計算機網(wǎng)絡(luò)與應用

計算機網(wǎng)絡(luò)與應用第一頁，共三十八頁，2022年，8月28日第十二章網(wǎng)絡(luò)維護及故障分析處理第十一章病毒、黑客及其防范第四篇網(wǎng)絡(luò)安全與維護第二頁，共三十八頁，2022年，8月28日第十一章病毒、黑客及其防范11.1病毒防范11.2黑客防范第三頁，共三十八頁，2022年，8月28日11.1.1病毒定義及其特點

1計算機病毒的定義

計算機病毒(ComputerVirus)是一種別有用心的人編寫的可以在計算機之間傳播，并通過多種手段破壞計算機中的數(shù)據(jù)，或更改屏幕上顯示的內(nèi)容干擾用戶的特殊程序。11.1病毒防范第四頁，共三十八頁，2022年，8月28日

2計算機病毒的特點

(1)具有破壞性、傳染性、潛伏性及隱藏性，能夠?qū)⒆陨韽椭频狡渌绦蛑小?/p>

(2)不以獨立的文件形式存在，僅附著在被感染的程序上調(diào)用該程序時，病毒首先運行。

第五頁，共三十八頁，2022年，8月28日11.1.2病毒的分類

1依據(jù)傳染機型

(1)專門傳染PC的病毒，以Windows上的病毒種類最多。UNIX和Linux等其他操作系統(tǒng)較少。UNIX系統(tǒng)少的原因一是用戶相對較少；二是安全機制比較高，編寫UNIX等操作系統(tǒng)病毒需要更高的專業(yè)水平。

(2)專門感染Apple公司的Macintosh系列計算機(通常所說的蘋果機)。

(3)傳染VAX等小型機及各種工作站的病毒。第六頁，共三十八頁，2022年，8月28日2依據(jù)傳播途徑

(1)單機病毒

這類病毒自身不會通過網(wǎng)絡(luò)傳播，主要在交換文件時傳播。傳染媒介一般是磁性介質(zhì)，如軟盤、磁帶等。隨著U盤、移動硬盤和刻錄機的普及，它們也成為傳染病毒的介質(zhì)。

(2)網(wǎng)絡(luò)病毒

主要通過網(wǎng)絡(luò)傳播，如通過電子郵件和網(wǎng)頁等傳播。隨著Internet的日益發(fā)展，這類病毒的數(shù)目越來越多，傳播速度也越來越快。第七頁，共三十八頁，2022年，8月28日3依據(jù)傳染程序的特點

(1)文件型病毒

主要攻擊可執(zhí)行文件，在PC上修改.com和.exe文件，然后將自身置于其中。感染病毒的可執(zhí)行文件運行后成為新的病毒源感染其他文件，從而造成病毒的不斷擴散。這種類型的病毒數(shù)量最多。

(2)操作系統(tǒng)型病毒

這類病毒大多傳染或替換系統(tǒng)的引導記錄。啟動計算機時，病毒從硬盤中寫入內(nèi)存，在修改某些中斷向量以后，將引導記錄讀出后運行。這類病毒往往在讀盤時開始傳染，具有很強的生命力，破壞力也很大。第八頁，共三十八頁，2022年，8月28日4依據(jù)破壞能力

(1)良性病毒

這類病毒往往只和用戶開玩笑，而不破壞用戶的文件和系統(tǒng)等。

(2)惡性病毒

這類病毒會給用戶造成很大損失，甚至損壞計算機硬件。第九頁，共三十八頁，2022年，8月28日11.1.3病毒的破壞行為

每種計算機病毒都有其破壞行為，只不過后果輕重不一而已。計算機感染病毒并達到病毒運行的條件時，病毒被激活，開始破壞行為。這種破壞行為主要表現(xiàn)在以下幾個方面。

