防病毒技术与防火墙的应用

单元二数据安全及病毒、木马的防范项目三防病毒技术与防火墙的应用教学目标1．理解防病毒技术与防火墙概念及相关技术；2．掌握利用系统功能实现病毒的防范或清除的设置；3．完成宏病毒、网页病毒及CodeBue病毒的制作和防范；4．熟练掌握瑞星防火墙的正确使用与配置。教学要求1．认真听讲，专心操作,操作规范，认真记录实验过程，总结操作经验和写好实验报告，在实验中培养严谨科学的实践操作习惯；2．遵守学校的实验室纪律，注意人身和设备的安全操作，爱护实验设备、及时上缴作业；3．教学环境：Windows7以及Windowsserver2003/2008以上操作系统。知识要点1．防病毒技术的概念、触发机制、判定及检测病毒存在的方法、病毒防治的策略；2．防火墙的概念、工作原理、功能、防火墙技术及实施方式。技术要点1．掌握利用系统功能实现病毒的防范或清除的设置；2．完成宏病毒、网页病毒及CodeBue病毒的制作和防范；3．熟练掌握瑞星防火墙的正确使用与配置。技能训练一．讲授与示范正确启动计算机，在最后一个磁盘上建立以学号为名的文件夹，从指定的共享文件夹中将“实习指导书”和其他内容复制到该文件夹中。(一)计算机病毒1．计算机病毒定义计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。2．计算机病毒触发机制1）时间触发包括特定的时间触发、染毒后累计工作时间触发、文件写入时间触发等。2）键盘触发包括击键次数触发、组合键触发、热启动触发等。3）感染触发包括运行感染文件个数触发、感染序数触发等。4）启动触发将机器的启动次数作为触发条件。5）访问磁盘次数触发将对磁盘访问的次数作为触发条件。6）调用中断功能触发将中断调用次数作为触发条件。7）CPU型号/主板型号触发以预定CPU型号/主板型号作为触发条件。3．病毒的隐藏之处1）可执行文件。2）引导扇区。3）表格和文档。4）Java小程序和ActiveX控件。5）压缩文件、电子邮件4．判断病毒的存在1）经常死机2）系统无法启动3）文件打不开4）经常报告内存不够5）提示硬盘空间不够6）光盘等设备未访问时出读写信号7）出现大量来历不明的文件8）数据丢失9）键盘或鼠标无端地锁死10)系统运行速度慢11)系统自动执行操作5.计算机病毒的防治及检测策略1）建立、健全法律和管理制度2）加强培训和宣传3）采取更有效的技术措施①系统安全：使用开机检测和扫描病毒应用程序或杀毒软件，或者防病毒卡和防病毒芯片。②软件过滤识别某一类特殊的病毒，防止它们进入系统和不断复制，主要用于大中型计算机。③文件加密利用数字签名完成加密，将其附加在可执行文件之后。④生产过程控制⑤备份恢复⑥其他有效措施a.重要的磁盘和重要的带后缀.COM和.EXE的文件赋予只读功能，避免病毒写到磁盘上或可执行文件中，或注意文件的长度；b.消灭传染源；c.建立程序的特征值档案；d.严格内存管理，进行内存检查（低端内存为640KB，内存标准655360B）；e.严格中断向量的管理；g.强化物理访问控制措施；f.一旦发现病毒蔓延，要采用可靠的杀毒软件和请有经验的专家处理，必要时需报告计算机安全监察部门，特别要注意不要使其继续扩散。4）网络计算机病毒的防治①在网络中，尽量多用无盘工作；②在网络中，要保证系统管理员有最高访问权限，避免过多的超级用户；③对非共享软件，将其执行文件和覆盖文件如*.COM、*.EXE、*.OVL等备份到文件服务器，定期从服务器上拷贝到本地硬盘上进行重写操作；④接收远程文件输入时，一定不要将文件直接写入本地硬盘，而应将远程输入文件写到工作站上，然后对其进行查毒，确认无毒后再拷贝到本地硬盘上；⑤工作站采用防病毒芯片，这样可防止引导型病毒；⑥正确设置文件属性，合理规范用户的访问权限；⑦建立健全的网络系统安全管理制度，严格操作规程和规章制度，定期作文件备份和病毒检测；⑧目前预防病毒最好的办法就是在计算机中安装防病毒软件，这和人体注射疫苗是同样的道理。采用优秀的网络防病毒软件，如LANProtect和LANClearforNetWare等；⑨为解决网络防病毒的要求，已出现了病毒防火墙，在局域网与Internet，用户与网络之间进行隔离。5）采用检测病毒方法①校验和法将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒；优点：方法简单能发现未知病毒、被查文件的细微变化也能发现；缺点：发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒；②行为监测法利用病毒的特有行为特征性来监测病毒的方法，行为特征如下：A.占有INT13H所有的引导型病毒，都攻击Boot扇区或主引导扇区。系统启动时，当Boot扇区或主引导扇区获得执行权时，系统刚刚开工。一般引导型病毒都会占用INT13H功能，因为其他系统功能未设置好，无法利用。引导型病毒占据INT13H功能，在其中放置病毒所需的代码。B.改系统的数据区的内存总量病毒常驻内存后，为了防止系统将其覆盖，必须修改系统内存总量。C.对COM、EXE文件做写入动作病毒要感染，必须写COM、EXE文件。D.病毒程序与宿主程序的切换染毒程序运行中，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。长处：可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法短处：可能误报警、不能识别病毒名称、实现时有一定难度。③移植检查法利用编码技术,在可执行程序前添加一段自我检查程序，如果发现中毒，则主动修复。