【正文】 示。 圖 39 數(shù)據(jù)信封技術(shù) 反病毒技術(shù) 計(jì)算機(jī)病毒的介紹 計(jì)算機(jī)病毒就是能夠通過(guò)某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)里，當(dāng)達(dá)到某種條件時(shí)，即被激活的具有對(duì)計(jì)算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合。 隨著計(jì)算機(jī)技術(shù)的發(fā)展尤其是網(wǎng)絡(luò)技術(shù)的普及，計(jì)算機(jī)病毒進(jìn)入了一個(gè)新的階段 網(wǎng)絡(luò)蠕蟲(chóng)病毒暴發(fā)階段， 2021至今，網(wǎng)絡(luò)蠕蟲(chóng)已經(jīng)成為網(wǎng)絡(luò)病毒的主流。 計(jì)算機(jī)病毒的組成與分類 經(jīng)對(duì)目前出現(xiàn)的計(jì)算機(jī)病毒的分析發(fā)現(xiàn)，所有計(jì)算機(jī)病毒都是由三部分組成的，即病毒引導(dǎo)模塊、病毒傳染模塊和病毒表現(xiàn)模塊。計(jì)算機(jī)病毒程序組成如圖310所示。 圖 310 計(jì)算機(jī)病毒程序組成 （ 1）引導(dǎo)模塊：負(fù)責(zé)將病毒引導(dǎo)到內(nèi)存，并向系統(tǒng)中請(qǐng)求一定的存儲(chǔ)空間，對(duì)相應(yīng)的存儲(chǔ)空間實(shí)施保護(hù)，以防止其他程序覆蓋，并且修改系統(tǒng)的一些功能入口，在這些入口處引導(dǎo)病毒傳染模塊和病毒實(shí)現(xiàn)模塊。 （ 2）傳染模塊：它是整個(gè)病毒程序的核心，傳染模塊又分為兩部分：判斷部分、傳染部分。 （ 3） 表現(xiàn)模塊：包括病毒觸發(fā)條件判斷和具體表現(xiàn)。 而從技術(shù)來(lái)分可以分為：網(wǎng)絡(luò)病毒、郵件病毒、文件型病毒、宏病毒、引導(dǎo)型病毒、變體病毒、混合型病毒、其它類型病毒（ java,pdf,圖文病毒） [19]。 23 病毒的檢測(cè)和清除 想要知道自己的計(jì)算機(jī)中是否染有病毒，可以根據(jù)以下幾種情況來(lái)做簡(jiǎn)單判斷。 （ 1）計(jì)算機(jī)執(zhí)行速度越來(lái)越慢。 （ 2）系統(tǒng)出現(xiàn)莫名其妙的死機(jī)或者重啟。 （ 3）網(wǎng)絡(luò)速度變慢或者出現(xiàn)一些陌生的網(wǎng)絡(luò)連接。 （ 4）文件夾無(wú)緣無(wú)故多了一些文件。 （ 5）突然出現(xiàn)藍(lán)屏或無(wú)端黑屏等。 除此以外，還可以用幾種專業(yè) 手段來(lái)檢查： (1)比較法 用原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或被監(jiān)測(cè)的文件進(jìn)行比較，比較時(shí)可以靠打印的代碼清除。 (2)搜索法 利用每一種計(jì)算機(jī)病毒體含有的特定字符串對(duì)被檢測(cè)的對(duì)象進(jìn)行掃描。如果在被檢測(cè)對(duì)象內(nèi)部發(fā)現(xiàn)了某一種特定字符串，就表明發(fā)現(xiàn)了該字符串所代表的計(jì)算機(jī)病毒。 (3)分析法 計(jì)算機(jī)病毒檢測(cè)分析法是防殺計(jì)算機(jī)病毒工作中不可缺少的重要技術(shù)，需要專門人員對(duì)各種病毒詳盡地分析。 (4)人工智能陷阱技術(shù)和宏病毒陷阱技術(shù) 人工智能陷阱是一種監(jiān)測(cè)計(jì)算機(jī)行為的常駐或掃描技術(shù)。它將所有的計(jì)算機(jī)病毒所 產(chǎn)生的行為歸納起來(lái)，一旦發(fā)現(xiàn)內(nèi)存中的程序有任何不當(dāng)?shù)男袨椋到y(tǒng)就會(huì)有所警覺(jué)，并告知使用者；宏病毒陷阱技術(shù)是結(jié)合了搜索法和人工智能陷阱技術(shù)，依行為模式來(lái)偵測(cè)已知及未知的宏病毒。 (5)軟件仿真掃描法 軟件仿真技術(shù)是成功地仿真 CPU執(zhí)行，在 DOS虛擬機(jī)下偽執(zhí)行計(jì)算機(jī)病毒程序，安全并確定地將其解密使其顯露本來(lái)的面目，再加以掃描。 24 第 4章 網(wǎng)絡(luò)安全防范 tel入侵防范 Tel協(xié)議是 TCP/IP協(xié)議族中的一員，是 Inter遠(yuǎn)程登錄服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式。它為用戶提供了 在本地計(jì)算機(jī)上完成遠(yuǎn)程主機(jī)工作的能力。在終端使用者的電腦上使用 tel程序，用它連接到服務(wù)器。終端使用者可以在 tel程序中輸入命令，這些命令會(huì)在服務(wù)器上運(yùn)行，就像直接在服務(wù)器的控制臺(tái)上輸入一樣?？梢栽诒镜鼐湍芸刂品?wù)器。要開(kāi)始一個(gè) tel會(huì)話，必須輸入用戶名和密碼來(lái)登錄服務(wù)器。 Tel是常用的遠(yuǎn)程控制 Web服務(wù)器的方法。 tel 可能是黑客常用的攻擊方式，我們可以通過(guò)修改 tel 服務(wù)端口，停用 tel服務(wù)，甚至把 tel控制臺(tái)管理工具刪除。 具體方法如下： 通過(guò)修改 tel 端口來(lái)防止黑客輕易入侵在命令提示符窗口中輸入 Tlntadmn config port=168 命令，回車后即可將 tel 端口修改成 168，如圖 41所示。 圖 41 修改 tel服務(wù)端口 如果將 tel 的最大連接數(shù)設(shè)為 0，這樣就可以讓一般的黑客豪無(wú)辦法，設(shè)置方法同上。如果根本不需要 tel，完全可以把它刪掉，因?yàn)樵摲?wù)實(shí)在是太危險(xiǎn)了，直接把系統(tǒng)安裝目錄中的 system32 中的 刪除掉，這樣黑客想用 tel入侵就會(huì)非常困難了 [20]。 防止 Administrator賬號(hào)被破解 Windows 2021/xp/2021系統(tǒng)的 Administrator賬號(hào)是不能被停用的，也不能設(shè)置安 全策略，這樣黑客就可以一遍又一遍地嘗試這個(gè)賬號(hào)的密碼，直到被破解，為了防止這種侵入，我們可以把 Administrator賬號(hào)更名：在“組策略”窗口中，依次展開(kāi)“本地計(jì)算機(jī)策略” /“計(jì)算機(jī)配置” /“ windows設(shè)置” /“安全設(shè)置”/“本地策略” /“安全選項(xiàng)”功能分支。重命名系統(tǒng)管理員帳戶“屬性”對(duì)話框，在此輸入新的管理員名稱，盡量把它為普通用戶，然后另建一個(gè)超過(guò) 10 位的超級(jí) 復(fù)雜密碼，并對(duì)該賬號(hào)啟用審核，這樣即使黑客費(fèi)力破解到密碼也殺一無(wú)所獲。另外為了防止黑客通過(guò) Guest 賬號(hào)登錄計(jì)算機(jī)，可以在“組策略”中刪除 Guest賬號(hào)。 