防火墻及防病毒技術(shù)

1、1,2024/3/28,防火墻及防病毒技術(shù),2,2024/3/28,第一部分：防火墻技術(shù),3,2024/3/28,防火墻的定義,傳統(tǒng)的防火墻概念概念：防火墻被設計用來防止火從大廈的一部分傳播到另一部分,4,2024/3/28,I T 領(lǐng)域使用的防火墻概念,,,兩個安全域之間通信流的唯一通道,,,根據(jù)訪問控制規(guī)則決定進出網(wǎng)絡的行為,,一種高級訪問控制設備，置于不同網(wǎng)絡安全域之間的一系列部件的組合，它是不同網(wǎng)絡安全域間通信流的唯一通道，能根

2、據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡的訪問行為。,5,2024/3/28,防火墻發(fā)展,6,2024/3/28,防火墻分類,包過濾防火墻應用代理防火墻狀態(tài)檢測防火墻,7,2024/3/28,防火墻在網(wǎng)絡中的位置,防火墻放置于不同網(wǎng)絡安全域之間,8,2024/3/28,第一代防火墻和最基本形式防火墻檢查每一個通過的網(wǎng)絡包，或者丟棄，或者放行，取決于所建立的一套規(guī)則。所以稱為包過濾防火墻。,包過濾防火墻的特點,9,2

3、024/3/28,包過濾防火墻,,10,2024/3/28,包過濾防火墻,缺點： 配置困難,因為包過濾防火墻的配置很復雜，人們經(jīng)常會忽略建立一些必要的規(guī)則，或者錯誤配置了已有的規(guī)則，在防火墻上留下漏洞。 為特定服務開放的端口存在著危險，可能會被用于其他傳輸。 可能還有其他方法繞過防火墻進入網(wǎng)絡，例如撥入連接。,優(yōu)點： 防火墻對每條傳入和傳出網(wǎng)絡的包實行低水平控制。 防火墻可

4、以識別和丟棄帶欺騙性源IP地址的包。,11,2024/3/28,,,,,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,查找對應的控制策略,拆開數(shù)據(jù)包,根據(jù)策略決定如何處理該數(shù)據(jù)包,控制策略,數(shù)據(jù)包,過濾依據(jù)主要是TCP/IP報頭里面的信息，不能對應用層數(shù)據(jù)進行處理,,分組過濾判斷信息,包過濾防火墻工作原理圖,12,2024/3/28,應用代理防火墻,應用程序代理防火墻接受來自內(nèi)部網(wǎng)絡特定用戶應用程序的通信，然后建立于公共網(wǎng)絡服務器單獨的連接。

5、網(wǎng)絡內(nèi)部的用戶不直接與外部的服務器通信，所以服務器不能直接訪問內(nèi)部網(wǎng)的任何一部分。,13,2024/3/28,,應用代理防火墻,14,2024/3/28,優(yōu)點： 　　 指定對連接的控制，例如允許或拒絕基于服務器IP地址的訪問，或者是允許或拒絕基于用戶所請求連接的IP地址的訪問。 　　 通過限制某些協(xié)議的傳出請求，來減少網(wǎng)絡中不必要的服務。 　　 大多數(shù)代理防火墻能夠記錄所有的連接，包括地址和持續(xù)時間。這些信息對追蹤攻擊

6、和發(fā)生的未授權(quán)訪問的事件事很有用的。 缺點： 　　 必須在一定范圍內(nèi)定制用戶的系統(tǒng)，這取決于所用的應用程序。 一些應用程序可能根本不支持代理連接。,應用代理防火墻,15,2024/3/28,,,,,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,查找對應的控制策略,拆開數(shù)據(jù)包,根據(jù)策略決定如何處理該數(shù)據(jù)包,數(shù)據(jù)包,應用代理可以對數(shù)據(jù)包的數(shù)據(jù)區(qū)進行分析，并以此判斷數(shù)據(jù)是否允許通過,控制策略,,,,分組過濾判斷信息,應用代理判斷信息,應

