第30讲第七章操作系统安全性

1、1河北科技师范学院大专课程河北科技师范学院大专课程 第三十讲主讲人：曾晓宁2 第7章 操作系统的安全性3u 操作系统安全性概念操作系统安全性概念 u 操作系统安全机制（内存保护机制、操作系统安全机制（内存保护机制、文件保护机制、用户鉴别机制、恶意程序文件保护机制、用户鉴别机制、恶意程序防御机制）防御机制）u 实现系统安全性的基本策略实现系统安全性的基本策略本章知识点：本章知识点：47.1 7.1 安全性概述安全性概述7.1.1 安全性含义安全性含义 计算机系统的安全性是指防范与保计算机系统的安全性是指防范与保护计算机系统及其信息资源，使其在使护计算机系统及其信息资源，使其在使用过程中免受人为的

2、蓄意攻击、失误与用过程中免受人为的蓄意攻击、失误与自然危害等带来的损坏、窃取、篡改或自然危害等带来的损坏、窃取、篡改或泄密。泄密。5对用户来说，计算机系统应具有：对用户来说，计算机系统应具有：n保密性保密性n完整性完整性n可用性可用性n真实性真实性指文件、数据等信息不被非授指文件、数据等信息不被非授权用户访问。权用户访问。指非授权用户在没有得到拥有指非授权用户在没有得到拥有者本人同意的情况下不能随意者本人同意的情况下不能随意修改数据。修改数据。指系统随时满足用户的任何正指系统随时满足用户的任何正常资源请求，防止资源被非法常资源请求，防止资源被非法独占。独占。指计算机系统能验证用户的身指计算机系

3、统能验证用户的身份是否合法，防止非法用户进份是否合法，防止非法用户进入系统。入系统。6计算机系统安全分为：计算机系统安全分为：n硬件安全硬件安全n软件安全软件安全是指硬件设备的可用性，防止是指硬件设备的可用性，防止出现硬件故障，一旦出现问题出现硬件故障，一旦出现问题能及时进行处理和修复。能及时进行处理和修复。是指软件运行的可用性、正确是指软件运行的可用性、正确性和可靠性，防止非法复制和性和可靠性，防止非法复制和使用未经许可的软件资源。使用未经许可的软件资源。77.1.2 影响系统安全性的因素影响系统安全性的因素1、自然因素、自然因素n自然灾害自然灾害n软硬件故障软硬件故障2、人为因素、人为因素

4、n发生人为失误发生人为失误n病毒破坏病毒破坏P250n黑客入侵黑客入侵8 操作系统（操作系统（Operating System）是一组）是一组面向机器和用户的程序，其目的是最大限度面向机器和用户的程序，其目的是最大限度地、高效地、合理地使用计算机资源，同时地、高效地、合理地使用计算机资源，同时对系统的所有资源（软件和硬件资源）进行对系统的所有资源（软件和硬件资源）进行管理。管理。 操作系统安全包括了对系统重要资源操作系统安全包括了对系统重要资源（存储器、文件系统）的（存储器、文件系统）的保护和控制保护和控制。 补：操作系统安全性问题补：操作系统安全性问题9 1、重要性、重要性u 用户与计算机系

5、统的交互用户与计算机系统的交互界面和环境界面和环境u 各种应用系统运行的各种应用系统运行的软件平台软件平台u 计算机系统计算机系统运行基础运行基础u 工作任务成败的关键工作任务成败的关键一、操作系统的重要性：一、操作系统的重要性：10操作系统是计算系统安全的原始基石，现操作系统是计算系统安全的原始基石，现代操作系统支持许多程序设计概念，允许代操作系统支持许多程序设计概念，允许多道程多道程序及资源共享序及资源共享，同时也限制各类程序的行为。操，同时也限制各类程序的行为。操作系统的功能和权力如此之大，使它也成为攻击作系统的功能和权力如此之大，使它也成为攻击的首要目标。一旦攻破操作系统的防御，就获得

6、的首要目标。一旦攻破操作系统的防御，就获得了计算系统保密信息的存取权。了计算系统保密信息的存取权。11 1、来自系统设计上的缺陷、来自系统设计上的缺陷 2、来自外部的恶意攻击、来自外部的恶意攻击 计算机恶意程序，非法使用、系统破坏计算机恶意程序，非法使用、系统破坏等。等。 一个没有设防的系统或者防御性不好一个没有设防的系统或者防御性不好的系统，对合法用户与非法用户实际上提的系统，对合法用户与非法用户实际上提供了同样的计算和通信能力。供了同样的计算和通信能力。二、操作系统的安全威胁：12u计算机网络的普及使任何一台计算机都可以通计算机网络的普及使任何一台计算机都可以通过某种途径与网络相连，通过各

