网络与信息安全PPT课件

《网络与信息安全PPT课件》由会员分享，可在线阅读，更多相关《网络与信息安全PPT课件（72页珍藏版）》请在装配图网上搜索。

1、网络与信息安全应用安全：Web安全、Mail安全、病毒潘爱民，北京大学计算机研究所http:/ 容nWeb SecurityqWeb会话和cookieqServer-side securityqClient-side securitynMail SecurityqS/MIMEqPGPn病毒q分析几个病毒的原理Web结构nclient/server结构，属于瘦客户类型的qBrowser/Server,客户为浏览器，服务器为Web Serverq通常是多层(或三层)结构中的第一层q在Web应用中，Web Server后面常常与数据库打交道nB/S之间的通讯协议：HTTPqHTTP位于TCP之上，默

2、认的端口为80q客户发出对页面的请求，服务器送回这些页面n动态页面和静态页面qWeb页面的表述和交互能力n各种标记、超链接，n交互功能：表单、脚本n交互能力的扩展：Java Applet,ActiveX,Web安全性n协议本身的安全性支持q身份认证：Basic Authentication,Digest Access Authenticationq保密性：TLS(Transport Layer Security)n实现上的安全性q服务器端安全性nWeb pages的访问控制机制n可用性：防止拒绝服务n抵御各种网络攻击q客户端安全性n个人信息的保护n防止执行恶意代码qWeb Proxy Serv

3、ernMan-In-The-MiddleWeb认证nBasic Authentication RFC 2617q口令直接明文传输q隐患：sniffer、中间代理、假冒的服务器nDigest Access Authentication RFC 2617qChallenge-Response,不传输口令q重放攻击、中间人攻击q服务器端的口令管理策略nTLS，基于PKI的认证q单向或者双向的身份认证q要求服务器提供证书，客户端证书可选q同时也可以提供保密性服务n一种双向认证模式q单向TLS认证+客户提供名字/口令nMicrosoft passportTLS回顾协议栈记录协议握手协议Web会话n从TC

4、P到HTTP层缺少直接的会话层支持nWeb会话支持qHTTP 1.1增加了Persistent Connections支持，但是不能用于提供Web会话的功能n目前使用的会话技术qCookie，用cookie作为permit ticketq用url记录会话q用表单中的隐藏元素记录会话n会话安全：劫持一个Web会话q建立会话可能需要验证用户的信息认证q一旦会话被劫持，则Web用户的安全性不复存在q安全性涉及到n客户如何提供会话建立所需要的信息，以及会话标识信息n服务器如何管理会话Cookie技术nCookie通常是少量的与状态有关的信息，它是服务器保存在客户端的信息nCookie的动机q客户在浏览

5、多个页面的时候，提供事务(transaction)的功能，为服务器提供状态管理n比如说，可以针对每个用户实现购物篮n实现授权策略，客户不用为每个页面输入“用户名/口令”q但是，实际上，cookie很容易被滥用n在提供个性化服务的时候，往往要收集一些涉及隐私的信息n每个cookie都有一定的URL范围q客户发送这个范围内的URL请求都要提供这个cookieCookie规范nSet-cookie语法，在HTTP应答头中qSet-Cookie:NAME=VALUE;expires=DATE;path=PATH;domain=DOMAIN_NAME;secure q例如：Set-Cookie:CUST

6、OMER=WILE_E_COYOTE;path=/;expires=Wednesday,09-Nov-99 23:12:40 GMT nCookie语法，在HTTP请求头中qCookie:NAME1=OPAQUE_STRING1;NAME2=OPAQUE_STRING2.q例如：Cookie:CUSTOMER=WILE_E_COYOTE 利用cookie完成一个transaction顾客名字购物篮购物方法Cookie被滥用nCookies中往往会记录一些涉及用户隐私的信息，比如用户的名字，email地址等n如果客户关闭了cookie的功能，则许多网站的功能不能正常工作nCookie被滥用的一个

