【文章內(nèi)容簡(jiǎn)介】 目前比較流行的趨勢(shì)。很多問題，過去的手工病毒，要繁殖生存，通過傳播刪除數(shù)據(jù)。黑客在發(fā)現(xiàn) “ 后門 ” 后，利用這些病毒手段進(jìn)行攻擊。掃描是常用的尋找漏洞的手段。那么，哪些服務(wù)必須提供，哪些服務(wù)不需要提供，例如用戶所不需要的某些功能服務(wù)作為選項(xiàng)在安裝時(shí)會(huì)存在在系統(tǒng)中，這樣就可能有漏洞存在在系統(tǒng)中。因此，如果接受的服務(wù)越多，就可能存在的問題越多。因此，不透明、經(jīng)常變化、不定期升級(jí)、動(dòng)態(tài)口令，使系統(tǒng)在變化中變得相對(duì)安全。目前，很多情況下，用戶對(duì)自己的系統(tǒng)中的漏洞并不了解，某些先天不合理的缺陷存在在系統(tǒng)中，如果有人攻擊這個(gè)弱點(diǎn)，就成為問題。所以，第一，要首先了解自己的系統(tǒng)。版本信息也是重要的，不同的版本，有不同的弱點(diǎn)，就可能成為攻擊對(duì)象。系統(tǒng)的關(guān)鍵文件也是重要的，可以從中提取用戶名和口令。 25 計(jì)算機(jī)審計(jì) – Hugh Yan 25 十四、如何防止黑客入侵計(jì)算機(jī)網(wǎng)絡(luò) ? 攻擊的方法和手段 ? 獲取系統(tǒng)敏感文件的方法。匿名 FTP、 TFTP等。采用 TFTP在很多蠕蟲、強(qiáng)力攻擊弱口令等手段中進(jìn)行使用。 ? 獲取初始訪問權(quán)限。如采用監(jiān)聽手段竊取口令。匿名 FTP，利用主機(jī)間的缺省口令或信任關(guān)系（口令）等。利用發(fā)郵件，告訴你附件是個(gè)升級(jí)包，但有可能是一個(gè)病毒。利用技術(shù)防范上的漏洞。 ? 獲取超級(jí)用戶口令。如 SNIFER、緩沖區(qū)溢出等手段獲取特權(quán)。目前的開發(fā)安全理論已經(jīng)引起重視。軟件工程與軟件安全已經(jīng)成為一個(gè)并行的方式。軟件越龐大，漏洞越多。目前國(guó)內(nèi)有人發(fā)現(xiàn) MICROSOFT有 6個(gè)漏洞，據(jù)說這次發(fā)現(xiàn)之后直接就在網(wǎng)上公布了，但微軟還沒有找到相應(yīng)的解決辦法。所以給用戶帶來很大的風(fēng)險(xiǎn)。 ? 消除痕跡。破壞系統(tǒng)后使用。 ? 慣用手法。 TFTP、拒絕服務(wù)（分布式拒絕服務(wù)）、 SNIFFER嗅探器、緩沖區(qū)溢出、 SYN同步風(fēng)暴（發(fā)出大量的連接請(qǐng)求，但并不管連接結(jié)果，大量占用用戶資源，出現(xiàn)死機(jī)。）目前有一種技術(shù)，使系統(tǒng)的資源只能用到60%等。采用路由器設(shè)置提高網(wǎng)絡(luò)質(zhì)量。但是對(duì)于公共系統(tǒng)，路由配置拒絕服務(wù)比較難。對(duì)于路由器的攻擊，竊取權(quán)限修改路由表，或者造成資源 DOWN機(jī)。因此，要經(jīng)常檢查路由器的狀態(tài)。采取措施之前，應(yīng)該先記錄原始狀態(tài)參數(shù)，不要輕易地重啟技術(shù)。 26 計(jì)算機(jī)審計(jì) – Hugh Yan 26 十四、如何防止黑客入侵計(jì)算機(jī)網(wǎng)絡(luò) ? 如何預(yù)防黑客 ? 升級(jí)系統(tǒng)，打補(bǔ)丁 ? 