国家信息安全测评中心CISP培训ppt课件

1、国家信息平安测评中心CISP培训主讲：樊山：86485660_Mail：fanfox7405163.大纲平安编程UNIX操作系统平安恶意代码防护.大纲SA：UNIX 操作系统平安技术了解 UNIX 操作系统的根本原理、平安技术和实际。SA：恶意代码防护了解病毒/蠕虫/特洛伊木马等恶意代码的根本概念和原理；了解恶意代码的攻击过程和防护技术。SA：电子邮件平安了解电子邮件的根本原理、构造和相关平安技术。 SA：平安编程技术了解软件编程的根本原理，包括编程言语、编程环境等；了解平安编程技术的相关概念和原理，以及挪动代码的相关概念。.平安编程平安编程根本概念平安编程根本原那么

2、程序平安测试方法Windows、Unix、脚本平安编程实际 .平安编程根本概念平安程序的类型用来阅读远端数据的运用程序。用做阅读器的程序如文字处置程序或文件格式阅读器经常需求阅读一个不可信的用户从远端发来的数据一个网页阅读器会自动执行这种恳求。系统管理员root运用的运用程序。这类程序不该当信任非系统管理员就可以控制的信息。本地效力器程序也被称为daemon。可访问网络的效力器程序有时被称为网络daemon。CGI 脚本程序。这样的程序经过一个WEB 效力器被间接地执行，虽然WEB 效力器可以过滤掉一些攻击，但依然需求抵抗许多攻击。setuid/setgid 程序。这些程序由一个本地用户执行，

3、但在执行时会立刻拥有程序一切者或其所在群组的特权。从很多方面来说，这些是最难保证平安的程序，由于它们有很多输入是在不可信誉户的控制之下，而且有些输入不是很明显的。.平安编程根本原那么最小特权。每个用户和程序在操作时该当运用尽能够少的特权。机制经济。维护系统的设计该当尽能够地简单和小。公开设计。维护机制不应该依赖于攻击者的无知。完全中介。每一个访问企图都应该被检查；把认证机制放在不会被推翻的位置上。平安失败的缺省值例如，基于答应的方案。缺省反响该当是回绝效力，而且维护系统能随后区分哪种情况下访问是允许的。特权分别。理想情况下，访问对象该当依赖于多个条件，这样破坏一个维护系统并不能进展完全的访问。

4、最少的公共机制。使共享机制的数量和运用例如，对/tmp 或/var/tmp目录的运用最小化。共享对象提供了信息流和无意的相互作用的潜在危险通道。心思上的接受程度/运用简便。人机界面必需设计得易于运用，这样用户就可以按惯例自动地正确运用维护机制。假设平安机制非常符合用户对本人维护目的的想象，错误就很少发生。.程序平安测试方法软件测试的对象不仅仅是程序测试，软件测试应该包括整个软件开发期问各个阶段所产生的文档，如需求规格阐明、概要设计文档、详细设计文档，当然软件测试的主要对象还是源程序。从能否关怀软件内部构造和详细实现的角度划分A.白盒测试B.黑盒测试C.灰盒测试从能否执行程序的角度A.静态测试B

5、.动态测试。从软件开发的过程按阶段划分有A.单元测试B.集成测试C.确认测试D.验收测试E.系统测试.程序平安测试方法1、基于运用的平安测试2、基于数据库的测试3、基于配置的测试.程序平安测试方法1、黑盒子测试Black-box Testing，又称为功能测试或数据驱动测试是把测试对象看作一个黑盒子。利用黑盒测试法进展动态测试时，需求测试软件产品的功能，不需测试软件产品的内部构造和处置过程。黑盒测试注重于测试软件的功能性需求，也即黑盒测试使软件工程师派生出执行程序一切功能需求的输入条件。黑盒测试并不是白盒测试的替代品，而是用于辅助白盒测试发现其他类型的错误。黑盒测试试图发现以下类型的错误：1功

6、能错误或脱漏；2界面错误；3数据构造或外部数据库访问错误；4性能错误；5初始化和终止错误。.程序平安测试方法黑盒测试的测试设计方法等价类划分方法边境值分析方法错误推测方法因果图方法断定表驱动分析方法正交实验设计方法功能图分析方法.程序平安测试方法等价类划分:是把一切能够的输入数据,即程序的输入域划分成假设干部分子集,然后从每一个子集中选取少数具有代表性的数据作为测试用例.该方法是一种重要的,常用的黑盒测试用例设计方法.边境值分析法 首先应确定边境情况.通常输入和输出等价类的边境,就是应着重测试的边境情况.应中选取正好等于,刚刚大于或刚刚小于边境的值作为测试数据,而不是选取等价类中的典型值或恣意

7、值作为测试数据. .程序平安测试方法错误推测法基于阅历和直觉推测程序中一切能够存在的各种错误, 从而有针对性的设计测试用例的方法.因果图方法等价类划分方法和边境值分析方法,都是着重思索输入条件,但未思索输入条件之间的联络, 相互组合等. 思索输入条件之间的相互组合,能够会产生一些新的情况. 但要检查输入条件的组合不是一件容易的事情, 即使把一切输入条件划分成等价类,他们之间的组合情况也相当多. 因此必需思索采用一种适宜于描画对于多种条件的组合,相应产生多个动作的方式来思索设计测试用例. 这就需求利用因果图逻辑模型. 因果图方法最终生成的就是断定表. 它适宜于检查程序输入条件的各种组合情况. .