7、用代理防火墻原理圖,16,2024/3/28,狀態(tài)/動態(tài)檢測防火墻,狀態(tài)檢測技術(shù)：在包過濾的同時，檢察數(shù)據(jù)包之間的關(guān)聯(lián)性，數(shù)據(jù)包中動態(tài)變化的狀態(tài)碼。跟蹤通過防火墻的網(wǎng)絡連接和包，使用一組附加的標準，以確定是否允許和拒絕通信。監(jiān)測引擎技術(shù)：采用一個或若干個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡安全策略的軟件模塊，抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡通信的各層實施監(jiān)測，獲得狀態(tài)信息，并動態(tài)地保存起來作為以后執(zhí)行安全策略的參考。當用戶訪問請求到達網(wǎng)關(guān)的操作系統(tǒng)前，狀態(tài)

8、監(jiān)視器要抽取有關(guān)數(shù)據(jù)進行分析，結(jié)合網(wǎng)絡配置和安全規(guī)定作出接納、拒絕、身份認證、報警或給該通信加密等處理動作?？梢詫崿F(xiàn) 拒絕攜帶某些數(shù)據(jù)的網(wǎng)絡通信，如帶有附加可執(zhí)行程序的傳入電子消息，或包含ActiveX程序的Web頁面。,17,2024/3/28,,,,,,,,,,,,,,,監(jiān)測引擎,,,狀態(tài)檢測示意圖,18,2024/3/28,優(yōu)點： 檢查IP包的每個字段的能力，并遵從基于包中信息的過濾規(guī)則。 識別帶有欺騙性源IP地

9、址包的能力。 包過濾防火墻是兩個網(wǎng)絡之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是困難的。 基于應用程序信息驗證一個包的狀態(tài)的能力， 例如基于一個已經(jīng)建立的FTP連接，允許返回的FTP包通過。 基于應用程序信息驗證一個包狀態(tài)的能力，例如允許一個先前認證過的連接繼續(xù)與被授予的服務通信。 記錄有關(guān)通過的每個包的詳細信息的能力?；旧希阑饓τ脕泶_定包狀態(tài)的所有信息都可以被記錄，包括應用程序?qū)Π恼埱螅B接的持續(xù)時間

10、，內(nèi)部和外部系統(tǒng)所做的連接請求等。,狀態(tài)/動態(tài)檢測防火墻,19,2024/3/28,狀態(tài)/動態(tài)檢測防火墻的缺點,狀態(tài)/動態(tài)檢測防火墻唯一的缺點就是所有這些記錄、測試和分析工作可能會造成網(wǎng)絡連接的某種遲滯，特別是在同時有許多連接激活的時候，或者是有大量的過濾網(wǎng)絡通信的規(guī)則存在時。 解決辦法就是將特定信息通過硬件進行處理，硬件速度越快，這個問題就越不易察覺，而且防火墻的制造商一直致力于提高他們產(chǎn)品的速度。,20,2024/3/

11、28,狀態(tài)檢測防火墻原理圖,,,,,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,數(shù)據(jù)包,查找對應的控制策略,拆開數(shù)據(jù)包,根據(jù)策略決定如何處理該數(shù)據(jù)包,數(shù)據(jù)包,狀態(tài)檢測可以結(jié)合前后數(shù)據(jù)包里的數(shù)據(jù)信息進行綜合分析決定是否允許該包通過,控制策略,,21,2024/3/28,市場發(fā)展需要的新技術(shù),,,,軟件防火墻,,專用硬件防火墻,軟件 VPN,,專用 VPN 網(wǎng)關(guān),加密處理芯片,軟件內(nèi)容掃描,,安全內(nèi)容處理網(wǎng)關(guān),內(nèi)容處理芯片,狀態(tài)檢測處理芯片,22,

12、2024/3/28,基于狀態(tài)檢測的硬件防火墻采用ASIC芯片硬件設計體系具有內(nèi)容處理芯片和內(nèi)容處理加速單元可以實現(xiàn)實時分析和數(shù)據(jù)包協(xié)調(diào)處理具有優(yōu)化內(nèi)容搜索、模式識別和數(shù)據(jù)分析功能同時具有病毒掃描、VPN、內(nèi)容過濾和基于網(wǎng)絡的入侵檢測功能。,主流防火墻發(fā)展趨勢,23,2024/3/28,底層內(nèi)容過濾原理圖,,,,,,,,,,,,物理接口 (10/100, GigE, etc.),…,,,,,OS 操作系統(tǒng),系統(tǒng)總線,中心CPU(

