电子商务安全：第3章 计算机病毒防治与黑客攻防

第3章计算机病毒防治

与黑客的防范计算机病毒的概念2023/1/3定义：计算机病毒是一段附着在其他程序上的可以实现自我繁殖的程序代码。（国外）定义：计算机病毒是指破坏计算机功能或者数据，并能自我复制的程序。（国内）病毒发展史：1977年科幻小说《TheAdolescenceofP-1》描写计算机病毒1983年FredAdleman首次在VAX11/750上试验病毒；1986年Brain病毒在全世界传播；1988年11月2日Cornell大学的Morris编写的Worm病毒袭击美国6000台计算机，直接损失近亿美元；八十年代末，病毒开始传入我国计算机病毒的概念（续）病毒的特征：传染性；寄生性；衍生性；隐蔽性；潜伏性；可触发性；夺取控制权；破坏性与危害性2023/1/3计算机病毒的分类按破坏性分为：良性；恶性。按激活时间分为：定时；随机按传染方式分为：

引导型：当系统引导时进入内存，控制系统； 文件型：病毒一般附着在可执行文件上； 混合型：既可感染引导区，又可感染文件。按连接方式分为： OS型：替换OS的部分功能，危害较大； 源码型：要在源程序编译之前插入病毒代码；较少； 外壳型：附在正常程序的开头或末尾；最常见； 入侵型：病毒取代特定程序的某些模块；难发现。2023/1/3计算机病毒的分类（续）按照病毒特有的算法分为：伴随型病毒：产生EXE文件的伴随体COM，病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。“蠕虫”型病毒：只占用内存，不改变文件，通过网络搜索传播病毒。寄生型病毒：除了伴随和“蠕虫”型以外的病毒，它们依附在系统的引导扇区或文件中。变型病毒（幽灵病毒）：使用复杂算法，每传播一次都具有不同内容和长度。一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。2023/1/3常见的计算机病毒蠕虫病毒网络病毒脚本病毒宏病毒后门病毒CIH病毒计算机病毒的组成病毒的组成：安装模块：提供潜伏机制；传播模块：提供传染机制；触发模块：提供触发机制；其中，传染机制是病毒的本质特征，防治、检测及杀毒都是从分析病毒传染机制入手的。2023/1/3计算机病毒的症状病毒的症状：启动或运行速度明显变慢；文件大小、日期变化；死机增多；莫名其妙地丢失文件；磁盘空间不应有的减少；有规律地出现异常信息；自动生成一些特殊文件；无缘无故地出现打印故障。2023/1/3计算机病毒的传播途径1）通过不可移动的设备进行传播较少见，但破坏力很强。2）通过移动存储设备进行传播最广泛的传播途径3）通过网络进行传播反病毒所面临的新课题4）通过点对点通讯系统和无线通道传播预计将来会成为两大传播渠道2023/1/3病毒的防治网络环境下的病毒防治原则与策略

防重于治，防重在管：制度；注册、权限、属性、服务器安全；集中管理、报警。综合防护：木桶原理；防火墙与防毒软件结合最佳均衡原则：占用较小的网络资源管理与技术并重正确选择反毒产品多层次防御：病毒检测、数据保护、实时监控注意病毒检测的可靠性：经常升级；两种以上。2023/1/3病毒的防治（续）防毒：预防入侵；病毒过滤、监控、隔离查毒：发现和追踪病毒；统计、报警解毒：从感染对象中清除病毒；恢复功能病毒检测的方法直接观察法：根据病毒的种种表现来判断特征代码法：采集病毒样本，抽取特征代码特点：能快速、准确检验已知病毒，不能发现未知的病毒。2023/1/3病毒的防治（续）校验和法：根据文件内容计算的校验和与以前的作比较。优点：能判断文件细微变化，发现未知病毒。缺点：当软件升级、改口令时会产生误报；不能识别病毒名称；对隐蔽性病毒无效。行为监测法：基于对病毒异常行为的判断特点：发现许多未知病毒；可能误报，实施难软件模拟法：一种软件分析器，用软件方法来模拟和分析程序的运行。特点：可用于对付多态病毒。2023/1/3病毒的防治（续）反病毒软件的选择1）扫描速度30秒能扫描1000个以上文件2）识别率3）病毒清除测试著名杀毒软件公司冠群金辰KILL瑞星RAV北京江民KV3000信源LANVRV赛门铁克NortonAntiVirus时代先锋（行天98）

