《计算机网络与应用.ppt》由会员分享,可在线阅读,更多相关《计算机网络与应用.ppt(38页珍藏版)》请在三一办公上搜索。
1、计算机网络与应用,制作:赵喜云 石良武 李 琳湖南商学院现代教育技术中心监制,计算机网络与应用,-http:-,第四篇,第十二章 网络维护及故障分析处理,第十一章 病毒、黑客及其防范,第四篇 网络安全与维护,第十一章 病毒、黑客及其防范,11.1 病毒防范,11.2 黑客防范,11.1.1 病毒定义及其特点 1 计算机病毒的定义 计算机病毒(Computer Virus)是一种别有用心的人编写的可以在计算机之间传播,并通过多种手段破坏计算机中的数据,或更改屏幕上显示的内容干扰用户的特殊程序。,11.1 病毒防范,2 计算机病毒的特点(1)具有破坏性、传染性、潜伏性及隐藏性,能够将自身复制到其他
2、程序中。(2)不以独立的文件形式存在,仅附着在被感染的程序上调用该程序时,病毒首先运行。,11.1.2 病毒的分类 1 依据传染机型(1)专门传染PC的病毒,以Windows上的病毒种类最多。UNIX和Linux等其他操作系统较少。UNIX系统少的原因一是用户相对较少;二是安全机制比较高,编写UNIX等操作系统病毒需要更高的专业水平。(2)专门感染Apple公司的Macintosh系列计算机(通常所说的苹果机)。(3)传染VAX等小型机及各种工作站的病毒。,2 依据传播途径(1)单机病毒 这类病毒自身不会通过网络传播,主要在交换文件时传播。传染媒介一般是磁性介质,如软盘、磁带等。随着U盘、移动
3、硬盘和刻录机的普及,它们也成为传染病毒的介质。(2)网络病毒 主要通过网络传播,如通过电子邮件和网页等传播。随着Internet的日益发展,这类病毒的数目越来越多,传播速度也越来越快。,3 依据传染程序的特点(1)文件型病毒 主要攻击可执行文件,在PC上修改.com和.exe文件,然后将自身置于其中。感染病毒的可执行文件运行后成为新的病毒源感染其他文件,从而造成病毒的不断扩散。这种类型的病毒数量最多。(2)操作系统型病毒 这类病毒大多传染或替换系统的引导记录。启动计算机时,病毒从硬盘中写入内存,在修改某些中断向量以后,将引导记录读出后运行。这类病毒往往在读盘时开始传染,具有很强的生命力,破坏力
4、也很大。,4 依据破坏能力(1)良性病毒 这类病毒往往只和用户开玩笑,而不破坏用户的文件和系统等。(2)恶性病毒 这类病毒会给用户造成很大损失,甚至损坏计算机硬件。,11.1.3 病毒的破坏行为 每种计算机病毒都有其破坏行为,只不过后果轻重不一而已。计算机感染病毒并达到病毒运行的条件时,病毒被激活,开始破坏行为。这种破坏行为主要表现在以下几个方面。1 搞恶作剧,在屏幕上显示一些消息或画面。2 使程序运行速度变慢,降低系统性能。3 损坏文件使程序无法运行。4 使文件无限变大。5 删除磁盘上的文件,造成数据损坏。6 格式化硬盘。7 更改主引导区数据,使系统无法启动而瘫痪。8 修改主板BIOS,损坏
5、硬件。,11.1.4 宏病毒与蠕虫 1 宏病毒 宏是实现指定功能的代码段,可自动批量处理一些指定任务。一些别有用心的人通过编写具有破坏功能的宏,即宏病毒来破坏文档,使用户遭受损失。宏病毒主要破坏具有宏功能的应用程序生成的文件,如Word的.doc、Excel的.xls和Access的.mdb文档等。,判断某个文件是否感染了宏病毒,操作如下:(1)如果在打开文档的过程中显示是否启动宏的提示,如图11.1-1所示,则该文件有可能带有宏病毒。除非文件来源非常可靠,否则不要启用其中的宏。,图11.1-1 打开的文件中包括宏,(2)如果在运行具有宏功能的应用程序时,Windows桌面图标突然全部改变,则