防火墻 ? 使用入侵掃描工具 ? 不要輕易安裝不明軟件 ? 經(jīng)常檢查日志 27 計(jì)算機(jī)審計(jì) – Hugh Yan 27 十五、計(jì)算機(jī)網(wǎng)絡(luò)病毒防治 ? 計(jì)算機(jī)病毒概述 ? 計(jì)算機(jī)病毒產(chǎn)生的歷史。 1977年有一部科幻小說聯(lián)想有一種病毒從一臺(tái)計(jì)算機(jī)傳播到所有計(jì)算機(jī)。 ? 定義。 ? 廣義病毒：能夠引起計(jì)算機(jī)故障、能引起數(shù)據(jù)破壞，具有破壞性。如邏輯炸彈。 ? 狹義病毒：具有傳染性、能夠復(fù)制、傳播、變形等，修改其它程序，使之含有病毒自身或其變種。國(guó)內(nèi) 《 計(jì)算機(jī)安全管理?xiàng)l理 》 定義計(jì)算機(jī)病毒指由人編制或插入、能復(fù)制或者傳染、破壞功能或數(shù)據(jù)、影響計(jì)算機(jī)使用程序或者指令。這個(gè)定義內(nèi)容較窄。如某些蠕蟲。 ? 特征。 ? 非授權(quán)可執(zhí)行性，外來代碼請(qǐng)求通過系統(tǒng)溢出從而使其代碼成為可執(zhí)行指令； ? 隱蔽性，有些病毒程序?yàn)榱诉m應(yīng)存儲(chǔ)需要因此容量很小，而現(xiàn)在的病毒程序逐漸增大，但相對(duì)于系統(tǒng)的復(fù)雜性而言還是比較小，因此隱蔽性問題更加突出； ? 傳染性 ,病毒的大量傳播危害很大；潛伏性，有些病毒的潛伏期可以長(zhǎng)到 1年左右，但數(shù)據(jù)恢復(fù)的效率很慢，現(xiàn)在病毒的潛伏期已經(jīng)越來越短；表現(xiàn)性； ? 破壞性，如數(shù)據(jù)的破壞，往往不能恢復(fù)，如病毒通過重寫數(shù)據(jù)破壞數(shù)據(jù)； ? 可觸發(fā)性，如對(duì)于時(shí)間的觸發(fā)條件，這種病毒現(xiàn)在越來越少 。數(shù)字簽名技術(shù)能夠鑒定代碼的真?zhèn)?。在?jì)算機(jī)系統(tǒng)中，數(shù)據(jù)和程序不易區(qū)分，它們存儲(chǔ)在同樣的地方。 28 計(jì)算機(jī)審計(jì) – Hugh Yan 28 十五、計(jì)算機(jī)網(wǎng)絡(luò)病毒防治 ? 計(jì)算機(jī)病毒概述 ? 病毒分類。 ? 按照傳染方式分為引導(dǎo)型病毒，小球病毒、大麻病毒； ? 文件型病毒，目前常見的有腳本病毒，難于防范； ? 復(fù)合型病毒。按照破壞性分為良性病毒；惡性病毒。 ? 危害性。 ? 影響系統(tǒng)效率； ? 刪除、破壞數(shù)據(jù)； ? 干擾正常操作； ? 阻塞網(wǎng)絡(luò)； ? 信息泄露； ? 進(jìn)行反動(dòng)宣傳； ? 占用系統(tǒng)資源，等等。 ? 政府部門的計(jì)算機(jī)系統(tǒng)、民用計(jì)算機(jī)，被病毒感染后，就變成了一個(gè)公開的服務(wù)器。因?yàn)橛行┎《緪酆谜咴谶\(yùn)行有些病毒掃描程序之后，被開設(shè)后門，對(duì)系統(tǒng)進(jìn)行危害。 29 計(jì)算機(jī)審計(jì) – Hugh Yan 29 十五、計(jì)算機(jī)網(wǎng)絡(luò)病毒防治 ? 計(jì)算機(jī)病毒的組成 ? 病毒程序，分為引導(dǎo)模塊、傳染模塊、表現(xiàn)模塊。