搜索
《网络安全技术》教案(第6章)《网络安全技术》教案(第6章)教学内容第6章计算机病毒防范技术教材章节6.1~6.3教学周次第13周教学课时2授课对象计算机科学与技术教学环境多媒体教室教学目标了解病毒的工作原理;掌握病毒的检测及消除方法;了解病毒的防范措施;熟练掌握病毒的防范软件。教学内容1.病毒概述(包括:概念、特征、分类、结构等)。2.病毒工作原理。3.病毒的清除与防范。教学重点1.病毒的检测与清除。2.病毒的防范措施。教学难点病毒的工作原理,手动清除病毒。教学过程本章分1次讲述,共2学时,讲授思路和过程如下:1.详细分析第1次课提到的震荡波病毒的传播过程、发作症状、表现形式、表现特征、清除建议等,引出病毒问题。2.介绍病毒的概念、一般特征,分类、结构等。3.介绍病毒的工作原理。4.介绍病毒发作前、中、后的主要症状,应引起学生对计算机使用状态的重视。5.介绍病毒的检测与清除。强调手工清除的重要性。6.重点介绍病毒的防范措施。作业与要求作业内容:1.P218,1、2、5、6、9、10题。2.进行实验15准备。要求:1.记录实验过程和结果。2.撰写并提交实验报告。备注本提交文档内容与次序与实际讲课内容与次序有不一致的地方。6.1计算机病毒的概念第6章计算机病毒防范技术用第一次课提到的“震荡波”(Worm.Sasser)蠕虫病毒,说明研究病毒的几个问题。产生:“震荡波”病毒是由斯万在他18岁生日的前几天编制出来的。说是编制,实际上是他为了清除和对付“我的末日”(MyDoom)和“贝果”(Bagle)等电脑病毒。但在编写病毒程序的过程中,他又设计出一种名为“网络天空A”(Net-sky)病毒变体。在朋友的鼓动下,他对“网络天空A”进行了改动,最后形成了现在的“震荡波”病毒程序。传播:这个病毒在从5月1日这些代码开始在互联网上以一种“神不知鬼不觉”的特殊方式传遍全球。“中招”后,电脑开始反复自动关机、重启,网络资源基本上被程序消耗,运行极其缓慢。最后微软悬赏25万美元找原凶!那这种病毒的主要特征除了会出现“系统关机”框以外,还有这样一些特征:通过事件查看器可以看到系统日志中出现的相应记录;通过任务管理器查看系统资源占用情况(可能有大批资源会占用),出现电脑运行异常缓慢的现象;在有就是在内存中会出现名为avserve的进程;系统目录中出现名为avserve.exe的病毒文件;注册表中也会出现病毒键值。问题:对于这样的病毒,应该怎么办?第一步是安全模式启动,重新启动系统同时按下按F8键,进入系统安全模式;第二步是注册表的恢复;第三步是删除病毒释放的文件;第四步是安装系统补丁程序最后一步是重新配置防火墙,或关闭TCP端口5554和9996。说到补丁程序,是否有同学知道这星期微软件发布了几个安全被丁?6个安全补丁,其中5个为严重,1个为重要。补丁在网络安全防护中非常重要。计算机病毒是恶意程序的一种。所谓恶意程序,是指一类特殊的程序,它们通常在用户不知晓也未授权的情况下潜入到计算机系统中来。恶意程序可以分为许多类型。如下图所示。当然还有细菌、逻辑炸弹、陷门等。蠕虫是一种通过网络自我复制的恶意程序。通常人们也把它称为病毒的一种。因为,蠕虫一旦被激活,可以表现得像病毒,可以向系统注入特洛伊木马,或进行任何次数的破坏或毁灭行动。典型的蠕虫只会在内存维持一个活动副本。此外,蠕虫是一个独立程序,自身不改变任何其他程序,但可以携带具有改变其他程序的病毒。(在介绍到蠕虫时提:像尼姆达病毒就是一种蠕虫病毒。还有是否有同学知道现在最猖獗的蠕虫病毒是什么?)(从2005年5月19日首次出现至今,该病毒目前已有188个变种,“威金”病毒主要通过网络《网络安全技术》教案(第6章)共享传播,病毒会感染电脑中所有的.EXE可执行文件,传播速度十分迅速。病毒新变种还会自动从网站下载“天堂杀手”以及“QQ大盗(QQpass)”等10余种木马病毒,企图盗取包括天堂、征途、梦幻西游、传奇等多种流行网游以及QQ的帐号、密码等。)