特点：不认病毒，无需经常更新，不用备份缺点：移植（加载）检查段前，必须确定无毒增加可执行文件长度，减少可用空间，加长运行时间④病毒代码比较法特点：速度慢，误报警率低缺点：不能检查多态性病毒，不能对付隐藏性病毒⑤软件模拟法：主要针对多态性病毒：该工具开始运行时，使用特征代码法检测病毒，如发现隐蔽病毒或多态性病毒嫌疑时，启动软件模拟模块，监视病毒的运行，待病毒自身的密码译码以后，再运用特征代码法识别其种类。⑥先知扫描法（VICE）：是软件模拟后的一大技术突破：可以建立一个保护模式下的DOS虚拟机器，模拟CPU动作并假执行程序以解开变体引擎病毒，那么应用类似的技术也可以用来分析一般程序检查可疑的病毒码⑦实时I/O扫描：目的：用于即时对数据输入/输出动作做病毒码对比，希望在病毒尚未被执行前，能防堵下来。特点：文件传入就进行一次扫描缺点：影响数据的输入输出6．病毒清除不掉的因素问题：病毒清除不掉的原因(二)防火墙技术1．防火墙的定义防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间，并对经过它的网络流量进行检查的一系列部件的组合。防火墙实质上是一种隔离控制技术，其核心思想是在不安全的网络环境下构造一种相对安全的内部网络环境。病毒码库101101110011110000011110110101100110001110101010011101110111..................染染毒毒程程序序2．防火墙的工作原理防火墙是一种访问控制技术，位于可信和不可信网络之间，通过设置一系列安全规则对两个网络之间的通信进行控制，检测交换信息，防止对重要信息资源的非法存取和访问，以达到保护系统的目的。3．防火墙的功能防火墙由于处于网络边界的特殊位置，因而被设计集成了非常多的安全防护功能和网络连接管理功能。1）访问控制功能2）防止外部攻击功能3）NAT地址转换功能4）日志与报警功能5）身份认证功能4．防火墙的实现技术1）过滤技术2）应用代理技术3）状态检测技术5．防火墙的实施方式1）基于网络主机的防火墙一种是以现有的平台为基础，防火墙作为一个在商业操作系统上运行的应用程序。另一种是将防火墙整合成操作系统的一部分，这些系统通常并不具有商业操作系统的全部功能，其中所有防火墙不需要的功能都被删除了。2）基于路由器的防火墙基于路由器的防火墙设备有很强的包过滤功能，而且使用方便。在一些优化了的防火墙和路由器的体系结构中，路由器只执行简单的包检查功能，防火墙则对能够通过路由器的数据包进行检查。3）基于单个主机的防火墙基于单个主机的防火墙通常是安装在单个系统上的一种软件，只保护本系统不受侵害。4）硬件防火墙硬件防火墙是一种软硬件相结合的设备，是出于优化防火墙功能的目的而特意设计的，它对到达的网络流量进行检测以便决定是否转发该流量。(三)常见防病毒技术的使用任务1利用系统功能实现病毒防范或清除步聚：1．利用系统功能对病毒防范或清除1）利用BIOS设置防毒方法：开机按Del或F2进入主界面→BIOSFEATURESSETUP→Auti-VirusProtection→项设置为“EnABLED”开启防病功能→按F10再回车。2）根据进程名查杀病毒说明：主要针对有些很顽固性病毒不能结束掉其进程来清除方法：在“任务管理器”找到病毒进程名→开始→运行→taskkill/im进程名。3）根据进程号查杀病毒方法：开始→运行→tasklist→列出了所在进程的进程号PID。开始→运行→ntsd–cq–pPID，可强行杀死病毒4）巧用故障恢复控制台删除病毒方法：用XP安装光盘启动电脑，在安装界面中按“R”键选择修复安装，进入控制台，在命令提示符下运行“delc:\路径\病毒名”，即可删除病毒。5）清理U盘病毒”autorun”方法：资源管理器→工具→文件夹选项→查看→高级设置→显示所有文件和文件夹。打开U盘图标，找到autorun并打开，删除其相关联的病毒文件。6）清除“WAY”木马方法：打开任务管理器，结束CWAY进程，删除注册表启动项中的WAY键值项；在“文件夹选项”对话框中取消“隐藏受保护的操作系统文件”；进入C:\WINDOWS\system目录，找到msgsvc.exe并删除。7）设置Temp文件夹的权限防止病毒放侵要求：去掉Temp文件夹的文件的文件运行权限，防止木马运行方法：NTFS内TMEP→属性→安全→点击登录用户(administrator)→高级→查看/编辑→遍历文件夹/文件运行→勾取“拒绝”2．下载“补丁”防范或清除病毒1）给电脑打上“魔波”补丁方法：下载补丁(),安装重启计算机即可。2）利用专杀工具查杀“熊猫烧香”病毒方法：下载补丁()，运行下载的NimayaKiller.scr，然后在其主界面单击”杀毒”按钮即可进行查杀。3）清除“威金蠕虫”病毒方法：下载“威金病毒专杀工具”查杀机器中的病毒，下载补丁()，运行该工具，然后在其主界面单击”杀毒”按钮即可进行查杀。4）解除IE的分级审查口令方法：进入注册表，找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Ratings，若有一个名为key的主键，这是设置的分级审查口令，直接将它删除即可。任务2宏病毒、网页病毒及CodeBue病毒的制作和防范1．工作原理1）宏病毒利用一些数据处理系统内置宏编程指令的特性而形成的一种特殊病毒，主要依附于Word文件上的宏，利用Word的打开或关闭进执行内部宏命令代码，从而感染系统。2）网页病毒利用脚本开发语言将类似于VBScript代码添加到HTML页面中，编写Web应用程序时实现系统功能的应用，同时也可利用此功能制作具有特定功能的网页病毒。3）CodeBule蠕虫病毒“蓝