7、个站点而进入网过某种途径与网络相连，通过各个站点而进入网络系统；络系统；u各种应用软件，将与各种恶意的和非法的程序各种应用软件，将与各种恶意的和非法的程序共存，各类计算机犯罪共存，各类计算机犯罪 ( (如滥用、伪造、篡改、如滥用、伪造、篡改、误导、窃取等误导、窃取等) ) 也容易趁虚而入。也容易趁虚而入。 如果操作系统本身的安全机制不能抵挡入侵如果操作系统本身的安全机制不能抵挡入侵者的攻击，所造成的损坏和范围将是严重和广泛者的攻击，所造成的损坏和范围将是严重和广泛的。的。13 计算机系统的安全极大地取决于操作系统计算机系统的安全极大地取决于操作系统的安全，的安全，计算机操作系统的安全是利用安全

8、手计算机操作系统的安全是利用安全手段防止操作系统本身被破坏，防止非法用户对段防止操作系统本身被破坏，防止非法用户对计算机资源计算机资源 ( (如软件、硬件、时间、空间、数如软件、硬件、时间、空间、数据、服务等资源据、服务等资源) ) 的窃取。的窃取。 操作系统安全的实施将保护计算机硬件、操作系统安全的实施将保护计算机硬件、软件和数据，防止人为因素造成的故障和破坏软件和数据，防止人为因素造成的故障和破坏.三、操作系统的安全性三、操作系统的安全性14补：什么是系统漏洞补：什么是系统漏洞 所谓漏洞就是操作系统软件在编写时产生错所谓漏洞就是操作系统软件在编写时产生错误，这个错误可以被不法者利用来攻击安

9、装这个误，这个错误可以被不法者利用来攻击安装这个软件的电脑。软件的电脑。系统漏洞又称安全缺陷，对用户造系统漏洞又称安全缺陷，对用户造成的不良后果如下：成的不良后果如下： n如漏洞被恶意用户利用，会造成信息泄漏，如黑如漏洞被恶意用户利用，会造成信息泄漏，如黑客攻击网站即利用网络服务器操作系统的漏洞。客攻击网站即利用网络服务器操作系统的漏洞。 n对用户操作造成不便，如不明原因的死机和丢失对用户操作造成不便，如不明原因的死机和丢失文件等。文件等。 15漏洞产生的原因漏洞产生的原因n受编程人员的能力、经验和当时安全技受编程人员的能力、经验和当时安全技术所限，在程序中难免会有不足之处，术所限，在程序中难

10、免会有不足之处，轻则影响程序效率，重则导致非授权用轻则影响程序效率，重则导致非授权用户的权限提升。户的权限提升。 n由于硬件原因，使编程人员无法弥补硬由于硬件原因，使编程人员无法弥补硬件的漏洞，从而使硬件的问题通过软件件的漏洞，从而使硬件的问题通过软件表现。表现。 16漏洞的特点漏洞的特点n漏洞问题是与时间紧密相关的。一个系统从发漏洞问题是与时间紧密相关的。一个系统从发布的那一天起，随着用户的深入使用，系统中布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断暴露出来，这些早先被发存在的漏洞会被不断暴露出来，这些早先被发现的漏洞也会不断被系统供应商发布的补丁软现的漏洞也会不断被系统供应商

11、发布的补丁软件修补，或在以后发布的新版系统中得以纠正。件修补，或在以后发布的新版系统中得以纠正。n而在新版系统纠正了旧版本中具有漏洞的同时，而在新版系统纠正了旧版本中具有漏洞的同时，也会引入一些新的漏洞和错误。因而随着时间也会引入一些新的漏洞和错误。因而随着时间的推移，旧的漏洞会不断消失，新的漏洞会不的推移，旧的漏洞会不断消失，新的漏洞会不断出现。漏洞问题也会长期存在。断出现。漏洞问题也会长期存在。 17什么是漏洞补丁什么是漏洞补丁? 针对某一个具体的系统漏洞或安全问题而发针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序，通常布的专门解决该漏洞或安全问题的小程序，通常

12、称为修补程序，也叫系统补丁或漏洞补丁。称为修补程序，也叫系统补丁或漏洞补丁。 漏洞补丁不限于漏洞补丁不限于Windows系统，大家熟悉系统，大家熟悉的的Office产品同样会有漏洞，也需要打补丁。而产品同样会有漏洞，也需要打补丁。而且，微软公司为提高其开发的各种版本的且，微软公司为提高其开发的各种版本的Windows操作系统和操作系统和Office软件的市场占有率，软件的市场占有率，会及时的把软件产品中发现的重大问题以安全公会及时的把软件产品中发现的重大问题以安全公告的形式公布于众告的形式公布于众. 如果系统存在漏洞，请及时打上漏洞补丁，如果系统存在漏洞，请及时打上漏洞补丁，以防止恶意软件，木