8、程序平安测试方法黑盒测试的优点1. 根本上不用人管着，假设程序停顿运转了普通就是被测试程序crash了黑盒测试的缺陷1. 结果取决于测试例的设计，测试例的设计部分来势来源于阅历。2. 没有形状转换的概念，目前一些胜利的例子根本上都是针对PDU来做的，还做不到针对被测试程序的形状转换来作3. 就没有形状概念的测试来说，寻觅和确定呵斥程序crash的测试例是个费事事情，必需把周围能够的测试例单独确认一遍。而就有形状的测试来说，就更费事了，尤其不是一个单独的testcase呵斥的问题。这些在堆的问题中表现的更为突出。.程序平安测试方法2、白盒子测试(White-box Testing，又称逻辑驱动测

9、试,构造测试)把测试对象看作一个翻开的盒子。利用白盒测试法进展动态测试时，需求测试软件产品的内部构造和处置过程，不需测试软件产品的功能。白盒测试又称为构造测试和逻辑驱动测试。 六种覆盖规范：语句覆盖、断定覆盖、条件覆盖、断定/条件覆盖、条件组合覆盖和途径覆盖发现错误的才干呈由弱至强的变化。 .程序平安测试方法3、灰盒子测试(Gray-Box Testing) 灰盒测试结合了白盒测试盒黑盒测试的要素。它思索了用户端、特定的系统知识和操作环境。它在系统组件的协同性环境中评价运用软件的设计。灰盒测试由方法和工具组成，这些方法和工具取材于运用程序的内部知识盒与之交互的环境，可以用于黑盒测试以加强测试效

10、率、错误发现和错误分析的效率。灰盒测试涉及输入和输出，但运用关于代码和程序操作等通常在测试人员视野之外的信息设计测试。 .Windows、Unix、脚本平安编程实际证明一切的输入命令行环境变量文件描画符文件内容CGI 输入其它输入字符编码限制合法的输入时间和负载程度.Windows、Unix、脚本平安编程实际防止缓存溢出C/C+中的危险C/C+中库的处理方案C/C+的编译处理方案其它言语.Windows、Unix、脚本平安编程实际程序内部构造与处理方案保证接口的平安特权最小化防止创建Setuid/Setgid 脚本平安地配置并运用平安的缺省值平安地失败防止竞争形状只信任值得信任的通道运用内部一

11、致性检查代码自我限制资源.Windows、Unix、脚本平安编程实际小心对其它资源的调用出口限制调用出口为合法值检查系统调用的一切前往值.Windows、Unix、脚本平安编程实际明断地发回信息最小化反响处置完好的/不呼应的输出.Windows、Unix、脚本平安编程实际特定言语的问题C/C+PerlPythonShell 脚本言语sh 及csh 的变种AdaJava.Windows、Unix、脚本平安编程实际专题密码随机数加密算法与协议PAM其它事项.UNIX操作系统平安UNIX开展历史和体系架构UNIX常见运用效力及其平安Unix系统平安配置及最正确平安实际 .UNIX开展历史和体系架构1

12、969年由Ken Thompson在AT& T贝尔实验室实现的，运转在一台DEC PDP-7计算机上。 到了70年代末，在Unix开展到了版本6之后，AT&T认识到了Unix的价值，成立了Unix系 统实验室Unix System Lab,USL来继续开展Unix。 加州大学伯克利分校计算机系统研讨小组 CSRG中的研讨人员把他们的Unix组成一个完好 的Unix系统BSD UnixBerkeley Software Distribution，向外发行。 美国国防部的工程ARPANET，ARPANET今天开展成为了Internet，而BSD Unix中最 先实现了TCP/IP，使Interne

13、t和Unix严密结合在一同。 .UNIX开展历史和体系架构BSD Unix和Unix System V构成了当今Unix的两大主流，现代的Unix版本大部分都是 这两个版本的衍消费品。Unix的版本号表示方式比较复杂，各种不同的Unix版本有本人的版本标识方式，如最早AT&T开 发的内部Unix运用简单的顺序号来标识版本，从V 1到V 7。BSD运用主版本加次版本的方法标识，如4.2BSD，4.3BSD其他商业公司的Unix运用本人的版本标识，如Sun的Solaris 2.6，IBM的AIX 4.0等。 .UNIX开展历史和体系架构CSRG对他们最新的4.4BSD进展了修正，删除了那些来自 于

