国家信息安全测评中心CISP培训.pptVIP

计算机病毒的分类 引导型病毒：主要通过感染软盘、硬盘上的引导扇区或改写磁盘分区表（FAT）来感染系统，引导型病毒是一种开机即可启动的病毒，优先于操作系统而存在。该病毒几乎常驻内存，激活时即可发作，破坏性大，早期的计算机病毒大多数属于这类病毒。 文件型病毒：它主要是以感染COM、EXE等可执行文件为主，被感染的可执行文件在执行的同时，病毒被加载并向其它正常的可执行文件传染。病毒以这些可执行文件为载体，当运行可执行文件时就可以激活病毒。 宏病毒：宏病毒是一种寄存于文档或模板的宏中的计算机病毒，是利用宏语言编写的。 病毒、蠕虫、木马、恶意网页原理 蠕虫病毒：蠕虫病毒与一般的计算机病毒不同，蠕虫病毒不需要将其自身附着到宿主程序上。蠕虫病毒主要通过网络传播，具有极强的自我复制能力、传播性和破坏性。 特洛伊木马型病毒：特洛伊木马型病毒实际上就是黑客程序。黑客程序一般不对计算机系统进行直接破坏，而是通过网络窃取国家、部门或个人宝贵的秘密信息，占用其它计算机系统资源等现象。 网页病毒：网页病毒一般也是使用脚本语言将有害代码直接写在网页上，当浏览网页时会立即破坏本地计算机系统，轻者修改或锁定主页，重者格式化硬盘，使你防不胜防。 混合型病毒：兼有上述计算机病毒特点的病毒统称为混合型病毒，所以它的破坏性更大，传染的机会也更多，杀毒也更加困难。 病毒、蠕虫、木马、恶意网页原理 计算机病毒的表现现象 时运行正常的计算机突然经常性无缘无故地死机。 运行速度明显变慢。 打印和通讯发生异常。 系统文件的时间、日期、大小发生变化。 磁盘空间迅速减少。 收到陌生人发来的电子邮件。 硬盘灯不断闪烁。 计算机不识别硬盘。 操作系统无法正常启动。 部分文档丢失或被破坏。 网络瘫痪。 病毒、蠕虫、木马、恶意网页原理 病毒、蠕虫、木马、恶意网页的原理 计算机病毒程序一般构成 1. 安装模块 病毒程序必须通过自身的程序实现自启动并安装到计算机系统中，不同类型的病毒程序会使用不同的安装方法。 2．传染模块 传染模块包括三部分内容： （1）传染控制部分。 （2）传染判断部分。 （3）传染操作部分。 3．破坏模块 破坏模块包括两部分：一是激发控制，当病毒满足一个条件,病毒就发作；另一个就是破坏操作，不同病毒有不同的操作方法，典型的恶性病毒是疯狂拷贝、删除文件等。 病毒、蠕虫、木马、恶意网页的原理 计算机病毒制作技术 1．脚本语言与ActiveX技术 新型计算机病毒却利用Java Script或VBScrip脚本语言和ActiveX技术直接将病毒写到网页上，完全不需要宿主程序。脚本语言和ActiveX的执行方式是把程序代码写在网页上，当连接到这个网站时，浏览器就会利用本地的计算机系统资源自动执行这些程序代码，使用者就会在毫无察觉的情况下，执行了一些来路不明的程序，遭到病毒的攻击。 UNIX发展历史和体系架构 UNIX发展历史和体系架构 Unix文件系统的权限 Jack$ ls –l a.txt - rwxr-xr-x 3 jack root 1024 Sep 13 11:58 a.txt 12345678910 1:目录或文件（文件类型）， －普通文件,b块文件,c字符设备，d目录，l符号链接 234:用户rwx（所有者许可） 567:组rwx （组许可） 8910:其他rwx （其他人许可） 3:链接数 jack：用户 Root：组 1024：字节数 Sep 13 11:58：最后修改时间 a.txt：名字 UNIX发展历史和体系架构 Chmod/chown/chgrp Suid：set-user-id，4000,使程序以所有者身份运行，而忽略实际执行该程序的用户身份。 Sgid:2000,使程序以所有者的组身份运行，而忽略实际执行该程序的用户的组。 UNIX常见应用服务及其安全 Unix安全特性 按照可信计算机评价标准(TCSEC)达到C2级 有控制的存取保护 访问控制 个人身份标识与认证 审计记录 操作的可靠性 UNIX常见应用服务及其安全 前期步骤 检查系统是否已被黑客侵入 1、终结非授权用户 （1）利用不同主机进入系统的用户 （2）UID相同的用户 2、找出并关闭非授权进程 3、查看日志文件，寻找黑客入侵活动的蛛丝马迹 4、检查系统文件是否完好无损 检查系统的稳定性和可用性 1、检查硬件操作是否正常 2、确保电源不会成为隐患 UNIX常见应用服务及其安全 循序渐进的系统强化流程 1、强化网络：禁用不必要的服务 2、安装防火墙和过滤器 3、强化软件的访问权限 4、做好迎接灾难准备 5、强化访问控制 6、强化数据存储 7、强化身份验证机制和用户帐号 8、强化软件运行环境 9、强