互联网安全与病毒

Download Report

Transcript 互联网安全与病毒 

第九章 互联网安全与病毒
1
2
互联网面临的
威胁
第一是以传统宏病毒、蠕虫等为代表的入侵性病毒;
第二是以间谍软件、广告软件、网络钓鱼软件、木
马程序为代表的扩展类威胁;
第三是以黑客为首的有目标的专门攻击或无目标的
随意攻击为代表的网络侵害。
3
计算机病毒的定义
计算机病毒(computer Virus)在《中华人
民共和国计算机信息系统安全保护条例》
中被明确定义,病毒指“编制者在计算机
程序中插入的破坏计算机功能或者破坏数
据,影响计算机使用并且能够自我复制的
一组计算机指令或者程序代码”。
4
计算机病毒的特征
隐蔽性
传染性
潜伏性
可激发性
破坏性
5
计算机病毒的种类
• 按照病毒的破坏性分类:
良性病毒、恶性病毒
• 按照病毒存在的媒体分类:
网络病毒、文件病毒、引导型病毒、
混合型病毒
• 按照计算机病毒特有的算法分类:
伴随型病毒、“蠕虫”型病毒、寄生型
病毒、诡秘型病毒、变型病毒(又称幽灵
病毒)
6
• 1999年4月26:CIH 1.2 版本首次大范围爆
发 全球超过六千万台电脑被不同程度破坏
• 2000年4月26:CIH 1.2 版本第二次大范围
爆发,全球损失超过十亿美元
• 2001年4月26:CIH 第三次大范围爆发。仅
北京就有超过六千台电脑遭CIH破坏
CIH
7
CIH病毒也称切尔
诺贝利病毒,属系
统病毒,其别名有
Win95.CIH、Spacefiller、
Win32.CIH、PE_CIH,
它主要感染
Windows95/98下
的可执行文件,会
破坏用户系统上的
全部信息 。
感染途径:盗版光盘、
软盘、网络。
8
9
冲击波病毒
2003年夏爆发,数十万台计算机被感染,
给全球造成20亿-100亿美元损失。
10
冲击波病毒,属蠕虫
防止系统漏洞类蠕虫病
毒的侵害,最好的办法
是打好相应的系统补丁。
如震荡波病毒
病毒,运行时会不停地
利用IP扫描技术寻找网
络上系统为Win2K或XP
的计算机,找到后就利
用DCOM RPC缓冲区漏洞
攻击该系统,一旦攻击
成功,使系统操作异常、
不停重启、甚至导致系
统崩溃。
感染途径:网络、RPC
漏洞 。
11
I love you
2000年5月至今 ,众多用户电脑被感染,
损失超过100亿美元以上 。
12
不随意查看陌生邮件,
尤其是带有附件的邮
件。
I love you,属于蠕虫
病毒,又称情书或爱虫。
通过一封标题为“我爱你
(ILOVEYOU)”、附件名称为
“Love-Letter-For-You.TXT.vbs”
的邮件进行传输。向
Microsoft Outlook通讯
簿中的联系人发送自身,
大肆复制自身覆盖音乐
和图片文件,并在本机
中大量搜索相关账号和
密码,并发给开发者。
感染途径:网络、电子
邮件 。
13
熊猫烧香
06年年底开始大规模爆发数百万台电脑受
攻击,造成损失达数百万美元 。
14
“熊猫烧香” ,属于蠕
虫病毒,它采用“熊猫烧香”
头像作为图标。它能感染系
统中
exe,com,pif,src,html,asp等
文件,它还能中止大量的反
病毒软件进程 ,删除扩展
名为gho的文件被病毒感染
的文件图标均变为“熊猫烧
香”。同时,受感染的计算
机还会出现蓝屏、频繁重启
以及文件被破坏等现象。该
病毒会在中毒电脑中所有的
网页文件尾部添加病毒代码。
平时要注意保护U盘等移动
存储设备数据安全。尽量不
要直接双击打开,应该先按
右键后打开。不用时,及时
从电脑上把U盘拔除。
感染途径:主要通过下
载的档案传染 。
15
从病毒种类的构成比例也可以看出,
木马以85.4%的比例依然占据主流,
而传统病毒仅占4.3%、蠕虫2.6%、
后门程序7.7%。
木马是编写的一种远程控制恶意程序,木马会
未经用户许可,记录用户的键盘录入,盗取用户银
行账户,密码等信息,并将其发送给攻击者。
现在木马有很多种,象“广外幽灵”,“蓝色
火焰”,“网络神偷”以及国产木马程序-“灰鸽
子”等。
木马作为病毒集团“互联网
转型”的主要工具,是黑客
实现经济利益的最直接手段。