14、AT&T的源代码，发布了4.4 BSD Lite版本该系统是不完好的，尤其对于英特尔386体系的计 算机系统。由于这个版本不存在法律问题，4.4BSD Lite成为了现代BSD系统的根底版本。Novell把本人的Unix改名为Unixware， 而将Unix商 标赠送给X/Open 一个由众多Unix厂家组成的联盟Novell由于本身的运营问题，将Unixware卖给SCO公司。同时， 由于BSD系统曾经非常成熟，作为对操作系统进展研讨的目的曾经到达，伯克利计算机系统研讨组CSRG在发布了4 .4BSD-lite2之后就解散了，小组的科研人员有些进入了Unix商业公司，有些继续进展其他计算机领

15、域的研讨 。此时，严厉意义上的Unix System V和BSD Unix都不复存在了，存在的只是他们的各种后续版本。.UNIX开展历史和体系架构.UNIX开展历史和体系架构文件系统根底文件系统平安是UNIX系统平安的中心。在UNIX中，一切的事物都是文件。用户数据的集合是文件，目录是文件，进程是文件，命令是文件，设备是文件、甚至网络衔接也是文件。正规文件：A S C I I文本文件，二进制数据文件，二进制可执行文件等目录 特殊文件链接 硬链接、软链接Sockets进程间通讯时运用的特殊文件.UNIX开展历史和体系架构.UNIX开展历史和体系架构.UNIX开展历史和体系架构Unix文件系统的权

16、限Jack$ ls l a.txt- rwxr-xr-x 3 jack root 1024 Sep 13 11:58 a.txt123456789101:目录或文件文件类型，普通文件,b块文件,c字符设备，d目录，l符号链接234:用户rwx一切者答应567:组rwx 组答应8910:其他rwx 其他人答应3:链接数jack：用户Root：组1024：字节数Sep 13 11:58：最后修正时间a.txt：名字.UNIX开展历史和体系架构Chmod/chown/chgrpSuid：set-user-id，4000,使程序以一切者身份运转，而忽略实践执行该程序的用户身份。Sgid:2000,使程

17、序以一切者的组身份运转，而忽略实践执行该程序的用户的组。.UNIX常见运用效力及其平安Unix平安特性按照可信计算机评价规范(TCSEC)到达C2级有控制的存取维护访问控制个人身份标识与认证 审计记录操作的可靠性.UNIX常见运用效力及其平安前期步骤检查系统能否已被黑客侵入1、终结非授权用户1利用不同主机进入系统的用户2UID一样的用户2、找出并封锁非授权进程3、查看日志文件，寻觅黑客入侵活动的蛛丝马迹4、检查系统文件能否完好无损检查系统的稳定性和可用性1、检查硬件操作能否正常2、确保电源不会成为隐患.UNIX常见运用效力及其平安循序渐进的系统强化流程1、强化网络：禁用不用要的效力2、安装防火

18、墙和过滤器3、强化软件的访问权限4、做好迎接灾难预备5、强化访问控制6、强化数据存储7、强化身份验证机制和用户帐号8、强化软件运转环境9、强化网络通讯.UNIX常见运用效力及其平安强化网络：禁用不用要的效力1、让机器脱离网络2、确定必要效力3、确定各项效力之间的依赖关系4、制止不用要的效力运转5、重新启动系统6、复查非必要效力的配置情况7、复查必要效力的配置情况8、让机器重返网络.UNIX常见运用效力及其平安服务是否默认激活是否应该禁用使用什么时应该激活用途Arptables_jf是是随Arptables启动一个数据包过滤防火墙nfslock是是NFSNFS锁定守护进程network是对网卡和

19、路由进行配置sshd是OpenSSH SSH守护进程syslog是系统日志守护进程xinetd是Internet守护进程.UNIX常见运用效力及其平安服务必须提前启动运行的服务NetworkSyslogRouteQuotaZebraNmbYpservInetdAcct是是Adsl是是Ipsec是是是Nfs是是Smb是是是Zebra是.UNIX常见运用效力及其平安安装防火墙和过滤器协议/服务内部接口外部接口HTTP允许允许HTTPS允许允许SMTP允许允许POP/IMAP允许不允许DNS允许允许（仅限于查询）DHCP允许不允许NBNS允许不允许NBSS允许不允许FTP允许允许（仅限于读取）代理允

20、许不允许打印（515、631）允许不允许高位端口（1024）允许允许（仅限于已建立的链接）.UNIX常见运用效力及其平安强化软件的访问权限确定必不可少的软件确定软件之间的依赖关系删除或限制不用要的软件平安地安装软件监控系统.UNIX常见运用效力及其平安做好迎接灾难的预备不要建立一个定制的内核吧效力器设置和系统配置变动情况记录在案系统自动安装/恢复光盘强化访问控制Linux文件的权限和一切权查看文件和子目录上的访问控制强化数据存储过程与结果运用GnuPG加密文件运用OpenSSL加密文件安装和运用一个加密文件系统.UNIX常见运用效力及其平安强化身份验证机制和用户身份PAM模块堵住破绽效力强化软

