【正文】 示。 圖 39 數(shù)據(jù)信封技術(shù) 反病毒技術(shù) 計算機病毒的介紹 計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質(zhì)里，當(dāng)達到某種條件時，即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。 隨著計算機技術(shù)的發(fā)展尤其是網(wǎng)絡(luò)技術(shù)的普及，計算機病毒進入了一個新的階段 網(wǎng)絡(luò)蠕蟲病毒暴發(fā)階段， 2021至今，網(wǎng)絡(luò)蠕蟲已經(jīng)成為網(wǎng)絡(luò)病毒的主流。 計算機病毒的組成與分類 經(jīng)對目前出現(xiàn)的計算機病毒的分析發(fā)現(xiàn)，所有計算機病毒都是由三部分組成的，即病毒引導(dǎo)模塊、病毒傳染模塊和病毒表現(xiàn)模塊。計算機病毒程序組成如圖310所示。 圖 310 計算機病毒程序組成 （ 1）引導(dǎo)模塊：負責(zé)將病毒引導(dǎo)到內(nèi)存，并向系統(tǒng)中請求一定的存儲空間，對相應(yīng)的存儲空間實施保護，以防止其他程序覆蓋，并且修改系統(tǒng)的一些功能入口，在這些入口處引導(dǎo)病毒傳染模塊和病毒實現(xiàn)模塊。 （ 2）傳染模塊：它是整個病毒程序的核心，傳染模塊又分為兩部分：判斷部分、傳染部分。 （ 3） 表現(xiàn)模塊：包括病毒觸發(fā)條件判斷和具體表現(xiàn)。 而從技術(shù)來分可以分為：網(wǎng)絡(luò)病毒、郵件病毒、文件型病毒、宏病毒、引導(dǎo)型病毒、變體病毒、混合型病毒、其它類型病毒（ java,pdf,圖文病毒） [19]。 23 病毒的檢測和清除 想要知道自己的計算機中是否染有病毒，可以根據(jù)以下幾種情況來做簡單判斷。 （ 1）計算機執(zhí)行速度越來越慢。 （ 2）系統(tǒng)出現(xiàn)莫名其妙的死機或者重啟。 （ 3）網(wǎng)絡(luò)速度變慢或者出現(xiàn)一些陌生的網(wǎng)絡(luò)連接。 （ 4）文件夾無緣無故多了一些文件。 （ 5）突然出現(xiàn)藍屏或無端黑屏等。 除此以外，還可以用幾種專業(yè) 手段來檢查： (1)比較法 用原始備份與被檢測的引導(dǎo)扇區(qū)或被監(jiān)測的文件進行比較，比較時可以靠打印的代碼清除。 (2)搜索法 利用每一種計算機病毒體含有的特定字符串對被檢測的對象進行掃描。如果在被檢測對象內(nèi)部發(fā)現(xiàn)了某一種特定字符串，就表明發(fā)現(xiàn)了該字符串所代表的計算機病毒。 (3)分析法 計算機病毒檢測分析法是防殺計算機病毒工作中不可缺少的重要技術(shù)，需要專門人員對各種病毒詳盡地分析。 (4)人工智能陷阱技術(shù)和宏病毒陷阱技術(shù) 人工智能陷阱是一種監(jiān)測計算機行為的常駐或掃描技術(shù)。它將所有的計算機病毒所 產(chǎn)生的行為歸納起來，一旦發(fā)現(xiàn)內(nèi)存中的程序有任何不當(dāng)?shù)男袨?，系統(tǒng)就會有所警覺，并告知使用者；宏病毒陷阱技術(shù)是結(jié)合了搜索法和人工智能陷阱技術(shù)，依行為模式來偵測已知及未知的宏病毒。 (5)軟件仿真掃描法 軟件仿真技術(shù)是成功地仿真 CPU執(zhí)行，在 DOS虛擬機下偽執(zhí)行計算機病毒程序，安全并確定地將其解密使其顯露本來的面目，再加以掃描。 24 第 4章 網(wǎng)絡(luò)安全防范 tel入侵防范 Tel協(xié)議是 TCP/IP協(xié)議族中的一員，是 Inter遠程登錄服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式。