引導(dǎo)性病毒至今仍然有很強(qiáng)的生命力。傳染模塊是病毒的核心，過去多傳染文件，通過文件運(yùn)行傳播?，F(xiàn)在將網(wǎng)絡(luò)傳染作為重點(diǎn)。表現(xiàn)主要是破壞性。雖然有三個(gè)基本模塊，但有可能只有 1個(gè)或 2個(gè)模塊。如過去的瘋狂拷貝文件，一直增大，直至超過計(jì)算機(jī)內(nèi)存如 64K。 ? 引導(dǎo)型病毒。主要靠軟盤引導(dǎo)啟動(dòng)實(shí)現(xiàn)。可能傳染引導(dǎo)區(qū)、記錄區(qū)。當(dāng)引導(dǎo)后，就傳染到硬盤上。軟盤引導(dǎo)失敗也能夠傳染病毒給硬盤。 WXY病毒，能夠重復(fù)感染，第一次將主引導(dǎo)區(qū)移入最后一個(gè)扇區(qū)，而把病毒寫入第一扇區(qū)。第二次繼續(xù)用同樣的方法，將繼續(xù)感染。用其它盤啟動(dòng)，分區(qū)表將被丟失。這種病毒一般可以恢復(fù)。有效的措施是從硬盤引導(dǎo)，不要從軟盤引導(dǎo)。這種病毒在國(guó)外越來越少，因?yàn)檐洷P啟動(dòng)逐漸不再作為默認(rèn)引導(dǎo)盤。 30 計(jì)算機(jī)審計(jì) – Hugh Yan 30 十五、計(jì)算機(jī)網(wǎng)絡(luò)病毒防治 ? 計(jì)算機(jī)病毒的組成 ? 文件型病毒。文件加載時(shí)，修改文件頭。各種 EXE文件后綴，殺完毒后原來文件可能不能再用。殺毒之前應(yīng)該備份。 1575毛毛蟲病毒，出現(xiàn)后，逐行吃進(jìn)字符。 DOS下的病毒傳播越來越少。 MINCER小花帽病毒，在 2022年由一個(gè)中學(xué)生制造，專門感染 PC上的 EXE文件，說是一個(gè)網(wǎng)管軟件，運(yùn)行后，全盤搜索，發(fā)現(xiàn)同類文件之后就感染，到 7月 15日發(fā)作。 ? 宏病毒。由于 OFFICE中引入宏的概念，就出現(xiàn)了這種病毒。OFFICE中的各類文件都會(huì)被感染。主要通過郵件傳輸而傳播。1998年達(dá)到高峰。 “ 7月殺手 ” 、 “ 美麗殺 ” 病毒，大量復(fù)制傳播，只要有過網(wǎng)頁訪問，即被傳染上。這是美國(guó)本土病毒。類似的病毒很多。如 “ 7月殺手 ” ，用 VB寫的，每年 7月份發(fā)作，運(yùn)行時(shí)先檢查月份，如果發(fā)作，先刪除硬盤上的大部分文件。這類病毒的防治比較簡(jiǎn)單，可以通過文件改名、刪除文件來處理。 31 計(jì)算機(jī)審計(jì) – Hugh Yan 31 十五、計(jì)算機(jī)網(wǎng)絡(luò)病毒防治 ? 計(jì)算機(jī)病毒的組成 ? 腳本語言病毒。如愛蟲病毒，主要是修改 VBS文件。一般來說起一個(gè)與原來的文件名類似的文件，來修改注冊(cè)表。下次運(yùn)行后，病毒將被激活。例如：在 OFFICE2022下用 OUTLOOK，病毒將被自動(dòng)激活，從而向外發(fā)出郵件。地址簿中的用戶被覆蓋。 OUTLOOK發(fā)件箱中制造很多的病毒郵件。 ? 網(wǎng)頁病毒。只要訪問了帶病毒的網(wǎng)頁，就會(huì)自動(dòng)感染病毒，如 的傳播。超文本文件可以內(nèi)嵌破壞性代碼。支持腳本、用戶交互式使用的網(wǎng)頁，在交互時(shí)，非法文件即可以在本機(jī)運(yùn)行。 “ 混客絕情炸彈 ” 頁面，就是在點(diǎn)擊網(wǎng)葉后，使許多正常文件失去作用。