1搞惡作劇，在屏幕上顯示一些消息或畫面。

2使程序運行速度變慢，降低系統(tǒng)性能。

3損壞文件使程序無法運行。

4使文件無限變大。

5刪除磁盤上的文件，造成數(shù)據(jù)損壞。

6格式化硬盤。

7更改主引導區(qū)數(shù)據(jù)，使系統(tǒng)無法啟動而癱瘓。

8修改主板BIOS，損壞硬件。第十頁，共三十八頁，2022年，8月28日11.1.4宏病毒與蠕蟲

1宏病毒

宏是實現(xiàn)指定功能的代碼段，可自動批量處理一些指定任務。一些別有用心的人通過編寫具有破壞功能的宏，即宏病毒來破壞文檔，使用戶遭受損失。宏病毒主要破壞具有宏功能的應用程序生成的文件，如Word的.doc、Excel的.xls和Access的.mdb文檔等。第十一頁，共三十八頁，2022年，8月28日判斷某個文件是否感染了宏病毒，操作如下:

(1)如果在打開文檔的過程中顯示是否啟動宏的提示，如圖11.1-1所示，則該文件有可能帶有宏病毒。除非文件來源非常可靠，否則不要啟用其中的宏。圖11.1-1打開的文件中包括宏第十二頁，共三十八頁，2022年，8月28日(2)如果在運行具有宏功能的應用程序時，Windows桌面圖標突然全部改變，則可能是宏病毒所為。

(3)如果另存一個文件且保存類型只能選擇“文檔模板”時，則該文件可能有宏病毒。

(4)打開一個文件后，末執(zhí)行任何操作即退出，并且提示存盤，則該文件很有可能有宏病毒。第十三頁，共三十八頁，2022年，8月28日2蠕蟲

計算機蠕蟲是一種可獨立運行的程序，它從內(nèi)部消耗其宿主的資源以維護其自身，能夠?qū)⑵渫暾貍鞑サ狡渌嬎銠C上。蠕蟲與病毒的差異在于其“存活”方式及其感染其他計算機的方式，但結(jié)果基本上相同，蠕蟲也像病毒一樣能夠刪除或改寫文什。由于主要通過網(wǎng)絡(luò)傳播，因此從危害性看蠕蟲可能更加危險。蠕蟲類似病毒，許多用戶也將其稱為蠕蟲病毒。第十四頁，共三十八頁，2022年，8月28日蠕蟲一旦被放出，就不需要用戶干預，蠕蟲使用宿主計算機的資源找到進入其他計算機的途徑或漏洞進行傳播。即如果有一個與網(wǎng)絡(luò)上其他計算機的連接，蠕蟲則可檢測到這個連接并且將自身復制到其他計算機上，而這些可能是在用戶完全不知道的情況下進行的。

正是由于蠕蟲的特殊“生存”方式，所以說它很危險。例如，“愛蟲”病毒作為一種蠕蟲，在世界范圍內(nèi)，已經(jīng)給用戶造成了數(shù)百億美元的損失。第十五頁，共三十八頁，2022年，8月28日11．1．5日常防病毒措施

1預防措施

(1)不要使用來歷不明的磁盤或光盤，以免其中帶毒而被感染。如果必須使用，要先用殺毒軟件檢查，確認其無毒。

(2)養(yǎng)成備份重要文件的習慣，萬一感染病毒，可以用備份恢復數(shù)據(jù)。

(3)不要打開來歷不明的電子郵件，甚至不要將指針指向這些郵件，以防其中帶有病毒而感染計算機。

(4)使用殺毒軟件定時查殺病毒，并且經(jīng)常更新殺毒軟件的病毒特征庫文件，以查殺新出現(xiàn)的病毒。第十六頁，共三十八頁，2022年，8月28日(5)了解和掌握計算機病毒的發(fā)作時間或發(fā)作條件，并事先采取措施。例如，CIH病毒的發(fā)作時間限定為每月的26日，可在此前更改系統(tǒng)日期跳過病毒發(fā)作日。

