[电脑基础知识]第6章 网络威胁.pptVIP

蠕虫的工作方式与扫描策略 蠕虫的工作方式一般是“扫描→攻击→复制” 1、反病毒引擎（杀毒引擎）特点 杀毒引擎就是一套判断特定程序行为是否为病毒程序（包括可疑的）的技术机制。一个完整的技术引擎遵守如下的行为过程： 1.非自身程序行为的程序行为捕获。引擎前端。 2.基于引擎机制的规则判断。这个环节被叫做杀毒软件引擎工作的核心层。 1、反病毒引擎（杀毒引擎）特点（续） 3.引擎与病毒库的交互作用。杀毒引擎与要将非自身程序行为过程转化为杀毒软件自身可识别的行为标识符（包括静态代码等），然后与病毒库中所存贮的行为信息进行对应，并作出相应处理。 当前的杀毒软件对大量病毒的识别都是在这个阶段完成的。 因此一个足够庞大的病毒库往往能够弥补杀毒软件引擎的不足之处。 如果在核心层阶段就可以结束并清除病毒程序，那么杀毒软件的工作速度将会大幅提升。 当前我们没有足够聪明的杀毒引擎来完成这个过程，这就是为什么有病毒库的原因。 2、反病毒引擎（杀毒引擎）类型 Dr.web(大蜘蛛):是俄罗斯官方和军队采用的产品。它的技术以俄罗斯国家科学院为后盾。 除了该公司自己的产品外，采用该引擎的品牌还有“韩国驱逐舰”和“德国小红伞”。它从来不把二进制病毒和不能发做的木马列入病毒库，但对付变种病毒和木马绝对强悍，可以干掉加密XTA算法的病毒。 Kaspersky (卡巴斯基)：来自俄罗斯的世界著名杀毒软件——反病毒引擎和病毒库，一直以其严谨的结构和快速的反应速度为业界所称道——杀毒强悍、果断、彻底是其一大特点。正是因为如此，它连年获得国际杀毒软件排名“亚军”和诸多奖项的殊荣，目前世界上用卡巴斯基引擎的品牌非常多。 2、反病毒引擎（杀毒引擎）类型（续） 3、Norton(诺顿)：防止侦测方面做得不是很好，所以有时被病毒破坏。但其隔离机制还是很完善的。 4、McAfee(麦咖啡)：来自美国的著名杀毒软件。收购所罗门公司——所罗门的引擎。全球最畅销的杀毒软件之一(世界排名第六)。它具有自动监视系统，会常驻在System Tray。 5、Panda(熊猫卫士)：——在欧州占有很大市场份额，查杀速度绝对一流。占用内存较大。 3、反病毒引擎的模块结构 反病毒引擎（杀毒引擎）：指依赖于一个特定的数据描述集合来完成计算机病毒检测和清除的一组程序模块。 通常包括模块： ① 文件格式识别模块 ② 壳识别模块 ③ 脱壳模块 ④ 解压缩模块 ⑤ office文件预处理模块 ⑥ 脚本预处理模块 ⑦ 特征匹配模块 ⑧ 未知病毒检测模块 4、反病毒引擎工作流程 主要包括四个步骤: ① 捕获程序行为 需要嵌入系统底层，将可疑程序交付下一步处理 ② 基于引擎机制规则的判断 引擎中内置一部分病毒的特征代码，可以查杀很大一部分病毒 ③ 与病毒特征库交互后判断 一个足够庞大的病毒特征库往往能弥补杀毒引擎的不足,当前杀毒软件对大量病毒的识别通常在这个阶段完成 ④ 病毒清理和系统恢复 病毒检测 1) 病毒检测方法主要包括：特征代码法、校验和法、行为监测法以及软件模拟法等。 特征代码法 特征代码查毒就是检查文件中是否含有病毒数据库中的病毒特征代码。 校验和法 对正常状态下的重要文件进行计算，取得其校验和，以后定期检查这些文件的校验和与原来保存的校验和是否一致。 计算机病毒的免疫 计算机病毒免疫的原理：根据病毒的签名来实现。这是由于一些病毒在感染其他文件时会先判断是否已经感染，即检测欲感染的文件是否存在病毒签名，如有则不再感染。 因此可以人为地在”健康程序“中进行病毒签名，起到免疫效果 6.3.1 黑客入侵的一般流程 6.3.2 攻击的技术与方法 现在网络上的攻击行为很多，这里只列出了典型的几种攻击行为。 1 预攻击探测 预攻击探测技术主要可以分为Ping扫描、操作系统识别扫描、端口扫描以及漏洞扫描（Vulnerability Scan）等。 Ping扫描用于发现攻击目标； 操作系统识别扫描就是对目标主机运行的操作系统进行识别； 端口扫描用于查看攻击目标处于监听或运行状态的服务； 漏洞扫描就是扫描对方系统有什么漏洞可以利用。 目前主流的扫描工具包括流光、Nmap、 Nessus、SSS(Shadow Security Scanner)等都实现了这些技术。 这些技术既可以作为安全管理员检验安全措施是否有效的方法，也会被黑客利用作为发动攻击的探测手段。下面介绍主要的预攻击探测技术。 1 预攻击探测 Ping 扫描 使用Ping命令来进行扫描是平时最常用的方法。Ping扫描使用网络层的ICMP协议，用于搜寻对ICMP请求做出响应的计算机。 通常，Ping一个公司的Web服务器可帮助人们获得该公司所使用的IP地址范围。一旦得知了HTTP服务器的IP地址，可以使用Ping扫描工具Ping该子网的