网络管理与信息安全.ppt

网络管理与信息安全
第1页，本讲稿共22页
计算机病毒的历史
1983年11月3日，弗雷德·科恩（Fred Cohen）博士研制出一种在运行过程中可以复制自身的破坏性程序，伦·艾德勒曼（Len Adleman）将型病毒感染原理
引导型病毒通过执行启动计算机的动作作为感染的途径。一般正常软盘启动动作为：开机、执行BIOS、读入BOOT程序执行和加载DOS。
假定某张启动软盘已经了感染病毒，那么该软盘上的BOOT扇区将存放着病毒程序，而不是BOOT 程序。所以，“读入BOOT程序并执行”将变成“读入病毒程序并执行”，等到病毒入侵内存后，等到病毒入侵内存后，再由病毒程序读入原始BOOT程序，既然病毒DOS先一步进入内存中，自然在DOS下的所有读写动作将受到病毒控制。所以，当使用者只要对另一张干净的软盘进行读写，驻在内存中的病毒可以感染这张软盘。
第8页，本讲稿共22页
病毒概述
若启动盘是硬盘。因硬盘多了一个分区表，分区表位于硬盘的第0面第0道第1扇区。当在“读入BOOT程序并执行”之前是“读入分区表并执行”，比软盘启动多了一道手续。所以和感染软盘不同的地方是病毒不但可以感染硬盘的BOOT扇区还可以感染硬盘的分区表。
感染BOOT扇区是在“读入分区表并执行”之后，“读入BOOT程序并执行”之前“读入病毒程序并执行”。感染分区表是在“读入病毒程序并执行”之后，“读入分区表并执行”之前“读入BOOT程序并执行”。
　不管是软盘还是硬盘，引导型病毒一定比DOS早一步进入内存中，并控制读写动作，伺机感染其他未感染病毒的磁盘。
第9页，本讲稿共22页
病毒概述
文件型病毒感染原理
对非常驻型病毒而言，只要一执行中毒的程序文件，病毒便立即寻找磁盘中尚未感染病毒的文件，若找到了便加以感染。一般而言，，病毒替换它的第一条指令；，病毒改变入口指针。
而常驻型病毒必须常驻内存，才能达到感染其他文件的目的。在每一个程序文件在执行时，都会调用INT 21H中断命令，所以病毒必须拦截INT 21H的调用，使其先通过病毒的程序，再去执行真正的INT 21H服务程序。这样，每个要被执行的程序文件都要先通过病毒“检查”是否已中毒，若未中毒则病毒感染该文件。
复合型病毒感染原理
就启动动作来说，假设以感染复合型病毒的磁盘启动，那么病毒便先潜入内存中，伺机感染其他未中毒的磁盘，而当DOS载入内存后，病毒再拦截INT 21H已达到感染文件的目的。
第10页，本讲稿共22页
病毒概述
6. 病毒的网络威胁
工作站受到的威胁。病毒对网络工作站的攻击途径主要包括：利用软盘读写进行传播、通过网络共享进行攻击、通过电子邮件系统进行攻击、通过FTP下载进行攻击和通过WWW浏览进行攻击。
服务器受到的威胁。网络操作系统一般都采用Windows NT/2000 Server和少量 Unix/Linux，而Unix/Linux本身的计算机病毒的流行报告几乎很少。但到目前为止感染Windows NT系统的病毒已有一定数量。
Web站点受到的威胁。一般Web站点，用户访问量很大，目前能通过WEB站点传播的病毒只有脚本蠕虫、一些恶意Java代码和ActiveX。
第11页，本讲稿共22页
宏病毒
1. 宏病毒的传染原理
每个Word文本对应一个模板，而且对文本进行操作时，如打开、关闭文件等，都执行了相应模板中的宏程序，由此可知：
当打开一个带病毒模板后，该模板可以通过执行其中的宏程序，如AutoOpen、AutoExit等将自身所携带病毒程序拷贝到Word系统中的通用模板上，。
若使用带病毒模板对文件进行操作时，如存盘FileSave等，可以将该文本文件重新存盘为带毒模板文件，即由原来不带宏程序的纯文本文件转换为带病毒的模板文件。
上述两步循环就构成了病毒的基本传染原理。
第12页，本讲稿共22页
宏病毒
2. 宏病毒的危害
Word宏病毒几乎是唯一可跨越不同硬件平台而生存、传染和流行的一类病毒。，Word宏病毒具有隐蔽性强，传播迅速，危害严重，难以防治等特点。具体表现为:
对Word的运行破坏。不能正常打印、封闭或改变文件存储路径、将文件改名等。
对系统的破坏。Word Basic语言能够调用系统命令，这将造成破坏。
第13页，本讲稿共22页
宏病毒
3. 宏病毒的预防与清除
为了有效防止Word系统被感染，可将常用的Word模板文件改为只读属性。当文件被感染后，应及时加以清除，以防其进一步扩散和复制。通常可采取以