计算机病毒是所有计算机用户在计算机安全问题上,经常碰到的问题。在1999年SecurityPoral的报告中,排在计算机安全问题第一位的是计算机病毒事件,其次是与计算机病毒关系极为密切的黑客问题。所以本章要介绍病毒的特点及其防治。6.1计算机病毒的概念我们都知道,计算机的灵魂是程序。正是建立在微电子载体上的程序,才将计算机延伸到了人类社会的各个领域。“成也萧何,败也萧何”,人的智慧可以创造人类文明,也可以破坏人类已经创造的文明。随着计算机系统设计技术向社会各个领域急剧扩展,人们开发出了将人类带入信息时代的计算机程序的同时,也开发出了给计算机系统带来副作用的计算机病毒程序。6.1.1计算机病毒的定义在生物学界,病毒是一类没有细胞结构但有遗传、复制等生命特征,主要由核酸和蛋白质组成的有机体。计算机病毒与其非常相似。所谓计算机病毒是指一种能够通过自身复制传染,起破坏作用的计算机程序。在这个定义中强调了计算机病毒程序的三个基本要素:即程序性、传染性和破坏性。这些也恰恰是计算机病毒的特征。6.1.2计算机病毒的特征计算机病毒有一些与生物界中的病毒极为相似的特征,主要有:1.传染性和衍生性病毒也是一种程序,它与其他程序的显著不同之处,就是它的传染性。与生物界中的病毒可以从一个生物体传播到另一个生物一样,计算机病毒可以借助各种渠道从已经感染的计算机系统扩散到其他计算机系统。20世纪60年代初,美国贝尔实验室里,三个年轻的程序员编写了一个名为“磁芯大战”的游戏中通过复制自身来摆脱对方的控制,这就是计算机“病毒”的雏形。1983年美国计算机专家弗雷德·科恩博士研制出一种在运行过程中可以自我复制的具有破坏性的程序,并在同年11月召开的国际计算机安全学术研讨会,首次将病毒程序在VAX/750计算机上进行了实验。世界上第1个病毒就这样出生在实验室中。20世纪80年代初,计算机病毒(如巴基斯坦智囊病毒)主要感染软盘的引导区。20世纪80年代末,出现了感染硬盘的病毒(如大麻病毒)。20世纪90年代初,出现了感染文件的病毒(如黑色13号星期五病毒)。接着出现了引导区和文件型“双料”病毒,既感染硬盘引导区又感染可执行文件。20世纪90年代中期,称为“病毒生产机”的软件开始出现,使病毒的传播不再是简单的自我复制,而是可以自动、轻易地自动生产出大量的“同族”新病毒。这些病毒代码长度各不相同,自我加密、6.1计算机病毒的概念解密的密钥也不相同,原文件头重要参数的保存地址不同,病毒的发作条件和现象也不同。1995年大量具有相同“遗传基因”的“同族”病毒的涌现,标志着“病毒生产机”软件已出现。目前国际上已有上百种“病毒生产机”软件。这种“病毒生产机”软件不用绞尽脑汁地去编程序,便可以轻易地自动生产出大量的“同族”新病毒。这些病毒代码长度各不相同,自我加密、解密的密钥也不相同,原文件头重要参数的保存地址不同,病毒的发作条件和现象也不同,但主体构造和原理基本相同。这就是病毒衍生性。2.潜伏性和隐蔽性计算机病毒通常是由技术高超者编写的比较完美的、精巧严谨、短小精悍程序。通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。目的是不被发现它的存在。如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。而且受到传染后,计算机系统通常仍能正常运行,不会感到任何异常。正是由于隐蔽性,计算机病毒得以在没有察觉的情况下扩散到上百万台计算机中。大部分的病毒的代码之所以设计得非常短小,也是为了隐藏。病毒转瞬之间便可将这短短的几百字节附着到正常程序之中,使人非常不易察觉。大部分病毒在感染系统后一般不会马上发作,它可长期隐藏在系统中,除了传染外,不表现出破坏性,这样的状态可能保持几天,几个月甚至几年,只有在满足其特定条件后才启动其表现模块,显示发作信息或进行系统破坏。使计算机病毒发作的触发条件主要有以下3种。