防病毒技术防火墙应用

1、-. z单元二 数据平安及病毒、木马的防工程三防病毒技术与防火墙的应用教学目标1理解防病毒技术与防火墙概念及相关技术；2掌握利用系统功能实现病毒的防或去除的设置；3完成宏病毒、网页病毒及CodeBue病毒的制作和防；4熟练掌握瑞星防火墙的正确使用与配置。教学要求1认真听讲，专心操作, 操作规， 认真记录实验过程，总结操作经历和写好实验报告，在实验中培养严谨科学的实践操作习惯；2遵守学校的实验室纪律，注意人身和设备的平安操作，保护实验设备、及时上缴作业；3教学环境： Windows 7以及Windows server2003/2021以上操作系统。知识要点1防病毒技术的概念、触发机制、判定及检测

2、病毒存在的方法、病毒防治的策略；2防火墙的概念、工作原理、功能、防火墙技术及实施方式。技术要点1掌握利用系统功能实现病毒的防或去除的设置；2完成宏病毒、网页病毒及CodeBue病毒的制作和防；3熟练掌握瑞星防火墙的正确使用与配置。技能训练一讲授与示正确启动计算机，在最后一个磁盘上建立以*为名的文件夹，从指定的共享文件夹中将“实习指导书和其他容复制到该文件夹中。(一)计算机病毒1计算机病毒定义计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。2计算机病毒触发机制1时间触发 包括特定的时间触发、染毒后累计工作时间触发、

3、文件写入时间触发等。2键盘触发 包括击键次数触发、组合键触发、热启动触发等。3感染触发 包括运行感染文件个数触发、感染序数触发等。4启动触发 将机器的启动次数作为触发条件。5磁盘次数触发 将对磁盘的次数作为触发条件。6调用中断功能触发 将中断调用次数作为触发条件。7CPU型号/主板型号触发 以预定CPU型号/主板型号作为触发条件。3病毒的隐藏之处1可执行文件。2引导扇区。3表格和文档。 4Java小程序和Active*控件。5压缩文件、电子4判断病毒的存在1经常死机2系统无法启动3文件打不开4经常报告存不够5提示硬盘空间不够6光盘等设备未时出读写信号7出现大量来历不明的文件8数据丧失9键盘或鼠

4、标无端地锁死10)系统运行速度慢11)系统自动执行操作5.计算机病毒的防治及检测策略1建立、健全法律和管理制度 2加强培训和宣传 3采取更有效的技术措施 系统平安：使用开机检测和扫描病毒应用程序或杀毒软件，或者防病毒卡和防病毒芯片。软件过滤 识别*一类特殊的病毒，防止它们进入系统和不断复制，主要用于大中型计算机。文件加密利用数字签名完成加密，将其附加在可执行文件之后。生产过程控制 备份恢复 其他有效措施 a.重要的磁盘和重要的带后缀.和.E*E的文件赋予只读功能，防止病毒写到磁盘上或可执行文件中，或注意文件的长度；b.消灭传染源；c.建立程序的特征值档案；d.严格存管理，进展存检查低端存为64

5、0KB，存标准655360B；e.严格中断向量的管理；g.强化物理控制措施；f.一旦发现病毒蔓延，要采用可靠的杀毒软件和请有经历的专家处理，必要时需报告计算机平安监察部门，特别要注意不要使其继续扩散。4网络计算机病毒的防治 在网络中，尽量多用无盘工作；在网络中，要保证系统管理员有最高权限，防止过多的超级用户；对非共享软件，将其执行文件和覆盖文件如*.、*.E*E、*.OVL等备份到文件效劳器，定期从效劳器上拷贝到本地硬盘上进展重写操作；接收远程文件输入时，一定不要将文件直接写入本地硬盘，而应将远程输入文件写到工作站上，然后对其进展查毒，确认无毒后再拷贝到本地硬盘上；工作站采用防病毒芯片，这样可

6、防止引导型病毒；正确设置文件属性，合理规用户的权限；建立健全的网络系统平安管理制度，严格操作规程和规章制度，定期作文件备份和病毒检测；目前预防病毒最好的方法就是在计算机中安装防病毒软件，这和人体注射疫苗是同样的道理。采用优秀的网络防病毒软件，如LAN Protect和LAN Clear for NetWare等；为解决网络防病毒的要求，已出现了病毒防火墙，在局域网与Internet，用户与网络之间进展隔离。5采用检测病毒方法校验和法 将正常文件的容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在容算出的校验和与原来保存的校验和是否

7、一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现病毒又可发现未知病毒；优点：方法简单能发现未知病毒、被查文件的细微变化也能发现；缺点：发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒； 行为监测法利用病毒的特有行为特征性来监测病毒的方法，行为特征如下：A.占有INT 13H所有的引导型病毒，都攻击Boot扇区或主引导扇区。系统启动时，当Boot扇区或主引导扇区获得执行权时，系统刚刚开工。一般引导型病毒都会占用INT 13H功能，因为其他系统功能未设置好，无法利用。引导型病毒占据INT 13H功能，在其中放置病毒所需的代码。B.改系统的数据区的存总量 病毒