13、马，病毒的攻击。以防止恶意软件，木马，病毒的攻击。18如何处理系统中的漏洞如何处理系统中的漏洞 nWindows操作系统的漏洞，操作系统的漏洞，某些由于软件设计失误而产生，某些由于软件设计失误而产生，另一些则由于用户设置不当所引发，另一些则由于用户设置不当所引发，均会严重影响系统安全。均会严重影响系统安全。针对两种不同的错误需采用不同的方式加以解决，如下所述：针对两种不同的错误需采用不同的方式加以解决，如下所述： (1)针对设计错误，微软公司会及时推出补丁程序，用户只针对设计错误，微软公司会及时推出补丁程序，用户只需及时下载并安装即可，因此建议用户经常浏览微软的安全需及时下载并安装即可，因此建

14、议用户经常浏览微软的安全公告，并及时下载补丁，官方网址为：公告，并及时下载补丁，官方网址为：http:/ (2)对于设置错误，则应及时修改配置，使系统更加安全可对于设置错误，则应及时修改配置，使系统更加安全可靠。靠。 19市面上主流打漏洞补丁产品市面上主流打漏洞补丁产品1.Windows自身自身Windows自身以前是通过光盘或其他介质自身以前是通过光盘或其他介质来发行补丁，后来随着网络的发展，现在多数来发行补丁，后来随着网络的发展，现在多数可以通过互联网来直接下载，而且可以通过互联网来直接下载，而且Windows将漏洞补丁功能集成在了其系统中，只要安装将漏洞补丁功能集成在了其系统中，只要安装

15、完后，默认会自动开启此功能。完后，默认会自动开启此功能。2.各杀毒软件各杀毒软件系统漏洞同样有很大的危险，作为杀毒公司系统漏洞同样有很大的危险，作为杀毒公司自然不能不管。因此他们也开发了系统漏洞扫自然不能不管。因此他们也开发了系统漏洞扫描和打补丁的功能。国内的杀毒厂商的产品基描和打补丁的功能。国内的杀毒厂商的产品基本都有这样的功能。本都有这样的功能。203.反恶意软件反恶意软件以以360安全卫士为代表的反恶意软件同样提安全卫士为代表的反恶意软件同样提供了类似的功能，还有雅虎的天盾也有这样的供了类似的功能，还有雅虎的天盾也有这样的功能。功能。4.迅雷软件迅雷软件随着下载在网民上网行为中占据越来越

16、重的随着下载在网民上网行为中占据越来越重的份额，木马、蠕虫、病毒、插件等也份额，木马、蠕虫、病毒、插件等也“泥沙俱泥沙俱下下”，将其夹带在了下载资源之中，给我们带，将其夹带在了下载资源之中，给我们带来了极大麻烦。作为最大的下载服务提供商的来了极大麻烦。作为最大的下载服务提供商的迅雷提供了漏洞补丁修复功能。而且，它较其迅雷提供了漏洞补丁修复功能。而且，它较其他的产品还有很多的特色功能。他的产品还有很多的特色功能。nhttp:/ 一个一个OSOS仅仅完成功能设计还不够，还必仅仅完成功能设计还不够，还必须在安全上采取有效的机制来保证须在安全上采取有效的机制来保证OSOS的安全，的安全，与操作系统本身

17、密切相关的最基本的安全机与操作系统本身密切相关的最基本的安全机制：制：1 1、隔离机制、隔离机制2 2、分级安全机制、分级安全机制7.1.3 操作系统的安全机制操作系统的安全机制221、隔离机制、隔离机制n在多道程序环境下，实现系统进程、用在多道程序环境下，实现系统进程、用户进程及用户进程之间相互隔开的一种户进程及用户进程之间相互隔开的一种手段。手段。n根据隔离技术不同，可分为：根据隔离技术不同，可分为：n状态隔离状态隔离n空间隔离空间隔离23状态隔离状态隔离n通过对通过对CPU设置不同的工作状态，来保设置不同的工作状态，来保护系统中的程序相互之间不被互相干扰护系统中的程序相互之间不被互相干扰

18、和破坏。和破坏。n通用的方法是为通用的方法是为CPU设置两种状态：核设置两种状态：核心态和用户态，在不同状态下只能使用心态和用户态，在不同状态下只能使用不同的机器指令。不同的机器指令。核心态时，核心态时，CPU只能执行内存只能执行内存管理、中断处理、管理、中断处理、I/O处理及系处理及系统调用等在内的所有指令。统调用等在内的所有指令。用户态时，用户态时，CPU只能执行用户只能执行用户程序，如执行编译、编辑、连程序，如执行编译、编辑、连接等各种实用程序。接等各种实用程序。24空间隔离空间隔离n指为不同进程分配不同的地址空间，从指为不同进程分配不同的地址空间，从而避免相互干扰。而避免相互干扰。n多

