電子商務安全：第3章 計算機病毒防治與黑客攻防

第3章計算機病毒防治

與黑客的防范計算機病毒的概念2023/1/3定義：計算機病毒是一段附著在其他程序上的可以實現(xiàn)自我繁殖的程序代碼。（國外）定義：計算機病毒是指破壞計算機功能或者數(shù)據(jù)，并能自我復制的程序。（國內）病毒發(fā)展史：1977年科幻小說《TheAdolescenceofP-1》描寫計算機病毒1983年FredAdleman首次在VAX11/750上試驗病毒；1986年Brain病毒在全世界傳播；1988年11月2日Cornell大學的Morris編寫的Worm病毒襲擊美國6000臺計算機，直接損失近億美元；八十年代末，病毒開始傳入我國計算機病毒的概念（續(xù)）病毒的特征：傳染性；寄生性；衍生性；隱蔽性；潛伏性；可觸發(fā)性；奪取控制權；破壞性與危害性2023/1/3計算機病毒的分類按破壞性分為：良性；惡性。按激活時間分為：定時；隨機按傳染方式分為：

引導型：當系統(tǒng)引導時進入內存，控制系統(tǒng)； 文件型：病毒一般附著在可執(zhí)行文件上； 混合型：既可感染引導區(qū)，又可感染文件。按連接方式分為： OS型：替換OS的部分功能，危害較大； 源碼型：要在源程序編譯之前插入病毒代碼；較少； 外殼型：附在正常程序的開頭或末尾；最常見； 入侵型：病毒取代特定程序的某些模塊；難發(fā)現(xiàn)。2023/1/3計算機病毒的分類（續(xù)）按照病毒特有的算法分為：伴隨型病毒：產(chǎn)生EXE文件的伴隨體COM，病毒把自身寫入COM文件并不改變EXE文件，當DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件?！叭湎x”型病毒：只占用內存，不改變文件，通過網(wǎng)絡搜索傳播病毒。寄生型病毒：除了伴隨和“蠕蟲”型以外的病毒，它們依附在系統(tǒng)的引導扇區(qū)或文件中。變型病毒（幽靈病毒）：使用復雜算法，每傳播一次都具有不同內容和長度。一般的作法是一段混有無關指令的解碼算法和被變化過的病毒體組成。2023/1/3常見的計算機病毒蠕蟲病毒網(wǎng)絡病毒腳本病毒宏病毒后門病毒CIH病毒計算機病毒的組成病毒的組成：安裝模塊：提供潛伏機制；傳播模塊：提供傳染機制；觸發(fā)模塊：提供觸發(fā)機制；其中，傳染機制是病毒的本質特征，防治、檢測及殺毒都是從分析病毒傳染機制入手的。2023/1/3計算機病毒的癥狀病毒的癥狀：啟動或運行速度明顯變慢；文件大小、日期變化；死機增多；莫名其妙地丟失文件；磁盤空間不應有的減少；有規(guī)律地出現(xiàn)異常信息；自動生成一些特殊文件；無緣無故地出現(xiàn)打印故障。2023/1/3計算機病毒的傳播途徑1）通過不可移動的設備進行傳播較少見，但破壞力很強。2）通過移動存儲設備進行傳播最廣泛的傳播途徑3）通過網(wǎng)絡進行傳播反病毒所面臨的新課題4）通過點對點通訊系統(tǒng)和無線通道傳播預計將來會成為兩大傳播渠道2023/1/3病毒的防治網(wǎng)絡環(huán)境下的病毒防治原則與策略