7、例子qDoubleClick公司案例n利用cookie来收集个人的喜好n为广告客户提供广告发布服务q个人喜好信息不能被滥用n有些国家规定这些信息不能被公开，或者被销售等Web服务器端安全性n服务器发布信息，提供服务q静态信息，各种HTML页面q动态信息，利用脚本或者各种扩展引擎响应客户的请求n安全性q目录安全性n只有指定范围的文件才可以被访问q例如，禁止URL中出现“.”nCgi文件的安全性，此目录禁止通过Web读写q检查每一个cgi文件，不要保留有漏洞的cgi文件，特别是系统预装的一些cgi示例文件，这些文件往往为了说明功能，而忽略了安全性的考虑q要求认证：由于协商的原因，要注意安全性最低的

8、认证协议q授权机制：保护好口令的安全存储，以及客户信息的保存q日志：打开系统中对于Web服务的日志功能，以及Web服务的日志记录针对Web Server的常见攻击n从Web服务中获取信息qWeb页面中的注解信息，或者一些扩展特性q返回的应答头有时也会暴露信息n针对Web Server的各种攻击手法q比如说IIS的UNICODE漏洞q有些脚本代码或者cgi程序的漏洞q缓冲区溢出q输入验证攻击q拒绝服务攻击服务器端的安全防护n有些应用使用SSL/TLS，为Web Service申请一个证书nWeb Server往往是网络攻击的入口点q为了提供Web Service，必须要开放端口和一些目录，还要接

9、受各种正常的连接请求q防火墙对Web Server的保护是有限的n为了安全，请q及时打上Web Server软件厂商提供的补丁程序n特别是一些主流的服务软件，比如MS的IISq控制目录和文件的权限qWeb应用开发人员注意n在服务端的运行代码中，对于来自客户端的输入一定要进行验证n防止缓冲区溢出Web Server Log File FormatnCommon Log Format nExtended Common Log Format remotehost rfc931 authuser date request status bytes 151.99.190.27-01/Jan/1997:1

10、3:07:21-0600 GET/bacuslab/celsheet.html HTTP/1.0 200 13276 remotehost rfc931 authuser date request status bytes referer user_agent -jvb 01/Jan/1997:12:57:45-0600 GET/bacuslab/HTTP/1.0 304 0 http:/ Server实现的版本收集到的信息会更多，甚至包括email地址n你每天收到烦人的垃圾邮件吗？Web客户端的安全性n客户端安全性涉及到qCookie的设置，保护用户的隐私qPKI设置，确定哪些是可信任的CA

11、q对可执行代码的限制，包括JavaApplet，ActiveX controlq如果你的机器是多个人合用的，则nWeb页面的缓存区域，将会留下用户最近访问过的页面n历史记录n口令自动保存和提示nn客户浏览器的安全设置真的安全吗q我们有必要了解这些安全性ActiveX control的安全性n下载ActiveX controlq通过数字签名来识别control的受信任程度n验证数字签名，PKI中的可信任根CAn安装和注册ActiveX controlq已经在调用ActiveX control的代码了q并且，它可以自己声明自己是安全的n操纵注册表n对象的初始化q创建对象，并且对对象进行初始化，Ac

12、tiveX control是一个永久对象n对象的脚本操作q通过脚本调用对象的方法n-Active Document安全电子邮件 意义n协议的先天不安全n绝对隐私n安全需求q发送邮件和接收邮件的安全登录q安全的目录服务q安全的电子邮件：邮件保密性和完整性q内容安全性防止病毒邮件n安全方案qS/MIMEqPGP安全电子邮件 S/MIMEn是对MIME电子邮件格式的安全扩展n基于密码学的诸多成果n与PKI的结合，使用X.509证书，以及PKCS标准q算法协商不可能在线进行，只能用一组规则保证尽可能地达到安全性q不严格的信任模型，由客户实现和用户来决定nS/MIME更象商用或组织使用的工业标准，PGP

13、更面向个体用户选用。S/MIME S/MIME功能n提供了签名和加密消息的功能qEnveloped data：包含邮件加密之后的内容，以及针对一个或多个接收者的加密密钥qSigned data：对签名内容作消息摘要，然后用签名者的私钥对摘要加密，以此形成一个数字签名；内容与签名被转换成base64编码，一个签名的数据消息只能被具有S/MIME能力的接收者查看qClear-signed data：只有签名部分用base64编码，结果是，即使接收者没有S/MIME能力，他也能查看消息内容，只是他不能验证该签名qSigned and enveloped data：签名和加密的结合，加密数据被签名或者