19、道系统中，空间隔离能确保每个用户多道系统中，空间隔离能确保每个用户进程能正确运行。进程能正确运行。n通过一些内存管理技术，也能实现每个通过一些内存管理技术，也能实现每个用户进程内存空间的保护。用户进程内存空间的保护。252、分级安全机制、分级安全机制 是指把是指把OS的安全管理分为几个级别的安全管理分为几个级别或层次，常用的一种三级安全管理模式或层次，常用的一种三级安全管理模式如下：如下：n系统级安全管理系统级安全管理n用户级安全管理用户级安全管理n文件级安全管理文件级安全管理26系统级安全管理系统级安全管理n任务是禁止未授权用户进入系统，目的任务是禁止未授权用户进入系统，目的是防止他人从系统

20、外入侵。从源头上杜是防止他人从系统外入侵。从源头上杜绝他人非法进入系统。绝他人非法进入系统。n可采用的措施：可采用的措施：n注册机制注册机制n登录机制登录机制系统设置一张注册表，记录了系统设置一张注册表，记录了注册用户名和口令等信息，使注册用户名和口令等信息，使系统管理员给了解进入系统的系统管理员给了解进入系统的用户的情况，并确保每个用户用户的情况，并确保每个用户在系统中是唯一的。在系统中是唯一的。用户进入系统时，首先要进行用户进入系统时，首先要进行登录，只有通过系统验证后的登录，只有通过系统验证后的用户才能进入系统。用户才能进入系统。27用户级安全管理用户级安全管理n具体通过给用户文件指定访

21、问权限来限具体通过给用户文件指定访问权限来限制用户对文件的访问。根据用户的种类、制用户对文件的访问。根据用户的种类、需求和文件属性来设定用户对文件的访需求和文件属性来设定用户对文件的访问权限。问权限。28文件级安全管理文件级安全管理n系统管理员或文件所有者通过对文件系统管理员或文件所有者通过对文件属性的设置，来控制其他用户对文件属性的设置，来控制其他用户对文件的访问。的访问。297.2 实现系统安全性的基本策略实现系统安全性的基本策略 在操作系统安全机制下，计算机系在操作系统安全机制下，计算机系统可采用一套行之有效的安全策略来应统可采用一套行之有效的安全策略来应对安全性问题：对安全性问题：n身

22、份鉴别策略身份鉴别策略 n文件保护策略、文件保护策略、n内存保护策略、内存保护策略、n恶意程序防御机制。恶意程序防御机制。 30 网络的普及使任何人都可以试图登录网络的普及使任何人都可以试图登录进入系统进入系统. 用户认证机制必须基于计算机系统和用户认证机制必须基于计算机系统和人双方都能够认可的鉴别媒体和知识。最人双方都能够认可的鉴别媒体和知识。最常见的身分鉴别机制是口令常见的身分鉴别机制是口令 (password)。 此外，数字签名、指纹识别、声音辨此外，数字签名、指纹识别、声音辨识等操作系统安全机制也正在建立。识等操作系统安全机制也正在建立。31方法：方法：u在系统中必须为每个用户设置一个

23、唯一在系统中必须为每个用户设置一个唯一的帐号，每个帐号对应一个口令。的帐号，每个帐号对应一个口令。u帐号可以是公开的，但口令应保密。帐号可以是公开的，但口令应保密。u在用户登录时，系统索取口令，只有口在用户登录时，系统索取口令，只有口令正确，才能完成正常登录。令正确，才能完成正常登录。7.2.1 身份鉴别策略身份鉴别策略(一一)帐号帐号-口令（口令（Password)32口令策略的脆弱性口令策略的脆弱性n用户自己可能会遗忘口令，或在无意中用户自己可能会遗忘口令，或在无意中泄露口令；泄露口令；n口令本身也存在一定的不安全性；口令本身也存在一定的不安全性；对口令的保护措施对口令的保护措施P2533

24、3增加组成口令的字符种类。增加字符种类可增加口增加组成口令的字符种类。增加字符种类可增加口令的破译难度，从而使此种攻击方法失去吸引力。令的破译难度，从而使此种攻击方法失去吸引力。 采用较长的口令。当口令的字符数超过采用较长的口令。当口令的字符数超过 5 时，其时，其组合数将呈爆炸型增长趋势。口令越长，被发现和破组合数将呈爆炸型增长趋势。口令越长，被发现和破译的可能性就越低。译的可能性就越低。 避免使用常规名称、术语和单词。非常规的字符避免使用常规名称、术语和单词。非常规的字符组合会增大攻击者穷举搜索的难度，而不能使用简单组合会增大攻击者穷举搜索的难度，而不能使用简单的字典搜索。因此，既要选择不