(6)如果主板上有控制BIOS寫入的開關(guān)，一定要將其設(shè)為Disable狀態(tài)，事先要備份好BIOS升級程序。若有條件，也可以買一塊BIOS芯片，寫入BIOS程序后作為備用。

(7)從Internet下載軟件時，要從正規(guī)的并有名氣的下載站點下載，下載后要及時用殺毒軟件進行查毒。第十七頁，共三十八頁，2022年，8月28日(8)安裝殺毒軟件，開啟實時監(jiān)控功能，隨時監(jiān)控病毒的侵入。

(9)隨時關(guān)注計算機報刊或其他媒體發(fā)布的最新病毒信息及其防治方法。

(10)如果要打開的文件中含有宏，在無法確定來源可靠的情況下，不要輕易打開該文件?？梢杂米钚職⒍拒浖M行檢查，確認無毒后再打開。第十八頁，共三十八頁，2022年，8月28日2操作舉例

針對于宏病毒，用戶還可以通過Windows的搜索功能判斷是否有包含宏病毒的文件。以Word文檔為例，操作方法如下。

(1)選擇“開始”→“搜索”→“文件或文件夾”命令，打開“搜索結(jié)果”窗口。圖11.1-2“搜索結(jié)果”窗口(2)在“搜索助理”窗格中單擊“所有文件和文件夾”鏈接，然后在“全部或部分文件名”文本框中輸入“*.doc”，在“文件中的一個字或詞組”文本框中輸入“Autoopen”，如圖11.1-2所示。(3)單擊“搜索”按鈕開始搜索，找到的文件很有可能包含Word宏病毒。第十九頁，共三十八頁，2022年，8月28日11.1.6流行殺毒軟件

1瑞星

瑞星殺毒軟件是國內(nèi)用戶使用較多的反病毒軟件之一，是北京瑞星科技股份有限公司自主研制的反病毒安全工具。用于對病毒、黑客等的查找、實時監(jiān)控和清除、恢復被病毒感染的文件或系統(tǒng)，維護計算機系統(tǒng)的安全。第二十頁，共三十八頁，2022年，8月28日瑞星殺毒軟件能全面清除DOS、Windows病毒及危害計算機安全的各種“黑客”有害程序，號稱“網(wǎng)絡(luò)病毒粉碎機”，曾獲得殺毒軟件領(lǐng)域的多項殊榮。瑞星殺毒軟件2005版(以下簡稱瑞星)的程序界面如圖11.1-3所示。圖11.1-3瑞星殺毒軟件2005版的程序界面第二十一頁，共三十八頁，2022年，8月28日2．KV3000殺毒王

KV3000系列殺毒軟件是國內(nèi)市場占有率較高的反病毒軟件之一，由北京江民新科技術(shù)有限公司研制開發(fā)。KV3000殺毒王是該系列中的一種，界面如圖11.1-4所示。該軟件是基于Windows95／98／Me／NT／2000／XP平臺上的純32位反病毒軟件，具有掃描速度快、識別率高、占用資源少等優(yōu)點，并具有界面簡潔、功能強大及操作簡便的特點。KV3000殺毒王可以搜尋和清除數(shù)以萬計的各種形式的病毒，并且采用虛擬跟蹤技術(shù)識別大多數(shù)的未知病毒，支持Foxmail、Outlook和Netscape等常見的郵件客戶端軟件生成的信箱格式。圖11.1-4KV3000殺毒王第二十二頁，共三十八頁，2022年，8月28日

3金山毒霸

金山毒霸是國內(nèi)著名的金山公司歷時數(shù)年潛心研制開發(fā)的高智能反病毒軟件，號稱“Internet時代的電腦醫(yī)生”。雖然問世不久，但以其強大的殺毒能力迅速占領(lǐng)殺毒軟件市場的很大份額，金山毒霸2003版的程序界面如圖11.1-5所示。