14、签名数据被加密S/MIME S/MIME邮件用法(一)n公钥管理S/MIME S/MIME邮件用法(二)n私钥管理S/MIME S/MIME邮件用法(三)n把帐号与私钥关联起来S/MIME S/MIME邮件用法(四)n撰写邮件PGP(Pretty Good Privacy)安全电子邮件系统n由个人发展起来qPhil Zimmermann(齐默尔曼)nPGP为电子邮件和文件存储应用提供了认证和保密性服务q选择理想的密码算法q把算法很好地集成到通用应用中，独立于操作系统和微处理器q自由发放，包括文档、源代码等q与商业公司(Network Associates)合作，提供一个全面兼容的、低价位的商业

15、版本PGPn历史q1991年推出1.0版，1994年推出2.6版n目前最新7.1版q算法的专利之争。困扰了3年多q与美国出口管理限制之争，长达5年的调查PGP PGP成功的原因n版本众多，包括各种系统平台，商业版本使用户得到很好的支持n算法的安全性已经得到了充分的论证，如公钥加密包括RSA、DSS、Diffie-Hellman，单钥加密包括CAST-128、IDEA、3DES、AES，以及SHA-1散列算法n适用性强，公司可以选择用来增强加密文件和消息，个人可以选择用来保护自己与外界的通信n不是由政府或者标准化组织所控制，可信性PGP PGP功能列表为了适应邮件的大小限制，PGP支持分段和重组

16、数据分段邮件应用完全透明，加密后的消息用Radix 64转换Radix 64邮件兼容性消息用ZIP算法压缩ZIP压缩消息用一次性会话密钥加密，会话密钥用接收方的公钥加密CAST或IDEA或3DES、AES及RSA或D-F消息加密用SHA-1创建散列码，用发送者的私钥和DSS或RSA加密消息摘要DSS/SHA或RSA/SHA数字签名说明采用算法服务PGP 功能：身份认证n发送方q产生消息Mq用SHA-1对M生成一个160位的散列码Hq用发送者的私钥对H加密，并与M连接n接收方q用发送者的公钥解密并恢复散列码Hq对消息M生成一个新的散列码，与H比较。如果一致，则消息M被认证。PGP 身份认证说明n

17、说明：1.RSA的强度保证了发送方的身份2.SHA-1的强度保证了签名的有效性3.DSS/SHA-1可选替代方案。n签名与消息可以分离q对消息进行单独的日志记录q可执行程序的签名记录，检查病毒q文档多方签名，可以避免嵌套签名PGP 保密性n发送方q生成消息M并为该消息生成一个随机数作为会话密钥。q用会话密钥加密Mq用接收者的公钥加密会话密钥并与消息M结合n接收方q用自己的私钥解密恢复会话密钥q用会话密钥解密恢复消息MPGP 保密性说明n对称加密算法和公钥加密算法的结合可以缩短加密时间n用公钥算法解决了会话密钥的单向分发问题q不需要专门的会话密钥交换协议q由于邮件系统的存储-转发的特性，用握手方

18、式交换密钥不太可能n每个消息都有自己的一次性密钥，进一步增强了保密强度。所以，每个密钥只加密很小部分的明文内容PGP 保密与认证的结合n两种服务都需要时，发送者先用自己的私钥签名，然后用会话密钥加密消息，再用接收者的公钥加密会话密钥。PGP 邮件数据处理n顺序：签名 压缩 加密n压缩对邮件传输或存储都有节省空间的好处。n签名后压缩的原因：q不需要为检验签名而保留压缩版本的消息q为了检验而再做压缩不能保证一致性，压缩算法的不同实现版本可能会产生不同的结果n压缩之后再做加密的原因：q压缩后的消息其冗余小，增加密码分析的难度q若先加密，则压缩难以见效nE-mail兼容性qPGP处理后的消息，部分或者