21、件运转环境限制无关功能用chroot环境来维护效力搭建chroot子目录构造把效力安装到chroot子目录让效力把本人的活动记入日志对chroot环境进展调试和优化把chroot环境与Linux发行版本的信息安防功能相结合Chroot环境的日常管理和维护.UNIX常见运用效力及其平安强化网络通讯强化网络通讯协议IPsec安装网络监控软件安装网络分析器运用网络入侵检测检测系统“蜜罐/“蜜网其他工具.UNIX常见运用效力及其平安Unix系统取证根底审查相关日志1、网络日志1Syslog日志2远程syslog效力器日志3TCP Wrapper日志记录4其他网络日志2、主机日志记录1SU命令日志2已登

22、录的用户日志3尝试登录的日志记录3、用户操作日志1进程记账日志2shell历史.UNIX常见运用效力及其平安搜索关键字1、运用grep进展字符串搜索2、运用find命令进展文件搜索审查相关文件1、事件时间和时间/日期戳2、特殊文件1SUID和SGID2异常和隐藏的文件和目录3配置文件4启动文件5tmp文件.UNIX常见运用效力及其平安识别未经授权的用户帐户或用户组1、用户帐户调查2、组账户调查识别恶意进程检查未经授权的访问点分析信任关系检测可加载木马程序的内核模块.Unix系统平安配置及最正确平安实际Unix平安检查列表维护主机执行创建新的系统维护日志安装前搜集必要的信息草拟一个初步的系统设计

23、得到可信的媒体验证媒体的完好性没有网络衔接下安装操作系统.Unix系统平安配置及最正确平安实际效力器运用可用的补丁删除任何桌面软件删除不用要的软件改动权限执行的默许权限改动一切效力的默许执行权限对需求不可信誉户访问的主机执行多层访问控制执行内核级平安特性执行基于主机的入侵检测系统.Unix系统平安配置及最正确平安实际任务站运用可用补丁删除不用要的软件改动权限执行的默许权限改动一切效力的默许执行权限对需求不可信誉户访问的主机执行多层访问控制执行内核级平安特性执行基于主机的入侵检测系统改动默许的桌面配置，限制用户装载他们本人配置的才干给用户执行所需义务的的才干，同时坚持主机的平安执行加强的、更加详

24、细的日志加强运用更强健的密码.Unix系统平安配置及最正确平安实际UNIX网络系统平安管理战略1.用户帐号 UNIX系统内部，与用户名/口令有关的信息存储在/etc/passwd文件中，一旦当非法用户获得passwd文件时，虽然口令是被加密的密文，但假设口令的平安强度不高，非法用户即可采用“字典攻击的方法枚举到用户口令，特别是当网络系统有某一入口时，获取passwd文件就非常容易。 2.文件系统权限 UNIX文件系统的平安主要是经过设置文件的权限来实现的。每一个UNIX文件和目录都有18种不同的权限，这些权限大体可分为 3类，即此文件的一切者、组和其他人的运用权限如只读、可写、可执行、允许SU

25、ID和SGID等。需留意的是权限为允许SUID、SGID和可执行文件在程序运转中，会给进程赋予一切者的权限，假设被入侵者利用，就会留下隐患，给入侵者的胜利入侵提供了方便。.Unix系统平安配置及最正确平安实际3.日志文件 日志文件是用来记录系统运用情况的。UNIX中比较重要的日志文件有3种： (1)/usr/adm/lastlog文件。此文件用于记录每个用户最后登录的时间包括胜利和未胜利的，这样用户每次登录后，只需查看一下一切帐号的最后登录时间就可以确定本用户能否曾经被盗用。 (2)/etc/utmp和/etc/wtmp文件。utmp文件用来记录当前登录到系统的用户，Wtmp文件那么同时记录用

26、户的登录和注销。 (3)/usr/adm/acct文件。此文件用于记录每个用户运转的每条命令，通常我们称之为系统记帐。.Unix系统平安配置及最正确平安实际UNIX系统和平安防备1.网络攻击类型 (1)猛烈攻击(Bruteforce Attack)。此攻击的目的是为破译口令和加密的信息资源，当试图入侵者运用一个高速处置器时，便可试用各种口令组合(或加密密钥),直到最终找到正确的口令进入网络，此法通常称之为“字典攻击。 (2)社会工程攻击(Socialengineering Attack)。网上黑客通常扮成技术支持人员呼叫用户，并向用户索要口令，而后以用户的身份进入系统。这是一种最简单同时也是最