圖11.1-5金山毒霸2003版的程序界面第二十三頁，共三十八頁，2022年，8月28日金山毒霸獨創(chuàng)了雙殺毒引擎設(shè)計，融合了啟發(fā)式搜索、代碼分析及虛擬機查毒等反病毒技術(shù)，使其在查殺病毒種類、查殺病毒速度、病毒防治等方面達到世界先進水平，另外還具有QQ和ICQ安全助手、病毒防火墻實時監(jiān)控、壓縮文件查毒及系統(tǒng)漏洞掃描等先進功能。第二十四頁，共三十八頁，2022年，8月28日4安全之星

安全之星由上海創(chuàng)源計算機信息安全有限公司研制開發(fā)，XP版本的界面如圖11.1-6所示，主要用于防止和查殺來源于網(wǎng)絡(luò)的病毒。該軟件利用獨特的Winscock層查殺病毒技術(shù)，可以在用戶接收信息時完成對郵件及其附件的掃描工作，從而在來源上杜絕了病毒的傳播。

圖11.1-6安全之星XP界面第二十五頁，共三十八頁，2022年，8月28日5NortonAntiVirus

NortonAntiVirus是Symantec(賽門鐵克)公司出品的殺毒軟件，是國內(nèi)市場占用率比較高的國外殺毒產(chǎn)品。針對個人用戶的NortonAntiVirus(諾頓防病毒)2004具有強大的殺毒能力，界面如圖11.1-7所示。該產(chǎn)品可以在瀏覽Internet時提供防護功能，同時內(nèi)置了Liveupdate功能和LiveAdvisor功能，可定期自動以電子郵件方式向用戶發(fā)送新病毒定義及查殺技巧等信息。圖11.1-7NortonAntiVirus2004界面第二十六頁，共三十八頁，2022年，8月28日11.2.1黑客與特洛伊木馬

黑客是英文Hacker的音譯，原意是指水平高超的程序員。而不是那些非法入侵他人計算機系統(tǒng)，破壞系統(tǒng)安全的人。他們通常具有軟硬件的高級知識，并有能力通過創(chuàng)新方法剖析系統(tǒng)，檢查系統(tǒng)的完整性和安全性。提起黑客，還必須涉及到“入侵者”這一概念，入侵者是指懷有不良的企圖，非法闖入，甚至破壞遠程計算機系統(tǒng)的人。入侵者利用獲得的非法訪問權(quán)破壞重要數(shù)據(jù)，拒絕合法用戶的服務請求，或者為了某種目的給他人制造麻煩。11.2黑客防范第二十七頁，共三十八頁，2022年，8月28日黑客如果要入侵他人的計算機系統(tǒng)，必須借助于一定的工具。這些工具是一些專業(yè)的遠程控制程序，通常稱之為特洛伊木馬（特洛伊戰(zhàn)爭是古希臘人反對特洛伊人的10年戰(zhàn)爭，據(jù)說在這場戰(zhàn)爭中希臘人藏身在中空的木馬內(nèi)進入了特洛伊城。后來為希臘軍隊打開了城門，從而取得了戰(zhàn)爭的最終勝利。在計算機技術(shù)中，特洛伊木馬是指一種計算機程序，表面上有某種有用的功能。而實際上卻含有附加或隱藏的功能。能夠調(diào)用進程的合法特許來危害計算機系統(tǒng)安全），如冰河及網(wǎng)絡(luò)神偷等。第二十八頁，共三十八頁，2022年，8月28日

計算機特洛伊木馬不能稱為病毒，因為它不具備病毒的基本特征，但對計算機的安全威脅最大。大多數(shù)計算機病毒只是毀壞計算機中的數(shù)據(jù)，而特洛伊木馬卻可以讓其他人控制用戶的計算機和其中保存的信息，用戶本人卻完全不知。

