第1章 信息安基础.ppt

学习重点： 网络与信息安全基础知识 信息安全体系结构与模型 信息安全管理体系 信息安全评测认证体系 信息安全与法律 1. 2 信息安全与网络安全 信息安全的特征 此外，还可以通过检查并删除木马程序的启动条件来防范。检查和清除Windows系统中木马程序的一般方法如下： ① 在“开始→程序→启动”菜单组中，如果发现有异常程序，则可直接清除； ② 在autoexec.bat文件中，如果发现有类似“win?程序名”的命令行，则在命令中的程序很可能就是木马程序； ③ 在win.ini文件中，检查[windows]段上由“run=”和“load=”两个项目指定的程序是否有异常，如果有，很可能是木马，则应立即清除； ④ 在system.ini文件中，检查[boot]段上由“shell=”项指定的程序是否有异常。正常情况下，应该为“shell=explorer.exe”，如果变成“shell=explorer.exe?程序名”，则其中的程序名很可能是木马程序； ⑤ 在注册表中，与启动相关的注册表项是需要注意的。可以使用regedit命令打开注册表编辑器，然后，依次检查相关的注册表项的值，如果发现异常，则需要及时修正。下列注册表项是需要重点检查的项目内容。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce HKEY_CLASSES_ROOT\exefile\shell\open\command 一般采用对比的方法来检查注册表项，用正确的注册表与当前的注册表进行对比，从中找出可疑的内容。例如，在HKEY_CLASSES_ROOT\exefile\shell\open\?command表项中包含的正确值为“%1%*”，如果被改为“程序名%1*”，则可能是木马程序名。 如果发现异常程序，除了在上述文件中删除它们之外，还要找到它们所在的目录，彻底清除，否则，它们有可能还会自动添加到相应的启动位置。 病毒检测技术 (1) 病毒的传播途径 计算机病毒主要有4种传播途径: 通过不可移动的计算机硬件设备进行传播，这些设备通常有计算机的专用ASIC芯片和硬盘等。 通过移动存储设备来传播，这些设备主要包括软盘、磁带、移动USB盘等。 通过计算机网络进行传播。 通过点对点通信系统和无线通道（如手机）来传播病毒。 (2) 病毒的检测方法 在检测病毒时，必须保证系统是“清洁”无毒的。病毒检测分为对内存检测和对磁盘检测，比如对磁盘检测必须要求内存不带毒，因为有些病毒采用反跟踪和伪装技术向检测者报告假情况。启动系统应该是上电启动而不是用Ctrl + Alt + Del组合键启动，因为有些病毒会截取键盘中断而将自己仍然留在内存中。 病毒的检测方法主要有手工检测和自动检测两种。 目前病毒防范产品主要通过比较法、校验和法、人工智能陷阱法、感染实验法、扫描法和特征代码法完成病毒的自动检测。 比较法是一种较原始的病毒检测方法，包括长度比较法、内容比较法、内存比较法、中断比较法等。比较法通过对比可疑的和正常的对象，如果发现相比较内容不一致，就认为有病毒存在。 校验和法是根据文件的内容计算其校验和，并将所有文件的校验和放在资料库中。检测时将文件现有内容的校验和与资料库中的校验和做比较，若不同则判断其被染毒。其优点是可检测未知病毒和变种病毒，最大的缺点就是误判断高且无法确认是哪种病毒感染的。 人工智能陷阱是一种监测计算机行为的常驻式扫描技术。它将病毒所产生的行为归纳起来，一旦发现内存有任何不正常的情况，系统就会有所警觉并告知。使用这种技术的优点是执行速度快，手续简便且可以检查到各式病毒；其缺点就是程序设计难，且不容易考虑周全。不过在千变万化的病毒世界中，人工智能陷阱扫描技术是一个至少具有保全功能完整的新观点。 感染实验法是利用病毒的感染特性，在可疑系统中使用或运行“干净”的磁盘或文件，比较运行前后文件的校验和以及文件长度，若发生改变则已染毒。其优点是误报警率低，缺点是无法确定被感染的病毒类型。