【正文】 2022, Southeast University Page 57 。 2022, Southeast University Page 55 常見殺毒軟件 ?瑞星殺毒軟件 2022版 ?金山毒霸 2022版 ?江民殺毒軟件 2022版 ?諾頓殺毒軟件 2022版 ?卡巴斯基殺毒軟件 2022版 ?Mcafee VirusScan2022版 All rights reserved 169。 ? 接著搜索 CD 20 53 00 01 00 83 C4 20 與 CD 20 67 00 40 00特征字串，將其全部修改為 90。 ?CIH病毒查找與防范 ? Windows PE文件中搜索 IMAGE_NT_SIGNATURE字段（0x00004550 ） ——其代表的識別字符為“ PE00” 。 All rights reserved 169。 ?病毒清除的原理 ? 清除內(nèi)存中的病毒 ? 清除磁盤中的病毒 ? 病毒發(fā)作后的善后處理 ?病毒的清除方法 ? 手工清除：使用 DEBUG， PCTOOLS等工具，需要熟練的技能和豐富的知識 。 2022, Southeast University Page 53 病毒的防范與清除（ 2） ? 軟件模擬法 ：開始運(yùn)行時(shí)，使用特征代碼法監(jiān)測病毒，如果發(fā)現(xiàn)隱蔽病毒或多態(tài)性病毒嫌疑時(shí)，啟動軟件模擬模塊，監(jiān)測病毒的運(yùn)行，待病毒自身的密碼破譯后，再運(yùn)用特征代碼法來識別病毒的種類。 ? 人工智能檢測技術(shù) ：首先總結(jié)病毒行為，在對電腦行為進(jìn)行常駐內(nèi)存式監(jiān)測時(shí)，如果發(fā)現(xiàn)與總結(jié)的病毒行為有吻合的情況，給出警報(bào)。當(dāng)執(zhí)行殺毒程序掃描程序文件時(shí)，用作病毒代碼對比，從而檢測是否有病毒。 2022, Southeast University Page 52 病毒的防范與清除（ 1） ?病毒防范的原理 ? 病毒免疫原理：傳染標(biāo)識 ? 針對某種病毒進(jìn)行免疫 ? 基于完整性檢查的免疫：為可執(zhí)行程序增加一個免疫外殼，同時(shí)在免疫外殼中記錄有關(guān)用于恢復(fù)自身的信息。 – 刪除文件：病毒會刪除擴(kuò)展名為 gho的文件。 All rights reserved 169。病毒發(fā)作時(shí)的表現(xiàn)： ? 運(yùn)行過程 – 拷貝文件 ：把自己拷貝到 C:\WINDOWS\System32\Drivers\。 All rights reserved 169。 ? 目的功能模塊：實(shí)現(xiàn)對計(jì)算機(jī)的控制、監(jiān)視或破壞等功能。 ? 蠕蟲的基本程序結(jié)構(gòu) ? 傳播模塊：負(fù)責(zé)蠕蟲的傳播 。 2022, Southeast University Page 49 典型計(jì)算機(jī)病毒（ 6） ?蠕蟲病毒 ? 定義：計(jì)算機(jī)蠕蟲是自包含的程序（或一套程序），它能傳播其自身功能的拷貝或它的某些部分到其他的計(jì)算機(jī)系統(tǒng)中（經(jīng)過網(wǎng)絡(luò)連接）。 – 之后， Melissa讀取用戶的 Outlook地址簿，并向地址簿中的前 50個郵件地址發(fā)送該病毒。 – 該病毒覆蓋在其目錄中找到的第一個文檔。 ? 運(yùn)行過程 – 該病毒關(guān)閉 Microsoft Word宏安全。 2022, Southeast University Page 48 典型計(jì)算機(jī)病毒（ 5） ? Melissa（梅麗莎）病毒 ? Melissa（梅麗莎）病毒是專門針對微軟電子郵件服務(wù)器 MS Exchange和電子郵件收發(fā)軟件 Out1ookExpress的 Word宏病毒 。 ? 宏病毒與傳統(tǒng)的文件型病毒有很大不同，它不感染 .EXE和 .COM等可執(zhí)行文件，而是將病毒代碼以“宏”的形式潛伏在 Office文件中，主要感染 Word和 Excel等文件，當(dāng)采用 Office軟件打開這些染毒文件時(shí)，這些代碼就會被執(zhí)行并產(chǎn)生破壞作用。 ? 特點(diǎn) ? 病毒代碼具有開放性 ? 真正跨平臺的病毒 ? 作用機(jī)制： word宏病毒至少包含一個以上的自動宏（ AutoOpen, AutoClose, AutoExec, AutoExit, AutoNew等），或一個以上的標(biāo)準(zhǔn)宏（ FileOpen, FileSaveAs等）。 病毒原始文件JMP XXXX： XXXX原始文件病毒All rights reserved 169。 ? 當(dāng)運(yùn)行了帶毒的程序后， CIH病毒駐留內(nèi)存，再運(yùn)行其它 .exe文件時(shí)，首先在文件中搜索“ caves”字符，如果沒有發(fā)現(xiàn)就立即傳染。 ? 病毒感染 EXE文件。 2022, Southeast University Page 46 典型計(jì)算機(jī)病毒（ 3） ?文件型病毒 ? 通過修改可執(zhí)行文件入口點(diǎn)來控制計(jì)算機(jī)。 