13、s)會話調(diào)度,ASIC內(nèi)容處理 器,特征存儲器,內(nèi)容重組和掃描存儲器,系統(tǒng)管理(CLI, Web, SNMP, AutoUpdate),,,,加密引擎(DES, 3DES, MD5, SHA1, AES),包過濾引擎,特征掃描引擎,,,流量管理引擎,,,,24,2024/3/28,防火墻的性能指標,延時,并發(fā)連接數(shù),平均無故障時間,吞吐量,防火墻在不丟包的情況下能夠達到的最大包轉(zhuǎn)發(fā)速率,數(shù)據(jù)包通過防火墻所用的時間,防火墻能夠同時處

14、理的點對點連接的最大數(shù)目,系統(tǒng)平均能夠正常運行多長時間，才發(fā)生一次故障,25,2024/3/28,防火墻產(chǎn)品功能特性組,業(yè)界標準：符合工業(yè)標準的防火墻工作模式：網(wǎng)絡地址轉(zhuǎn)換，透明模式，路由模式。用戶認證：內(nèi)建用戶認證數(shù)據(jù)庫，支持RADIUS認證數(shù)據(jù)庫。服 務：支持標準服務（例如：FTP、HTTP），用戶自定義服務， 還支持用戶定義服務組。時 間 表：根據(jù)小時、日、周和月建立一次性或循環(huán)時間表，防火墻

15、 根據(jù)不同的時間表定義安全策略。虛擬映射：外部地址映射到內(nèi)部或DMZ網(wǎng)絡上的地址IP/MAC綁定：阻止來自IP地址欺騙的攻擊,26,2024/3/28,操作模式: NAT/Route/Transparent,NAT – 網(wǎng)絡地址翻譯，每個接口有一個IP地址，向外的包IP地址翻譯成對外端口的IP地址Route – 每個接口有IP地址，IP包從一個端口路由到另一端口，沒有地址翻譯Transparent – 網(wǎng)絡接口沒

16、有IP地址，類似于二層交換機,27,2024/3/28,雙向NAT,,,202.94.1.1,外部的端口：8080,,,Internet,端口：80,端口：21,192.168.1.0/24,外部的端口：2121,,External,28,2024/3/28,透明模式的支持,,受保護網(wǎng)絡,如果防火墻支持透明模式則內(nèi)部網(wǎng)絡主機的配置不用調(diào)整,,,,,,,199.168.1.8,,同一網(wǎng)段,透明模式下，這里不用配置IP地址,透明模式下，這里

17、不用配置IP地址,,,,,,Default Gateway=199.168.1.8,防火墻相當于網(wǎng)橋，原網(wǎng)絡結(jié)構(gòu)沒有改變,,,,29,2024/3/28,基于時間的策略控制,管理員設置員工上網(wǎng)時間限制,,,,,在防火墻上制定基于時間的訪問控制策略,,上班時間不允許訪問Internet,下班時間可以自由訪問公司的網(wǎng)絡,,,Internet,,,,30,2024/3/28,IP/MAC綁定,,,Internal 1.1.1.1,Extern

18、al 2.2.2.2,1.1.1.2 00-20-ED-A8-81-60,IP//MAC Table:1.1.1.3 00-20-Ef-A8-82-61,1.1.1.4 00-20-ED-A8-81-64,1.1.1.3 (甲）,1.1.1.2,1.1.1.4（丙）,,嚴格限制內(nèi)部用戶的網(wǎng)絡地址增加網(wǎng)絡安全，抵御網(wǎng)絡攻擊,沒有在表中的配置項不能通過,,,,31,2024/3/28,HA功能,高可用性(HA) 提高

19、可靠性和負載分配。負載分配：增強性能，在失敗恢復的時候不會發(fā)生服務中斷。,32,2024/3/28,病毒檢測,Exe/doc/zip,,病毒庫,病毒檢測：掃描郵件附件（SMTP，POP3，IMAP）、 Web內(nèi)容和插件（HTTP）的病毒特征碼和宏病毒,33,2024/3/28,蠕蟲保護,蠕蟲保護：掃描所有進出的電子郵件及附件（SMTP,POP3,IMAP） 檢測網(wǎng)頁里的插件和下載的內(nèi)容（HTT