6、可能是宏病毒所为。(3)如果另存一个文件且保存类型只能选择“文档模板”时,则该文件可能有宏病毒。(4)打开一个文件后,末执行任何操作即退出,并且提示存盘,则该文件很有可能有宏病毒。,2 蠕虫 计算机蠕虫是一种可独立运行的程序,它从内部消耗其宿主的资源以维护其自身,能够将其完整地传播到其他计算机上。蠕虫与病毒的差异在于其“存活”方式及其感染其他计算机的方式,但结果基本上相同,蠕虫也像病毒一样能够删除或改写文什。由于主要通过网络传播,因此从危害性看蠕虫可能更加危险。蠕虫类似病毒,许多用户也将其称为蠕虫病毒。,蠕虫一旦被放出,就不需要用户干预,蠕虫使用宿主计算机的资源找到进入其他计算机的途径或漏洞进
7、行传播。即如果有一个与网络上其他计算机的连接,蠕虫则可检测到这个连接并且将自身复制到其他计算机上,而这些可能是在用户完全不知道的情况下进行的。正是由于蠕虫的特殊“生存”方式,所以说它很危险。例如,“爱虫”病毒作为一种蠕虫,在世界范围内,已经给用户造成了数百亿美元的损失。,1115 日常防病毒措施 1 预防措施(1)不要使用来历不明的磁盘或光盘,以免其中带毒而被感染。如果必须使用,要先用杀毒软件检查,确认其无毒。(2)养成备份重要文件的习惯,万一感染病毒,可以用备份恢复数据。(3)不要打开来历不明的电子邮件,甚至不要将指针指向这些邮件,以防其中带有病毒而感染计算机。(4)使用杀毒软件定时查杀病毒
8、,并且经常更新杀毒软件的病毒特征库文件,以查杀新出现的病毒。,(5)了解和掌握计算机病毒的发作时间或发作条件,并事先采取措施。例如,CIH病毒的发作时间限定为每月的26日,可在此前更改系统日期跳过病毒发作日。(6)如果主板上有控制BIOS写入的开关,一定要将其设为Disable状态,事先要备份好BIOS升级程序。若有条件,也可以买一块BIOS芯片,写入BIOS程序后作为备用。(7)从Internet下载软件时,要从正规的并有名气的下载站点下载,下载后要及时用杀毒软件进行查毒。,(8)安装杀毒软件,开启实时监控功能,随时监控病毒的侵入。(9)随时关注计算机报刊或其他媒体发布的最新病毒信息及其防治
9、方法。(10)如果要打开的文件中含有宏,在无法确定来源可靠的情况下,不要轻易打开该文件。可以用最新杀毒软件进行检查,确认无毒后再打开。,2 操作举例 针对于宏病毒,用户还可以通过Windows的搜索功能判断是否有包含宏病毒的文件。以Word文档为例,操作方法如下。(1)选择“开始”“搜索”“文件或文件夹”命令,打开“搜索结果”窗口。,图11.1-2“搜索结果”窗口,(2)在“搜索助理”窗格中单击“所有文件和文件夹”链接,然后在“全部或部分文件名”文本框中输入“*.doc”,在“文件中的一个字或词组”文本框中输入“Autoopen”,如图11.1-2所示。(3)单击“搜索”按钮开始搜索,找到的文
10、件很有可能包含Word宏病毒。,11.1.6 流行杀毒软件 1 瑞星 瑞星杀毒软件是国内用户使用较多的反病毒软件之一,是北京瑞星科技股份有限公司自主研制的反病毒安全工具。用于对病毒、黑客等的查找、实时监控和清除、恢复被病毒感染的文件或系统,维护计算机系统的安全。,瑞星杀毒软件能全面清除DOS、Windows病毒及危害计算机安全的各种“黑客”有害程序,号称“网络病毒粉碎机”,曾获得杀毒软件领域的多项殊荣。瑞星杀毒软件2005版(以下简称瑞星)的程序界面如图11.1-3所示。,图11.1-3 瑞星杀毒软件2005版的程序界面,2KV3000杀毒王 KV3000系列杀毒软件是国内市场占有率较高的反病