16
“灰鸽子”
连续3年的年度十大病毒、被反病毒专家称
为最危险的后门程序。
2007年2月21日,灰鸽子2007beta2版本发
布。该版本可以对远程计算机进行如下操
作:编辑注册表;上传下载文件;查看系统信
息、进程、服务;查看操作窗口、记录键盘、
修改共享、开启代理服务器、命令行操作、
监视远程屏幕、操控远程语音视频设备、
关闭、重启机器等。
17
2011年上半年Top10恶意代码排名
排名
病毒名称
病毒特点
比例
1
Trojan.Win32.Patched.ja
“假补丁”变种ja是一个利用微软 41.9%
MS04-011漏洞进行传播的木马。
2
Trojan-PSW.Win32.Kykymber.AA
14.8%
“密室大盗”变种AA,一个专门
盗取网络游戏帐号的盗号木马 。
3
Trojan.Win32.MicroFake.bh
释放文件,感染lpk.dll,在桌面
右下角弹广告。
4
Trojan-Dropper.Win32.Vedio.dgs
替换dsound.dll,记录键盘消息。 6.1%
5
Trojan-PSW.Win32.OnLineGames.PFZ.Gen
盗取网游帐号。
4.9%
6
Trojan-PSW.Win32.OnLineGames.POT
专门窃取在线游戏的帐号。
4.8%
7
Net-Worm.Win32.Allaple.b
自变形蠕虫病毒,在被感染系统
中生成若干病毒副本,可通过系
统弱口令系统漏洞等途径传播,
发送DoS攻击。
4.6%
8
Trojan-GameThief.Win32.OnLineGames.xtdg
网游盗号类木马。
4.2%
9
Trojan.Win32.Agent2.dery
窃取魔兽争霸帐号。
3.8%
10
Trojan-PSW.Win32.OnlineGames.PIA
网游盗号类木马。
3.6%
11.3%
18
以恶意点击器为代表的流氓广告程序、网游
盗号木马、QQ盗号木马、远程控制木马(控
制“肉鸡”)、木马下载器、恶意脚本程序、
伪装文件(文件夹)类U盘病毒是感染量最高
的七大类木马病毒。
其中,流氓广告程序是网民最常遇的一类木
马,它的主要危害是绑架浏览器首页和桌面
图标,强制访问不良网址导航。在网民电脑
遇到的各种安全问题中,流氓广告程序所占
的比例约为70%。
19
通过分析发现,现在病毒木马的的特性不再以破坏系统为
主,转为盗取私人信息(包括:游戏、网银等帐号密码及
密保。),传播恶意程序为主,即利益因素为现在病毒木
马的主要目的。
网络下载和聊天工具传文件是木马病毒最主要的传播途
径,所占比例合计达到74% 。
盗号木马病毒在盗取帐号密码后会将这些信息发送到指定
的地址,然后会由专门的工作室去洗这些帐号(将游戏里
的虚拟财产转为现实中的货币);而现在手机产品中最火
的android平台中恶意程序则以在后台定制扣费服务为主。
伴随着电子商务的发展,在经济利益最集中的互联网应用
领域,如网络购物,木马的危害会越来越大,因此木马仍
然在未来几年病毒总数中占据绝对优势。
20
钓鱼网站也是目前为止黑客所采取
的最直接的获取经济利益的手段。
网络钓鱼 攻击者利用欺骗性的电子邮件和伪造的
Web 站点来进行网络诈骗活动,受骗者往往会泄露
自己的私人资料,如信用卡号、银行卡账户、身份
证号等内容。诈骗者通常会将自己伪装成网络银行、
在线零售商和信用卡公司等可信的品牌,骗取用户
的私人信息。
网络钓鱼传统意义上指的是利用伪造邮件的方式发
送邮件诱导用户点击,窃取用户银行帐号的行为。
现在的钓鱼网站广泛意义上讲,以牟利为目的的欺
骗。比如QQ中奖。
21
钓鱼欺诈网站是目前互联网黑色产业的主要攻击模式。而网
络购物又是互联网上钱财最集中汇聚的地方,因此网购经济
也在一定程度上催生了钓鱼网站的泛滥。
钓鱼网站最钟爱六大类欺诈内容,包括:
各种抽奖(22%),购物类网站,如假淘
宝(17%)、假彩票分析(13%)、非法
的六和彩网站(8%),假腾讯网站(8%),
假证券网站(15%)。而伴随着电子商务
的发展,互联网上直接经济活动的增多,
购物类钓鱼网站依然会不断增加。
22
23
2010年十大典型的钓鱼网站