20、P）,34,2024/3/28,內(nèi)容安全控制,內(nèi)容安全控制 網(wǎng)絡訪問的內(nèi)容控制，支持WEB內(nèi)容的關(guān)鍵字過濾，屏蔽具有激越或敏感的網(wǎng)頁內(nèi)容，提供了內(nèi)容級可控制手段。 阻塞有害的Web語言攻擊，包括Java Applet 、Activex、 Cookie等,ＵＲＬ管理與控制Reject :www.xxx.com /xxx.asp?返回結(jié)果：所訪問網(wǎng)頁包含管理員禁止內(nèi)容

21、，以被屏蔽??！,35,2024/3/28,入侵檢測,Internet,,,,,,,,,,,,,,,,DMZEmailHTTP,財務部,市場部,研發(fā)部,Router,,,,,,,,36,2024/3/28,抵抗DOS/DDOS攻擊防止入侵者的掃描防止源路由攻擊防止IP碎片攻擊防止ICMP/IGMP攻擊防止IP欺騙攻擊,入侵檢測內(nèi)容,37,2024/3/28,虛擬專用網(wǎng)（VPN）,虛擬專用網(wǎng)（VPN） 在網(wǎng)絡之間

22、或網(wǎng)絡與客戶端之間進行安全通訊，支持IPSec、PPTP、L2TP等標準。硬件加速加密：支持DES，3DES加密算法密鑰交換算法：支持自動IKE和手工密鑰交換。VPN客戶端通過：沒有專門的配置需求，支持PPTP、L2TP,38,2024/3/28,VPN 解決方案,,,,遠程訪問,Internet,虛擬私有網(wǎng),,,,,虛擬私有網(wǎng),虛擬私有網(wǎng),39,2024/3/28,企業(yè)VPN解決方案(一),40,2024/3/28,企業(yè)

23、VPN解決方案(二),41,2024/3/28,基于PPTP/L2TP的撥號VPN,,在Internal 端網(wǎng)絡定義遠程地址池每個客戶端動態(tài)地在地址池中為VPN會話獲取地址客戶端先得撥號（163/169）得到一個公網(wǎng)地址 ， 然后和公司的防火墻設備利用PPTP/L2TP協(xié)議進行VPN的建立建立VPN 的用戶可以訪問公司內(nèi)部網(wǎng)絡的所有資源， 就象在內(nèi)部網(wǎng)中一樣客戶端不需要附加軟件的安裝，簡單方便,Dial-U

24、p NAT Pool10.1.1.0/24 10.1.1.1 --- 10.1.1.10,42,2024/3/28,基于ipsec的撥號VPN,利用IPSEC協(xié)議的通道模式進行VPN的建立無需為客戶分配IP Pool用戶端要安裝IPSEC Client軟件建立VPN 的用戶可以訪問公司內(nèi)部網(wǎng)絡的所有資源，就象在內(nèi)部網(wǎng)中一樣,43,2024/3/28,基于瀏覽器界面配置管理,使用HTTPS遠程登錄管理,44,2024/3/28,

25、基于字符和命令行界面配置管理,提供Console口或ＳＳＨ遠程連接通過使用ＳＮＭＰ遠程管理,45,2024/3/28,防火墻不足之處,無法防護內(nèi)部用戶之間的攻擊 無法防護基于操作系統(tǒng)漏洞的攻擊 無法防護內(nèi)部用戶的其他行為 無法防護端口反彈木馬的攻擊 多數(shù)防火墻無法防護病毒的侵襲 無法防護非法通道出現(xiàn),46,2024/3/28,企業(yè)部署防火墻的誤區(qū),最全的就是最好的，最貴的就是最好的 軟件防火墻部署后不對操作系統(tǒng)加固 一次

26、配置，永遠運行 測試不夠完全 審計是可有可無的,47,2024/3/28,如何選擇防火墻,選擇防火墻的標準有很多，但最重要的是以下幾條： 　 1、總擁有成本 2、防火墻本身是安全的 3、是硬件還是軟件 4、可擴充性 5、升級能力,48,2024/3/28,第二部分：計算機病毒技術(shù),49,2024/3/28,計算機病毒定義,計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)

27、，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。,——摘自《中華人民共和國計算機信 息系統(tǒng)安全保護條例》,50,2024/3/28,計算機病毒的基本特性之一,1.寄生性（依附性）,計算機病毒是一種特殊的計算機程序，它不是以獨立的文件的形式存在的，它寄生在合法的程序中. 病毒所寄生的合法程序被稱做病毒的載體，也稱為病毒的宿主程序。 病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計算機病毒的寄生性