25 防止賬號(hào)被暴力破解 黑客攻擊入侵，大部分利用漏洞，通過(guò)提升權(quán)限成為管理員，這一切都跟用戶賬號(hào)緊密相連。 防范方法：通過(guò)修改注冊(cè)表來(lái)禁用空用戶連接。在注冊(cè)表編輯器中找到如下子鍵 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA,在其窗口新建一個(gè)名為 RestrictAnonymous的 DWORD值將其設(shè)為 1，如圖 42所示。 圖 42 禁用空用戶連接 “木馬”防范措施 “木馬”的概述 特洛伊木馬是一種隱藏了具有攻擊性的應(yīng)用程序。與病毒不同，它不具備復(fù)制能力，其功能具有破壞性。 大部分“木馬”采用 C/S運(yùn)行模式，當(dāng)服務(wù)端在目標(biāo)計(jì)算機(jī)上被運(yùn)行后，打開(kāi)一個(gè)特定的端口進(jìn)行監(jiān)聽(tīng)，當(dāng)客戶端向服務(wù)器發(fā)出連接請(qǐng)求時(shí)，服務(wù)器端的相應(yīng)程序會(huì)自動(dòng)運(yùn)行來(lái)應(yīng)答客戶機(jī)的請(qǐng)求，如表 41所示。 表 41 C/S型木馬結(jié)構(gòu) “木馬”的防范措施 （ 1）檢查系 統(tǒng)配置應(yīng)用程序。在“木馬”程序會(huì)想盡一切辦法隱藏自己，主要途徑有：在任務(wù)欄和任務(wù)管理器中隱藏自己，即將程序設(shè)為“系統(tǒng)服務(wù)”來(lái)偽裝自己，“木馬”會(huì)在每次服務(wù)端啟動(dòng)時(shí)自動(dòng)裝載到系統(tǒng)中，如：?jiǎn)?dòng)組，,注冊(cè)表等。比如在“開(kāi)始” “運(yùn)行”輸入 msconfig,執(zhí)行 windows自帶“系統(tǒng)配置應(yīng)用程序”。在標(biāo)簽為 ，在 [windows]下面“ run=”和“ load=”是可能加載“木馬”程序的途徑，一般情況下，它們的等號(hào)后面什么都沒(méi)有。在 文件中， 在 [BOOT]下面有個(gè)“ shell:文件名”正確的文件名應(yīng)該是“ ”如果不是“ ”，而是“ shell: 序名”，那么后面跟著的那個(gè)程序就是“木馬”了 [21]。 （ 2 ）查看注冊(cè)表。輸入 regedit 命令 HKEY_LOCAL_MACHINE\software\Microsoft\windows\current version\run 目錄 26 下查看鍵值有設(shè)有自己不熟悉的自動(dòng)啟動(dòng)文件，擴(kuò)展名為：“ .exe”。 （ 3）查找“木馬”的特征文件，“木馬” 的一個(gè)特征文件是 ,另一個(gè)是 ，只要?jiǎng)h除了這兩個(gè)文件，“木馬”就不起作用了，但是需要注意的是 是和文本文件關(guān)聯(lián)的，在刪除時(shí)，必須先把文本文件跟notepod關(guān)聯(lián)上，否則不能使用文本文件。 網(wǎng)頁(yè)惡意代碼及防范 目前，網(wǎng)頁(yè)中的惡意代碼開(kāi)始威脅到網(wǎng)絡(luò)系統(tǒng)安全，一般分為以下幾種： （ 1）消耗系統(tǒng)資源。 不斷地利用 cpu的利用率，使計(jì)算機(jī)不能處理其他的進(jìn)程，導(dǎo)致系統(tǒng)和網(wǎng)絡(luò)資源癱瘓。這類病毒大都是利用 JavaScrit 產(chǎn)生的一個(gè)死循環(huán)，它可以在有惡 意的網(wǎng)站中出現(xiàn)，也可以被當(dāng)作郵件發(fā)給用戶，當(dāng)用戶打開(kāi)html,vbs附件時(shí)，屏幕會(huì)出現(xiàn)無(wú)數(shù)個(gè)瀏覽器窗口，最后不得不重啟。 （ 2）非法向用戶硬盤(pán)寫(xiě)入文件。 （ 3） IE 泄露，利用 IE 漏洞，網(wǎng)頁(yè)可以讀取客戶機(jī)的文件，就可以從中獲得用戶賬號(hào)和密碼。 （ 4）利用郵件非法安裝木馬。 在 html 中利用死循環(huán)原理，交叉顯示耀眼的光線，如果繼續(xù)插入編寫(xiě)的一段代碼，擴(kuò)大惡意程度，那么 IE將無(wú)法使用。 （ 1）運(yùn)行 IE 時(shí)，點(diǎn)擊“工具→ Inter 選項(xiàng)→安全→ Inter 區(qū)域的安全級(jí)別”，把安全級(jí)別由“中”改為“高”。網(wǎng)頁(yè)惡意代碼主要是含有惡意代碼的ActiveX 或 Applet、 JavaScript 的網(wǎng)頁(yè)文件 ，所以在 IE設(shè)置中將 ActiveX 插件和控件、 Java腳本等全部禁止就可以減少被網(wǎng)頁(yè)惡意代碼感染的幾率。具體方案是：在 IE 窗口中點(diǎn)擊“工具”→“ Inter 選項(xiàng)”，在彈出的對(duì)話框中選擇“安全”標(biāo)簽，再點(diǎn)擊“自定義級(jí)別”按鈕，就會(huì)彈出“安全設(shè)置”對(duì)話框，把其中所有 ActiveX插件和控件以及與 Java相關(guān)全部選項(xiàng)選擇“禁用”。如圖 43所示： 圖 43 防范網(wǎng)頁(yè)惡意代碼 （ 2）網(wǎng)頁(yè)惡意代碼大多是在訪問(wèn)網(wǎng)站時(shí)候誤下載和激活的，所以不要進(jìn)入不信任的陌生網(wǎng)站，對(duì)于網(wǎng)頁(yè)上的各種超級(jí)連接不要盲目去點(diǎn)擊，若被強(qiáng)制安裝惡意代碼，一經(jīng)發(fā)現(xiàn)立即刪除，或者安裝相應(yīng)的惡意代碼清除工具，或本機(jī)防火墻軟件。 嗅探器（ sniffer）的防范 Sniffer是一種常用的收集有用數(shù)據(jù)方法，這些數(shù)據(jù)可能是用戶的帳號(hào)和密碼，可能是一些商用機(jī)密數(shù)據(jù)，等等。它可以作為能夠捕獲網(wǎng)絡(luò)報(bào)文的設(shè)備， 27 ISS為 sniffer這樣定義： sniffer是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲其他計(jì)算機(jī)的數(shù) 據(jù)報(bào)文的一種工具。 Sniffer的工作原理 Sniffer要捕獲的東西必須是要物理信號(hào)能收到的報(bào)文信息，只要通知網(wǎng)卡接收其收到的所有包，在共享 HUB下就能接收到這個(gè)網(wǎng)絡(luò)的所有包，但是交換 HUB 下就只能是自己的包加上廣播包， sniffer 工作在網(wǎng)絡(luò)環(huán)境中的底層，它會(huì)攔截所有正在網(wǎng)絡(luò)上傳遞的數(shù)據(jù)，并且通過(guò)相應(yīng)的軟件處理，可以實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而分析所處理的網(wǎng)絡(luò)狀態(tài)和整體布局，值得注意的是， sniffer是極其安靜的，它是一種消極的安全攻擊。 Sniffer在功能和設(shè)計(jì)方面有很多不同 ，有些只能分析一種協(xié)議，而另一些可能能夠分析幾百種協(xié)議，一般情況下，大多數(shù)的嗅探器至少能夠分析以下的協(xié)議：標(biāo)準(zhǔn)以太網(wǎng)， TCP/IP,IPX,DECNET。 