序
号
钓鱼网站种类
占总钓鱼网站
比例
相关钓鱼网站 访问人数统
数量
计
1
抽奖
22%
80万个
1400万次
2
购物
17%
68万个
1000万次
3
证券
15%
60万个
900万次
4
彩票
13%
52万个
870万次
5
假冒QQ中奖
8%
32万个
762万次
6
六合彩
8%
32万个
650万次
7
假药
1%
约4万个
400万次
8
网游交易
1%
约4万个
320万次
9
假信贷
1%
约4万个
240万次
10
机票
1%
约4万个
186万次
注:数据来源于金山云安全监测平台
24
案例:2011上半年中国银行网站被大量模仿做钓鱼站,影响及大。比
如:www.bociec.tk 这个钓鱼站的页面与中国银行的几乎页面完全一样,
正常的中国银行页面如图5.6,虚假的如图5.7。几乎仅仅在红框圈出来
的地方不同。
图5.6 中国银行网站
25
图5.7 仿中国银行网站
钓鱼站不再仅仅申请免费域名进行中奖钓鱼,开始攻击正
常网站修改页面,为高利益假冒银行的网站,这些都在利
益的引导下有了越来越专业的一条龙流水线。
26
防治网络钓鱼软件,应注意以下方面 :
•不要在网上留下可以证明自己身份的任何资料,包括手机号
码、身份证号、银行卡号码等。
•不要把自己的隐私资料通过网络传输,包括银行卡号码、身份证号、
电子商务网站账户等资料不要通过QQ 、MSN 、Email 等软件传播
,这些途径往往可能被黑客利用来进行诈骗。
•不要相信网上流传的消息,除非得到权威途径的证明。如网络论坛
、新闻组、 QQ 等往往有人发布谣言,伺机窃取用户的身份资料等。
•不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手
机号码、自己使用的银行账户、自己经常去的消费场所等。骗子们可
能利用这些资料去欺骗你的朋友。
•如果涉及到金钱交易、商业合同、工作安排等重大事项,不要仅仅
通过网络完成,有心计的骗子们可能通过这些途径了解用户的资料,
伺机进行诈骗。
不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等,
除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中
奖信息和促销信息,而骗子们往往喜欢这样进行诈骗。
27
广告软件(Adware)是指 未经用户允许,下载并
安装或与其他软件捆绑通过弹出式广告或以其他形
式进行商业广告宣传的程序。安装广告软件之后,
往往造成系统运行缓慢或系统异常。
防治广告软件,应注意以下方面 :
第一,不要轻易安装共享软件或"免费软件",这些软件里往
往含有广告程序、间谍软件等不良软件,可能带来安全风险
。
第二,有些广告软件通过恶意网站安装,所以,不要浏览不
良网站。
第三,采用安全性比较好的网络浏览器,并注意弥补系统漏
洞。
28
间谍软件(Spyware)是能够在使用者不知情的
情况下,在用户电脑上安装后门程序的软件。 用
户的隐私数据和重要信息会被那些后门程序捕获,
甚至这些 “后门程序” 还能使黑客远程操纵用户
的电脑。
防治间谍软件,应注意以下方面 :
第一,不要轻易安装共享软件或“免费软件”,这些软件里
往往含有广告程序、间谍软件等不良软件,可能带来安全风
险。
第二,有些间谍软件通过恶意网站安装,所以,不要浏览不
良网站。
第三,采用安全性比较好的网络浏览器,并注意弥补系统漏
洞。
29
僵尸网络 Botnet 是指采用一种或多种传播手段,
将大量主机感染bot程序(僵尸程序)病毒,从而
在控制者和被感染主机之间所形成的一个可一对
多控制的网络。
攻击者通过各种途径传播僵尸程序感染互联
网上的大量主机,而被感染的主机将通过一个控
制信道接收攻击者的指令,组成一个僵尸网络。
之所以用僵尸网络这个名字,是为了更形象
的让人们认识到这类危害的特点:众多的计算机
在不知不觉中如同中国古老传说中的僵尸群一样
被人驱赶和指挥着,成为被人利用的一种工具。
30
黑客(Hacker)
泛指那些专门利用电
脑网络搞破坏或恶作
剧的家伙。
例1:伪造一个登录界面,当用户在这个界面上输入用户名和