2022, Southeast University Page 45 典型計(jì)算機(jī)病毒（ 2） B I O S 引導(dǎo)程序檢查內(nèi)存和系統(tǒng)外部設(shè)備B B P 檢查驅(qū)動器中是否有軟盤B B P 把F B R （已經(jīng)被感染）裝入內(nèi)存，檢查特征標(biāo)記B B P 把控制傳遞給F B R 中帶有病毒的引導(dǎo)程序病毒保存內(nèi)存中的內(nèi)容，病毒把它自己復(fù)制到內(nèi)存中，病毒修改I V T 使它自己成為代理服務(wù)提供者，病毒試著感染硬盤的M B R 和P B R 。 2022, Southeast University Page 44 典型計(jì)算機(jī)病毒（ 1） ?引導(dǎo)型病毒 ? 包括軟盤引導(dǎo)型病毒、硬盤主引導(dǎo)記錄病毒、分區(qū)引導(dǎo)記錄病毒 ? 工作原理：通過修改正常的磁盤引導(dǎo)記錄來首先獲得控制權(quán)，再修改相關(guān)的系統(tǒng)服務(wù)，以達(dá)到隱身、感染和駐留內(nèi)存的目的。 ? 破壞目標(biāo)和攻擊部位主要是：系統(tǒng)數(shù)據(jù)區(qū)、文件、內(nèi)存、系統(tǒng)運(yùn)行、運(yùn)行速度、磁盤、屏幕顯示、鍵盤、喇叭、打印機(jī)、 CMOS、主板等。 ? 破壞表現(xiàn)機(jī)理 ? 設(shè)計(jì)原則、工作原理與傳染機(jī)制基本相同 。 2022, Southeast University Page 42 計(jì)算機(jī)病毒工作原理（ 1） ?計(jì)算機(jī)病毒基本結(jié)構(gòu)組成 ? 整個病毒代碼由 3部分組成：引導(dǎo)部分、傳染部分和表現(xiàn)部分 ? 引導(dǎo)部分是將病毒主體加載到內(nèi)存，為傳染部分做準(zhǔn)備 ? 傳染部分是將病毒代碼復(fù)制到傳染目標(biāo)上去 ? 表現(xiàn)部分則是用來表現(xiàn)病毒的破壞性 ?工作機(jī)理 ? 引導(dǎo)機(jī)理 ? 寄生對象：磁盤引導(dǎo)扇區(qū)；可執(zhí)行文件 ? 寄生方式：替代法；鏈接法 ? 引導(dǎo)過程：駐留內(nèi)存；竊取系統(tǒng)控制權(quán) ；恢復(fù)系統(tǒng)功能 All rights reserved 169。 ?計(jì)算機(jī)病毒的特征 ? 傳染性 ? 未經(jīng)授權(quán)而執(zhí)行 ? 隱蔽性 ? 潛伏性 ? 破壞性 ? 不可預(yù)見性 ?計(jì)算機(jī)病毒的分類 ? 按傳染方式 ? 引導(dǎo)型病毒 All rights reserved 169。 2022, Southeast University Page 39 對內(nèi)網(wǎng) PC的網(wǎng)關(guān)欺騙（ 4） All rights reserved 169。 ? 這樣就成功的實(shí)現(xiàn)了一次 ARP欺騙攻擊。 2022, Southeast University Page 38 對內(nèi)網(wǎng) PC的網(wǎng)關(guān)欺騙（ 3） ? 當(dāng)主機(jī) A想要與主機(jī) C通訊時(shí)，它直接把應(yīng)該發(fā)送給網(wǎng)關(guān)()的數(shù)據(jù)包發(fā)送到 030303030303這個 MAC地址，也就是發(fā)給了主機(jī) B，主機(jī) B在收到這個包后經(jīng)過修改再轉(zhuǎn)發(fā)給真正的網(wǎng)關(guān)。 All rights reserved 169。 ?示例 ? 首先主機(jī) B向主機(jī) A發(fā)送一個 ARP應(yīng)答包說 MAC地址是030303030303，主機(jī) A收到這個包后并沒有去驗(yàn)證包的真實(shí)性而是直接將自己 ARP列表中的 MAC地址替換成 030303030303。 攻擊者 網(wǎng)關(guān) 大量錯誤的 MAC地址 用戶 A 用戶 B All rights reserved 169。 ?分類 ? 對路由器 ARP表的欺騙 ? 對內(nèi)網(wǎng) PC 的網(wǎng)關(guān)欺騙 All rights reserved 169。 ? 在正常情況下這個緩存表能夠有效的保證數(shù)據(jù)傳輸?shù)囊粚σ恍?，其他主機(jī)無法截獲其中的通訊信息。 ?為什么采用 6位口令靠不?。? ?如何知道自己的電腦中了木馬？中了木馬后如何防治？ ?緩沖區(qū)溢出攻擊的步驟有哪些？如何防止此類攻擊？ ?黑客攻擊的手段主要有哪些？如何防止？ ?能否完全防止拒絕服務(wù)攻擊？為什么？ All rights reserved 169。 2022, Southeast University Page 32 拒絕服務(wù)攻擊（ 8） ? 防范 ? 企業(yè)網(wǎng)管理員 – 主機(jī)上的設(shè)置 – 網(wǎng)絡(luò)設(shè)備上的設(shè)置：防火墻，路由器 ? ISP/ICP管理員 ? 骨干網(wǎng)絡(luò)運(yùn)營商 All rights reserved 169。 ? DDoS的體系結(jié)構(gòu) All rights reserved 169。 2022, Southeast University Page 30 拒絕服務(wù)攻擊（ 6） ?分布式拒絕服務(wù)（ DDoS） ? DDoS概念 ? DDoS是在傳統(tǒng)的 DoS基礎(chǔ)上，利用更多的傀儡機(jī)來發(fā)動攻擊，以比從前更大的規(guī)模來