25、太可能的字符串作口的字典搜索。因此，既要选择不太可能的字符串作口令，又需要易于记忆。这是一对矛盾。令，又需要易于记忆。这是一对矛盾。 口令的选择口令的选择34保护口令秘密。不要将口令书面记录，保护口令秘密。不要将口令书面记录，也不要告诉任何人，定期更换、放弃过也不要告诉任何人，定期更换、放弃过时口令，口令失效后禁止用户操作和存时口令，口令失效后禁止用户操作和存取，或者强迫用户修改口令取，或者强迫用户修改口令采用一次性口令。即每次使用后都作更采用一次性口令。即每次使用后都作更换的口令。换的口令。357.2.2 文件保护策略文件保护策略u文件系统是用户使用文件的接口文件系统是用户使用文件的接口u文

26、件系统的安全在一定程度上反映文件系统的安全在一定程度上反映了了OS的安全性能。的安全性能。u对文件的操作主要和文件的访问权对文件的操作主要和文件的访问权限有关，因此设置文件的权限成为主限有关，因此设置文件的权限成为主要问题。要问题。36两种文件保护策略两种文件保护策略n存取控制表存取控制表n存取控制矩阵存取控制矩阵37 存取控制表：存取控制表：对每个文件建立。对每个文件建立。 将存取控制表看作能存取单个文件的主体表。将存取控制表看作能存取单个文件的主体表。所有数据在两种表示中是等价的，区别在适用的场所有数据在两种表示中是等价的，区别在适用的场合合. . 存取控制矩阵：存取控制矩阵：矩阵的行表示

27、文件，列表示用矩阵的行表示文件，列表示用户，每个记录则表示用户对文件的存取权限集。户，每个记录则表示用户对文件的存取权限集。详见详见P255P255存取控制表与控制矩阵存取控制表与控制矩阵38为什么保护？为什么保护？ 多道程序技术：主存中同时存放的若干道多道程序技术：主存中同时存放的若干道程序，必须防止一道程序在存储和运行时影响程序，必须防止一道程序在存储和运行时影响其他程序的内存。其他程序的内存。 7.2.3 内存保护策略内存保护策略39两种方法两种方法1 1、界址与界限保护（略）、界址与界限保护（略）2 2、分段保护、分段保护 用分段方式实现保护是通过在段表中设置相用分段方式实现保护是通过

28、在段表中设置相应的存取控制权限实现的。见表应的存取控制权限实现的。见表7-27-2，每段都，每段都有它自己的访问权限，这样，每当有它自己的访问权限，这样，每当CPUCPU给出一给出一个访问地址后，针对该地址的操作就受到其所个访问地址后，针对该地址的操作就受到其所在段的存取权限的限制。在段的存取权限的限制。40 恶意代码是指具有特殊目的、非法进入计恶意代码是指具有特殊目的、非法进入计算机系统并待机运行，能给计算机系统或网络算机系统并待机运行，能给计算机系统或网络系统带来严重干扰和破坏的程序代码。系统带来严重干扰和破坏的程序代码。 常见的有计算机病毒、蠕虫、木马和恶意常见的有计算机病毒、蠕虫、木马

29、和恶意脚本代码。脚本代码。 7.2.4 恶意代码防御机制恶意代码防御机制411、电脑病毒的概念、电脑病毒的概念n是编制的破坏电脑功能的数据，影响电脑使是编制的破坏电脑功能的数据，影响电脑使用并且能够自我复制的一组电脑指令或程序用并且能够自我复制的一组电脑指令或程序代码。代码。n它是一种传染程序，它能将自身的副本插入它是一种传染程序，它能将自身的副本插入到电脑文件中从而感染电脑中的文件。到电脑文件中从而感染电脑中的文件。n当受感染的文件被加载到内存时，这些副本当受感染的文件被加载到内存时，这些副本开始执行，又感染其他文件，一直循环下去。开始执行，又感染其他文件，一直循环下去。 422 2、电脑病

30、毒的特点、电脑病毒的特点 病毒通常具有以下特征。病毒通常具有以下特征。 n传染性：传染性：最重要的特征，病毒一旦侵入内存，就最重要的特征，病毒一旦侵入内存，就会不失时机地寻找适合其传染的文件或磁介质作会不失时机地寻找适合其传染的文件或磁介质作为外壳，并将自己的全部代码复制到其中，从而为外壳，并将自己的全部代码复制到其中，从而达到传染的目的。达到传染的目的。n破坏性：破坏性：电脑系统一旦感染上病毒，会影响系统电脑系统一旦感染上病毒，会影响系统正常运行，浪费系统资源，破坏存储数据，导致正常运行，浪费系统资源，破坏存储数据，导致系统瘫痪，给用户造成无法挽回的损失。系统瘫痪，给用户造成无法挽回的损失。