19、全部是加密后的消息流，为任意的8位字节。某些邮件系统只允许ASC字符，所以PGP提供了转换到ASC格式的功能。采用了Radix-64转换方案PGP PGP密钥nPGP使用四种类型的密钥：q一次性会话传统密钥q公钥q私钥q基于口令短语的传统密钥nPGP对密钥的需求q会话密钥：需要一种生成不可预知的会话密钥的方法，PGP使用了一种复杂的随机密钥生成算法(一定的真随机性)q公钥和私钥n需要某种手段来标识具体的密钥n一个用户拥有多个公钥/私钥对n密钥更新管理q私钥如何保存PGP 密钥标识符和钥匙环n一个用户有多个公钥/私钥对时，接收者如何知道发送者是用哪个公钥来加密会话密钥的？q将公钥与消息一起传送。

20、q将一个标识符与一个公钥关联，对一个用户来说唯一。即用户ID和密钥ID标识一个密钥n定义KeyID 包括64个有效位(PGP采用公钥的低64位作为KeyID)n对于PGP数字签名，KeyID也很必需。用哪个公钥来验证签名？n钥匙环qKeyID对于PGP非常关键。nPGP消息中包括两个keyID，分别提供保密与认证功能。n需要一种系统化的方法存储和组织这些密钥以保证有效使用这些密钥nPGP密钥管理方案：q用户机器(节点)上有一对数据结构：私钥环：存储本节点拥有的公钥/私钥对公钥环：存储本节点所知道的其他用户的公钥PGP PGP消息的格式(A-B)PGP 私钥环n信息：时间戳、KeyID、公钥、私

21、钥、UserIDnUserID：q通常是用户的邮件地址。也可以是一个名字，可以重名n私钥如何保存：q用户选择一个口令短语用于加密私钥q当系统用RSA生成一个新的公钥/私钥对时，要求用户输入口令短语。对该短语使用SHA-1生成一个160位的散列码后，销毁该短语q系统用其中128位作为密钥用CAST-128加密私钥，然后销毁这个散列码，并将加密后的私钥存储到私钥环中q当用户要访问私钥环中的私钥时，必须提供口令短语。PGP将取出加密后的私钥，生成散列码，解密私钥PGP 公钥环n信息：时间戳、KeyID、公钥、对所有者信任度、用户ID、密钥合法度、签名、对签名者信任度nUserID：q公钥的拥有者。多

22、个UserID可以对应一个公钥。n公钥环可以用UserID或KeyID索引。PGP 发送方处理消息的过程n签名：q从私钥环中得到私钥，利用userid作为索引qPGP提示输入口令短语，恢复私钥q构造签名部分n加密：qPGP产生一个会话密钥，并加密消息qPGP用接收者userid从公钥环中获取其公钥q构造消息的会话密钥部分PGP 接收方处理消息的过程n解密消息qPGP用消息的会话密钥部分中的KeyID作为索引，从私钥环中获取私钥qPGP提示输入口令短语，恢复私钥qPGP恢复会话密钥，并解密消息n验证消息qPGP用消息的签名部分中的KeyID作为索引，从公钥环中获取发送者的公钥qPGP恢复被传输过

23、来的消息摘要qPGP对于接收到的消息作摘要，并与上一步的结果作比较PGP 公钥管理n由于PGP重在广泛地在正式或非正式环境下的应用，所以它没有建立严格的公钥管理模式。n有关的问题：q一旦你的私钥泄漏，存在两种危险：n别人可以伪造你的签名n其他人发送给你的保密信件可被别人读取q防止公钥环上包含错误的公钥n保证公钥环上公钥的正确性q物理上得到B的公钥。可靠，但有一定局限性q通过电话验证公钥q从双方都信任的个体D处获得B的公钥q从一个信任的CA中心得到B的公钥PGP 公钥信任模型n尽管PGP没有包含任何建立认证权威机构或建立信任体系的规范，但它提供了一个利用信任关系的方法，将信任关系与公钥联系起来。