防重于治，防重在管：制度；注冊、權限、屬性、服務器安全；集中管理、報警。綜合防護：木桶原理；防火墻與防毒軟件結合最佳均衡原則：占用較小的網(wǎng)絡資源管理與技術并重正確選擇反毒產(chǎn)品多層次防御：病毒檢測、數(shù)據(jù)保護、實時監(jiān)控注意病毒檢測的可靠性：經(jīng)常升級；兩種以上。2023/1/3病毒的防治（續(xù)）防毒：預防入侵；病毒過濾、監(jiān)控、隔離查毒：發(fā)現(xiàn)和追蹤病毒；統(tǒng)計、報警解毒：從感染對象中清除病毒；恢復功能病毒檢測的方法直接觀察法：根據(jù)病毒的種種表現(xiàn)來判斷特征代碼法：采集病毒樣本，抽取特征代碼特點：能快速、準確檢驗已知病毒，不能發(fā)現(xiàn)未知的病毒。2023/1/3病毒的防治（續(xù)）校驗和法：根據(jù)文件內容計算的校驗和與以前的作比較。優(yōu)點：能判斷文件細微變化，發(fā)現(xiàn)未知病毒。缺點：當軟件升級、改口令時會產(chǎn)生誤報；不能識別病毒名稱；對隱蔽性病毒無效。行為監(jiān)測法：基于對病毒異常行為的判斷特點：發(fā)現(xiàn)許多未知病毒；可能誤報，實施難軟件模擬法：一種軟件分析器，用軟件方法來模擬和分析程序的運行。特點：可用于對付多態(tài)病毒。2023/1/3病毒的防治（續(xù)）反病毒軟件的選擇1）掃描速度30秒能掃描1000個以上文件2）識別率3）病毒清除測試著名殺毒軟件公司冠群金辰KILL瑞星RAV北京江民KV3000信源LANVRV賽門鐵克NortonAntiVirus時代先鋒（行天98）