密码时,程序将它们转移到一个隐蔽的文件中,然后提示错
误,要求用户再输入一遍。程序这时再调用真正的登录界面
让用户登录,于是在用户几乎毫无察觉的情况下就得到了记
录有用户名和密码的文件。
例2:查证信息。你可能在某天接到这样的信息:“我是**银
行(用户的网上开户银行)会计部,我们的客户信息系统出
现了一点故障,请将你的帐号密码填入下表后提交,以便我
们审核……”。请千万注意,遇到这种情况,应立即用电话跟
你的开户行联系,决不要轻易填表。
31
案例:2010年的伊朗"震网"病毒事件,标志着电
脑病毒作为一种武器正式登上战场
2010年9月,伊朗称布什尔核电站部分员工
电脑感染了一种名为“震网(Stuxnet)”的超级
电脑病毒。这种病毒可以悄无声息地潜伏和传播,
并对特定的西门子工业电脑进行破坏。万幸的是,
这次电站主控电脑并未感染。
32
黑客的常用攻击手段:
•
•
•
•
•
•
•
•
•
1、获取口令
2、放置特洛伊木马程序
3、WWW的欺骗技术
4、电子邮件攻击
5、通过一个节点来攻击其他节点
6、网络监听
7、寻找系统漏洞
8、利用帐号进行攻击
9、偷取特权
33
互联网安全威胁五大特征
一、病毒木马呈现“互联网化”趋势,高
度依赖联网传播
1. 计算机脱离互联网的机会越来越少
据CNNIC最新发布的第27次中国互联网络
发展状况统计报告显示,截至2010年12月
底,我国网民规模达到4.57亿,宽带普及率
接近100%。主流计算机用户几乎已经通过
各种渠道连接上了互联网。
34
2. 据2010年数据显示,病毒木马的传播途
径中,有93.2%直接依赖互联网完成,其中
有82.2%是通过下载行为感染计算机。
3. 网络畅通是病毒传播者获得非法利益的
必要前提
病毒木马感染的最终目的是篡改浏览器、弹出广
告、分发盗号木马、推广流氓软件来赚取推广分
成;通过推广钓鱼欺诈网站来诱骗用户上当受骗;
网购木马通过劫持篡改网购定单,强行将网民在
线购物的款项转到自己的帐户。病毒程序要实现
这些目的,必须要在网络畅通的情况下才可能做
到。
35
病毒感染的目的
联网时
1.篡改浏览器首页,
必须联网,才能令网民访问指定的首页
为某些商业网站
刷流量
断网时
浏览器打不开
2.弹出钓鱼网站、
广告网页
联网时,才能按服务端的指令弹出指定的网址。必须联
网,钓鱼网站弹出才会有内容。
无法完成业绩
3.网购木马篡改交
易单
必须联网,才能进行网上购物。只有购物之时,才可能
发生交易劫持
无法断网购物
4.后台自动下载安
装某些软件
必须联网才能完成指定程序的下载
无法断网下载。
5.盗窃网民个人信
息、盗窃网游帐
号
必须联网,才能将偷到的东西发到指定服务器。必须联
网,才能登录网络游戏。不登录网游,木马不可能知道
游戏帐号密码
断网,无法游
戏,更不能盗
号。
36
二、80%的病毒传播渠道被病毒集团所操控,危
害更深入
数据表明:十大病毒集团控制了互联网上80%的
病毒下载通道。这些病毒集团传播的病毒,其主
要破坏行为包括:为某些商业网站(主要是中小
网址导航站、不良网站、盗版视频下载站)刷流
量;推广一些商业软件(这些软件往往捆绑了各
种插件,会篡改浏览器,弹出广告);推广钓鱼
欺诈网站,使中毒者上当受骗;推广其它病毒
(主要是攻击热门网络游戏的盗号木马)。
37
病毒木马通过网络下载传播的完整路径
38
病毒集团的危害行为更加赤裸裸的以盗取经济利益
为目的
据2010年4月中国互联网络信息中心CNNIC和国
家互联网应急中心CNCERT联合发布的《2009年
中国网民网络信息安全状况调查系列报告》显示,
2009年,52%的网民曾遭遇网络安全事件,网民
处理安全事件所支出的相关服务费用共计153亿
元人民币。而这些病毒木马在给网民造成损失的
同时,也在疯狂的获得非法利益,病毒产业的收
益以百亿元计,这些总数不到50家的病毒集团获
取的非法收益约占其中一半,领先的病毒集团一
年可有数亿元的规模,令一般中小企业难望其项
背。
39
三、网络购物人群成为入侵重点对象
随着网络购物的发展,针对网络购物的安
全威胁已经成为影响互联网安全的重要形
式。在2010年,有近28%的互联网用户遭