它為用戶提供了 在本地計算機上完成遠程主機工作的能力。在終端使用者的電腦上使用 tel程序，用它連接到服務(wù)器。終端使用者可以在 tel程序中輸入命令，這些命令會在服務(wù)器上運行，就像直接在服務(wù)器的控制臺上輸入一樣?？梢栽诒镜鼐湍芸刂品?wù)器。要開始一個 tel會話，必須輸入用戶名和密碼來登錄服務(wù)器。 Tel是常用的遠程控制 Web服務(wù)器的方法。 tel 可能是黑客常用的攻擊方式，我們可以通過修改 tel 服務(wù)端口，停用 tel服務(wù)，甚至把 tel控制臺管理工具刪除。 具體方法如下： 通過修改 tel 端口來防止黑客輕易入侵在命令提示符窗口中輸入 Tlntadmn config port=168 命令，回車后即可將 tel 端口修改成 168，如圖 41所示。 圖 41 修改 tel服務(wù)端口 如果將 tel 的最大連接數(shù)設(shè)為 0，這樣就可以讓一般的黑客豪無辦法，設(shè)置方法同上。如果根本不需要 tel，完全可以把它刪掉，因為該服務(wù)實在是太危險了，直接把系統(tǒng)安裝目錄中的 system32 中的 刪除掉，這樣黑客想用 tel入侵就會非常困難了 [20]。 防止 Administrator賬號被破解 Windows 2021/xp/2021系統(tǒng)的 Administrator賬號是不能被停用的，也不能設(shè)置安 全策略，這樣黑客就可以一遍又一遍地嘗試這個賬號的密碼，直到被破解，為了防止這種侵入，我們可以把 Administrator賬號更名：在“組策略”窗口中，依次展開“本地計算機策略” /“計算機配置” /“ windows設(shè)置” /“安全設(shè)置”/“本地策略” /“安全選項”功能分支。重命名系統(tǒng)管理員帳戶“屬性”對話框，在此輸入新的管理員名稱，盡量把它為普通用戶，然后另建一個超過 10 位的超級 復(fù)雜密碼，并對該賬號啟用審核，這樣即使黑客費力破解到密碼也殺一無所獲。另外為了防止黑客通過 Guest 賬號登錄計算機，可以在“組策略”中刪除 Guest賬號。 25 防止賬號被暴力破解 黑客攻擊入侵，大部分利用漏洞，通過提升權(quán)限成為管理員，這一切都跟用戶賬號緊密相連。 防范方法：通過修改注冊表來禁用空用戶連接。在注冊表編輯器中找到如下子鍵 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA,在其窗口新建一個名為 RestrictAnonymous的 DWORD值將其設(shè)為 1，如圖 42所示。 圖 42 禁用空用戶連接 “木馬”防范措施 “木馬”的概述 特洛伊木馬是一種隱藏了具有攻擊性的應(yīng)用程序。與病毒不同，它不具備復(fù)制能力，其功能具有破壞性。 大部分“木馬”采用 C/S運行模式，當(dāng)服務(wù)端在目標(biāo)計算機上被運行后，打開一個特定的端口進行監(jiān)聽，當(dāng)客戶端向服務(wù)器發(fā)出連接請求時，服務(wù)器端的相應(yīng)程序會自動運行來應(yīng)答客戶機的請求，如表 41所示。 表 41 C/S型木馬結(jié)構(gòu) “木馬”的防范措施 （ 1）檢查系 統(tǒng)配置應(yīng)用程序。在“木馬”程序會想盡一切辦法隱藏自己，主要途徑有：在任務(wù)欄和任務(wù)管理器中隱藏自己，即將程序設(shè)為“系統(tǒng)服務(wù)”來偽裝自己，“木馬”會在每次服務(wù)端啟動時自動裝載到系統(tǒng)中，如：啟動組，,注冊表等。比如在“開始” “運行”輸入 msconfig,執(zhí)行 windows自帶“系統(tǒng)配置應(yīng)用程序”。