【文章內(nèi)容簡介】 目前比較流行的趨勢。很多問題，過去的手工病毒，要繁殖生存，通過傳播刪除數(shù)據(jù)。黑客在發(fā)現(xiàn) “ 后門 ” 后，利用這些病毒手段進行攻擊。掃描是常用的尋找漏洞的手段。那么，哪些服務必須提供，哪些服務不需要提供，例如用戶所不需要的某些功能服務作為選項在安裝時會存在在系統(tǒng)中，這樣就可能有漏洞存在在系統(tǒng)中。因此，如果接受的服務越多，就可能存在的問題越多。因此，不透明、經(jīng)常變化、不定期升級、動態(tài)口令，使系統(tǒng)在變化中變得相對安全。目前，很多情況下，用戶對自己的系統(tǒng)中的漏洞并不了解，某些先天不合理的缺陷存在在系統(tǒng)中，如果有人攻擊這個弱點，就成為問題。所以，第一，要首先了解自己的系統(tǒng)。版本信息也是重要的，不同的版本，有不同的弱點，就可能成為攻擊對象。系統(tǒng)的關鍵文件也是重要的，可以從中提取用戶名和口令。 25 計算機審計 – Hugh Yan 25 十四、如何防止黑客入侵計算機網(wǎng)絡 ? 攻擊的方法和手段 ? 獲取系統(tǒng)敏感文件的方法。匿名 FTP、 TFTP等。采用 TFTP在很多蠕蟲、強力攻擊弱口令等手段中進行使用。 ? 獲取初始訪問權限。如采用監(jiān)聽手段竊取口令。匿名 FTP，利用主機間的缺省口令或信任關系（口令）等。利用發(fā)郵件，告訴你附件是個升級包，但有可能是一個病毒。利用技術防范上的漏洞。 ? 獲取超級用戶口令。如 SNIFER、緩沖區(qū)溢出等手段獲取特權。目前的開發(fā)安全理論已經(jīng)引起重視。軟件工程與軟件安全已經(jīng)成為一個并行的方式。軟件越龐大，漏洞越多。目前國內(nèi)有人發(fā)現(xiàn) MICROSOFT有 6個漏洞，據(jù)說這次發(fā)現(xiàn)之后直接就在網(wǎng)上公布了，但微軟還沒有找到相應的解決辦法。所以給用戶帶來很大的風險。 ? 消除痕跡。破壞系統(tǒng)后使用。 ? 慣用手法。 TFTP、拒絕服務（分布式拒絕服務）、 SNIFFER嗅探器、緩沖區(qū)溢出、 SYN同步風暴（發(fā)出大量的連接請求，但并不管連接結果，大量占用用戶資源，出現(xiàn)死機。）目前有一種技術，使系統(tǒng)的資源只能用到60%等。采用路由器設置提高網(wǎng)絡質量。但是對于公共系統(tǒng)，路由配置拒絕服務比較難。對于路由器的攻擊，竊取權限修改路由表，或者造成資源 DOWN機。因此，要經(jīng)常檢查路由器的狀態(tài)。采取措施之前，應該先記錄原始狀態(tài)參數(shù)，不要輕易地重啟技術。 26 計算機審計 – Hugh Yan 26 十四、如何防止黑客入侵計算機網(wǎng)絡 ? 如何預防黑客 ? 升級系統(tǒng)，打補丁 ? 防火墻 ? 使用入侵掃描工具 ? 不要輕易安裝不明軟件 ? 經(jīng)常檢查日志 27 計算機審計 – Hugh Yan 27 十五、計算機網(wǎng)絡病毒防治 ? 計算機病毒概述 ? 計算機病毒產(chǎn)生的歷史。 1977年有一部科幻小說聯(lián)想有一種病毒從一臺計算機傳播到所有計算機。 ? 定義。 ? 廣義病毒：能夠引起計算機故障、能引起數(shù)據(jù)破壞，具有破壞性。如邏輯炸彈。 ? 狹義病毒：具有傳染性、能夠復制、傳播、變形等，修改其它程序，使之含有病毒自身或其變種。國內(nèi) 《 計算機安全管理條理 》 定義計算機病毒指由人編制或插入、能復制或者傳染、破壞功能或數(shù)據(jù)、影響計算機使用程序或者指令。這個定義內(nèi)容較窄。如某些蠕蟲。 ? 特征。 ? 