28、。,51,2024/3/28,計算機病毒的基本特性之二,2. 傳染性,計算機病毒的傳染性是指計算機病毒會通過各種渠道從已被感染的計算機擴散到未被感染的計算機。 是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。,52,2024/3/28,計算機病毒的基本特性之三,計算機病毒在發(fā)作之前，必須能夠?qū)⒆陨砗芎玫碾[蔽起來，不被用戶發(fā)覺，這樣才能實現(xiàn)進入計算機系統(tǒng)、進行廣泛傳播的目的。 計算機病毒的隱蔽性表現(xiàn)為傳染的隱蔽性與存在的隱

29、蔽性。,3．隱蔽性,53,2024/3/28,計算機病毒的潛伏性是指病毒程序為了達到不斷傳播并破壞系統(tǒng)的目的，一般不會在傳染某一程序后立即發(fā)作，否則就暴露了自身。潛伏性愈好，其在系統(tǒng)中的存在時間就會愈長，病毒的傳染范圍就會愈大。,4．潛伏性,計算機病毒的基本特性之四,54,2024/3/28,計算機病毒的基本特性之五,共同的危害，即降低計算機系統(tǒng)的工作效率，占用系統(tǒng)資源，其具體情況取決于入侵系統(tǒng)的病毒程序。 計算機病毒的破壞性主

30、要取決于計算機病毒設計者的目的。 有時幾種本來沒有多大破壞作用的病毒交叉感染，也會導致系統(tǒng)崩潰等重大惡果。,5．破壞性,55,2024/3/28,計算機病毒的基本特性之六,6.可觸發(fā)性,因某個特征或數(shù)值的出現(xiàn)，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性。,56,2024/3/28,計算機病毒的基本特性之七,計算機病毒存在的理論依據(jù)來自于馮·諾依曼結(jié)構(gòu)及信息共享，從理論上講如果要徹底消滅病毒，只有摒棄馮·諾依曼結(jié)

31、構(gòu)及信息共享，顯然，此二者都是無法摒棄的。,7．產(chǎn)生的必然性,57,2024/3/28,計算機病毒的基本特性之八,從本質(zhì)上說，計算機病毒是非授權(quán)的對程序體的字符型信息加工過程。 病毒具有正常程序的一切特性，它隱藏在正常程序中，當用戶調(diào)用正常程序時竊取到系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行，病毒的動作、目的對用戶是未知的，是未經(jīng)用戶允許的。,8．非授權(quán)性,58,2024/3/28,1、磁盤在使用中的傳遞2、軟件共享使用3、盜版軟件4、

32、OFFICE文檔流行5、盜版光盤的泛濫6、網(wǎng)絡連接和INTERNET、局域網(wǎng)內(nèi)的目錄共享 7、E-mail的傳播，是網(wǎng)絡蠕蟲病毒傳播的主要途徑,病毒傳播途徑：,病毒傳播途徑,59,2024/3/28,病毒的危害,影響系統(tǒng)效率進行反動宣傳,占用系統(tǒng)資源,刪除、破壞數(shù)據(jù),干擾正常操作,阻塞網(wǎng)絡,60,2024/3/28,1)Dos病毒 2)Windows 病毒 3)UNIX病毒 4）攻擊OS/2系統(tǒng)的病毒。 5）攻

33、擊嵌入式操作系統(tǒng)的病毒。,1.按照病毒依賴的操作系統(tǒng)來分,一般說來，特定的病毒只能在特定的操作系統(tǒng)下運行。,病毒分類 之一,61,2024/3/28,病毒分類 之二,2.按照計算機病毒的鏈結(jié)方式分為：,源碼型病毒,入侵型病毒,操作系統(tǒng)型病毒,外殼型病毒,62,2024/3/28,病毒分類 之二,源碼型病毒：較為少見，亦難以編寫。因為它要攻擊高級語言編寫的源程序，在源程序編譯之前插入其中，并隨源程序一起編譯、連接成可執(zhí)行文件。此時剛剛生成

34、的可執(zhí)行文件便已經(jīng)帶毒了。,入侵型病毒：可用自身代替正常程序中的部分模塊或堆棧區(qū)。因此這類病毒只攻擊某些特定程序，針對性強。一般情況下也難以被發(fā)現(xiàn)，清除起來也較困難。,63,2024/3/28,病毒分類 之二,外殼型病毒：將自身附在正常程序的開頭或結(jié)尾，相當于給正常程序加了個外殼。大部份的文件型病毒都屬于這一類。,操作系統(tǒng)型病毒：可用其自身部分加入或替代操作系統(tǒng)的部分功能。因其直接感染操作系統(tǒng)，這類病毒的危害性也較大。,64,2024/