2023/1/3病毒的防治（續(xù)）反病毒軟件工作原理1）病毒掃描程序 串掃描算法:與已知病毒特征匹配；文件頭、尾部 入口掃描算法：模擬跟蹤目標程序的執(zhí)行 類屬解密法：對付多態(tài)、加密病毒2）內存掃描程序：搜索內存駐留文件和引導記錄病毒3）完整性檢查器：能發(fā)現(xiàn)新的病毒；但對于已被感染的系統(tǒng)使用此方法，可能會受到欺騙。4）行為監(jiān)測器：是內存駐留程序，監(jiān)視病毒對可執(zhí)行文件的修改。防止未知的病毒2023/1/3病毒的發(fā)展趨勢攻擊對象趨于混合型；反跟蹤技術；增強隱蔽性：避開修改中斷向量值；請求在內存中的合法身份；維持宿主程序外部特征；不用明顯感染標志采用加密技術，使得對病毒的跟蹤、判斷更困難；繁衍不同的變種。2023/1/3網(wǎng)絡攻擊黑客2023/1/3網(wǎng)絡攻擊階段及工具攻擊的階段性偵察掃描拒絕服務攻擊掩蓋蹤跡和隱藏使用應用程序和操作系統(tǒng)的攻擊獲得訪問權使用網(wǎng)絡攻擊獲得訪問權維護訪問權2023/1/3網(wǎng)絡攻擊階段及工具（續(xù)）偵察掃描決絕服務攻擊掩蓋蹤跡和隱藏使用應用程序和操作系統(tǒng)的攻擊獲得訪問權使用網(wǎng)絡攻擊獲得訪問權維護訪問權2023/1/3偵察偵察是攻擊的第一步，這就如同匪徒一般偵察是利用公開的、可利用的信息來調查攻擊目標偵察包括以下技術低級技術偵察Web搜索Whois數(shù)據(jù)庫域名系統(tǒng)（DNS）偵察通用的目標偵察工具2023/1/3低級技術偵察社交工程物理闖入垃圾搜尋你能找出垃圾搜尋的例子嗎？2023/1/3Web搜索搜索一個組織自己的web站點有電話號碼的職員聯(lián)系信息關于公司文化和語言的信息商務伙伴最近的合并和兼并公司正使用的技術使用搜索引擎.hk搜索論壇BBS（電子公告欄）Usenet（新聞組）2023/1/3Whois數(shù)據(jù)庫搜索什么是whois數(shù)據(jù)庫：包括各種關于Internet地址分配、域名和個人聯(lián)系方式的數(shù)據(jù)庫研究.com,.net,.org域名研究非.com,.net和.org域名國家代碼:教育(.edu):軍事代碼(.mit):whois.nic.mit政府(.gov):2023/1/3Whois數(shù)據(jù)庫搜索(續(xù))搜索目標域名2023/1/3Whois數(shù)據(jù)庫搜索(續(xù))搜索目標IP美國Internet注冊局：/whois/arin-whois.html歐洲網(wǎng)絡協(xié)調中心：亞太網(wǎng)絡協(xié)調中心：中國互聯(lián)網(wǎng)絡信息中心：2023/1/3亞太網(wǎng)絡信息中心2023/1/3DNS搜索nslookup2023/1/3通用工具SamSpade工具Netscantools基于web的工具2023/1/3網(wǎng)絡攻擊階段及工具（續(xù)）偵察掃描決絕服務攻擊掩蓋蹤跡和隱藏使用應用程序和操作系統(tǒng)的攻擊獲得訪問權使用網(wǎng)絡攻擊獲得訪問權維護訪問權2023/1/3掃描掃描是在偵察之后，企圖發(fā)現(xiàn)目標的漏洞掃描需要花費許多時間2023/1/3掃描內容戰(zhàn)爭撥號網(wǎng)絡測繪端口掃描漏洞掃描躲避IDS2023/1/3戰(zhàn)爭撥號戰(zhàn)爭撥號是搜尋調制解調器查找電話號碼：電話薄、Intenet、whois、web站點、社交工程工具THC－scan2.02023/1/3網(wǎng)絡測繪網(wǎng)絡測繪是繪制目標的網(wǎng)絡拓撲結構發(fā)現(xiàn)活躍主機PingTCP或UDP數(shù)據(jù)包掃描跟蹤路由：Traceroute（UNIX）Tracert（Windows）網(wǎng)絡測繪工具Cheops：/cheops/2023/1/3端口掃描SYN掃描2023/1/3掃描的目的發(fā)現(xiàn)活躍的主機發(fā)現(xiàn)開放的端口確定目標使用的操作系統(tǒng)協(xié)議棧指紋（Fingerprint）2023/1/3如何掃描防火墻NMAP掃描目標主機開放端口如何掃描防火墻，確定其開放端口呢？2023/1/3Firewall路由器路由器防火墻TTL=4Port=1,TTL=4Port=2,TTL=4Port=3,TTL=4Port=4,TTL=4超時消息2023/1/3漏洞掃描漏洞掃描尋找以下漏洞一般的配置錯誤默認的配置缺點知名系統(tǒng)的漏洞漏洞掃描的組成漏洞數(shù)據(jù)庫用戶配置工具掃描引擎當前活躍的知識庫結果庫和報告生成工具漏洞數(shù)據(jù)庫用戶配置工具掃描引擎活躍的知識庫結果庫和報告生成2023/1/3漏洞掃描工具SARA，/sara.SANT,/saint/Nessus,......2023/1/3NessusNessus以插件形式提供漏洞檢查Nessus基于客戶/服務器結構客戶服務器2023/1/3躲避IDS上述掃描均存在“網(wǎng)絡噪音”，易被IDS識別出來如何躲避IDS？IDS如何工作？如何躲避？2023/1/3IDS如何工作IDS2023/1/3如何躲避IDS？弄亂流量改變數(shù)據(jù)的結構或語法弄亂上下文IDS無法識別完整的會話方法：網(wǎng)絡層躲避應用層躲避2023/1/3網(wǎng)絡層躲避只使用片斷發(fā)送片斷泛洪以意想不到的方式對數(shù)據(jù)包分段微小片段攻擊片段重疊工具：fragroute2023/1/3Fragrouter2023/1/3應用層躲避躲避IDSCGI：whisker()URL編碼/./目錄插入過早結束的URL長URL假參數(shù)TAB分隔大小寫敏感Windows分隔符(‘\’)空方法會