非授權可執(zhí)行性，外來代碼請求通過系統(tǒng)溢出從而使其代碼成為可執(zhí)行指令； ? 隱蔽性，有些病毒程序為了適應存儲需要因此容量很小，而現(xiàn)在的病毒程序逐漸增大，但相對于系統(tǒng)的復雜性而言還是比較小，因此隱蔽性問題更加突出； ? 傳染性 ,病毒的大量傳播危害很大；潛伏性，有些病毒的潛伏期可以長到 1年左右，但數(shù)據(jù)恢復的效率很慢，現(xiàn)在病毒的潛伏期已經(jīng)越來越短；表現(xiàn)性； ? 破壞性，如數(shù)據(jù)的破壞，往往不能恢復，如病毒通過重寫數(shù)據(jù)破壞數(shù)據(jù)； ? 可觸發(fā)性，如對于時間的觸發(fā)條件，這種病毒現(xiàn)在越來越少 。數(shù)字簽名技術能夠鑒定代碼的真?zhèn)?。在計算機系統(tǒng)中，數(shù)據(jù)和程序不易區(qū)分，它們存儲在同樣的地方。 28 計算機審計 – Hugh Yan 28 十五、計算機網(wǎng)絡病毒防治 ? 計算機病毒概述 ? 病毒分類。 ? 按照傳染方式分為引導型病毒，小球病毒、大麻病毒； ? 文件型病毒，目前常見的有腳本病毒，難于防范； ? 復合型病毒。按照破壞性分為良性病毒；惡性病毒。 ? 危害性。 ? 影響系統(tǒng)效率； ? 刪除、破壞數(shù)據(jù)； ? 干擾正常操作； ? 阻塞網(wǎng)絡； ? 信息泄露； ? 進行反動宣傳； ? 占用系統(tǒng)資源，等等。 ? 政府部門的計算機系統(tǒng)、民用計算機，被病毒感染后，就變成了一個公開的服務器。因為有些病毒愛好者在運行有些病毒掃描程序之后，被開設后門，對系統(tǒng)進行危害。 29 計算機審計 – Hugh Yan 29 十五、計算機網(wǎng)絡病毒防治 ? 計算機病毒的組成 ? 病毒程序，分為引導模塊、傳染模塊、表現(xiàn)模塊。引導性病毒至今仍然有很強的生命力。傳染模塊是病毒的核心，過去多傳染文件，通過文件運行傳播。現(xiàn)在將網(wǎng)絡傳染作為重點。表現(xiàn)主要是破壞性。雖然有三個基本模塊，但有可能只有 1個或 2個模塊。如過去的瘋狂拷貝文件，一直增大，直至超過計算機內(nèi)存如 64K。 ? 引導型病毒。主要靠軟盤引導啟動實現(xiàn)?？赡軅魅疽龑^(qū)、記錄區(qū)。當引導后，就傳染到硬盤上。軟盤引導失敗也能夠傳染病毒給硬盤。 WXY病毒，能夠重復感染，第一次將主引導區(qū)移入最后一個扇區(qū)，而把病毒寫入第一扇區(qū)。第二次繼續(xù)用同樣的方法，將繼續(xù)感染。用其它盤啟動，分區(qū)表將被丟失。這種病毒一般可以恢復。有效的措施是從硬盤引導，不要從軟盤引導。這種病毒在國外越來越少，因為軟盤啟動逐漸不再作為默認引導盤。 30 計算機審計 – Hugh Yan 30 十五、計算機網(wǎng)絡病毒防治 ? 計算機病毒的組成 ? 文件型病毒。文件加載時，修改文件頭。各種 EXE文件后綴，殺完毒后原來文件可能不能再用。殺毒之前應該備份。 1575毛毛蟲病毒，出現(xiàn)后，逐行吃進字符。 DOS下的病毒傳播越來越少。 MINCER小花帽病毒，在 2022年由一個中學生制造，專門感染 PC上的 EXE文件，說是一個網(wǎng)管軟件，運行后，全盤搜索，發(fā)現(xiàn)同類文件之后就感染，到 7月 15日發(fā)作。 ? 宏病毒。由于 OFFICE中引入宏的概念，就出現(xiàn)了這種病毒。OFFICE中的各類文件都會被感染。主要通過郵件傳輸而傳播。1998年達到高峰。 “ 7月殺手 ” 、 “ 美麗殺 ” 病毒，大量復制傳播，只要有過網(wǎng)頁訪問，即被傳染上。這是美國本土病毒。類似的病毒很多。