27、有效的攻击方式。 (3)被动攻击(Passive Attack)。非法用户经过探测网络布线等方法，搜集敏感数据或认证信息，以备日后访问其他资源。 (4)回绝效力(DenialofService)。此攻击的目的通常是指试图入侵网络者采器具有破坏性的方法阻塞目的网络系统的资源，使网络系统暂时或永久瘫痪。如入侵者运用伪造的源地址发出TCP/IP恳求，阻塞目的网络系统的资源从而使系统瘫痪。.Unix系统平安配置及最正确平安实际2.网络平安防备战略 网络系统的攻击者能够是非法用户，也能够是合法用户，因此，加强内部管理、防备与外部同样重要。可实施以下战略进展防备。 (1)加强用户权限管理。最小权限法建立恳

28、求文件和资源访问答应权用户处置义务权限及义务的继续时间。 (2)加强用户口令管理和更新。强迫运用平安口令(运用非字母字符、大小写字母混用、规定口令最小长度不得少于6位数，最好8位数、运用强加密算法等);系统管理员要自动定期运用口令检查程序(如:Crack)对口令文件进展检查，假设口令不符合平安规范，那么需及时改换口令。采用一定的技术手段，添加 “字典攻击的难度，如改动口令加密算法中的加密参数，然后加密口令。加强监控室及监控录象带的管理，对各类授权活动最好采用刷卡方式进展。 (3)设置防火墙。.Unix系统平安配置及最正确平安实际(4)建立实时监视系统。运用实时监控系统对网络系统的运转过程进展实

29、时监视和审计，对内部或外部黑客的侵入及一些异常的网络活动可以实时地进展识别、审计、告警、拦截。(5)定期对网络进展平安破绽检测。定期对网络效力器进展攻击测试，这样既可以分析和探求试图入侵者的攻击思绪，同时又可以及时发现系统平安维护机制中的潜在问题，及时进展有效防备。 (6)制定相应的灾难恢复方案。定时对网络系统上各个计算机的系统文件、数据库文件进展备份。对网络系统和通讯系统备份，在系统万一遇到恶意攻击、软件缺点、硬件缺点、用户错误、系统管理员错误等灾难后，可以及时采取相应的对策，恢复系统的正常运转，尽能够将损失减少到最小程度。.Unix系统平安配置及最正确平安实际3.加强网络系统效力的平安手段

30、和工具 (1)直接配置检查。从系统内部检查常见的UNIX平安配置错误与破绽，如关键文件权限设置、ftp权限与途径设置、root途径设置、口令等等，指出存在的失误，减少系统能够被本地和远程入侵者利用的破绽。 (2)运用记录工具记录一切对UNIX系统的访问。大多数现成的UNIX运用系统可以经过Syslog来记录事件，这是UNIX系统提供的集中记录工具。经过每天扫描记录文件/var/adm/messaged，并可经过配置 Syslog，把高优先级的事件及时传送给系统平安员处置。.Unix系统平安配置及最正确平安实际(3)远程网络登录效力。UNIX系统提供了telnet和 ftp远程登录，当运用tel

31、net或ftp登录时，用户名和口令是明文传输的，这就能够被网上其他用户截获。telnet进程在多次衔接试图失败之后会产生一定的延迟，延迟时间和未遂的注册次数成正比，从而防止入侵。每次运用不同的密码由于ftp功能与telnet类似，为此可以修正 /etc/ftpusers文件，指定不允许经过ftp进展远程登录的用户。运用匿名ftp效力，任何人都可以随意注册下载或上载文件，假设不需求匿名 ftp效力，可以把username ftp从/etc/passwd文件里删除掉；假设必需提供匿名ftp效力，可以把它安装在本网络之外被称为停火区(DMZ)的效力器中。建议运用平安的远程访问工具SSHSSH具有强力

32、远程主机认证机制SSH支持多种端到端的加密协议，如DES、TripleDES、IDEA和Blowfish等，从而更有利于保证整个通讯系统的平安。.Unix系统平安配置及最正确平安实际(4)NFS(Network File System)效力。此效力允许任务站经过网络系统共享一个或多个效力器输出的文件系统。NFS还应留意以下几点：尽能够以只读方式输出文件系统；只将必需输出的文件系统输出给需求访问的客户，不要输出本机的可执行文件，或仅以只读方式输出；不要输出一切人都可以写的目录；不要输出用户的home目录；将一切需求维护的文件的owner设为 root，权限均设为755(或644),这样即使任务站

33、上的root帐号被攻破，NFS效力器上的文件仍能遭到维护；可运用fsirand程序，添加制造文件句柄的难度。.Unix系统平安配置及最正确平安实际(5)NIS (Network Information System)效力。分布式数据系统，计算机用它可以经过网络共享passwd文件、group文件、主机表和一些类似的资源。经过NIS和 NFS，整个网络系统中一切任务站的操作就好象在运用单个计算机系统，而且其中的过程对用户是透明的。NIS客户最好运用ypbind的secure选项，不接受非特权端口(即端口号小于 1024)的ypserv呼应。 (6)finger效力。通常运用finger命令是为了

