4计算机网络基础第05章.移动网络安全.ppt

（4）自免疫扫毒技术? 该技术采用软件认证和虚拟运行判断的双重机制，软件认证机制记录系统软件正常的运行状态，形成软件特征运行库，一旦软件出现非正常运行，马上采取措施，所以对网络蠕虫、求职信等已知病毒和未知病毒都能够有效地进行遏制。 （5）主动内核技术 主动内核技术改变了传统的被动防御理念，将已经开发的各种防病毒系统嵌入操作系统内核，实现无缝连接。这种技术可以保证防病毒模块从底层内核与各种操作系统、网络、硬件、应用环境密切协调，确保在发生病毒入侵时，防毒操作不会伤及到操作系统内核，而又能杀灭来犯的病毒。 （6）网关防毒技术 网关级防毒是在网关处设防，防止病毒经由Internet网关传入内网，或是防止网络内部染毒文件传到其他网络当中。网关防毒技术是目前阻绝计算机病毒，特别是邮件病毒、FTP病毒和恶意网页的最佳手段。在病毒被下载并导致损失之前起到隔离和清除作用，并可以过滤内容不当的邮件，避免造成网络带宽的大量消耗。 5.3.5 常见病毒分析与处理 1．特洛伊木马 特洛伊木马目前一般可理解为“为进行非法目的的计算机病毒”，在计算机中潜伏，以达到黑客目的。在古希腊传说中，希腊联军围困特洛伊久攻不下，于是假装撤退，留下一具巨大的中空木马，特洛伊守军不知是计，把木马运进城中作为战利品。夜深人静之际，木马腹中躲藏的希腊士兵打开城门，特洛伊沦陷。后人常用“特洛伊木马”这一典故，比喻在敌方营垒里埋下伏兵里应外合的活动。现在有的病毒伪装成一个实用工具、一个可爱的游戏、一个位图文件，甚至系统文件等，这会诱使用户在PC或者服务器上将其打开。这样的病毒也被称为“特洛伊木马（Trojan Wooden-horse）”，简称“木马”。 （1）原理 一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。植入对方计算机的是服务端，而黑客正是利用客户端进入运行了服务端的计算机。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码、实时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入计算机系统。 特洛伊木马程序不能自动操作，它是暗含在某些用户感兴趣的文档中，在用户下载时附带的。当用户运行文档程序时，特洛伊木马才会运行，信息或文档才会被破坏和丢失。 特洛伊木马和后门不一样，后门指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。 （2）启动与隐藏方式 ① 特洛伊木马程序经常采用如下启动方式。 ??在Win.ini中自启动； ??在System.ini中自启动； ??利用注册表加载运行； ??在Autoexec.bat和Config.sys中加载运行； ??在Winstart.bat中启动； ??在Windows启动组中启动； ??在*.ini文件中配置启动； ??捆绑文件启动。 ② 隐藏方式 ??在任务栏里隐藏； ??在任务管理器里隐藏； ??端口隐藏； ??通信隐藏； ??加载方式隐藏。 （3）特性 ① 不产生图标。 ② 自动运行性。 ③ 自动恢复功能。 ④ 自动打开端口功能。 （4）特洛伊木马的种类 破坏型 密码发送型 远程访问型 键盘记录型 Dos攻击型 代理木马 FTP木马 程序杀手木马 （5）措施 ① 审查并管理操作系统的端口。 ② 检查注册表中关键位置。 ③ 检查系统配置文件。 ④ 采用杀毒软件清除木马。 2．蠕虫病毒 蠕虫是一种能够利用系统漏洞通过网络进行自我传播的恶意程序。它利用网络进行复制和传播，传染途径是网络和电子邮件。蠕虫病毒是自包含的程序，它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中。 计算机蠕虫是一种独立的恶意软件计算机程序，它复制自身以便传播到其他计算机。 与计算机病毒不同，它不需要附加到现有的程序。蠕虫几乎总是对网络造成一些伤害，即使只是消耗带宽，而病毒几乎总是损坏或修改目标计算机上的文件。 （1）组成与入侵方法 蠕虫由两部分组成：一个主程序和一个引导程序。主程序一旦在计算机上建立就会去收集与当前计算机联网的其他计算机的信息。它能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用程序而做到这一点。随后，它尝试利用前面所描述的那些缺陷去在这些远程机器上建立其引导程序。 蠕虫程序常驻于一台或多台计算机中，并有自动重新定位（autoRelocation）的能力。如果它检测到网络中的某台计算机未被占用，它就把自身的一个拷贝（一个程序段）发送给那台计算机。每个程序段都能把自身的拷贝重新定位于另一台计算机中，并且能识别它占用的是哪台计算机。蠕虫侵入一台计算机后，首先获取其他计算机的IP地址，然后将自身副本发送给这些计算机。蠕虫病毒也使用存储在染毒计算机上的邮件客户