网络安全现状与常用的安全方法.pptx

网络安全现状与常用的安全方法天津理工大学网络与信息安全系王春东目 录一. 计算机病毒二. 网络安全现状三. 信息系统的安全风险四. 我们眼中的安全五. 常用的安全方法计算机病毒病毒：virus安全从病毒入手!1. 时间,地点时间：2004年4月29日地点：德国北部 罗滕堡镇沃芬森小村(Waffensen),人口仅920。 一幢红砖砌的两层楼，一座偏僻的小村子，掩映在德国北部平原无边无际的森林和玉米田里。 2. 人 物 斯万-贾斯查因(Sven Jaschan)，4月29日这一天是他18岁的生日 。 母亲叫维洛妮卡，开了一个门面不算大的以电脑维护修理为主的电脑服务部 。 几天前，为了庆祝他的生日，他在网上下载了一些代码。修改之后今天将它放到了Internet上面。3. 传 播 从5月1日这些代码开始在互联网上以一种“神不知鬼不觉”的特殊方式传遍全球。“中招”后，电脑开始反复自动关机、重启，网络资源基本上被程序消耗，运行极其缓慢 。4. 危 害这就是全球著名的“震荡波”(Worm.Sasser )蠕虫病毒。自“震荡波”5月1日开始传播以来，全球已有约1800万台电脑报告感染了这一病毒。 5月3日，“震荡波”病毒出现第一个发作高峰，当天先后出现了B、C、D三个变种，全国已有数以十万计的电脑感染了这一病毒。微软悬赏25万美元找原凶!“五一”长假后的第一天，“震荡波”病毒的第二个高峰果然汹涌而来。仅8日上午9时到10时的短短一个小时内，瑞星公司就接到用户的求助电话2815个，且30％为企业局域网用户，其中不乏大型企业局域网、机场、政府部门、银行等重要单位。9日，“震荡波”病毒疫情依然没有得到缓解。 五月份的第一个星期（也就是“震荡波”迅速传播的时候），微软公司德国总部的热线电话就从每周400个猛增到3．5万个 5. 游戏结束开始时，报道有俄罗斯人编写了这种病毒!5月7日，斯万-贾斯查因的同学为了25万元，将其告发。并被警察逮捕。为了清除和对付“我的末日”（MyDoom）和“贝果”（Bagle）等电脑病毒。谁知，在编写病毒程序的过程中，他设计出一种名为“网络天空A”（Net-sky）病毒变体。在朋友的鼓动下，他对“网络天空A”进行了改动，最后形成了现在的“震荡波”病毒程序。 反病毒专家!6. 病毒表现的特征 病毒是通过微软的最新高危漏洞-LSASS 漏洞(微软MS04-011 公告)进行传播的，危害性极大，目前 WINDOWS 2000/XP/Server 2003 等操作系统的用户都存在该漏洞，这些操作系统的用户只要一上网，就有可能受到该病毒的攻击。如果用户的电脑中出现下列现象之一，则表明已经中毒。6. 病毒表现的特征(1) (1). 出现系统错误对话框 被攻击的用户，如果病毒攻击失败，则用户的电脑会出现 LSA Shell 服务异常框，接着出现一分钟后重启计算机的“系统关机”框”。6. 病毒表现的特征(2) (2). 系统日志中出现相应记录 如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示，还可以通过查看系统日志的办法确定是否中毒。方法是，运行事件查看器程序，查看其中系统日志，如果出现如图所示的日志记录，则证明已经中毒.6. 病毒表现的特征(2) 3. 系统资源被大量占用 病毒如果攻击成功，则会占用大量系统资源，使CPU占用率达到100%，出现电脑运行异常缓慢的现象。6. 病毒表现的特征(2)4. 内存中出现名为avserve的进程 病毒如果攻击成功，会在内存中产生名为 avserve.exe 的进程，用户可以用Ctrl+Shift+Esc 的方式调用“任务管理器”，然后查看是内存里是否存在上述病毒进程。6. 病毒表现的特征(2)五、系统目录中出现名为avserve.exe的病毒文件 　病毒如果攻击成功，会在系统安装目录（默认为C:\WINNT）下产生一个名为avserve.exe的病毒文件。 六、注册表中出现病毒键值 　病毒如果攻击成功，会在注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中建立病毒键值：avserve.exe=%WINDOWS%\avserve.exe。7. 病毒的运行过程(1)该病毒利用了Windows LSASS的一个已知漏洞(MS04-011)，这是一个缓冲溢出漏洞，后果是使远程攻击者完全控制受感染系统。感染系统：WinNT/Win2000/WinXP/Win2003病毒长度：15872字节 1、生成病毒文件病毒运行后，在%Windows％目录下生成自身的拷贝，名称为avserve.exe，文件长度为15872字节，和在%System%目录下生成其它病毒