34、查看本地或远程网络系统中当前登录用户的详细信息,但同时也为入侵者提供了胜利入侵系统的时机。所以，最好制止运用finger。.恶意代码防护了解病毒、蠕虫、木马、恶意网页的原理掌握病毒、蠕虫、木马、恶意网页的防备了解恶意代码的分析方法 .病毒、蠕虫、木马、恶意网页原理 “计算机病毒是指编制或者在计算机程序中破坏计算机功能或者毁坏数据，影响计算机运用，并能自我复制的一组计算机指令或者程序代码。这个定义明确阐明了计算机病毒就是具有破坏性的计算机程序。 计算机病毒的特征1破坏性。2隐蔽性。 3传染性。 4埋伏性。5可触发性。 6不可预见性。 .计算机病毒的产生缘由1软件产品的脆弱性是产生计算机病毒根本的

35、技术缘由。 2社会要素是产生计算机病毒的土壤。 计算机病毒的传播途径计算机病毒主要是经过复制文件、发送文件、运转程序等操作传播的。通常有以下几种传播途径：1挪动存储设备。包括软盘、硬盘、挪动硬盘、光盘、磁带等。 2网络。由于网络覆盖面广、速度快，为病毒的快速传播发明了条件。目前大多数新式病毒都是经过网络进展传播的，破坏性很大。 病毒、蠕虫、木马、恶意网页原理.计算机病毒的分类引导型病毒：主要经过感染软盘、硬盘上的引导扇区或改写磁盘分区表FAT来感染系统，引导型病毒是一种开机即可启动的病毒，优先于操作系统而存在。该病毒几乎常驻内存，激活时即可发作，破坏性大，早期的计算机病毒大多数属于这类病毒。文

36、件型病毒：它主要是以感染COM、EXE等可执行文件为主，被感染的可执行文件在执行的同时，病毒被加载并向其它正常的可执行文件传染。病毒以这些可执行文件为载体，当运转可执行文件时就可以激活病毒。宏病毒：宏病毒是一种存放于文档或模板的宏中的计算机病毒，是利用宏言语编写的。 病毒、蠕虫、木马、恶意网页原理.蠕虫病毒：蠕虫病毒与普通的计算机病毒不同，蠕虫病毒不需求将其本身附着到宿主程序上。蠕虫病毒主要经过网络传播，具有极强的自我复制才干、传播性和破坏性。特洛伊木马型病毒：特洛伊木马型病毒实践上就是黑客程序。黑客程序普通不对计算机系统进展直接破坏，而是经过网络窃取国家、部门或个人珍贵的信息，占用其它计算机

37、系统资源等景象。网页病毒：网页病毒普通也是运用脚本言语将有害代码直接写在网页上，当阅读网页时会立刻破坏本地计算机系统，轻者修正或锁定主页，重者格式化硬盘，使他防不胜防。混合型病毒：兼有上述计算机病毒特点的病毒统称为混合型病毒，所以它的破坏性更大，传染的时机也更多，杀毒也更加困难。 病毒、蠕虫、木马、恶意网页原理.计算机病毒的表现景象 时运转正常的计算机忽然经常性无缘无故地死机。运转速度明显变慢。打印和通讯发生异常。 系统文件的时间、日期、大小发生变化。磁盘空间迅速减少。收到陌生人发来的电子邮件。硬盘灯不断闪烁。计算机不识别硬盘。操作系统无法正常启动。部分文档丧失或被破坏。网络瘫痪。病毒、蠕虫、

38、木马、恶意网页原理.病毒、蠕虫、木马、恶意网页的原理计算机病毒程序普通构成 1. 安装模块病毒程序必需经过本身的程序实现自启动并安装到计算机系统中，不同类型的病毒程序会运用不同的安装方法。2传染模块传染模块包括三部分内容：1传染控制部分。2传染判别部分。3传染操作部分。3破坏模块破坏模块包括两部分：一是激发控制，当病毒满足一个条件,病毒就发作；另一个就是破坏操作，不同病毒有不同的操作方法，典型的恶性病毒是疯狂拷贝、删除文件等。.病毒、蠕虫、木马、恶意网页的原理计算机病毒制造技术1脚本言语与ActiveX技术新型计算机病毒却利用Java Script或VBScrip脚本言语和ActiveX技术直

39、接将病毒写到网页上，完全不需求宿主程序。脚本言语和ActiveX的执行方式是把程序代码写在网页上，当衔接到这个网站时，阅读器就会利用本地的计算机系统资源自动执行这些程序代码，运用者就会在毫无觉察的情况下，执行了一些来路不明的程序，遭到病毒的攻击。.病毒、蠕虫、木马、恶意网页的原理2采用自加密技术计算机病毒采用自加密技术就是为了防止被计算机病毒检测程序扫描出来，并被随便地反汇编。计算机病毒运用了加密技术后，对分析和破译计算机病毒的代码及去除计算机病毒等任务都添加了很多困难。3采用变形技术当某些计算机病毒编制者经过修正某种知计算机病毒的代码，使其可以躲过现有计算机病毒检测程序时，称这种新出现的计算

