计算机病毒与入侵检测
大连理工大学
本科实验报告
课程名称:计算机病毒与入侵检测
学院(系)软件学院
专业:网络安全
2011年 5 月10 日
本练习由单人为一组进行。
首先使用“快照X”恢复Windows系统环境。
一.验证利用OllyDBG修改病毒感染程序
(1)进入实验平台,单击工具栏“实验目录”按钮,进入文件型病毒实验目录。新建文件夹“text”,将文件夹“hei”下的hei0.exe(未感染病毒的可执行程序)复制到text目录中。点击工具栏“LaborDayVirus”按钮,将目录中的LaborDayVirus.exe也复制到text目录中。将系统时间调整为5月1日,双击text目录下LaborDayVirus.exe感染hei0.exe文件,观察hei0.exe感染病毒前后的大小变化。
(2)单击工具栏“OllyDBG”按钮启动ollyDbg1.10,单击文件菜单中的“打开”项,选择要修复的hei0.exe。由于病毒修改了原程序的入口点,因此会有程序入口点超出代码范围的提示,如图10-2-1所示。
图10-2-1 入口点警告提示
单击“确定”按钮继续,程序会停在病毒修改后的程序入口点(hei0.exe的入口点为
0x00403200)上,在代码中找到最后一个jmp指令处(病毒感染完成后将跳转回原程序),按
F2设置断点,按F9运行,程序会在刚设置的jmp断点上中断,查看EAX寄存器的值(EAX=0x401000注意上面提到的断点,下面还会用到),按F7单步执行到下一条指令地址,点选鼠标右键或选择“插件”菜单项,选择菜单中的用ollyDump脱壳调试进程,选中重建输入表方式1,方式2各脱壳一次,分别保存为1.exe、2.exe。测试两个程序是否还具有病毒的传染特性
____________________?
「注」由于重建输入表的方式不同,可能造成某一种导出方式导出的文件无法正常运行,在实验中可以两种方式都导出执行文件,选择可以执行的一种方式来清除病毒。
二.病毒感染机制分析
(1)准备一个没有感染病毒的可执行程序和一个感染病毒的可执行程序,将其分别重命名为hei0.ex_,hei.ex_,并复制到一个新的目录下用于调试、对比。
(2)进入实验平台,点击工具栏中的“PE”按钮,使用PE Explorer分别打开hei.ex_和hei0.ex_文件,对比两个文件入口点(OEP--Address of Entry Point)和Image Base并分别记录。
点击“View”菜单中的“Section Headers”进入Section Headers页面,比对Section Header的数据信息并记录到下面表格。
由于一般文件型病毒只有代码段,数据和代码都存在一起。所以可以断定hei.ex_
的.data段多出的数据即为病毒代码和数据。
(3)进入实验平台,单击工具栏中“UE”按钮,打开Ultra Editor,选择“文件”菜单中的“比较文件”功能对hei0.ex_和hei.ex_进行二进制比对,可以发现在hei.ex_文件的
0xa00处开始的数据块为存储于.data节的病毒代码。
「注」该段数据在.data节是因为 hei0.ex_和hei.ex_的.data节都开始于各自文件偏移的Point to Raw Data处。这段数据是病毒代码是因为0xa00 - 0x800 + 0x43000 = 0x43200(感染病毒文件hei.ex_ OEP的虚地址(VA))。
(4)使用Ultra Editor打开hei.ex_定位光标到hei.ex_的.data块的Point to Raw Data 位置,并以16进制形式查找hei0.ex_的入口点(注意字节顺序),将查找到的数据的文件偏移记录__________。计算该偏移的保护模式内存虚拟地址:____________________。
(5)定位上面例子中hei.exe的jmp断点,在jmp指令上面会发现如下的汇编代码。
0x40481c在病毒代码之后为被加载到内存的病毒数据的存储区,0x1000为
hei0.exe OEP的RVA 0x1000在反汇编代码中的表示是0010。
(6)进入实验平台,单击工具栏中的“实验目录”按钮,利用上面的方法分别对实验目录下的1、2、3子目录下的文件进行调试,注意比对感染病毒文件和原文件特征,将各个病毒文件的最后一个跳转指令的目的地址记录到如下表。
(7)通过以上的分析,就可以初步断定,该病毒的感染方式是:_____________________。三.设计专杀工具
参考例程vk.exe源码(位于目录C:\JLCSS\TOOLS\VirusExperiment\Filevirus\下),编写病毒专杀程序,清除laborDayVirus.exe病毒。
通过任务二,了解到LaborDayVirus.exe病毒的感染机制,这里通过所学的知识对病毒进行清除。
(1)查找病毒寄存特征。
入口点在代码节(.text)之外,病毒代码存储于最后一节、且在病毒代码段后的一个双字为原程序代码入口RVA(在.text节范围内)。
文件病毒代码以0xE58BE0FF结尾。
(以上特征是对简化后的病毒特征的总结、实际中的病毒要复杂的多);
(2)查找原程序入口点。
(3)修改程序入口点为原程序入口点。
(4)修改病毒感染的最后一个节表的SizeOfRawData,使之大小变为去掉病毒代码时的大小。
(5)修改PE文件选项头中的SizeOfImage为去掉病毒代码后的大小。
(6)清除病毒代码数据。
(7)保存清除病毒代码后的文件。
思考问题:
1.PE文件中RVA到VA的转换方法?