遇过虚假钓鱼网站、诈骗交易、交易劫持、
网银被盗等针对网络购物的安全攻击。
40
四、新型木马不断出现,破坏性超传统木
马10倍
以前,我们说到木马,大多是指那些盗号木马,
盗号木马以窃取网游玩家的虚拟财产为目标。现
在,随着互联网商业应用的不断拓展,病毒木马
作者已经不屑于盗取虚拟财产。很多正常商业网
站或商业软件的推广会提供丰厚的佣金,病毒木
马传播者的目标就是强行修改用户系统配置,为
这些商业网站带流量,或者使用流氓手段推广商
业软件,再从商业公司赚取推广费。
2010年,中国互联网新增了两大类木马:绑架
型木马、网购木马。
41
五、病毒木马与钓鱼网站相互“勾结”越
发突出
同欺诈下载一样,钓鱼网站也是一种低技
术含量的威胁,但网站采用的骗术却能屡
屡得手。而数字大盗病毒实现了病毒技术
和钓鱼网站近乎完美的结合,给网购用户
构成严重威胁。大量病毒木马会在用户桌
面弹出钓鱼网站的广告页面,用低价、中
奖等诱饵,令网民上当受骗。
42
病毒传播的主渠道
病毒木马感染的最终目的是篡改浏览器、弹
出广告、分发盗号木马、推广流氓软件来
赚取推广分成;通过推广钓鱼欺诈网站来
诱骗用户上当受骗;网购木马通过劫持篡
改网购定单,强行将网民在线购物的款项
转到自己的帐户。
43
病毒传播的主渠道——传播渠道的互联网化
•据2010年数据显示,病毒木马有82.2%是通过下载行为感染计算机。统计
数据表明,93.2%的病毒传播渠道直接与互联网有关。通过U盘等移动存
储介质传播的占6.8%。而这些U盘病毒也是先通过网络感染计算机,再感
染中毒计算机上使用过的U盘,实现局部反复传播。病毒入侵后的主要破
坏,如网游盗号、弹广告、篡改浏览器、下载流氓软件必须依赖于互联网
44
的畅通。
病毒主要侵害的高危人群——
互联网热门应用成主要目标
根据金山毒霸拦截网络威胁数据统计显示,
诸如网购用户、网游爱好者、视频达人等
人群是病毒团伙的主要目标,尤其是直接
关乎经济利益的网络购物等上网行为更是
成为了黑客的首要目标。
45
网购类人群——数量小成功率
高,经济损失严重
• 因网购木马的特殊攻击方式,导致网购受害用户
呈现总体数量小,但成功率高,经济损失严重的
现象。根据目前截获的网购木马分析显示,病毒
木马传播者为求自身安全,并没有使用可以让病
毒短时间大面积传播的渠道,而是大多利用QQ或
淘宝旺旺一对一的行骗,这种行骗方式成功率非
常高,若本地安全软件没能及时拦截,受害者多
半会遭受经济损失。
• 另外,网购达人是钓鱼网站最主要的受害者。骗
子往往先骗倒淘宝店主,再用店主的ID登录淘宝
店,继续欺骗更多买家。
46
下载类用户——覆盖面最广的
受害用户群体
• (1)网络视频爱好者
这些网民喜欢看在线视频,有热门大片上映一定要先睹为
快。与此同时,一部分专门分享盗版电影、热门影视剧、
进口大片的网站成为毒源。
这些在线视频网站,会利用热门视频或不良视频分享为诱
饵,吸引这部分网民上勾。在这些网站下载视频,无一例
外,会被推荐安装一些专用播放器,这些专用播放器中,
捆绑病毒的概率接近100%。
同时,在这些网站上,还会提供与视频浏览相匹配的大量
广告链接,广告链接直接指向病毒下载地址。
47
48
• (2)盗版游戏爱好者、游戏外挂使用者
游戏玩家的数量仍然庞大,盗号木马的传播主要
依赖网页挂马这个通道,当网页挂马基本无效之
后,盗号集团将传播渠道转移到那些伪装成游戏
外挂的软件下载站或网盘中。
• 病毒传播者会利用游戏相关论坛、贴吧以及游戏
内的聊天频道,传播外挂、插件有关的消息,吸
引玩家下载。部分外挂插件下载站的经营者也非
常狡猾,这些站点在多数时间提供正常软件下载,
但会在某个特定的时间将下载链接替换成病毒下
载。
49
50
(3)热门软件爱好者
这部分网民对系统有较多的理解,能够主动寻找和尝试新
软件,特别是一些破解、盗版的商业软件。但提供这些软
件的下载站往往暗藏陷阱,提供非法软件下载的网站上,
广告收入几乎是网站唯一的收入来源,这些网站的广告成
为重要的病毒发布通道。小型软件下载站的广告位,几乎
被病毒传播者所占据,一不留神点击到广告链接,下载的
就是病毒。
51