40、机病毒是原来被修正计算机病毒的变形。当这种变形了的计算机病毒承继了原父本计算机病毒的主要特征时，就被称为是其父本计算机病毒的一个变种。.病毒、蠕虫、木马、恶意网页的原理4采用特殊的隐形技术当计算机病毒采用特殊的隐形技术后，可以在计算机病毒进入内存后，使计算机用户几乎觉得不到它的存在。对付隐形计算机病毒最好的方法就是在未受计算机病毒感染的环境下去察看它。5对抗计算机病毒防备系统计算机病毒采用对抗计算机病毒防备系统技术时，当发现磁盘上有某些著名的计算机病毒杀毒软件或在文件中查找到出版这些软件的公司名时，就会删除这些杀毒软件或文件，呵斥杀毒软件失效，甚至引起计算机系统解体。.病毒、蠕虫、木马、恶意网

41、页的原理6反跟踪技术计算机病毒采用反跟踪措施的目的是要提高计算机病毒程序的防破译才干和伪装才干。常规程序运用的反跟踪技术在计算机病毒程序中都可以利用。 7中断与计算机病毒中断是CPU处置外部突发事件的一个重要技术。它能使CPU在运转过程中对外部事件发出的中断恳求及时地进展处置，处置完成后又立刻前往断点，继续进展CPU原来的任务。但另一方面，病毒设计者那么会篡改中断功能为到达传染、激发和破坏等目的。如INT 13H是磁盘输入输出中断，引导型病毒就是用它来传染病毒和格式化磁盘的。.病毒、蠕虫、木马、恶意网页的防备反计算机病毒技术1实时反病毒技术实时反病毒是对任何程序在调用之前都被先过滤一遍，一有病

42、毒侵入，它就报警，并自动杀毒，将病毒拒之门外，做到防患于未然。实时反病毒就是要处理用户对病毒的“未知性问题。而这个问题是计算机反病毒技术开展至今不断没有得到很益处理的问题。2病毒防火墙病毒防火墙是从近几年颇为流行的信息平安防火墙中延伸出来的一种新概念，其目的就是对系统实施实时监控，对流入、流出系统的数据中能够含有的病毒代码进展过滤。.病毒、蠕虫、木马、恶意网页的防备3VxD机制 反病毒软件利用VxD程序具有比其它类型运用程序更高的优先级，而且更接近系统底层资源这一优势使反病毒软件才有能够全面、彻底地控制系统资源，并在病毒入侵时及时杀毒。4 虚拟机技术 虚拟机技术详细的做法是：用程序代码虚拟一个

43、CPU，同样也虚拟CPU的各个存放器，硬件端口，用调试程序调入被调的“样本，将每一个语句放到虚拟环境中执行，这样我们就可以经过内存和存放器以及端口的变化来了解程序的执行情况。这样的一个虚拟环境就是一个虚拟机。将病毒放到虚拟机中执行，那么病毒的传染和破坏等动作一定会被反映出来。理想情况下未知病毒的查出概率将是100。.病毒、蠕虫、木马、恶意网页的防备5自动内核技术 由于操作系统和网络协议等本身不完善性和缺陷，使计算机病毒有机可乘。自动内核技术是从操作系统内核这一深度，自动给操作系统和网络系统打了一个个“补丁，这些补丁将从平安的角度对系统或网络进展管理和检查，对系统的破绽进展修补，任何文件在进入系

44、统之前，作为自动内核的反病毒模块都将首先运用各种手段对文件进展检测处置。 6启发扫描的反病毒技术 一个运用启发式扫描技术的病毒检测软件，实践上就是以特定方式实现对有关指令序列的反编译，逐渐了解和确定其蕴藏的真正动机。.病毒、蠕虫、木马、恶意网页的防备7邮件病毒防杀技术邮件病毒防杀技术是基于网络环境的嵌入式查杀病毒技术，它采用智能邮件客户端代理监控iSMCPSmart Mail Client Proxy技术。目前 iSMCP 技术支持广泛流行的POP3协议，支持多种流行的邮件客户端，比如 Outlook Express, FoxMail , Netscape 等，并且能同时代理监控多个邮件客户端

45、同时收取邮件；具有完善的邮件解码技术，能对MIME/UUEncode 类型的邮件的各个部分如附件文件进展病毒扫描，去除病毒后能将无毒的邮件数据重新编码，传送给邮件客户端，并且可以更改主题、添加查毒报告附件；同时具有完善的网络监控功能，它能在邮件到达邮件客户端之前就进展拦截，让病毒无机可乘；具备渣滓邮件处置功能，自动过滤渣滓邮件，有效防止网络堵塞。.病毒、蠕虫、木马、恶意网页的防备蠕虫病毒分析蠕虫病毒特征蠕虫病毒有很强的自我复制才干、很强的传播性、埋伏性 、特定的触发性、很大的破坏性。与其它病毒不同的是蠕虫不需求将其本身附着到宿主程序上。这主要是由于蠕虫病毒大都运用脚本言语编写，并利用了视窗系统