35、3/28,病毒分類 之三,良性病毒：小球病毒、三維球病毒、 WM/Concept病毒,3.按照病毒危害程度來分為：,惡性病毒：沖擊波病毒、蠕蟲王病毒、CIH病毒、 愛蟲病毒,病毒演示之一——女鬼病毒,病毒演示之二—千年老妖,其他病毒演示—白雪公主,68,2024/3/28,手機病毒,2004年，針對使用Symbian的藍牙手機的病毒出現(xiàn)針對使用PocketPC的驗證性攻擊程序也被發(fā)現(xiàn)手機功能和操作系統(tǒng)通用性不斷增強，會有越來

36、越多針對手機的攻擊,69,2024/3/28,病毒分類 之四,4．按寄生方式分為：,,引導型病毒,文件型病毒,混合型病毒,70,2024/3/28,引導型病毒:,引導型病毒是藏匿在磁盤片或硬盤的第一個扇區(qū)。因為DOS的架構(gòu)設計, 使得病毒可以在每次開機時, 在操作系統(tǒng)還沒被加載之前就被加載到內(nèi)存中, 這個特性使得病毒可以針對DOS的各類中斷 (Interrupt) 得到完全的控制, 并且擁有更大的能力進行傳染與破壞。,典型病毒：Mich

37、elangelo—米開朗基羅病毒潛伏期：一年發(fā)病日：3月6日產(chǎn)地：瑞典（也有一說為臺灣）癥狀：病毒發(fā)作后，使用者一開機若出現(xiàn)黑畫面，那表示硬盤資料全部丟失。,引導型病毒,71,2024/3/28,一般只傳染磁盤上的可執(zhí)行文件（COM，EXE）。在用戶調(diào)用染毒的可執(zhí)行文件時，病毒首先被運行，然后病毒駐留內(nèi)存伺機傳染其他文件或直接傳染其他文件。其特點是附著于正常程序文件，成為程序文件的一個外殼或部件。這是較為常見的傳染方式。根據(jù)文件

38、型的病毒依傳染方式的不同, 又分成非常駐型以及常駐型兩種。,文件型病毒,文件型病毒：,72,2024/3/28,非常駐型病毒將自己寄生在 *.COM, *.EXE或是 *.SYS的文件中。當這些中毒的程序被執(zhí)行時，就會嘗試去傳染給另一個或多個文件。,(1) 非常駐型病毒(Non-memory Resident Virus) :,典型病毒：Datacrime II 資料殺手發(fā)病日：10月12日起至12月31日發(fā)現(xiàn)日：1989.3產(chǎn)

39、地：荷蘭癥狀：低級階格式化硬盤，高度破壞數(shù)據(jù)資料,非常駐型病毒,73,2024/3/28,常駐型病毒躲在內(nèi)存中，其行為就好象是寄生在各類的低階功能一般(如 Interrupts)，由于這個原因, 常駐型病毒往往對磁盤造成更大的傷害。一旦常駐型病毒進入了內(nèi)存中, 只要執(zhí)行文件被執(zhí)行, 它就對其進行感染的動作, 其效果非常顯著。,發(fā)病日： 每逢13號星期五產(chǎn)地：南非癥狀：將任何你想執(zhí)行的中毒文件刪除，該病毒感染速度相當快，其發(fā)病的唯一

40、征兆是軟驅(qū)的燈會一直亮著。,(2) 常駐型病毒(Memory Resident Virus) :,典型病毒：Friday 13th 黑色（13號）星期五,常駐型病毒,74,2024/3/28,復合型病毒 (Multi-Partite Virus),復合型病毒兼具開機型病毒以及文件型病毒的特性。它們可以傳染 *.COM, *.EXE 文件，也可以傳染磁盤的開機系統(tǒng)區(qū)(Boot Sector)。由于這個特性, 使得這種病毒具有相當程度的傳