• (4)电子书爱好者
一些提供电子书下载的网站有稳定的流量和访客,
某些热门下载可能被人为植入木马进行传播。
52
偏好使用U盘交换文件的用户——
数量在逐步减少
• 统计数据表明,在学校机房、文印室、机
关单位这些场景,U盘病毒的危害高于一般
网民。著名的conficker病毒、超级工厂病
毒,U盘、移动硬盘均为其重要传播媒介。
但伴随着安全软件U盘保护等安全功能的推
出,U盘用户感染病毒的几率也在不断下降。
53
互联网安全趋势预测
54
一、网购木马将集中爆发
伴随着病毒集团“互联网转型”的加速,互联网
最集中的经济交易平台,同时,网购市场自身也
在高速增长,这个领域必然成为黑客显而易见的
攻击目标。
二、针对社交网络的攻击呈现上升趋势
新浪微博、腾讯微博、人人网、QQ社区等等,这
些社交网络包含了众多隐私信息,普遍支持分享
短链接,短链接很可能被利用来传播恶意信息。
社交网络又具有传播非常快速的特点,若某个社
交网络被黑客发现有漏洞可以利用,将会在极短
的时间内影响庞大的用户群。
55
三、针对移动互联网的攻击加剧
手机平台由于其封闭型以及操作系统的分散性,给病毒木
马传播制造了一定的门槛。
据中科院调研报告显示:当前68.6%的手机用户正面临移
动安全威胁,存在恶意扣费行为的“扣费”类手机病毒已
累积感染手机250万部以上,成为影响用户手机安全的主
要威胁。
在中国,用户为应用商店付费的意愿较低,一些手机病毒
经常伪装成有正常功能的盗版软件诱骗用户下载,并通过
彩信、短信中内嵌链接进行扩散,给广大用户的个人隐私
及财产安全带来极大隐患。
56
计算机病毒的预防
57
计算机病毒的预防措施:
1.养成良好的上网习惯,不要访问一些内容不健康的小网站;
2.下载安装软件尽量到官方网站进行下载,或者到正规的大的
下载站点进行下载;
3.安装个人防病毒软件、个人防火墙软件,设置相应的访问规
则,过滤不安全的站点访问;
4.及时安装系统补丁;
5.不随意打开来历不明的电子邮件及附件,不随意安装来历不
明的插件程序;
6. 定期对电脑做安全检查,使用如360安全卫士、瑞星杀毒软
件等进行恶意软件查杀,对电脑进行全方位诊断;
7.经常去安全网站转一转,以便及时了解一些新病毒(木马)的
底细;
8.外来软盘/U盘/移动磁盘等要先查杀病毒后再使用;
9.不随意打开陌生人传来的页面链接,谨防恶意网页中隐藏的
木马程序;
58
10.不使用盗版的游戏软件。
“震荡波”病毒发作时在“windows任务管理器”的“进程”选项卡下找到的
病毒程序的进程,机器出现的异常关机提示。
59
计算机病毒的清除
1)使用杀毒软件
①
②
③
④
金山毒霸
瑞星杀毒软件
诺顿防毒软件
江民杀毒软件
2)使用病毒专杀工具
60 60
• 瑞星:瑞星采用最新杀毒引擎,能够快速查杀大小
各种病毒,病毒库更新比较及时。但是瑞星的网络
监控能力稍弱,最好再加上瑞星防火墙弥补缺陷;
系统资源较大。
• 金山毒霸:是金山公司推出的电脑安全产品,监
控、杀毒全面、可靠,自我防护能力较强。与系
统、程序兼容性稍差;占用系统资源较大。
• 江民:是一款老牌的杀毒软件。它具有良好的监
控系统,独特的主动防御使不少病毒望而却步,
江民的监控效果非常出色,尤其是网页监控,占
用资源不是很大。但本身稳定性稍弱,有时比较
卡,病毒库更新稍慢。
61
• 目前来看,国产的杀毒软件杀毒能力要弱
于国外杀毒软件的杀毒能力,对比较智能、
隐藏比较深,破坏力较强的病毒查杀能力,
还是欠缺,尤其是一些病毒针对国产杀毒
软件,一旦中毒,杀毒软件就被破坏,不
能正常使用。
62
•
•
•
•
推荐使用范围:
(一)电脑配置较高,推荐使用Kaspersky (卡巴斯基),
其强大杀毒与监控能力,使你安全使用电脑,上网,误杀
问题基本可以忽略。
(二)电脑配置中等,推荐使用Avira AntiVir(小红伞),
对病毒的反应敏捷,占用系统资源小,病毒库升级及时,
监控能力很强,可以放心使用电脑,报警频繁可以忽略
(三)电脑配置较低,可以使用国产杀毒软件,比如瑞星
等,比较容易使用,查杀简便,升级也比较轻松
(四)笔记本电脑,推荐使用ESET Nod32,体积小,占