46、的开放性特点，特别是COM到COM+的组件编程思绪及ActiveX控件，使一个程序能调用功能更大的组件来完成病毒功能。.病毒、蠕虫、木马、恶意网页的防备蠕虫病毒的防备 1把本地的带有破坏性的程序改名字，比如把format改成fomat。2将Windows Script Host删除，就不用担忧那些用VBS和JS编写的病毒了。方法是：1卸载Windows Scripting Host，简称WSH，2删除VBS、VBE、JS、JSE文件后缀名与运用程序的映射。3在Windows目录中，更改称号或者删除WScript.exe和JScript.exe文件。3制止“FileSystemObject能控制

47、VBS病毒传播。4将阅读器平安级设为中等。5安装实时病毒防火墙软件。.病毒、蠕虫、木马、恶意网页的防备特洛伊木马 特洛伊木马黑客程序普通有两个部分组成：一个是效力器程序，另一个是控制器程序。假设计算机安装了黑客效力器程序，那么，黑客就可以利用本身计算机控制器程序进入他的计算机中，经过到达控制和监视他的计算机的目的。特洛伊木马是一种在他不知道的情况下自动执行恶意功能的程序，包括那些外表上执行某个合法功能，而背后却同时从事非法功能的程序。.病毒、蠕虫、木马、恶意网页的防备1特洛伊木马的启动方式主要手法是加载到注册表的启动组中，也有些会捆绑到其它程序上附带地进入内存，如随着操作系统的启动而运转，捆绑

48、的木马可以由黑客本人确定捆绑方式、捆绑位置、捆绑程序等。比如将木马捆绑到阅读器上，上网以后一翻开阅读器，木马被附带启动了并自动翻开木马端口，黑客就可以进入他的计算机了 2特洛伊木马端口 当木马在计算机中存在的时候，黑客就可以经过控制器程序命令木马做事情了。这些命令是在网络上传送的，需求遵守TCP/IP协议。TCP/IP协议规定计算机的端口有256*256=65536个，从0到65535号端口，木马翻开一个或者几个端口，黑客所运用的控制器就可以进入木马翻开的端口了。.病毒、蠕虫、木马、恶意网页的防备3特洛伊木马的隐藏木马为了更好地隐藏本人，通常会将本人的位置放在c:windows和c:windo

49、wssystem等系统目录中。由于windows的一些系统文件在这两个位置，假设误删了文件，计算机就能够解体，不得不重新安装系统。有的木马具有很强的埋伏才干，外表上的木马程序被发现并被删除已后，后备的木马在一定的条件下会恢复被删除的木马。 4特洛伊木马查杀 木马的查杀可以采用自动和手动两种方式。最简单的删除木马方法是安装杀毒软件，如今很多杀毒软件能删除网络最猖獗的木马。由于杀毒软件的晋级要慢于木马的出现，因此学会手工查杀也非常必要。.病毒、蠕虫、木马、恶意网页的防备在删除木马之前，重要的一项任务是备份注册表，防止系统解体，备份他以为是木马的文件；假设不是木马就可以恢复，假设是木马就可以对木马进

50、展分析。1查看注册表2检查启动组3检查Win.ini、System.ini、Autoexec.bat等文件 4运用TCPVIEW、ATM软件 .病毒、蠕虫、木马、恶意网页的防备黑客攻击的常用手段1包攻击。黑客可利用一些工具产生畸形或碎片数据包，这些数据包不能被计算机正确合成，从而导致系统解体。2效力型攻击。这种攻击通常是黑客向计算机发送大量经过伪装的数据包，使计算机疲于呼应这些经过伪装的不可到达客户的恳求，从而使计算机不能呼应正常的客户恳求，或使计算机误以为访问的主机不可到达，从而到达切断正常衔接的目的。.病毒、蠕虫、木马、恶意网页的防备3缓冲区溢出攻击。这种攻击是向操作系统或运用程序发送超长

51、字符串，由于程序本身设计的破绽，未能对其进展有效的检验，导致程序在缓冲区溢出时不测出错甚至退出，使黑客获得到系统管理员的权限。4口令攻击。这种攻击普通是根据一个包含常用单词的字典文件、程序进展大量的猜测，直到猜对口令并获得访问权为止。它通常运用蛮力攻击方式。5IP 地址和端口扫描。这种攻击就是要确定他的IP地址能否可以到达，运转哪种操作系统，运转哪些效力器程序，能否有后门存在。所以，当发现有人在扫描他的IP地址时，通常就意味着黑客攻击的开场。.病毒、蠕虫、木马、恶意网页的防备6对各种软件破绽的攻击。每当新的操作系统、效力器程序等软件发布之后，各种破绽就会被不断发现，这些破绽经常被黑客利用，从而有能够导致计算机泄密、被非法运用，甚至解体。.恶意代码的分析方法1蠕虫病毒的自我复制才干 Set objFs=CreateOb