24、每个公钥有三个相关的属性：qKey legitimacy field：合法性或者有效性，表明PGP对“此用户公钥是合法的”的信任程度；信任级别越高，这个userID与该公钥的绑定越强。这个字段是由PGP计算的。q每一个公钥项都有一个或者多个签名，这是公钥环主人收集到的、能够认证该公钥项的签名。每一个签名与一个signature trust field关联，表明这个PGP用户对“签名人对公钥签名”的信任程度。Key legitimacy field 是由多个signeture trust field 导出的。qOwner trust field：表明该公钥被用于签名其它公钥证书时的信任程度。这个

25、信任程度是由用户给出的PGP 信任模型示例PGP 公钥的注销n公钥注销功能的必要性：密钥暴露或定时更新n通常的注销途径是由私钥主人签发一个密钥注销证书n私钥主人应尽可能越广越快散布这个证书，以使得潜在的有关人员更新他们的公钥环n注意：对手也可以发出这个证书，然而，这将导致他自己也被否决。因此，这样比起恶意使用偷来的私钥来看，似乎会减少漏洞。PGP PGP证书管理软件nPGP证书管理软件 服务器软件n集中管理PGP公钥证书n提供LDAP、HTTP服务n本地Keyring可以实时地连接到服务器，适合于企业使用q更新老的证书q查找新的证书q查询CRLPGP PGP用法(一)n密钥管理q生成新的密钥对

26、q导出、导入q指定信任关系q保存和备份q改变私钥的访问口令PGP PGP用法(二)n撰写邮件时，发送之前指定加密和签名q通过属性配置，可以指定默认状态PGP PGP用法(三)n其他辅助功能q有关网络的功能n个人防火墙nVPNn网络传输q文件加解密、签名认证q当前窗口内容加解密、签名认证q剪贴板内容加解密、签名认证计算机病毒(virus)n介绍三种病毒的机理qCIH病毒qShakiras picturesqNimdan病毒的本质和分类n一个分布式防病毒体系结构CIH病毒 4.26事件(一则报道)CIH病毒n病毒影响：Win95/98n类型：文件型病毒，感染95/98环境下PE格式的EXE文件n病

27、毒特点：q受感染的.EXE文件的文件长度没有改变 n病毒代码化整为零，插入到被感染文件中q病毒代码只有1K字节左右q现象：突然显示器黑屏、硬盘狂闪，无法重启q传播方式：通过文件进行传播。只要运行了带病毒的文件，病毒就会驻留在系统内存中，以后，再运行PE格式的EXE文件，这些文件就会染上病毒q破坏：利用BIOS芯片可重写的特性，向BIOS写入乱码直接破坏硬件设备CIH病毒原理nCIH病毒驻留q如果一个EXE程序已经被感染，则此程序的入口指针被改掉，首先执行病毒的驻留部分n用SIDT取得IDT表地址，修改INT3的中断入口，指向病毒代码n执行INT 3，在ring 0执行病毒代码。q判断DR0寄存

28、器是否为0，以便确定是否已经驻留在内存中，否则的话，执行下面的过程：q申请Windows的系统内存，以便把病毒体放到系统中。病毒代码被分割到程序各个部分，所以要先把它们装配起来q在Windows内核中的文件系统处理函数中挂接钩子，以截取文件调用的操作。因此，一旦系统出现要求打开文件的调用，则CIH病毒的感染部分代码就会马上截获此文件n恢复IDT表的INT3地址n进入程序的正常执行过程CIH病毒原理(续一)n感染部分：对于文件调用的钩子函数q首先取到文件名字q如果文件名为EXE后缀，则感染：n判断EXE文件的格式是否为PE格式q如果文件已被感染，或者不是PE格式，则进入病毒发作模块q否则，进行感

29、染把病毒代码放到PE格式的各个缝隙中首块插入到PE格式头部的自由空间中。PE格式通常有400多字节的自由空间，而病毒代码的首块必须包含驻留代码(184字节 for CIH 1.4)以及病毒块链表修改文件入口地址，指向病毒驻留代码，并且把原来的入口地址也记录下来，以便能够回到正常的执行路径上除了首块病毒代码之外，其他的块插入到PE文件的各个section中。根据PE头中每个section的参数信息，决定每个section可以存放的病毒代码大小，依次填入病毒代码，直到填完或者到达最后的sectionq最后，执行写盘操作，把病毒代码写入文件CIH病毒原理(续二)n病毒发作q不同版本有不同的逻辑q在1