用资源小,扫描快
63
3)手动清除病毒
手动清除方法适用于对计算机的操作相当熟练,具有一
定计算机专业知识的用户。
利用病毒程序自启动的特点,可以在“开始/运行”下
输入“regedit”打开注册表编辑程序,查看
“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
entVersion\Run” 目录下是否有非法自动运行的程序,有
的话就可以手动删除这些病毒程序项,并找到对应的病毒文
件手动将其物理删除。
64 64
例如“新欢乐时光(VBS.KJ)”,该病毒在系统的System32
文件夹中生成 inet.vxd 和 setup.txt 两个文件,在所
有检测到的文件夹下生成Desktop.ini和Folder.htt 两个
具 有 隐 藏 属 性 的 文 件 , 在 \%Windows%\web 和
\%Windows%\System32 文 件 夹 下 生 成 kjwall.gif , 在
\%Windows%\System 文 件 夹 下 生 成 Kernel.dll 或
Kernel32.dll文件。该病毒主要通过电子邮件或文件进行
传播。病毒发作后将消耗大量系统资源,使机器的运行速
度变慢。
下面是手工清除该病毒的方法:
① 单 击 “ 开 始 | 运 行 ” , 输 入 regedit 命 令 打 开 注 册 表 编 辑 器 , 找 到
HKEY_LOCAL_MACHINE\Software\Windows\CurrentVersion\Run\
中 的
Kernel32 项并将其删除,使病毒无法随系统自动启动;
② 删除系统中System32文件夹中的 inet.vxd 和 setup.txt 两个文件。
③ 删除在System文件夹中的Kernel.dll或Kernel32.dll文件。
④ 利用系统中的“搜索”工具找到所有隐藏的“ desktop.ini”和
“ folder.htt” 文件并将其彻底删除。
65
计算机安全技术
66
66
1. 黑客攻防技术
黑客攻击的一般步骤:
1)信息收集:用SNMP协议来查看路由器的路由表,
了解目标主机内部拓扑结构的细节,用TraceRoute程
序可获得到达目标主机所要经过的网络数和路由数,
用Ping程序可以检测一个指定主机的位置并确定是否
可到达等。
2)探测分析系统的安全弱点:使用Telnet或FTP等软
件向目标主机申请服务,如果目标主机有应答就说明
开放了这些端口的服务。其次使用Internet安全扫描
程序ISS(Internet Security Scanner)或网络安全
分析工具SATAN等来对整个网络或子网进行扫描,寻
找系统的安全漏洞,获取攻击目标系统的非法访问权。
3)实施攻击:在受到攻击的目标系统安装探测器软
件,如特洛伊木马程序,在目标系统中建立新的安全
漏洞或后门,收集黑客感兴趣的一切信息,如账号与67 67
口令等敏感数据。
黑客的攻击方式 :
1)密码破解
一般采用字典攻击、假登录程序和密码探测程序
等来获取系统或用户的口令文件 。
2)IP嗅探(Sniffing)与欺骗(Spoofing)
嗅探又叫网络监听,通过改变网卡的操作模式让
它接受流经该计算机的所有信息包,这样就可以
截获其他计算机的数据报文或口令。
欺骗: 即将网络上的某台计算机伪装成另一台不同
的主机,目的是欺骗网络中的其他计算机误将冒
名顶替者当作原始的计算机而向其发送数据或允
许它修改数据。如IP欺骗、路由欺骗、DNS欺骗、
ARP欺骗以及Web欺骗等。
3)系统漏洞。利用系统中存在的漏洞如“缓冲区溢
出”来执行黑客程序。
4)端口扫描。了解系统中哪些端口对外开放,然后
68 68
利用这些端口通信来达到入侵的目的。
防止黑客攻击的策略
1)数据加密:提高了数据传输的安全性。
2)身份认证:只对确认了身份的用户给予相应的
访问权限 。
3)建立完善的访问控制策略:设置入网访问权限、
网络共享资源的访问权限、目录安全等级控制、网
络端口和结点的安全控制、防火墙的安全控制等。
4)审计:记录与安全有关的事件,保存在日志文
件以备查询。
5)其他安全防护措施:
