网络安全设计6.pptVIP

常见计算机病毒（ Nimda 1） 未来计算机病毒的特点 同黑客技术结合的网络病毒将成为计算机病毒的主流 传统的计算机病毒为一种可执行程序，依靠某种媒介 进行传播，比如软盘、光盘或者电子邮件。计算机病毒就 好像刺猬，只要你不去碰它，它就不会来招惹你。 以“冲击波”为代表的网络病毒：这种病毒是完全主 动地直接扫描互联网上的计算机，一旦发现其没有安装Ｗ ｉｎｄｏｗｓ补丁，就立即进入并开始发作。“冲击波” 严格说来并不是一种病毒，更接近于一种感染行为。 以前是要下载、拷贝才会中毒，现在只要你的系统有后门， 有漏洞，就可能感染病毒。 网络病毒原理简析微软Windows系统RPC DCOM接口堆缓冲区溢出漏洞分析远程过程调用RPC是Windows 操作系统使用的一个协议。RPC提 供一种内部进程通讯机制，允许在一台电脑上运行的程序无缝的执行 远程系统中的代码。协议本身源于开放软件基金会OSFRPC协议，但 添加了一些Microsoft特定的扩展。在Windows RPC在分布式组件对象模型DCOM接口的处理中存在一 个缓冲区溢出漏洞。Windows 的DCOM实现在处理一个参数的时候没有 检查长度。通过提交一个超长（数百字节）的文件名参数可以导致堆 溢出，从而使RpcSS 服务崩溃。精心构造提交的数据就可以在系统上 以本地系统权限运行代码。攻击者可以在系统中采取任何行为，包括 安装程序， 窃取更改或删除数据，或以完全权限创建新帐号。 此漏洞可以通过135TCP/UDP、139、445、593等端口发起攻击。 网络病毒原理简析 防病毒软件的远程管理 病毒库集中更新 计算机病毒的特征 病毒是一段可执行的程序 病毒具有广泛的传染性 病毒具有很强的隐蔽性 病毒具有潜伏性 病毒具有可触发性 病毒具有破坏性 2.2 计算机病毒的结构计算机病毒主要由潜伏机制、传染机制和表现机制 构成。在程序结构上由实现这3种机制的模块组成（见 下图）。若某程序被定义为计算机病毒，只有传染机制是强 制性的，潜伏机制和表现机制是非强制性的。 1. 潜伏机制潜伏机制的功能包括初始化、隐藏和捕捉。潜伏机 制模块随着感染的宿主程序的执行进入内存，首先，初 始化其运行环境，使病毒相对独立于宿主程序，为传染 机制做好准备。然后，利用各种可能的隐藏方式，躲避 各种检测，欺骗系统，将自己隐蔽起来。最后，不停地 捕捉感染目标交给传染机制，不停地捕捉触发条件交给 表现机制。 2. 传染机制传染机制的功能包括判断和感染。传染机制先是判 断候选感染目标是否已被感染，感染与否通过感染标记 来判断，感染标记是计算机系统可以识别的特定字符或 字符串。一旦发现作为候选感染目标的宿主程序中没有 感染标记，就对其进行感染，也就是将病毒代码和感染 标记放入宿主程序之中。早期的有些病毒是重复感染型 的，它不做感染检查，也没有感染标记，因此这种病毒 可以再次感染自身。 3. 表现机制表现机制的功能包括判断和表现。表现机制首先对 触发条件进行判断，然后根据不同的条件决定什么时候 表现、如何表现。表现内容多种多样，然而不管是炫耀、 玩笑、恶作剧，还是故意破坏，或轻或重都具有破坏性。 表现机制反映了病毒设计者的意图，是病毒间差异最大 的部分。潜伏机制和传染机制是为表现机制服务的。 恶意代码与计算机病毒的防治 1 恶意代码 2 计算机病毒 3 防治措施 全面病毒爆发生命周期管理 病毒破坏评估 3 防治措施全球对防治病毒的关注和重视不断升温，病毒防治技术 也随之迅速发展，与病毒制造技术展开了前所未有的竞赛。 病毒制造技术与病毒防治技术是“矛”与“盾”的辩证发展关 系，互为发展动力。防治病毒，顾名思义，一是“防”，二是“治”。“防”是主 动的，“治”是被动的。首先要积极地“防”，尽量避免病毒入 侵，然而“防”是有时效性的，今天防住了，明天就有可能被 突破。对于入侵的病毒当然要努力地“治”，以尽量减少和挽 回病毒造成的损失，并且通过“治”的过程掌握病毒的机理， 反过来又可以加强“防”了。因此，病毒防治应采取“以防为主、 与治结合、互为补充”的策略，不可偏废任何一方面。 3.1 病毒防治的技术： 病毒防治技术分为“防”和“治”两部分。“防”毒技术包括预防技术和免疫技术；“治”毒技术包括检测技术和消除技术。 1. 病毒预防技术病毒预防是指在病毒尚未入侵或刚刚入侵还未发作 时，就进行拦截阻击或立即报警。病毒的传播途径和寄生场所都是实施病毒预防措施 的对象。 2. 病毒免疫技术病毒具有传染性。一般情况下，病毒程序在传染完一 个对象后，都要给被传染对象加上感染标记。传染条件的 判断就是检测被攻击对象是否存在这种标记，若存在这种 标记，则病毒程序不对该对象进行传染；若不存在这种标 记，病毒程序就对该对象实施传染。最初的