嚴格來說，特洛伊木馬是一種惡意程序，能夠狡猾地隱藏在看起來無害的程序內(nèi)部。當宿主程序被啟動時，該特洛伊木馬也被激活(許多特洛伊木馬在計算機啟動時，就自動啟動并在后臺運行)。然后特洛伊木馬打開一個稱為后門(Backdoor)的連接。通過這個后門，黑客可以容易地進入用戶的計算機，并且接管該計算機。

由于特洛伊木馬總是創(chuàng)建同一個打開的端口，并且只接受從該端口進入的請求，因此使得診斷特洛伊木馬非常容易。只要安裝防火墻程序，即可監(jiān)視已知的特洛伊木馬端口，并且很容易阻塞它們，從而達到防范黑客的目的。第二十九頁，共三十八頁，2022年，8月28日11.2.2感染木馬的癥狀

1．命令響應速度下降。對于習慣使用一臺計算機的用戶來說，可輕易地發(fā)現(xiàn)計算機命令響應速度的異常。

2．并未執(zhí)行任何操作，而硬盤燈卻閃爍，可能是黑客正通過木馬在計算機上上傳或下載文件。

3．瀏覽網(wǎng)頁時網(wǎng)頁自動關(guān)閉。

4．軟驅(qū)或光驅(qū)在無盤的情況下連續(xù)讀。

5．文件被移動位置，計算機被關(guān)閉或重新啟動，甚至有人請求匿名聊天。第三十頁，共三十八頁，2022年，8月28日11.2.3黑客防范措施

1如果可能，使計算機單機運行，這樣絕對不會受到黑客的攻擊。

2上網(wǎng)時設(shè)法隱藏自己的IP地址，不要隨易將詳細資料告訴網(wǎng)絡(luò)上的其他人，例如使用的操作系統(tǒng)、電子郵箱地址等，其中尤其是計算機IP地址。第三十一頁，共三十八頁，2022年，8月28日

3設(shè)置有效的密碼，因為設(shè)定過于簡單的密碼，如簡單的數(shù)字、單純的英文名或單個字符字，以及與賬號相同會給黑客最容易猜中的機率。黑客要入侵密碼保護的計算機時，通常首先嘗試簡單的可能猜中的密碼。若這道防線被突破，則失去了密碼的意義。因此在設(shè)置密碼時，最好以英文加特定的數(shù)字。設(shè)置的密碼越復雜，網(wǎng)絡(luò)安全的防護越有保障。第三十二頁，共三十八頁，2022年，8月28日

4嚴禁將賬號及密碼外借他人，以防止被別有用心的人利用。

5使用ICQ或QQ時，不要隨便同意他人登錄或接收他人傳送的文件。

6盡量使用較新版本的操作系統(tǒng)或應用軟件，因為隨著軟件的升級換代，漏洞會相對較少。并且關(guān)注軟件開發(fā)商發(fā)布的軟件補丁，在安裝補丁時一定要確保補丁的安全來源。

第三十三頁，共三十八頁，2022年，8月28日

7使用Internet連接防火墻，限制可以從局域網(wǎng)進入Internet以及從Internet進入局域網(wǎng)的信息。

如果使用Internet連接共享為多臺計算機提供訪問Internet的功能，則在共享的Internet連接中啟用Internet連接防火墻，如圖11.2-1所示。圖11.2-1在Internet連接共享中使用Internet連接防火墻第三十四頁，共三十八頁，2022年，8月28日如果使用諸如金山毒霸和NortonAntiVirus等殺毒軟件，則在上網(wǎng)時也可以啟用其Internet連接防火墻功能。

多數(shù)代理服務器都具備防火墻功能，例如WinGate可自動隱藏內(nèi)部網(wǎng)絡(luò)每臺計算機的IP地址，所以使用代理服務器共享接入Internet的確是一種不錯的選擇。

針對網(wǎng)絡(luò)安全問題，出現(xiàn)了許多專業(yè)的防火墻軟件，用戶可以對比選擇使用。例如天網(wǎng)防火墻，