31、 43 n顽固性：顽固性：现在的病毒一般很难一次性根除，现在的病毒一般很难一次性根除，被病毒破坏的系统、文件和数据等更是难以被病毒破坏的系统、文件和数据等更是难以恢复。恢复。 n隐蔽性：隐蔽性：编制者巧妙地把病毒藏匿起来，使编制者巧妙地把病毒藏匿起来，使用户很难发现病毒。当系统或数据被感染后，用户很难发现病毒。当系统或数据被感染后，并不立即发作，而等待达到引发病毒条件时并不立即发作，而等待达到引发病毒条件时才发作。才发作。 443 3、电脑病毒的破坏形式、电脑病毒的破坏形式 电脑病毒的破坏性体现了病毒的杀伤能电脑病毒的破坏性体现了病毒的杀伤能力。病毒破坏性的激烈程度取决于病毒制作者力。病毒破坏

32、性的激烈程度取决于病毒制作者的主观愿望和其所具有的技术能力。的主观愿望和其所具有的技术能力。 根据现有的病毒资料可以把病毒的破坏目根据现有的病毒资料可以把病毒的破坏目标和攻击部位归纳为如下几方面。标和攻击部位归纳为如下几方面。 45n攻击内存：攻击内存：内存是电脑的重要资源，也是病内存是电脑的重要资源，也是病毒的攻击目标。病毒额外地占用和消耗系统毒的攻击目标。病毒额外地占用和消耗系统的内存资源，可以导致一些大程序受阻，甚的内存资源，可以导致一些大程序受阻，甚至引起系统死机。病毒攻击内存的方式主要至引起系统死机。病毒攻击内存的方式主要有占用大量内存、改变内存总量、禁止分配有占用大量内存、改变内存

33、总量、禁止分配内存和消耗内存。内存和消耗内存。46n攻击文件：攻击文件：病毒对文件的攻击方式很多，主病毒对文件的攻击方式很多，主要有删除、改名、替换内容、丢失部分程序要有删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇或丢失数据文件。假冒文件、丢失文件簇或丢失数据文件。 47n攻击系统数据区：攻击系统数据区：攻击部位主要包括硬盘主攻击部位主要包括硬盘主引导扇区、引导扇区、FATFAT表、文件目录、表、文件目录、OSOS核心数据核心数据等。等。484 4、电脑病毒的分类、电脑病毒的分类 病毒可分为以下几类。病毒可分

34、为以下几类。 n引导型病毒：引导型病毒：指主要感染软盘、硬盘扇区的病毒。指主要感染软盘、硬盘扇区的病毒。在启动时自动加载到内存中，这类病毒不大容易在启动时自动加载到内存中，这类病毒不大容易被发现。被发现。 n文件型病毒：文件型病毒：指主要感染可执行文件的病毒。指主要感染可执行文件的病毒。 n宏病毒：宏病毒：指利用宏语言编制的病毒。指利用宏语言编制的病毒。 n混合型病毒：混合型病毒：是引导型和文件型病毒的混合，不是引导型和文件型病毒的混合，不但感染可执行文件，而且感染软硬盘引导扇区。但感染可执行文件，而且感染软硬盘引导扇区。 nInternet语言病毒：语言病毒：一些用一些用JavaVBJava

35、VB脚本脚本ActiveXActiveX等撰写的病毒。等撰写的病毒。 495、木马、木马1 1）木马）木马 计算机技术中的木马，是一种与计算计算机技术中的木马，是一种与计算机病毒类似的指令集合，它寄生在普通机病毒类似的指令集合，它寄生在普通程序中，并在暗中进行某些破坏性操作程序中，并在暗中进行某些破坏性操作或进行盗窃数据。或进行盗窃数据。50n木马（木马（TrojanTrojan）这个名字来源于古希腊传说，）这个名字来源于古希腊传说，它是指通过一段特定的程序（木马程序）来它是指通过一段特定的程序（木马程序）来控制另一台计算机。控制另一台计算机。没有复制能力，它的特没有复制能力，它的特点是伪装成

36、一个实用工具或者一个可爱的游点是伪装成一个实用工具或者一个可爱的游戏，这会诱使用户将其安装在戏，这会诱使用户将其安装在PC或者服务器或者服务器上。上。51n木马通常有两个可执行程序：木马通常有两个可执行程序：一个是客户端，一个是客户端，即控制端，另一个是服务端，即被控制端。即控制端，另一个是服务端，即被控制端。n“中了木马中了木马”就是指安装了木马的服务程序，就是指安装了木马的服务程序，若你的电脑被安装了服务程序，则拥有控制程若你的电脑被安装了服务程序，则拥有控制程序的人就可以通过网络控制你的电脑、为所欲序的人就可以通过网络控制你的电脑、为所欲为，他为，他将享有服务端的大部分操作权限，例如将享