41、染力。一旦發(fā)病，其破壞的程度將會非?？捎^。,復合型病毒,典型病毒：Flip 翻轉(zhuǎn),發(fā)病日：每月2日產(chǎn)地：瑞士(也有一說為西德)癥狀：每個月 2 號，如果使用被寄生的磁盤或硬盤開機時，則在16 時至16時59分之間，屏幕會呈水平翻動。,75,2024/3/28,病毒分類之五,宏病毒：美麗莎,系統(tǒng)病毒: CIH病毒,蠕蟲病毒：紅色代碼，尼姆達,木馬病毒：QQ尾巴,黑客病毒：007,破壞性程序、網(wǎng)頁腳本病毒：萬花谷病毒,6．按照病毒的感染

42、特性來分,76,2024/3/28,病毒概念擴展,對病毒概念的擴展：,77,2024/3/28,蠕蟲病毒（一）,蠕蟲病毒與一般病毒的差異比較,78,2024/3/28,蠕蟲病毒（二）,蠕蟲的破壞和發(fā)展趨勢,79,2024/3/28,蠕蟲發(fā)作的一些特點和發(fā)展趨勢,病毒制作技術(shù)新,潛在的威脅和損失更大,與黑客技術(shù)相結(jié)合,利用操作系統(tǒng)和應用程序的漏洞主動進行攻擊,傳播方式多樣,80,2024/3/28,SQL蠕蟲,SQL蠕蟲,攻擊的是微軟數(shù)據(jù)

43、庫系Microsoft SQL Server 2000。利用了MSSQL2000服務遠程堆棧緩沖區(qū)溢出漏洞。此蠕蟲病毒本身除了對網(wǎng)絡產(chǎn)生拒絕服務攻擊外,并沒有別的破壞措施。但如果病毒編寫者在編寫病毒的時候加入破壞代碼,后果將不堪設想。,81,2024/3/28,紅色代碼(Code red)病毒,紅色代碼(Code red)病毒,該蠕蟲感染運行Microsoft Index Server 2.0的系統(tǒng)，或是在Windows 2000

44、、IIS中啟用了Indexing Service(索引服務)的系統(tǒng)。該蠕蟲利用了一個緩沖區(qū)溢出漏洞進行傳播（未加限制的Index Server ISAPI Extension緩沖區(qū)使WEB服務器變的不安全）。該蠕蟲只存在于內(nèi)存中，并不向硬盤中拷文件。,82,2024/3/28,該病毒影響運行Windows95, 98,ME,NT 和2000的客戶端和服務器通過Email 傳播通過網(wǎng)絡共享傳播通過瀏覽器傳播通過主動掃描未打補丁

45、的IIS服務器進行傳播 攜帶該病毒的郵件的包含兩部分,Nimda病毒,83,2024/3/28,計算機病毒命名之一,84,2024/3/28,計算機病毒命名之二,85,2024/3/28,計算機病毒命名之三,86,2024/3/28,計算機病毒命名之四,87,2024/3/28,計算機病毒命名之五,88,2024/3/28,計算機病毒邏輯結(jié)構(gòu)分析,89,2024/3/28,常見病毒類型流程分析一,90,2024/3/28,常見病毒類型

46、流程分析二,91,2024/3/28,常見病毒類型流程分析三,92,2024/3/28,如何發(fā)現(xiàn)病毒之一,計算機病毒發(fā)作時，通常會出現(xiàn)以下幾種情況，這樣我們就能盡早地發(fā)現(xiàn)和清除它們。 （1）電腦運行比平常遲鈍。 （2）程序載入時間比平常久。 （3）對一個簡單的工作，磁盤似乎花了比預期長的時間。 （4）不尋常的錯誤信息出現(xiàn)。 （5）由于病毒程序的異常活動，造成對磁盤的異常訪問。當你 沒有存取磁盤，但磁盤指示

47、燈卻亮了，表示電腦這時已經(jīng) 受到病毒感染了。 （6）系統(tǒng)內(nèi)存容量忽然大量減少。 （7）磁盤可利用的空間突然減少。 （8）可執(zhí)行程序的大小改變,93,2024/3/28,如何發(fā)現(xiàn)病毒之二,（9）由于病毒可能通過將磁盤扇區(qū)標記為壞簇的方式把自己隱藏 起來，磁盤壞簇會莫名其妙地增多。（10）程序同時存取多部磁盤。（11）內(nèi)存內(nèi)增加來路不明的常駐程序。（12）文件、數(shù)據(jù)奇怪的消失。（13）文件的內(nèi)容被加上一些奇怪的