Sniffer的檢測(cè)和防范 （ 1）對(duì)于可能存在的網(wǎng)絡(luò)監(jiān)聽(tīng)的檢測(cè)；對(duì)于懷疑運(yùn)行監(jiān)聽(tīng)程序的機(jī)器，用正確的 IP 地址和錯(cuò)誤的物理地址 ping，運(yùn)行監(jiān)聽(tīng)程序的機(jī)器會(huì)有響應(yīng)，這是因?yàn)檎５臋C(jī)器不接收錯(cuò)誤的物理地址，處理監(jiān)聽(tīng)狀態(tài)的機(jī)器能接收，但如果它的Ipstack不再發(fā)反向檢查的話，就會(huì)響應(yīng)。 （ 2）向網(wǎng)上發(fā)大量不存在的物理地址的包；由于監(jiān)聽(tīng)程序要分析和 處理大量的數(shù)據(jù)包會(huì)占用很多的資源，會(huì)導(dǎo)致系統(tǒng)性能下降，通過(guò)比較前后該機(jī)器性能加以判斷，這種辦法難度較大。 （ 3）使用反監(jiān)聽(tīng)工具如 Antisniffer等進(jìn)行檢測(cè)。 對(duì)于網(wǎng)絡(luò)監(jiān)聽(tīng)的防范措施有： (1)從邏輯或物理上對(duì)網(wǎng)絡(luò)分段。 (2)以交換式 HUB代替共享式 HUB。 (3)使用加密技術(shù)。 (4)劃分 VLAN(虛擬局域網(wǎng) )。 數(shù)據(jù)密文防范措施 在前面的一章中我們已經(jīng)介紹了數(shù)據(jù)加密和隱藏技術(shù)，在保密系統(tǒng)中，信道中傳播的是加密后的消息，即密文，采用截獲密文進(jìn)行分析的攻擊稱為被動(dòng)攻擊，采用刪除、更改 、增添、重放、偽造等手段向系統(tǒng)注入假消息并進(jìn)行分析的攻擊稱為主動(dòng)攻擊。對(duì)此，我們必須采用有效的加密解密的程序來(lái)防止密文泄露，可以通過(guò) c語(yǔ)言來(lái)實(shí)現(xiàn)的加密和解密。 28 其它網(wǎng)絡(luò)攻擊與防范措施 源 IP地址欺騙攻擊 許多應(yīng)用程序認(rèn)為如果數(shù)據(jù)包能使其自身沿著路由到達(dá)目的地，而且應(yīng)答包也可以回到源地，那么源 IP 地址一定是有效的，而這正是使源 IP 地址欺騙攻擊成為可能的前提。 要防止源 IP 地址的欺騙行為，可以采取以下措施來(lái)盡可能地保護(hù)系統(tǒng)免受這類攻擊： (1)拋棄基于地址的信任策略。 (2)使用加密 方法。 (3)進(jìn)行包過(guò)濾。 源路由欺騙攻擊 在通常情況下，信息包從起點(diǎn)到終點(diǎn)走過(guò)的路徑是由位于此兩點(diǎn)間的路由器決定的，數(shù)據(jù)包本身只知道去行何處，但不知道該如何去源路由可使信息包的發(fā)送者將此數(shù)據(jù)包要經(jīng)過(guò)胡路徑寫(xiě)在數(shù)據(jù)包里，使數(shù)據(jù)包循著一個(gè)對(duì)方不可預(yù)料的路徑到達(dá)目的主機(jī) [21]。 為了防范源路由欺騙攻擊，一般采用下面兩種措施： (1)對(duì)付這種攻擊最好的辦法是配置好路由器使它拋棄那些由外部網(wǎng)進(jìn)來(lái)的卻聲稱是內(nèi)部主機(jī)的報(bào)文。 (2)在路由器上關(guān)閉源路由，用命令 no ip sourceroute。 拒絕服務(wù)攻擊及預(yù)防措施 在拒絕服務(wù)攻擊中，攻擊中加載過(guò)多的服務(wù)將對(duì)方資源全部耗盡，使得沒(méi)