37、有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。文件，修改注册表，更改计算机配置等。这时这时你电脑上的各种文件、程序，以及在你电脑上你电脑上的各种文件、程序，以及在你电脑上使用的帐号、密码就无安全可言了。使用的帐号、密码就无安全可言了。 52n随着病毒编写技术的发展，木马程序对随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，程序采用了极其狡猾的手段来隐蔽自己，采用多种手段隐藏木马。（集成到程序采用多种手段隐藏

38、木马。（集成到程序/ /隐藏在配置文件隐藏在配置文件/ /内置到注册表）内置到注册表） 使普通用户很难在中毒后发觉。使普通用户很难在中毒后发觉。n木马与计算机病毒的区别是，木马与计算机病毒的区别是，前者不进前者不进行自我复制，即不感染其他程序。行自我复制，即不感染其他程序。n 536、主要传播路径、主要传播路径1 通过网页传播通过网页传播是通过打开网页而中毒是通过打开网页而中毒,现现在很多小网站在很多小网站,由于维护不周等原因由于维护不周等原因,一些所谓一些所谓的的”黑客黑客”总是出于某些目的将病毒挂到这些总是出于某些目的将病毒挂到这些网页里网页里,用户一浏览到这些网页如果没有一些防用户一浏览

39、到这些网页如果没有一些防护措施护措施,就会中毒。就会中毒。n绝大多数通过浏览网页就会中毒的用户用的都是绝大多数通过浏览网页就会中毒的用户用的都是IEIE内核内核的浏览器，因为此类病毒基本都是瞄准的浏览器，因为此类病毒基本都是瞄准IEIE攻击的。建议攻击的。建议在随意浏览网页时使用非在随意浏览网页时使用非IEIE内核的的浏览器，如内核的的浏览器，如firefoxfirefox，operaopera，注意此类浏览器并不多，很多人用傲游，但傲游，注意此类浏览器并不多，很多人用傲游，但傲游也是也是IEIE内核的浏览器，一样易中此类病毒。内核的浏览器，一样易中此类病毒。n将将IEIE内核和内核和fire

40、foxfirefox或者或者operaopera联合起来用就非常用好了，联合起来用就非常用好了，安全的大站用安全的大站用IEIE内核的浏览器，随意浏览或者查找资料内核的浏览器，随意浏览或者查找资料时使用时使用firefoxfirefox或者或者opera. opera. 542通过执行不明通过执行不明EXE文件而中招文件而中招这类病毒这类病毒主要是用户到一些非正规网站去下一些软件主要是用户到一些非正规网站去下一些软件n只能靠良好的习惯只能靠良好的习惯, ,比如说不要去一些小网站下载比如说不要去一些小网站下载一些软件一些软件, ,一般的软件可以到天空一般的软件可以到天空, ,华军去下载华军去下载

41、, , 非要非要到不明小站下载时到不明小站下载时, ,一定要注意要下载的软件信息。一定要注意要下载的软件信息。553.通过通过U盘，光盘等可移动设备中招盘，光盘等可移动设备中招 这类病这类病毒利用毒利用windows的自动播放功能，多数用户的自动播放功能，多数用户一接上有毒的移动设备就中招了。一接上有毒的移动设备就中招了。nAutorun Autorun 病毒其实都是通过在磁盘根目录下面创建一病毒其实都是通过在磁盘根目录下面创建一个个autorun.infautorun.inf文件来达到自动启动的目的，要是关掉自文件来达到自动启动的目的，要是关掉自动运行功能，它就无法发作了。很多安全软件都提供

42、动运行功能，它就无法发作了。很多安全软件都提供有关闭自动运行功能的，可以通过它们关掉自动运行有关闭自动运行功能的，可以通过它们关掉自动运行也可以选择利用组策略管理器，关闭也可以选择利用组策略管理器，关闭windowswindows系统的自系统的自动播放服务就可以了。动播放服务就可以了。n具体操作方法是：具体操作方法是：禁止禁止Shell Hardware DetectionShell Hardware Detection服务（用于对服务（用于对“自自动播放动播放”硬件事件进行监测并提供通知）硬件事件进行监测并提供通知） ，不让，不让其自动播放，（右击我的电脑其自动播放，（右击我的电脑管理管理服

43、务和应用服务和应用程序程序服务，在列表中找到服务，在列表中找到Shell Hardware Shell Hardware DetectionDetection，右键属性先停掉，将自动改为手动或，右键属性先停掉，将自动改为手动或者禁止）；者禁止）；n或要用或要用U U盘，光盘时，切记不要双击它的盘符，而要盘，光盘时，切记不要双击它的盘符，而要用右键用右键打开，即使打开，即使U U盘上有毒也不会中。盘上有毒也不会中。 564通过局域网传播通过局域网传播 此类病毒运行后，不停此类病毒运行后，不停的向扫描网络上的电脑，一有机会就传到中其的向扫描网络上的电脑，一有机会就传到中其它电脑上了。它电脑上了。

