串，其值为C:svchost.exe 。3）任务管理器查看菜单中的“查看”“选择列” 选择“线程计数” 确定通常有23个svchost.exe的进程。查看svchost.exe所用的线程

21、是否超过100，CodeBlue的线程数一般为104或105。4）删除病毒文件 结束CodeBlue的svchost.exe的对应的线程查看C:inetpubscripts是否存httpext.dll。若有则删除，同时删除C:svchost.exe文件。若这两个文件删除，可从其他计算机中复制相应的文件：C:winntsystem32svchost.exe、C:winntsystem32inrtsrvhttpext.dll。 删除c:inetpubscripts目录下大小为46587或47009的httpext.dll文件。 删除注册表HKEY_LOCAL_MACHINESOFTWAREMicr

22、osoftWindowsCurrentVersionRun下的以Domain Manage命名的键值。二课堂任务实践任务3瑞星防火墙的使用与配置要求： 首页、网络安全功能模块的配置 家长控制功能模块的策略设置：周一至周五00-19:30 21:30-24:00时段除可以下载外，其他都禁止及其相关敏感词，周六至周日00-12：00时段除可以下载外，其他根据实际情况进行设置 防火墙规则：联网程序规则、IP规则步骤： 正确安装瑞星防火墙； 首页、网络安全功能模块的配置及相关知识的认识； 家长控制功能模块的策略设置； 查看本机上那些联网程序规则可以禁止； 认识IP规则：“允许FTP数据”、“允许BT下载”、“禁止Ping入”以及“禁止TCP135、445”； 设置IP规则防火墙规则 IP规则 增加 BT连接端口