11、毒软件之一,由北京江民新科技术有限公司研制开发。KV3000杀毒王是该系列中的一种,界面如图11.1-4所示。该软件是基于Windows 9598MeNT2000XP平台上的纯32位反病毒软件,具有扫描速度快、识别率高、占用资源少等优点,并具有界面简洁、功能强大及操作简便的特点。KV3000杀毒王可以搜寻和清除数以万计的各种形式的病毒,并且采用虚拟跟踪技术识别大多数的未知病毒,支持Foxmail、Outlook和Netscape等常见的邮件客户端软件生成的信箱格式。,图11.1-4 KV3000杀毒王,3 金山毒霸 金山毒霸是国内著名的金山公司历时数年潜心研制开发的高智能反病毒软件,号称“In
12、ternet时代的电脑医生”。虽然问世不久,但以其强大的杀毒能力迅速占领杀毒软件市场的很大份额,金山毒霸2003版的程序界面如图11.1-5所示。,图11.1-5 金山毒霸2003版的程序界面,金山毒霸独创了双杀毒引擎设计,融合了启发式搜索、代码分析及虚拟机查毒等反病毒技术,使其在查杀病毒种类、查杀病毒速度、病毒防治等方面达到世界先进水平,另外还具有QQ和ICQ安全助手、病毒防火墙实时监控、压缩文件查毒及系统漏洞扫描等先进功能。,4 安全之星 安全之星由上海创源计算机信息安全有限公司研制开发,XP版本的界面如图11.1-6所示,主要用于防止和查杀来源于网络的病毒。该软件利用独特的Winscoc
13、k层查杀病毒技术,可以在用户接收信息时完成对邮件及其附件的扫描工作,从而在来源上杜绝了病毒的传播。,图11.1-6 安全之星XP界面,5 Norton AntiVirus Norton AntiVirus是Symantec(赛门铁克)公司出品的杀毒软件,是国内市场占用率比较高的国外杀毒产品。针对个人用户的Norton AntiVirus(诺顿防病毒)2004具有强大的杀毒能力,界面如图11.1-7所示。该产品可以在浏览Internet时提供防护功能,同时内置了Live update功能和Live Advisor功能,可定期自动以电子邮件方式向用户发送新病毒定义及查杀技巧等信息。,图11.1-7
14、 Norton AntiVirus 2004界面,11.2.1 黑客与特洛伊木马 黑客是英文Hacker的音译,原意是指水平高超的程序员。而不是那些非法入侵他人计算机系统,破坏系统安全的人。他们通常具有软硬件的高级知识,并有能力通过创新方法剖析系统,检查系统的完整性和安全性。提起黑客,还必须涉及到“入侵者”这一概念,入侵者是指怀有不良的企图,非法闯入,甚至破坏远程计算机系统的人。入侵者利用获得的非法访问权破坏重要数据,拒绝合法用户的服务请求,或者为了某种目的给他人制造麻烦。,11.2 黑客防范,黑客如果要入侵他人的计算机系统,必须借助于一定的工具。这些工具是一些专业的远程控制程序,通常称之为特
15、洛伊木马(特洛伊战争是古希腊人反对特洛伊人的10年战争,据说在这场战争中希腊人藏身在中空的木马内进入了特洛伊城。后来为希腊军队打开了城门,从而取得了战争的最终胜利。在计算机技术中,特洛伊木马是指一种计算机程序,表面上有某种有用的功能。而实际上却含有附加或隐藏的功能。能够调用进程的合法特许来危害计算机系统安全),如冰河及网络神偷等。,计算机特洛伊木马不能称为病毒,因为它不具备病毒的基本特征,但对计算机的安全威胁最大。大多数计算机病毒只是毁坏计算机中的数据,而特洛伊木马却可以让其他人控制用户的计算机和其中保存的信息,用户本人却完全不知。严格来说,特洛伊木马是一种恶意程序,能够狡猾地隐藏在看起来无害
16、的程序内部。当宿主程序被启动时,该特洛伊木马也被激活(许多特洛伊木马在计算机启动时,就自动启动并在后台运行)。然后特洛伊木马打开一个称为后门(Backdoor)的连接。通过这个后门,黑客可以容易地进入用户的计算机,并且接管该计算机。由于特洛伊木马总是创建同一个打开的端口,并且只接受从该端口进入的请求,因此使得诊断特洛伊木马非常容易。只要安装防火墙程序,即可监视已知的特洛伊木马端口,并且很容易阻塞它们,从而达到防范黑客的目的。,11.2.2 感染木马的症状 1命令响应速度下降。对于习惯使用一台计算机的用户来说,可轻易地发现计算机命令响应速度的异常。2并未执行任何操作,而硬盘灯却闪烁,可能是黑客正
