大连理工大学(城市学院)网络安全技术期末知识点第五章.docVIP

第五章：病毒技术 我国计算机用户病毒感染情况 恶意代码造成的经济损失 计算机病毒定义 什么是计算机病毒 人为编制的计算机程序 干扰计算机正常运行并造成计算机软硬件故障 破坏计算机数据 可自我复制 计算机病毒特点 非授权执行性 并不是管理员赋予的许可 隐蔽性 伪装自身 逃避防病毒系统的检查 传染性 自身不断繁殖并传染给其他计算机 计算机病毒的特点 潜伏性 长期隐藏在系统中 特定条件下启动 破坏性 破坏数据或删除文件 可触发性 被激活的计算机病毒才能破坏计算机系统 计算机病毒分类 计算机病毒的发展 网络成为病毒传播主要载体 恶意网页、木马修改注册表 网络蠕虫成为最主要和破坏力最大的病毒类型 跨操作系统的病毒 病毒向通讯领域侵入 病毒的防范 提高安全意识 不要打开陌生人的邮件附件 不随便共享文件 不从不受信任的网站下载软件 定期升级操作系统安全补丁 安装网络防病毒系统 主流防病毒系统 2007年十大病毒排名 1、帕虫（Worm.Pabug；金山：AV终结者；江民：U盘寄生虫） 2、威金蠕虫（Worm.Viking） 3、熊猫烧香（Worm.Nimaya；又称尼姆亚） 4、网游窃贼（Trojan.PSW.OnlineGames） 5、QQ通行证（Trojan.PSW.QQPass） 6、ARP病毒（多个病毒均具有ARP攻击行为，通称为ARP病毒） 7、征途木马（Trojan.PSW.ZhengTu） 8、MSN相片（Worm.Mail.Photocheat.A） 9、梅勒斯（Trojan.DL.Mnless） 10、灰鸽子（Backdoor.Gpigeon) 特洛伊木马 Trojan Horse的定义是“隐藏在其他程序中的安全破坏(Security～breaking)程序，如地址清单、压缩文件或游戏程序中”。 1.木马的特点 1有效性 2隐蔽性 3顽固性 4易植入性 木马的功能 1对对方资源进行管理。 2远程运行程序。 3跟踪监视对方屏幕。 4直接屏幕鼠标控制，键盘输入控制。 5监视对方任务并终止对方任务。 6锁定鼠标、键盘、屏幕。 7远程重新启动计算机、关机。 8记录、监视按键顺序、系统信息等一切操作。 9随意修改注册表。 10共享被控制端的硬盘。 木马分类 （1）根据木马程序对计算机的具体动作方式分类：远程控制型、密码发送型、键盘记录型、毁坏型、FTP型。 （2）根据木马的网络连接方向分类：正向连接型、反向连接型。 （3）根据木马使用的架构分类：C/S架构、B/S架构 蠕虫 蠕虫这个生物学名词在1982年由Xerox PARC的John F Shoch等人最早引入计算机领域，并给出了计算机蠕虫的两个最基本特征：“可以从一台计算机移动到另一台计算机”和“可以自我复制”。 技术角度的定义，“计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上。” 蠕虫的结构 蠕虫的工作流程 一个蠕虫的攻击流程通常包括感染、传播和执行负载三个阶段。 网络病毒传播途径及原理 蠕虫的感染方式 蠕虫的行为特征 主动攻击 行踪隐蔽 利用系统、网络应用服务漏洞，防不胜防。 造成网络拥塞 降低系统性能 产生安全隐患 反复性 破坏性 恶意蠕虫的典范-尼姆达Nimda 1、概念： 一种新型的恶意蠕虫“Nimda”（又称“概念病毒(CV)”）。影响所有未安装补丁的Windows系统，破坏力极大。 2、传播途径： 通过email邮件传播。 通过网络共享传播 通过主动扫描并攻击未打补丁的IIS服务器传播 通过浏览被篡改网页传播 3、危害: 产生大量的垃圾邮件 用蠕虫副本替换系统文件,可能影响word,frontpage等软件正常工作 严重降低系统以及网络性能 创建开放共享，大大降低了系统的安全性 将Guest帐号赋予管理员权限，降低了系统的安全性 僵尸网络 僵尸网络（botnet）是在网络蠕虫、特洛伊木马、后门工具等传统恶意代码形态的基础上发展融合而产生的一种新型攻击方式。它是指攻击者利用网络搭建的可以集中控制、可以相互通信的计算机机群，可以由黑客控制而发起大规模的攻击，同时这些僵尸计算机所保存的信息也都可被黑客随意“取用”。 僵尸网络的危害 1二次本地感染 2窃取资源 3发起新的蠕虫攻击 4分布式拒绝服务攻击 5发送垃圾邮件 6存放主机非法数据 7出售或租借 僵尸网络攻击流程 僵尸网络由一组受感染的主机（僵尸主机）组成，并且这些受感染的主机全受控于攻击者（botmaster）。botnet通常通过已经受感染的僵尸主机远程地寻找其他主机的漏洞，并且利用该漏洞感染该主机，使其成为新的僵尸主机。感染的途径可以是使用蠕虫或者是电子