30、.4版本中，发作日为4月26日，病毒取出系统时钟的信息，进行判断q病毒破坏逻辑n通过主板的BIOS端口地址0CFEH和0CFDH向BIOS引导块（boot block）内各写入一个字节的乱码，造成主机无法启动n破坏硬盘，从硬盘的主引导区开始，写入垃圾数据，直到所有的硬盘空间都被覆盖n病毒的检测q方法1：查找病毒特征码：“CIH v1.”q方法2：在DEBUG模式下，找到PE头中的病毒感染标志n病毒的清除q是感染过程的逆过程一个最新的病毒Shakiras picturesShakiras pictures邮件的附件n附件(ShakiraPics.jpg.vbs)内容(6K多)Shakiras p

31、ictures邮件的病毒代码n把wapwvdfgcpw解出来之后，如下(主程序部分)Shakiras pictures邮件病毒发作流程n流程如下：q改写注册表键：HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunRegistryq利用Outlook给地址簿中所有用户发信n并置上标记：HKCUsoftwareShakiraPicsmailed=1q利用mirc发送病毒附件n并置上标记：HKCUsoftwareShakiraPicsMirqued=1q对于当前文件系统中(所有远程目录)所有的vbs文件和vbe文件都替换成自己 循环+递归q提醒用户：“You

32、have been infected by the ShakiraPics Worm”Shakiras pictures邮件病毒的思考n脚本类型的Internet Wormq其他还有“I love you”病毒，等各种变种qMellisa病毒：Word宏病毒，通过邮件系统进行传播q病毒编写简单，而危害性大反映了MS产品的一个矛盾：功能与安全如何平衡？n如何抑制这种类型的病毒q用户：提高警惕，不要轻易打开附件安装防病毒软件q软件厂商(MS)：增强脚本引擎的安全性(?)打开附件提醒用户Nimda病毒n2001年9月18日发现之后，迅速传播开来n受影响的操作系统Windows 9x/Me/Nt/20

33、00n感染途径：文件感染、电子邮件附件、Web服务器攻击，以及局域网上的共享文件功能q服务器：没打补丁的IIS Web Serverq客户：没打补丁的IE 5.01/5.5，以及使用到IE功能的邮件客户软件，包括Outlook,Outlook Express等n危害性q受到感染的一台机器会影响到其他的机器q系统文件和文档文件会受损q网络资源会被拥塞住n解决方案q为所用的软件及时地打上补丁Nimda病毒的传播Nimda病毒的感染过程n文件感染q感染EXE文件，不是把自己插入到EXE文件的头或者尾部，而是把原来的EXE文件插进来，再改名为EXE的文件名q运行的时候，先运行病毒，再提取出EXE并运行

34、nEmail感染q病毒从你的地址簿、收件箱以及Web cache页面中抽取出email地址，然后构造一封邮件，内含一个附件readme.exe，送出去。q一旦收到邮件的人打开附件，则马上被感染。有些邮件客户会自动浏览附件，则自动被感染。nWeb Server攻击q扫描并攻击Web Server，一旦成功，则把病毒代码附到Web页面的最后，未打补丁的IE浏览到这样的页面的时候，也会自动被感染nLAN共享攻击q打开一个共享系统，在administrators加入一帐户，并打开C盘共享q把一个受感染的email和一个受感染的riched20.dll写到每一个共享可写目录中，如果共享目录的系统打开这个

35、email或者目录中的Word、Wordpad或Outlook文档，则此系统也会被感染为什么邮件的附件会被自动执行？页面被自动浏览？n在HTML email中，IE解析MIME头部的时候出现漏洞Nimda的病毒体逻辑nNimda病毒主要的逻辑就是传播自身q不同的形态下使用不同的文件名，并且修改相应的注册表键以便自己继续获得控制权，或者隐藏自身n对安全功能的影响q修改注册表键，关闭隐藏文件的显示功能q加入一个“guest”帐号，并加到administrators和Guests组中，并且，共享C:目录为可完全访问。修改注册表键，禁止共享安全性n版权所有引导型病毒n启动分区病毒特点q在系统启动的时候