在標(biāo)簽為 ，在 [windows]下面“ run=”和“ load=”是可能加載“木馬”程序的途徑，一般情況下，它們的等號后面什么都沒有。在 文件中， 在 [BOOT]下面有個“ shell:文件名”正確的文件名應(yīng)該是“ ”如果不是“ ”，而是“ shell: 序名”，那么后面跟著的那個程序就是“木馬”了 [21]。 （ 2 ）查看注冊表。輸入 regedit 命令 HKEY_LOCAL_MACHINE\software\Microsoft\windows\current version\run 目錄 26 下查看鍵值有設(shè)有自己不熟悉的自動啟動文件，擴展名為：“ .exe”。 （ 3）查找“木馬”的特征文件，“木馬” 的一個特征文件是 ,另一個是 ，只要刪除了這兩個文件，“木馬”就不起作用了，但是需要注意的是 是和文本文件關(guān)聯(lián)的，在刪除時，必須先把文本文件跟notepod關(guān)聯(lián)上，否則不能使用文本文件。 網(wǎng)頁惡意代碼及防范 目前，網(wǎng)頁中的惡意代碼開始威脅到網(wǎng)絡(luò)系統(tǒng)安全，一般分為以下幾種： （ 1）消耗系統(tǒng)資源。 不斷地利用 cpu的利用率，使計算機不能處理其他的進程，導(dǎo)致系統(tǒng)和網(wǎng)絡(luò)資源癱瘓。這類病毒大都是利用 JavaScrit 產(chǎn)生的一個死循環(huán)，它可以在有惡 意的網(wǎng)站中出現(xiàn)，也可以被當(dāng)作郵件發(fā)給用戶，當(dāng)用戶打開html,vbs附件時，屏幕會出現(xiàn)無數(shù)個瀏覽器窗口，最后不得不重啟。 （ 2）非法向用戶硬盤寫入文件。 （ 3） IE 泄露，利用 IE 漏洞，網(wǎng)頁可以讀取客戶機的文件，就可以從中獲得用戶賬號和密碼。 （ 4）利用郵件非法安裝木馬。 在 html 中利用死循環(huán)原理，交叉顯示耀眼的光線，如果繼續(xù)插入編寫的一段代碼，擴大惡意程度，那么 IE將無法使用。 （ 1）運行 IE 時，點擊“工具→ Inter 選項→安全→ Inter 區(qū)域的安全級別”，把安全級別由“中”改為“高”。網(wǎng)頁惡意代碼主要是含有惡意代碼的ActiveX 或 Applet、 JavaScript 的網(wǎng)頁文件 ，所以在 IE設(shè)置中將 ActiveX 插件和控件、 Java腳本等全部禁止就可以減少被網(wǎng)頁惡意代碼感染的幾率。具體方案是：在 IE 窗口中點擊“工具”→“ Inter 選項”，在彈出的對話框中選擇“安全”標(biāo)簽，再點擊“自定義級別”按鈕，就會彈出“安全設(shè)置”對話框，把其中所有 ActiveX插件和控件以及與 Java相關(guān)全部選項選擇“禁用”。如圖 43所示： 圖 43 防范網(wǎng)頁惡意代碼 （ 2）網(wǎng)頁惡意代碼大多是在訪問網(wǎng)站時候誤下載和激活的，所以不要進入不信任的陌生網(wǎng)站，對于網(wǎng)頁上的各種超級連接不要盲目去點擊，若被強制安裝惡意代碼，一經(jīng)發(fā)現(xiàn)立即刪除，或者安裝相應(yīng)的惡意代碼清除工具，或本機防火墻軟件。 嗅探器（ sniffer）的防范 Sniffer是一種常用的收集有用數(shù)據(jù)方法，這些數(shù)據(jù)可能是用戶的帳號和密碼，可能是一些商用機密數(shù)據(jù)，等等。它可以作為能夠捕獲網(wǎng)絡(luò)報文的設(shè)備， 27 ISS為 sniffer這樣定義： sniffer是利用計算機的網(wǎng)絡(luò)接口截獲其他計算機的數(shù) 據(jù)報文的一種工具。 