有些病毒通過游戲軟件來竊取用戶的銀行帳號(hào)。對(duì)注冊(cè)表不停地刷新的方法反抗注冊(cè)表解鎖方法。 ? 蠕蟲病毒。只是通過郵件進(jìn)行傳播。不會(huì)對(duì)系統(tǒng)造成大量危害，但對(duì)網(wǎng)絡(luò)造成危害。目前，蠕蟲和病毒結(jié)合起來。 “ 求職信病毒 ” ，以找工作為由，但利用文件頭中多媒體播放代碼后加入病毒運(yùn)行文件名，從而傳播病毒，但附件被隱含在文件后面。這種病毒原來是在地址簿中尋找地址、或者自動(dòng)回復(fù)未閱讀郵件。有些偽造發(fā)件人，因?yàn)榘l(fā)件人地址可以人工輸入。 32 計(jì)算機(jī)審計(jì) – Hugh Yan 32 十五、計(jì)算機(jī)網(wǎng)絡(luò)病毒防治 ? 計(jì)算機(jī)病毒的組成 ? 黑客木馬程序。通過網(wǎng)絡(luò)下載、電子郵件。如 YAI病毒，相當(dāng)于一個(gè)遠(yuǎn)程控制文件。傳染可執(zhí)行文件， 5分鐘感染一次，隱蔽性強(qiáng)。在 WIN INI中啟動(dòng)，修改文件關(guān)聯(lián)。捆綁文件，先執(zhí)行木馬程序。在 動(dòng)。修改與 EXE文件的關(guān)聯(lián)。利用注冊(cè)表加載運(yùn)行。利用 替換目標(biāo)文件名，通過 DOSCONFIG起作用。 ? NIMADA病毒。可以通過各種途徑傳染在 WINDOWS系統(tǒng)和網(wǎng)絡(luò)上。因?yàn)楹芏嗖《臼轻槍?duì) OUTLOOK設(shè)置的，因此采用較為不流行的工具好一些。 ? “ 中文求職信病毒變種 ” ，修改注冊(cè)表。通過電子郵件傳播。 ? SQL 1434蠕蟲是針對(duì)微軟的一些應(yīng)用漏洞作的病毒。對(duì)策是升級(jí) SQL SERVER系統(tǒng)。但有時(shí)補(bǔ)丁也會(huì)帶來與原來的系統(tǒng)不兼容。升級(jí)后的系統(tǒng)應(yīng)該驗(yàn)證，防止補(bǔ)丁沒有安裝成功。 ? 口令儒蟲。專門遠(yuǎn)程攻擊弱口令，加上遠(yuǎn)程掃描、執(zhí)行程序。一旦感染，會(huì)截獲鍵盤，即輸入密碼和用戶代碼時(shí)通過電子郵件轉(zhuǎn)發(fā)黑客。 33 計(jì)算機(jī)審計(jì) – Hugh Yan 33 十五、計(jì)算機(jī)網(wǎng)絡(luò)病毒防治 ? 計(jì)算機(jī)病毒流行的原因。 ? 作系統(tǒng)的脆弱性。 ? 網(wǎng)絡(luò)的脆弱性。 ? 硬件的脆弱性。 ? 傳播途徑 ? 軟盤 ? 硬盤 ? 光盤 ? USB口 ? 網(wǎng)絡(luò) ? 電子郵件 ? 瀏覽器 ? 存貯設(shè)備 ? 網(wǎng)絡(luò)安全檢測(cè) ? ? 病毒清除方法 ? DOS下的低級(jí)格式化 ? 采用主盤、從盤方式 34 計(jì)算機(jī)審計(jì) – Hugh Yan 34 十六、網(wǎng)絡(luò)入侵攻擊的類型 ? 除了以上類型外，還有： ? 竊聽 SNIFFER技術(shù)，交換式 SWITCH交換，可以防止廣播級(jí)的SNIFFER偵聽；口令攻擊 JHON，系統(tǒng)文件的開放性，由于密碼加密，在知道用戶名之后，就采用字典序猜測(cè)密碼；漏洞攻擊 WINDOWS。 ? 緩沖區(qū)溢出攻擊，主要是獲取 ROOT口令。目前大量存在。