(1)利用系统时钟提供的时间作为触发器。(2)利用病毒体自带的计数器作为触发器。(3)利用计算机内执行的某些特定操作作为触发器。3.欺骗性和持久性每个计算机病毒都有特洛伊木马的特点,用欺骗手段寄生在其文件上,一旦这种文件被加载,就发生问题。即使在病毒程序被发现以后,数据和程序以至操作系统的恢复都非常困难。特别是在网络操作情况下,由于病毒程序由一个受感染的拷贝通过反复传播,使得病毒程序的消除非常复杂。4.触发性和破坏性触发性是指计算机病毒的发作一般都有一个激发条件,即一个条件控制。这个条件根据病毒编制者的要求可以是日期、时间、特定程序的运行或程序的运行次数等。另外,计算机病毒的设计者进行病毒程序设计的目的就是为了攻击破坏。任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。计算机病毒的破坏性多种多样。若按破坏性粗略分类,可以分为良性病毒和恶性病毒。恶性病毒是指在代码中包含有损伤、破坏计算机系统的操作,在其传染或发作时会对系统直接造成严重损坏。良性病毒是指不包含立即直接破坏的代码,只是为了表现其存在或为说明某些事件而存在。但是这类病毒的潜在破坏还是有的,它使内存空间减少,占用磁盘空间,降低系统运行效率,使某些程序不能运行,它还与操作系统和应用程序争抢CPU的控制权,严重时导致系统死《网络安全技术》教案(第6章)机、网络瘫痪。一般表现在占用CPU资源、干扰系统运行、攻击CMOS、攻击系统数据区、攻击文件、干扰外部设备运行等等。6.1.3计算机病毒的分类1.系统引导病毒以硬盘和软盘的非文件区域(系统区域)为感染对象。引导型病毒会去改写磁盘上的引导扇区(BOOTSECTOR)的内容,软盘或硬盘都有可能感染病毒。再不然就是改写硬盘上的分区表(FAT)。如果用已感染病毒的软盘来启动的话,则会感染硬盘。常见的引导型病毒有:大麻(Stoned)、2708、INT60病毒、Brain、小球病毒等。2.文件型病毒文件型病毒是指感染文件、并能通过被感染的文件进行传染扩散的计算机病毒。被感染的文件分为可执行文件类和文本文件类。文件型的病毒文件型病毒主要以感染文件扩展名为.COM、.EXE和.OVL等可执行程序为主。它的安装必须借助于病毒的载体程序,即要运行病毒的载体程序,方能把文件型病毒引人内存。已感染病毒的文件执行速度会减缓,甚至完全无法执行。有些文件遭感染后,一执行就会遭到删除。典型文件型病毒有:ONEHALF、NATAS、3783、FLIP。3.复合型病毒具有引导型病毒和文件型病毒寄生方式的计算机病毒称作复合型病毒,典型的复合型病毒有尼姆达、SQLSlammer、口令蠕虫与冲击波病毒。4.宏病毒宏病毒一般是指用VisualBasic书写的病毒程序,是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。由于被感染文件通常会通过网络共享或下载,因此宏病毒的传播速度相当惊人。典型的宏病毒有Word宏病毒和Excel宏病毒。5.特洛伊木马型程序木马本身并不会自我复制,被广义归类成病毒。木马病毒是指在用户的机器里运行服务端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序的控制端,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。6.网络蠕虫病毒蠕虫是一种通过网络传播的病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,对网络造成拒绝服务,以及和黑客技术相结合等等。在产生的破坏性上,网络的发展使得蠕虫可以在短短的时间内蔓延世界,造成网络瘫痪。事实上,随着病毒的不断发展,综合型的病毒已比较常见,已不易明确分类。计算机病毒分类6.2计算机病毒的工作原理6.1.4计算机病毒的结构计算机病毒的种类很多