36、激活，先于操作系统q分为MBR病毒和BR病毒n病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中，比如大麻(Stoned)病毒nBR 病毒是将病毒寄生在硬盘逻辑分区的0扇区，比如小球病毒q这种病毒如何驻留到内存中，如何进入到系统中？n往往与BIOS中断有关联，比如int 13h(硬盘中断)n引导分区中往往只是病毒的引导部分，病毒体通常放在别的扇区中q传染途径n软盘启动是最危险的n检测和消除q相对而言，这种病毒比较容易检测，只要检查引导扇区就能确定q由于内存中存在病毒，所以，简单地改写引导扇区并不能清除病毒，必须用干净的盘启动，杀灭病毒，再启动系统n预防措施q尽量关闭BIOS中软盘启

37、动的选项q硬盘的启动分区留个备份怀念：DOS中的病毒nDOS比较简单，是一个单任务的操作系统q系统管理的内存只有低端640Kq中断int 10h和int 21h是重要的系统功能入口qFAT文件系统也比较简单n主要的技术q修改中断向量n任何一个程序都很容易就可以修改中断向量q常驻内存的技术n驻留到高端可用内存区n驻留到系统的低端内存区q调试和检查病毒代码容易做到和.exe文件的格式是透明的qC是关注的焦点之一n一切尽在掌控中关于计算机病毒n与病毒相关的几个概念q陷门(trap door)：程序中的秘密入口点，知道陷门的人可以通过这样的入口点绕过正常的安全检查机制q逻辑炸弹(logic bomb)

38、：内嵌在合法程序中的条件代码q特洛伊木马(Trojan horses)：木马程序可以被用于进行直接或者间接地达到未授权访问资源的目的q蠕虫(worms)：通过网络进行传播q细菌(bacteria)：不停地复制自身n现在的计算机病毒已经综合了这些概念，所有现在的防病毒软件也往往综合了相应的对策。病毒与黑客技术的结合也使得防病毒的任务更加艰巨，最终，病毒与网络安全紧密地结合了起来，防火墙也是防毒墙n2001年是病毒发展史上最为猖狂的一年，也是反病毒软件行业最为兴旺的一年计算机病毒的本质n病毒的状态q潜伏状态q传播过程q被激活并进入执行状态n病毒的种类q文件类型的病毒：依附于一个可执行文件中q引导型

39、病毒q驻留内存的病毒q多态病毒：病毒在传播过程中会发生一些变化q宏病毒&脚本病毒：依附于一个文档q反病毒技术n过程q检测病毒。一旦系统被感染病毒，应尽快检测起来，力争在病毒发作之前发现q标识出具体的病毒q恢复。一旦已经标识出病毒类型，则采取相应的措施来恢复到原始的状态。如果不能恢复状态，则可以隔离被感染的文件，或者启动备份的系统文件，或者引导分区n编写病毒的技术和反病毒技术也是“道高一尺魔高一丈”的情况，在斗争中提高和发展q早期简单的病毒扫描器。根据一些简单的特征对问题区域进行扫描，如果匹配到了，则发现病毒的踪迹q启发式的扫描器。在扫描的时候，利用一些启发式的规则，可以发现一些隐蔽的病毒。或者

40、利用程序指纹(检验码)来判断程序被修改的情况q针对病毒可能的闯入点，在这些点上设置检查关卡，一旦发现异常，就进行报警并进行干预q综合。反病毒是一个综合的过程，各种技术需要结合起来q更重要的是，在设计系统软件的时候就应该考虑尽可能地减少病毒闯入的机会，以免开放的功能被滥用一个防病毒原型结构：数字免疫系统n分布式结构，by IBM(1997)n对于反病毒技术，以及其他安全防护技术的启发意义参考资料n书qWilliam Stallings,Cryptography and network security:principles and practice,Second Edition.q“黑客大曝光”(第二版)，清华出版社nWeb sitesqhttp:/www.w3.org/Security/Faq/qhttp:/