44、5通过通过QQ传播传播n不要轻易打开不要轻易打开QQQQ上好友发过来的连接，实在要打开，那上好友发过来的连接，实在要打开，那就将其复制下来，用就将其复制下来，用firefoxfirefox打开也是一样的安全。打开也是一样的安全。n安装防火墙。安装防火墙。57n木马、病毒都可能对计算机数据资源的安木马、病毒都可能对计算机数据资源的安全构成威胁（例如数据被窜改、毁坏或外全构成威胁（例如数据被窜改、毁坏或外泄等）。免受木马、病毒威胁的最有效的泄等）。免受木马、病毒威胁的最有效的方法是不要运行来历不明的程序。方法是不要运行来历不明的程序。 58 7、计算机病毒、计算机病毒/木马命名解读木马命名解读 完

45、整的病毒名称通常分为三个部分：完整的病毒名称通常分为三个部分：n病毒家族名、前缀和后缀。病毒家族名、前缀和后缀。如如:“ Backdoor.Huigezi.ik ”，它的病毒家族，它的病毒家族名为名为“ Huigezi ”，前缀为，前缀为“ Backdoor ”，后缀为后缀为“ ik ”。 59n病毒家族名是反病毒工程师在分析病毒时根据病毒病毒家族名是反病毒工程师在分析病毒时根据病毒特征起的名字，它是一个广义的病毒名称。特征起的名字，它是一个广义的病毒名称。n具相同家族名称的病毒通常具有相同或相似的特征。具相同家族名称的病毒通常具有相同或相似的特征。 比如凡是族名为比如凡是族名为“ Huige

46、zi ”的病毒都具有盗的病毒都具有盗取用户密码、隐藏自身、远程控制染毒计算机等特取用户密码、隐藏自身、远程控制染毒计算机等特征。征。 病毒家族名：病毒家族名：60n前缀一般包含病毒的类型等相关信息，前缀一般包含病毒的类型等相关信息，常见的病毒名称前缀如下：常见的病毒名称前缀如下： 病毒名称前缀表病毒名称前缀表前缀前缀61后门后门n当一个训练有素的程序员设计一个功能较复杂的软件当一个训练有素的程序员设计一个功能较复杂的软件时，都习惯于先将整个软件分割为若干模块，然后再时，都习惯于先将整个软件分割为若干模块，然后再对各模块单独设计、调试，而后门则是一个模块的秘对各模块单独设计、调试，而后门则是一个

47、模块的秘密入口。在程序开发期间，后门的存在是为了便于测密入口。在程序开发期间，后门的存在是为了便于测试、更改和增强模块的功能。当然，程序员一般不会试、更改和增强模块的功能。当然，程序员一般不会把后门记入软件的说明文档，因此用户通常无法了解把后门记入软件的说明文档，因此用户通常无法了解后门的存在。后门的存在。 n按照正常操作程序，在软件交付用户之前，程序员应按照正常操作程序，在软件交付用户之前，程序员应该去掉软件模块中的后门，但是，由于程序员的疏忽，该去掉软件模块中的后门，但是，由于程序员的疏忽，或者故意将其留在程序中以便日后可以对此程序进行或者故意将其留在程序中以便日后可以对此程序进行隐蔽的访

48、问，方便测试或维护已完成的程序等种种原隐蔽的访问，方便测试或维护已完成的程序等种种原因，实际上并未去掉。因，实际上并未去掉。 这样，后门就可能被程序的作这样，后门就可能被程序的作者所秘密使用，也可能被少数别有用心的人发现利用。者所秘密使用，也可能被少数别有用心的人发现利用。62n有时病毒名称前缀由多个部分组成，除类型外还包含有时病毒名称前缀由多个部分组成，除类型外还包含了病毒的运行平台或病毒的一些其他特性。了病毒的运行平台或病毒的一些其他特性。n比如：比如：“ Trojan.PSW.Yoben.a ”，它的前缀是，它的前缀是“ Trojan.PSW ”，代表它是一个可以盗取密码的特，代表它是一个可以盗取密码的特洛伊木马。洛伊木马。n“ Backdoor.Win32.PcClient.al ”的前缀是的前缀是“ Backdoor.Win 32 ” ，代表它是一个运行在，代表它是一个运行在32 位位 Windows 平台的后门程序。平台的后门程序。 63n后缀用来标识病毒变种，通常用后缀用来标识病毒变种，通常用 A-Z 这这 26 个字母来顺序表示。个字母来顺序表示。n以以“ Worm.Mimail.B ( 小邮差变种小邮差变种 B) ”病病毒为例：毒为例