48、資料。（14）文件名稱，擴展名，日期，屬性被更改過。（15）打印機出現(xiàn)異常。（16）死機現(xiàn)象增多。（17）出現(xiàn)一些異常的畫面或聲音。,異?，F(xiàn)象的出現(xiàn)并不表明系統(tǒng)內(nèi)肯定有病毒，仍需進一步的檢查。,94,2024/3/28,什么是病毒代碼 (Virus Pattern)?,所謂的病毒代碼其實可以想像成是犯人的指紋, 當防毒軟件公司收集到一只新的病毒時, 他們就會從這個病毒程序中截取一小段獨一無二而且足以表示這只病毒的二進位程序碼 (

49、Binary Code) , 來當做殺毒程序辨認此病毒的依據(jù), 而這段獨一無二的二進位程序碼就是所謂的病毒代碼。,病毒代碼,95,2024/3/28,殺毒引擎的定義,當殺毒軟件去掃描某一個磁盤驅(qū)動器或目錄時，它其實是把這個磁盤驅(qū)動器或目錄下的檔案一一送進掃描引擎來進行掃描，也就是說看到的漂亮畫面其實只是一個使用者接口(UI，User Interface)，真正影響掃描速度及偵測率的因素就是查毒引擎。 查毒引擎是一個沒有畫面，

50、沒有包裝的核心程序，它被放在殺毒軟件所安裝的目錄之下，就好象汽車引擎平常是無法直接看見的，可是它卻是影響汽車性能最主要的關(guān)鍵。 有了病毒特征碼，有了查毒引擎，再配合一個精美的操作畫面，就組成了殺毒軟件。,96,2024/3/28,防病毒技術(shù),1.病毒掃描技術(shù),2.病毒監(jiān)控技術(shù),已知病毒掃描技術(shù),未知病毒掃描技術(shù),實時監(jiān)控系統(tǒng) 個人防火墻監(jiān)控系統(tǒng),97,2024/3/28,已知病毒掃描技術(shù),已知病毒掃描技術(shù),特征碼掃描技術(shù)

51、 廣譜特征掃描技術(shù) 采取通配符方式掃描，可以在不升級病毒庫的前提下查找病毒變種，但是無法殺掉。,98,2024/3/28,虛擬機技術(shù),虛擬機技術(shù),通過軟件形式，虛擬CPU和內(nèi)存環(huán)境，將可疑文件放入虛擬機中運行，殺毒引擎監(jiān)控該文件動作，對其行為做出分析，從而判定是否為病毒。,99,2024/3/28,未知病毒掃描技術(shù),未知病毒掃描技術(shù),啟發(fā)式查毒 部分虛擬，分析部分代碼，速度快，但無法清除病毒，可能會有誤報。行為判定技

52、術(shù) 對文件進行完全虛擬，可清除病毒，判斷準確，但速度較慢。,100,2024/3/28,實時監(jiān)控系統(tǒng),實時監(jiān)控系統(tǒng),文件監(jiān)控郵件監(jiān)控內(nèi)存監(jiān)控網(wǎng)頁腳本監(jiān)控注冊表監(jiān)控,101,2024/3/28,個人防火墻監(jiān)控系統(tǒng)之一,102,2024/3/28,個人防火墻監(jiān)控系統(tǒng)之二,103,2024/3/28,加強網(wǎng)絡管理員安全管理水平，提高安全意識。 建立病毒檢測與防范系統(tǒng)建立應急響應系統(tǒng)，將風險減少到最小 建立災難備份系統(tǒng),企

53、業(yè)用戶防范病毒策略,企業(yè)防范病毒措施,104,2024/3/28,局域網(wǎng)防病毒,對郵件服務器進行監(jiān)控，防止帶毒郵件進行傳播,對于局域網(wǎng)而言，可以采用以下措施：,在因特網(wǎng)接入口處安裝防火墻式防殺計算機病毒產(chǎn)品，將病毒隔離在局域網(wǎng)之外,完善局域網(wǎng)內(nèi)部的升級系統(tǒng)，包括各種操作系統(tǒng)的補丁升級，各種常用的應用軟件升級，各種殺毒軟件病毒庫的升級,對局域網(wǎng)用戶進行安全培訓,安裝網(wǎng)絡版防病毒軟件,105,2024/3/28,個人用戶防病毒,購買合適的殺