第2章信息系统安全防范技术.pptVIP

　对计算机病毒的错误认识 1.　“将文件改为只读方式可免受病毒的感染” 2.“病毒能感染处于写保护状态的磁盘” 3.　“反病毒软件能够清除所有已知病毒” 4.“使用杀毒软件可以免受病毒的侵扰” 5.“磁盘文件损坏多为病毒所为” 6.“如果做备份的时候,备份了病毒,那么这些备份是无用的” 7.“反病毒软件可以随时随地防护任何病毒” 8.“病毒不感染数据文件” 2.2.2 特洛伊木马病毒 特洛伊木马的概念 特洛伊木马是一个包含在合法程序中的非法程序。该非法程序在用户不知情的情况下执行。其名称源于古希腊的特洛伊木马神话，传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马“丢弃”于特洛伊城外，让敌人将其作为占利品拖入城内。木马内的士兵乘夜晚敌人庆祝胜利而放松警惕的时候从木马中出来，与城外的同伙里应外合而攻下了特洛伊城。 特洛伊木马的隐藏方式 （1）在任务栏里隐藏 （2）在任务管理器中隐藏 （3）端口 （4）隐藏通信 （5）隐藏加载方式 （6）最新的隐身技术 特洛伊木马的工作原理 一个特洛伊木马对计算机系统进行入侵通常经过如下几个步骤： （1）木马服务器端程序的植入。 （2）木马将入侵主机信息发送给攻击者（客户端）。 （3）木马程序启动并发挥作用 特洛伊木马要能发挥作用必须具备以下三个因素： （1）木马需要一种启动方式，一般必须随着系统的启动而自动启动。 （2）木马需要在内存中才能发挥作用。 （3）木马会打开特别的端口，以便黑客通过这个端口和木马联系。 特洛伊木马的隐藏方式 基于Windows的木马程序一般采用启动时自动加载应用程序的方法存在，主要包括以下几种： （1）Win.ini:run=、load=项目中的程序名。 （2）System.ini:Shell=Explorer.exe项后的程序名。 （3）注册表：run项中的程序 特洛伊木马的特性 （1）隐藏性 （2）自动运行性 （3）功能的特殊性 （4）自动恢复功能 （5）能自动打开特别的端口 特洛伊木马的种类 （1）破坏型特洛伊木马 （2）密码发送型特洛伊木马 （3）远程访问型特洛伊木马 （4）键盘记录型特洛伊木马 特洛伊木马的入侵 （1）集成到程序中 （2）隐藏在配置文件中 （3）潜伏在Win.ini中 （4）伪装在普通文件中 （5）内置到注册表中 （6）在System.ini中藏身 （7）隐形于启动组中 （8）隐蔽在Winstart.bat中 （9）捆绑在启动文件中 2.2.3　计算机病毒的防范技术 　单机计算机病毒的防范技术 Windows 95/98/NT/2000引入了很多非常有用的特性,充分利用这些特性将能极大地增强软件的应用性和便利性。应该注意的是,尽管Windows 95/98/NT/2000平台具备了某些抵御计算机病毒的天然特性,但还是未能完全摆脱计算机病毒的威胁。单机防范计算机病毒,一是要在思想上重视、管理上到位,二是要依靠防杀计算机病毒软件。 .1　主要的防护工作 (1)检查BIOS设置,将引导次序改为硬盘先启动。 (2)关闭BIOS中的软件升级支持,如果是底板上有跳线的,应该将跳线跳接到不允许更新BIOS。 (3)用DOS平台防杀计算机病毒软件检查系统,确保没有计算机病毒存在。 (4)安装较新的正式版本的防杀计算机病毒软件,并经常升级。 (5)经常更新计算机病毒特征代码库。 (6)备份系统中重要的数据和文件。 (7)在Word中将“宏病毒防护”选项打开,并打开“提示保存Normal模板”,退出Word,然后将Normal.doc文件的属性改成只读。 (8)在Excel和PowerPoint中将“宏病毒防护”选项打开。 (9)若要使用Outlook/Outlook Express收发电子邮件,应关闭信件预览功能。 (10)对外来的软盘、光盘和网上下载的软件等都应该先进行查杀计算机病毒,然后再使用。 (11)经常备份用户数据。 (12)启用防杀计算机病毒软件的实时监控功能。 .2　选择一个功能完善的单机版计算机防杀病毒软件 一个功能较完备的单机版防杀计算机病毒软件应能满足下面的要求: (1)拥有计算机病毒检测扫描器。 (2)具有实时监控功能。 (3)可对未知计算机病毒进行检测。 (4)能进行压缩文件内部检测。 (5)能进行文件下载监视。 (6)具有计算机病毒清除能力。 (7)支持计算机病毒特征代码库升级。 (8)