17、通过木马在计算机上上传或下载文件。3浏览网页时网页自动关闭。4软驱或光驱在无盘的情况下连续读。5文件被移动位置,计算机被关闭或重新启动,甚至有人请求匿名聊天。,11.2.3 黑客防范措施 1 如果可能,使计算机单机运行,这样绝对不会受到黑客的攻击。2 上网时设法隐藏自己的IP地址,不要随易将详细资料告诉网络上的其他人,例如使用的操作系统、电子邮箱地址等,其中尤其是计算机IP地址。,3 设置有效的密码,因为设定过于简单的密码,如简单的数字、单纯的英文名或单个字符字,以及与账号相同会给黑客最容易猜中的机率。黑客要入侵密码保护的计算机时,通常首先尝试简单的可能猜中的密码。若这道防线被突破,则失去了密
18、码的意义。因此在设置密码时,最好以英文加特定的数字。设置的密码越复杂,网络安全的防护越有保障。,4 严禁将账号及密码外借他人,以防止被别有用心的人利用。5 使用ICQ或QQ时,不要随便同意他人登录或接收他人传送的文件。6 尽量使用较新版本的操作系统或应用软件,因为随着软件的升级换代,漏洞会相对较少。并且关注软件开发商发布的软件补丁,在安装补丁时一定要确保补丁的安全来源。,7 使用Internet连接防火墙,限制可以从局域网进入Internet以及从Internet进入局域网的信息。如果使用Internet连接共享为多台计算机提供访问Internet的功能,则在共享的Internet连接中启用I
19、nternet连接防火墙,如图11.2-1所示。,图11.2-1 在Internet连接共享中使用Internet连接防火墙,如果使用诸如金山毒霸和Norton AntiVirus等杀毒软件,则在上网时也可以启用其 Internet连接防火墙功能。多数代理服务器都具备防火墙功能,例如WinGate可自动隐藏内部网络每台计算机的IP地址,所以使用代理服务器共享接入Internet的确是一种不错的选择。针对网络安全问题,出现了许多专业的防火墙软件,用户可以对比选择使用。例如天网防火墙,其界面如图11.2-2所示。,图11.2-2 天网防火墙,8 如果在上网时发现计算机异常,要及时断开Interne
20、t连接,然后可以按如下方法检测及清除特洛伊木马。(1)选择“开始”“运行”命令,打开“运行”对话框。(2)在“打开”下拉列表框中输入“regedit”后按回车键,打开注册表编辑器。(3)检查Hkey_Local_MachinekSoftwareMicrosoftWindowsCurrenversionRun这个键值后面有无奇怪的键值,如果有,很可能是存在木马。记下奇怪键值最后的字符,一般是*.exe,这正是木马程序的文件名。,(4)删除注册表中上述的奇怪键值,然后使用系统搜索功能在所有文件中查找木马程序的文件,包括系统文件和隐藏文件。(5)找到后将其删除,如果无法删除,原因是木马程序正在运行。可以使用启动盘进入 MS-DOS(不是windows中的MS-DOS方式或命令提示符)后,使用Del命令将其删除。,(6)使用最新版本的杀毒软件彻底检查系统,确保系统无毒。(7)如果安装了Windows优化大师,可以打开其“系统性能优化”中的“开机速度优化”界面,如图11.2-3所示。在“请选择开机不自动运行的程序”列表框中查看有无奇怪的程序开机自动运行(选中某项后在状态栏中显示说明)。如果有,可以根据“程序位置”直接找到原程序文件,然后使用上述方法将其删除。,图11.2-3 Windows优化大师“开机速度优化”界面,