8、常驻存后，为了防止系统将其覆盖，必须修改系统存总量。C.对、E*E文件做写入动作病毒要感染，必须写、E*E文件。D.病毒程序与宿主程序的切换 染毒程序运行中，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。长处：可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法短处：可能误报警、不能识别病毒名称、实现时有一定难度。 移植检查法利用编码技术,在可执行程序前添加一段自我检查程序，如果发现中毒，则主动修复。特点：不认病毒，无需经常更新，不用备份缺点：移植加载检查段前，必须确定无毒增加可执行文件长度，减少可用空间，加长运行时间病毒代码比拟法病毒码库10 11 01 11 00 11

9、 11 00 00 01 11 10 11 01 01100110001110101010011101110111.染毒程序特点：速度慢，误报警率低缺点：不能检查多态性病毒，不能对付隐藏性病毒软件模拟法：主要针对多态性病毒：该工具开场运行时，使用特征代码法检测病毒，如发现隐蔽病毒或多态性病毒嫌疑时，启动软件模拟模块，监视病毒的运行，待病毒自身的密码译码以后，再运用特征代码法识别其种类。先知扫描法VICE：是软件模拟后的一大技术突破：可以建立一个保护模式下的DOS虚拟机器，模拟CPU动作并假执行程序以解开变体引擎病毒，则应用类似的技术也可以用来分析一般程序检查可疑的病毒码实时I/O扫描：目的：用

10、于即时对数据输入/输出动作做病毒码比照，希望在病毒尚未被执行前，能防堵下来。特点：文件传入就进展一次扫描缺点：影响数据的输入输出6病毒去除不掉的因素问题：病毒去除不掉的原因(二)防火墙技术1防火墙的定义防火墙是指设置在不同网络如可信任的企业部网和不可信的公共网或网络平安域之间，并对经过它的网络流量进展检查的一系列部件的组合。防火墙实质上是一种隔离控制技术，其核心思想是在不平安的网络环境下构造一种相对平安的部网络环境。2防火墙的工作原理防火墙是一种控制技术，位于可信和不可信网络之间，通过设置一系列平安规则对两个网络之间的通信进展控制，检测交换信息，防止对重要信息资源的非法存取和，以到达保护系统的

11、目的。3防火墙的功能防火墙由于处于网络边界的特殊位置，因而被设计集成了非常多的平安防护功能和网络连接收理功能。1控制功能2防止外部攻击功能3NAT地址转换功能4日志与报警功能5身份认证功能4防火墙的实现技术1过滤技术2应用代理技术3状态检测技术5防火墙的实施方式1基于网络主机的防火墙 一种是以现有的平台为根底，防火墙作为一个在商业操作系统上运行的应用程序。另一种是将防火墙整合成操作系统的一局部，这些系统通常并不具有商业操作系统的全部功能，其中所有防火墙不需要的功能都被删除了。 2基于路由器的防火墙 基于路由器的防火墙设备有很强的包过滤功能，而且使用方便。在一些优化了的防火墙和路由器的体系构造中

12、，路由器只执行简单的包检查功能，防火墙则对能够通过路由器的数据包进展检查。 3基于单个主机的防火墙 基于单个主机的防火墙通常是安装在单个系统上的一种软件，只保护本系统不受侵害。 4硬件防火墙硬件防火墙是一种软硬件相结合的设备，是出于优化防火墙功能的目的而特意设计的，它对到达的网络流量进展检测以便决定是否转发该流量。 (三)常见防病毒技术的使用任务1 利用系统功能实现病毒防或去除步聚：1利用系统功能对病毒防或去除1利用BIOS设置防毒方法：开机按Del或F2进入主界面BIOS FEATURES SETUPAuti-Virus Protection项设置为“EnABLED开启防病功能按F10再回车

13、。2根据进程名查杀病毒 说明：主要针对有些很顽固性病毒不能完毕掉其进程来去除方法：在“任务管理器找到病毒进程名开场运行taskkill /im 进程名。3根据进程号查杀病毒方法：开场运行tasklist列出了所在进程的进程号PID。 开场运行 ntsd c q p PID，可强行杀死病毒4巧用故障恢复控制台删除病毒方法：用*P安装光盘启动电脑，在安装界面中按“R键选择修复安装，进入控制台，在命令提示符下运行“del c:路径 病毒名，即可删除病毒。5清理U盘病毒autorun方法：资源管理器工具文件夹选项查看高级设置显示所有文件和文件夹。翻开U盘图标，找到autorun并翻开，删除其相关联的病

14、毒文件。6去除“WAY木马方法：翻开任务管理器，完毕CWAY进程，删除注册表启动项中的WAY键值项；在“文件夹选项对话框中取消“隐藏受保护的操作系统文件；进入C:WINDOWSsystem目录，找到msgsvc.e*e并删除。7设置Temp文件夹的权限防止病毒放侵要求：去掉Temp文件夹的文件的文件运行权限，防止木马运行方法：NTFSTMEP属性平安点击登录用户(administrator) 高级查看/编辑遍历文件夹/文件运行勾取“拒绝2下载“补丁防或去除病毒1给电脑打上“魔波补丁方法：下载补丁(.microsoft./china/technet/security/bulletin/MS06-