Sniffer的工作原理 Sniffer要捕獲的東西必須是要物理信號能收到的報文信息，只要通知網(wǎng)卡接收其收到的所有包，在共享 HUB下就能接收到這個網(wǎng)絡(luò)的所有包，但是交換 HUB 下就只能是自己的包加上廣播包， sniffer 工作在網(wǎng)絡(luò)環(huán)境中的底層，它會攔截所有正在網(wǎng)絡(luò)上傳遞的數(shù)據(jù)，并且通過相應(yīng)的軟件處理，可以實時分析這些數(shù)據(jù)的內(nèi)容，進而分析所處理的網(wǎng)絡(luò)狀態(tài)和整體布局，值得注意的是， sniffer是極其安靜的，它是一種消極的安全攻擊。 Sniffer在功能和設(shè)計方面有很多不同 ，有些只能分析一種協(xié)議，而另一些可能能夠分析幾百種協(xié)議，一般情況下，大多數(shù)的嗅探器至少能夠分析以下的協(xié)議：標(biāo)準(zhǔn)以太網(wǎng)， TCP/IP,IPX,DECNET。 Sniffer的檢測和防范 （ 1）對于可能存在的網(wǎng)絡(luò)監(jiān)聽的檢測；對于懷疑運行監(jiān)聽程序的機器，用正確的 IP 地址和錯誤的物理地址 ping，運行監(jiān)聽程序的機器會有響應(yīng)，這是因為正常的機器不接收錯誤的物理地址，處理監(jiān)聽狀態(tài)的機器能接收，但如果它的Ipstack不再發(fā)反向檢查的話，就會響應(yīng)。 （ 2）向網(wǎng)上發(fā)大量不存在的物理地址的包；由于監(jiān)聽程序要分析和 處理大量的數(shù)據(jù)包會占用很多的資源，會導(dǎo)致系統(tǒng)性能下降，通過比較前后該機器性能加以判斷，這種辦法難度較大。 （ 3）使用反監(jiān)聽工具如 Antisniffer等進行檢測。 對于網(wǎng)絡(luò)監(jiān)聽的防范措施有： (1)從邏輯或物理上對網(wǎng)絡(luò)分段。 (2)以交換式 HUB代替共享式 HUB。 (3)使用加密技術(shù)。 (4)劃分 VLAN(虛擬局域網(wǎng) )。 數(shù)據(jù)密文防范措施 在前面的一章中我們已經(jīng)介紹了數(shù)據(jù)加密和隱藏技術(shù)，在保密系統(tǒng)中，信道中傳播的是加密后的消息，即密文，采用截獲密文進行分析的攻擊稱為被動攻擊，采用刪除、更改 、增添、重放、偽造等手段向系統(tǒng)注入假消息并進行分析的攻擊稱為主動攻擊。對此，我們必須采用有效的加密解密的程序來防止密文泄露，可以通過 c語言來實現(xiàn)的加密和解密。 28 其它網(wǎng)絡(luò)攻擊與防范措施 源 IP地址欺騙攻擊 許多應(yīng)用程序認為如果數(shù)據(jù)包能使其自身沿著路由到達目的地，而且應(yīng)答包也可以回到源地，那么源 IP 地址一定是有效的，而這正是使源 IP 地址欺騙攻擊成為可能的前提。 要防止源 IP 地址的欺騙行為，可以采取以下措施來盡可能地保護系統(tǒng)免受這類攻擊： (1)拋棄基于地址的信任策略。 (2)使用加密 方法。 (3)進行包過濾。 源路由欺騙攻擊 在通常情況下，信息包從起點到終點走過的路徑是由位于此兩點間的路由器決定的，數(shù)據(jù)包本身只知道去行何處，但不知道該如何去源路由可使信息包的發(fā)送者將此數(shù)據(jù)包要經(jīng)過胡路徑寫在數(shù)據(jù)包里，使數(shù)據(jù)包循著一個對方不可預(yù)料的路徑到達目的主機 [21]。 為了防范源路由欺騙攻擊，一般采用下面兩種措施： (1)對付這種攻擊最好的辦法是配置好路由器使它拋棄那些由外部網(wǎng)進來的卻聲稱是內(nèi)部主機的報文。 (2)在路由器上關(guān)閉源路由，用命令 no ip sourceroute。 拒絕服務(wù)攻擊及預(yù)防措施 在拒絕服務(wù)攻擊中，攻擊中加載過多的服務(wù)將對方資源全部耗盡，使得沒