2023/1/3病毒的防治（续）反病毒软件工作原理1）病毒扫描程序 串扫描算法:与已知病毒特征匹配；文件头、尾部 入口扫描算法：模拟跟踪目标程序的执行 类属解密法：对付多态、加密病毒2）内存扫描程序：搜索内存驻留文件和引导记录病毒3）完整性检查器：能发现新的病毒；但对于已被感染的系统使用此方法，可能会受到欺骗。4）行为监测器：是内存驻留程序，监视病毒对可执行文件的修改。防止未知的病毒2023/1/3病毒的发展趋势攻击对象趋于混合型；反跟踪技术；增强隐蔽性：避开修改中断向量值；请求在内存中的合法身份；维持宿主程序外部特征；不用明显感染标志采用加密技术，使得对病毒的跟踪、判断更困难；繁衍不同的变种。2023/1/3网络攻击黑客2023/1/3网络攻击阶段及工具攻击的阶段性侦察扫描拒绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统的攻击获得访问权使用网络攻击获得访问权维护访问权2023/1/3网络攻击阶段及工具（续）侦察扫描决绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统的攻击获得访问权使用网络攻击获得访问权维护访问权2023/1/3侦察侦察是攻击的第一步，这就如同匪徒一般侦察是利用公开的、可利用的信息来调查攻击目标侦察包括以下技术低级技术侦察Web搜索Whois数据库域名系统（DNS）侦察通用的目标侦察工具2023/1/3低级技术侦察社交工程物理闯入垃圾搜寻你能找出垃圾搜寻的例子吗？2023/1/3Web搜索搜索一个组织自己的web站点有电话号码的职员联系信息关于公司文化和语言的信息商务伙伴最近的合并和兼并公司正使用的技术使用搜索引擎.hk搜索论坛BBS（电子公告栏）Usenet（新闻组）2023/1/3Whois数据库搜索什么是whois数据库：包括各种关于Internet地址分配、域名和个人联系方式的数据库研究.com,.net,.org域名研究非.com,.net和.org域名国家代码:教育(.edu):军事代码(.mit):whois.nic.mit政府(.gov):2023/1/3Whois数据库搜索(续)搜索目标域名2023/1/3Whois数据库搜索(续)搜索目标IP美国Internet注册局：/whois/arin-whois.html欧洲网络协调中心：亚太网络协调中心：中国互联网络信息中心：2023/1/3亚太网络信息中心2023/1/3DNS搜索nslookup2023/1/3通用工具SamSpade工具Netscantools基于web的工具2023/1/3网络攻击阶段及工具（续）侦察扫描决绝服务攻击掩盖踪迹和隐藏使用应用程序和操作系统的攻击获得访问权使用网络攻击获得访问权维护访问权2023/1/3扫描扫描是在侦察之后，企图发现目标的漏洞扫描需要花费许多时间2023/1/3扫描内容战争拨号网络测绘端口扫描漏洞扫描躲避IDS2023/1/3战争拨号战争拨号是搜寻调制解调器查找电话号码：电话薄、Intenet、whois、web站点、社交工程工具THC－scan2.02023/1/3网络测绘网络测绘是绘制目标的网络拓扑结构发现活跃主机PingTCP或UDP数据包扫描跟踪路由：Traceroute（UNIX）Tracert（Windows）网络测绘工具Cheops：/cheops/2023/1/3端口扫描SYN扫描2023/1/3扫描的目的发现活跃的主机发现开放的端口确定目标使用的操作系统协议栈指纹（Fingerprint）2023/1/3如何扫描防火墙NMAP扫描目标主机开放端口如何扫描防火墙，确定其开放端口呢？2023/1/3Firewall路由器路由器防火墙TTL=4Port=1,TTL=4Port=2,TTL=4Port=3,TTL=4Port=4,TTL=4超时消息2023/1/3漏洞扫描漏洞扫描寻找以下漏洞一般的配置错误默认的配置缺点知名系统的漏洞漏洞扫描的组成漏洞数据库用户配置工具扫描引擎当前活跃的知识库结果库和报告生成工具漏洞数据库用户配置工具扫描引擎活跃的知识库结果库和报告生成2023/1/3漏洞扫描工具SARA，/sara.SANT,/saint/Nessus,......2023/1/3NessusNessus以插件形式提供漏洞检查Nessus基于客户/服务器结构客户服务器2023/1/3躲避IDS上述扫描均存在“网络噪音”，易被IDS识别出来如何躲避IDS？IDS如何工作？如何躲避？2023/1/3IDS如何工作IDS2023/1/3如何躲避IDS？弄乱流量改变数据的结构或语法弄乱上下文IDS无法识别完整的会话方法：网络层躲避应用层躲避2023/1/3网络层躲避只使用片断发送片断泛洪以意想不到的方式对数据包分段微小片段攻击片段重叠工具：fragroute2023/1/3Fragrouter2023/1/3应用层躲避躲避IDSCGI：whisker()URL编码/./目录插入过早结束的URL长URL假参数TAB分隔大小写敏感Windows分隔符(‘\’)空方法会