15、040.msp*),安装重启计算机即可。2利用专杀工具查杀“熊猫烧香病毒 方法：下载补丁(it.rising./channels/service/inde*.html)，运行下载的NimayaKiller.scr，然后在其主界面单击杀毒按钮即可进展查杀。3去除“威金蠕虫病毒 方法：下载“威金病毒专杀工具查杀机器中的病毒，下载补丁(it.rising./channels/service/2006-071153119832d22607.shtml) ，运行该工具，然后在其主界面单击杀毒按钮即可进展查杀。4解除IE的分级审查口令方法：进入注册表，找到HKEY_LOCAL_MACHINESoftwar

16、eMicrosoftWindowsCurrentVersionpoliciesRatings，假设有一个名为key的主键，这是设置的分级审查口令，直接将它删除即可。任务2 宏病毒、网页病毒及CodeBue病毒的制作和防1工作原理 1宏病毒利用一些数据处理系统置宏编程指令的特性而形成的一种特殊病毒，主要依附于Word文件上的宏，利用Word的翻开或关闭进执行部宏命令代码，从而感染系统。2网页病毒利用脚本开发语言将类似于VBScript代码添加到HTML页面中，编写Web应用程序时实现系统功能的应用，同时也可利用此功能制作具有特定功能的网页病毒。3Code Bule蠕虫病毒“蓝色代码 病毒主要感染

17、Windows NT和Windows 2*效劳器，主要攻击微软inetinfo.e*e IIS效劳程序的漏洞，并植入名为SvcHost.e*e的黑客程序。该程序不断生成新的线程，导致系统运行缓慢，甚至瘫痪。2宏病毒的制作与防1完整安装Office的Word组件2Word窗口的菜单栏的“插入“对象“对象类型“包选项 “确定3在弹出的“对象包装程序窗口中的“编辑“命令行“命令行对话框中输入“C:Windowssystem32telnet.e*e。“对象包装程序窗口中的“插入图标 为该命令行选一个有诱惑力的图标，并关闭该窗口，此时会在文档的相关位置出现一个和相关命令关联的图标，并且可以在图标旁边添加

18、具有煽动性的文字。4宠病毒的去除与防使用杀毒软件检查Word安装目录下的Startup目录文件和Normal.dot文件。翻开Word应用程序，但不双击word文档，选择“工具 宏 平安性 选择“高或“非常高。3网页病毒的制作与防1配置好IIS效劳器和Web效劳器2编辑代码，利用记事本编辑test.asp代码：3将该文件保存到Web效劳器的路径中：Inetpubroottest.asp 。4启动Web效劳器后，在IE浏览器中输入“localhost/test.asp，假设无语法错误则会在浏览器中出现信息“新建文件myfile，在D盘根目录下建一个文件myfile。5网页病毒的防使用“regsv

19、r32 scrrun.dll/u命令禁用文件系统对象“FileSystemObject自定义平安级别：Internet选项 “平安“自定义平安级别禁用“Active*控件及插件4CodeBlue病毒的防1文件查看病毒系统C盘根目录，查看是否存在svchost.e*e和 e*t.dll。 (两个文件是隐藏性)2注册表编辑器regedit.e*e查看HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun是否存在“Domain Manager的字符串，其值为C:svchost.e*e 。3任务管理器查看菜单中的“查看“选择列选择“线程计

20、数确定通常有23个svchost.e*e的进程。查看svchost.e*e所用的线程是否超过100，CodeBlue的线程数一般为104或105。4删除病毒文件完毕CodeBlue的svchost.e*e的对应的线程查看C:inetpubscripts是否存 e*t.dll。假设有则删除，同时删除C:svchost.e*e文件。假设这两个文件删除，可从其他计算机中复制相应的文件：C:winntsystem32svchost.e*e、C:winntsystem32inrtsrv e*t.dll。删除c:inetpubscripts目录下大小为46587或47009的 e*t.dll文件。删除注册

21、表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的以Domain Manage命名的键值。二课堂任务实践任务3瑞星防火墙的使用与配置要求： 首页、网络平安功能模块的配置家长控制功能模块的策略设置：周一至周五00-19:30 21:30-24:00时段除可以下载外，其他都制止及其相关敏感词，周六至周日00-12：00时段除可以下载外，其他根据实际情况进展设置防火墙规则：联网程序规则、IP规则步骤：正确安装瑞星防火墙；首页、网络平安功能模块的配置及相关知识的认识； 家长控制功能模块的策略设置； 查看本机上那些联网程序规则可以制止；认识IP规则：“允许FTP数据、“允许BT下载、“制止Ping入以及“制止TCP135、445；设置IP规则防火墙规则 IP规则 增加 BT连