• 不随便从Internet上下载软件
• 不运行来历不明的软件
• 不随便打开陌生人发来的邮件附件
• 不随意去点击具有欺骗诱惑性的网页超级链接
69 69
2. 防火墙技术
防火墙是设置在被保护的内部网络和外
部网络之间的软件和硬件设备的组合,对内
部网络和外部网络之间的通信进行控制,通
过监测和限制跨越防火墙的数据流,尽可能
地对外部屏蔽网络内部的结构、信息和运行
情况。
70 70
“Windows 防火墙”,这是windows xp操作系统自带的防火
墙,可以限制从其他计算机上发送来的信息,更好地控制自
己计算机上的数据,这样就对那些未经允许而尝试连接的
用户或程序(包括病毒和蠕虫)提供了一道屏障。
“天网个人防火墙”,属于包过滤类型防火墙,根据系统预
先设定的过滤规则以及用户自己设置的过滤规则来对网络
数据的流动情况进行分析、监控和管理,能够有效地提高
计算机的抗攻击能力。
“瑞星企业级防火墙RFW-100”, 一种混合型防火墙,集状
态包过滤、应用层专用代理、敏感信息的加密传输和详尽
灵活的日志审计等多种安全技术于一身,可根据用户的不
同需求,提供强大的访问控制、信息过滤、代理服务和流
量统计等功能。
71
3.数据加密技术
数据加密就是将被传输的数据转换成表面上杂
乱无章的数据,合法的接收者通过逆变换可以
恢复成原来的数据,而非法窃取得到的则是毫
无意义的数据。
明文:没有加密的原始数据;
密文:加密以后的数据;
加密:把明文变换成密文的过程;
解密:把密文还原成明文的过程;
密钥:一般是一串数字,用于加密和解密的钥
匙;
72 72
密码学中根据密钥使用方式的不同一般分为
“对称密钥密码体系”和“非对称密钥密码体系”
1)对称密钥密码体系
2)非对称密钥密码体系
73 73
“替换加密法”,就是用新的字符按照一定
的规律来替换原来的字符。如用字符b替换
a,c替换b,……,依此类推,最后用a替
换z,那么明文“secret”对应的密文就是
“tfdsfu”,这里的密钥就是数字1,加密
算法就是将每个字符的ASCII码值加1并做
模26的求余运算。对于不知道密钥的人来
说,“tfdsfu”就是一串无意义的字符,而
合法的接收者只需将接收到的每个字符的
ASCII码值相应减1并做模26的求余运算,
74
就可以解密恢复为明文“secret”。
4. 数字签名技术
数字签名(Digital Signature):通过密码技术
对电子文档形成的签名,类似现实生活中的
手写签名,但数字签名并不是手写签名的数
字图像化,而是加密后得到的一串数据。
加密发送字符串“TONGJI”(对应的十六进制
表示为“544F4E474A49” )的签名示例图:
75 75
在实际应用中,对电子文档添加了数字签名以后,
用户并不能看到自己的签名数据,签名的过程由应
用程序自动完成。例如在“Outlook Express”中
添加数字签名用户只需执行“工具|数字签名”即
可(前提是用户已经拥有自己的数字证书),用户
看不到签名的数据,但是应用程序会给出提示信息,
下面就是添加了数字签名的新邮件:
数字签名标志
76 76
• 收到添加了数字签名的邮件时系统给出的
提示:
77 77
5. 数字证书
数字证书就是包含了用户的身份信息,由权威认证中
心(CA)签发,主要用于数字签名的一个数据文件,相当
于一个网上身份证。
1)数字证书的内容:
申请者的信息
颁发者的信息
证书序列号
证书主题
颁发者的名称
证书的有效期限
签名所使用的算法
颁发者的数字签名
证书所有人的公开密钥
2)数字证书的作用
(1)用于数字签名
(2)用于保密传输
78
4) 查看证书信息:
打开IE浏览器,单击“工具|Internet选项|内容|证书”,如下图所
示:
79 79
证书信息:
80 80
个人客户数字证书的申请、使用和数字签名的实现:
1)银行审核用户提交的身份证和银行卡后,用户可获得一个USB接
口的数字证书介质以及客户证书的密码。
2)插入USB接口卡并安装相应的驱动程序,登录工行指定网站
https://mybank.icbc.com.cn/icbc/perbank,下载数字证书。
3)添加数字签名
81 81