如 “ 7月殺手 ” ，用 VB寫的，每年 7月份發(fā)作，運行時先檢查月份，如果發(fā)作，先刪除硬盤上的大部分文件。這類病毒的防治比較簡單，可以通過文件改名、刪除文件來處理。 31 計算機審計 – Hugh Yan 31 十五、計算機網(wǎng)絡病毒防治 ? 計算機病毒的組成 ? 腳本語言病毒。如愛蟲病毒，主要是修改 VBS文件。一般來說起一個與原來的文件名類似的文件，來修改注冊表。下次運行后，病毒將被激活。例如：在 OFFICE2022下用 OUTLOOK，病毒將被自動激活，從而向外發(fā)出郵件。地址簿中的用戶被覆蓋。 OUTLOOK發(fā)件箱中制造很多的病毒郵件。 ? 網(wǎng)頁病毒。只要訪問了帶病毒的網(wǎng)頁，就會自動感染病毒，如 的傳播。超文本文件可以內(nèi)嵌破壞性代碼。支持腳本、用戶交互式使用的網(wǎng)頁，在交互時，非法文件即可以在本機運行。 “ 混客絕情炸彈 ” 頁面，就是在點擊網(wǎng)葉后，使許多正常文件失去作用。有些病毒通過游戲軟件來竊取用戶的銀行帳號。對注冊表不停地刷新的方法反抗注冊表解鎖方法。 ? 蠕蟲病毒。只是通過郵件進行傳播。不會對系統(tǒng)造成大量危害，但對網(wǎng)絡造成危害。目前，蠕蟲和病毒結合起來。 “ 求職信病毒 ” ，以找工作為由，但利用文件頭中多媒體播放代碼后加入病毒運行文件名，從而傳播病毒，但附件被隱含在文件后面。這種病毒原來是在地址簿中尋找地址、或者自動回復未閱讀郵件。有些偽造發(fā)件人，因為發(fā)件人地址可以人工輸入。 32 計算機審計 – Hugh Yan 32 十五、計算機網(wǎng)絡病毒防治 ? 計算機病毒的組成 ? 黑客木馬程序。通過網(wǎng)絡下載、電子郵件。如 YAI病毒，相當于一個遠程控制文件。傳染可執(zhí)行文件， 5分鐘感染一次，隱蔽性強。在 WIN INI中啟動，修改文件關聯(lián)。捆綁文件，先執(zhí)行木馬程序。在 動。修改與 EXE文件的關聯(lián)。利用注冊表加載運行。利用 替換目標文件名，通過 DOSCONFIG起作用。 ? NIMADA病毒。可以通過各種途徑傳染在 WINDOWS系統(tǒng)和網(wǎng)絡上。因為很多病毒是針對 OUTLOOK設置的，因此采用較為不流行的工具好一些。 ? “ 中文求職信病毒變種 ” ，修改注冊表。通過電子郵件傳播。 ? SQL 1434蠕蟲是針對微軟的一些應用漏洞作的病毒。對策是升級 SQL SERVER系統(tǒng)。但有時補丁也會帶來與原來的系統(tǒng)不兼容。升級后的系統(tǒng)應該驗證，防止補丁沒有安裝成功。 ? 口令儒蟲。專門遠程攻擊弱口令，加上遠程掃描、執(zhí)行程序。一旦感染，會截獲鍵盤，即輸入密碼和用戶代碼時通過電子郵件轉發(fā)黑客。 33 計算機審計 – Hugh Yan 33 十五、計算機網(wǎng)絡病毒防治 ? 計算機病毒流行的原因。 ? 作系統(tǒng)的脆弱性。 ? 網(wǎng)絡的脆弱性。 ? 硬件的脆弱性。 ? 傳播途徑 ? 軟盤 ? 硬盤 ? 光盤 ? USB口 ? 網(wǎng)絡 ? 電子郵件 ? 瀏覽器 ? 存貯設備 ? 網(wǎng)絡安全檢測 ? ? 病毒清除方法 ? DOS下的低級格式化 ? 采用主盤、從盤方式 34 計算機審計 – Hugh Yan 34 十六、網(wǎng)絡入侵攻擊的類型 ? 除了以上類型外，還有： ? 竊聽 SNIFFER技術，交換式 SWITCH交換，可以防止廣播級的SNIFFER偵聽；口令攻擊 JHON，系統(tǒng)文件的開放性，由于密碼加密，在知道用戶名之后，就采用字典序猜測密碼；漏洞攻擊 WINDOWS。 ? 緩沖區(qū)溢出攻擊，主要是獲取 ROOT口令。目前大量存在。