2.PE文件中RVA到文件偏移的转换方法?
3.文件偏移到RVA的转换方法?
4.PE文件中的标志字段又那些?
5.PE文件中的几个核心结构?
6.PE文件中的几个核心结构的功能?了解个结构成员的功能?
7.文件型病毒的主要特点?
8.简述病毒查杀的基本原理?
答:
1.虚拟地址(V A)= 相对虚拟地址(RV A)+基地址(ImageBase)
2.当前的文件偏移= 属于当前节内的RV A-当前节VirtualAddress + 当前节的
PointerToRawData
3.属于当前节内的RV A =当前的文件偏移+当前节VirtualAddress - 当前节的
PointerToRawData
4. .text:是在编译或汇编结束时产生的一种块,它的内容全是指令代码;
.rdata:是运行期只读数据;
.data:是初始化的数据块;
.idata:包含其他外来DLL的函数及数据信息,即输入表;
.rsrc:包含模块的全部资源,如图标、菜单、位图等。
5.1) IMAGE_DOS_HEADER结构
2) IMAGE_FILE_HEADER结构
3) IMAGE_OPTIONAL_HEADER 结构
4) IMAGE_SECTION_HEADER 结构
5) IMAGE_NT_HEADERS结构
6. 1) IMAGE_DOS_HEADER结构:定义DOS .EXE 文件头
IMAGE_DOS_HEADE成员:
e_magic:DOS下必须为MZ。
e_lfanew:指定PE文件头相对文件起始地址偏移
2) IMAGE_FILE_HEADER结构:定义PE文件信息
IMAGE_FILE_HEADER成员:
Machine:定义当前文件可运行的机型。
NumberOfSections:定义当前文件有几个节。
3) IMAGE_OPTIONAL_HEADER 结构:定义PE文件选项部分信息
IMAGE_OPTIONAL_HEADER 成员:
Magic PE文件必须为PE\0\0。
AddressOfEntryPoint 文件程序入口点OEP。
BaseOfCode 代码存储RV A。
BaseOfData 数据存储RV A。
ImageBase 程序装入基地址。
SectionAlignment 节对齐边界。
FileAlignment 文件对齐边界。
4) IMAGE_SECTION_HEADER 结构:定义节表属性
IMAGE_SECTION_HEADER 成员:
Name:当前节表名称(最长7个字符)。
VirtualAddress:当前节表的RV A。
PointerToRawData:当前节在文件中的偏移,这个值在计算
RV A、V A到文件中的偏移时非常有用。(当前的文件偏移= 属
于当前节内的RV A-当前节VirtualAddress + 当前节的
PointerToRawData)。
Characteristics:当前节的功能描述。
SizeOfRawData:当前节原始数据大小。
Misc:该联合体在不同文件中有不同的定义:在EXE文件中其表示该节的VirtualSize(实际大小),其值总是小于等于SizeOfRawData;在OBJ文
件中其表示当前节的PhysicalAddress(物理地址),默认第一个节的物理
地址为0,第二个节的物理地址为前一个的PhysicalAddress +
SizeOfRawData。
5) IMAGE_NT_HEADERS结构:对PE文件标记
IMAGE_NT_HEADERS成员:
Signature、FileHeader、OptionalHeader
7. 文件型病毒是主要感染可执行文件的病毒,它通常隐藏在宿主程序中,执行宿主程序时,将会先执行病毒程序再执行宿主程序。
传播方式:当宿主程序运行时,病毒程序首先运行,然后驻留在内存中,再伺机感染其它的可执行程序,达到传播的目的。
感染对象:扩展名是COM或者EXE的文件是文件型病毒感染的主要对象。
8.查毒:特征码法、校验和法、行为检测法、软件模拟法
杀毒:了解病毒感染机制、查找病毒寄存特征、与未感染文件进行对比、找到病毒进行过修改的地方、去壳
计算机病毒的检测
有了病毒的一些基本知识后现在我们就可以来检查你的电脑中是否含有病毒,要知道这些我们可以按以下几个方法来判断: 一: 反病毒软件扫描:
三: 进程观察: TXPlatform.exe是腾讯即时通讯客户端相关程序,用于阻止同一个QQ号在同一台电脑上登陆2次和支持外部添加功能。(不建议关闭) svchost.exe是系统进程,在XP系统中进程数量较多,正常,不能关闭! zhudongfangyu.exe,是主动防御的拼写,360进程。 360rp/360rps是360杀毒进程。 360tray,360进程。 safeboxtray.exe,360保险箱进程。 nvsvc32,显卡驱动进程。 以上进程不建议关闭。 taskmgr.exe,任务管理器进程,可以结束进程。 computerZ_cn是鲁大师进程,关闭程序时进程自动结束。
QQDL可以关闭,是QQ多用户一键登录,可以实现一键自动登录你所有QQ 用户。 sogouCloud.exe是搜狗输入法的进程。(关闭后会被再次自动启动) iexplore.exe是IE浏览器进程,打开页面多了自然会重复。(若结束进程,则会导致IE页面被关闭) 几个值得注意的进程: 1、explorer.exe:explorer 或者 explorer.exe 所在路径: (系统安装目录盘)C:\windows\explorer.exe 进程全称: Microsoft Windows Explorer 中文名称:微软windows资源管理器 但此时桌面上空无一物,怎么办?别着急,按下Ctrl+Alt+Del组合键,出现“Windows安全”对话框,单击“任务管理器”按钮,在任务管理器窗口中选中“应用程序”选项卡,单击“新任务”,在弹出的“创建新任务”的对话框中,输入你想要打开的软件的路径或者名称即可。 这个只能有一个,超过一个就是病毒。 注意和IEXPLORER.EXE的区别 这个可以有很多个。看看你开了几个浏览器。 还有一些expl0re.exe exp1ore.exe 伪装者。 2、svchost.exe:svchost.exe是一个属于微软Windows操作系统的系统程序,用于执行DLL文件。这个程序对你系统的正常运行是非常重要的。 这个进程有很多个,所以很难判断。 winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003server中则更多。
计算机病毒解析与防范-计算机病毒论文-计算机论文
计算机病毒解析与防范-计算机病毒论文-计算机论文 ——文章均为WORD文档,下载后可直接编辑使用亦可打印—— 计算机技术日新月异,社会的诸多行业都需要计算机的使用来实现自动化生产。个人也应用计算机来满足自身工作、学习、生活的需要。在计算机发明创造初期,人们把计算机用来科学领域的科学计算,后来计算机技术又应用于军事。在二战期间,早期的计算机就已经为美国的战争中重要的计算和资料存储设备。计算机在经济、、军事、商业等诸多领域发挥着越来越重要的作用。 一、计算机对现代人生活的影响 (一)计算机在不联网状态下的使用 计算机在社会发展中的角色地位逐步攀升,在计算机不与外界联网的状态下,计算机用户可以通过计算机中的软件来完成自己的文档编辑、软件编程与工业设计、图片的优化、影视等视频资料的欣赏、音乐、游戏、电子书籍的应用等,基本满足了人们日常生活、工作的需要。很多技术型宅男,在家中利用计算机软件设计动漫产品、电子书籍等,给人们带来了新的体验,也让人们改变了以往办公室朝九晚五的工作
方式。计算机的应用使得一部分IT技术人才的工作状态更加灵活。平板电脑、智能手机的使用大量节省了很多商业活动的筹备工作的手续和准备资料的繁琐。计算机对当代社会生活的改变和冲击效果非常显著。 (二)计算机在联网状态下的使用 计算机在联网状态下的使用,使得计算机的作用,发挥的更加淋漓尽致。计算机网络是21世纪网络经济高速发展的基础。在世界上的各个国家,现在都重视互联网的应用和计算机技术的创新。在计算机网络广泛使用的年代,一个行业没有计算机的使用,没有网络的推广和使用,很难在当今社会激烈的竞争中生存下来。计算机的联网为国家、企业还是个人提供了自由通信的平台,也为很多网络用户提供了大量的网络资源。大众通过计算机联网获得信息的量,远远超过传统媒介。近年来一些社交网站和电子商务网站的兴起,也逐步改变了人与人交往和购物消费的方式和习惯。 (三)智能系统使得计算机的应用领域更加广泛 老百姓在生活中广泛使用计算机,潜移默化的丰富着我们的生活内容。智能系统的广泛应用也提高了计算机的应用更加广泛。现在很多家电生产商也给家电配置了智能系统,现在的电器,例如电视机、冰箱、
浅析计算机病毒及其防范措施
浅析计算机病毒及其防范措施 发表时间:2010-06-10T08:53:10.810Z 来源:《科学教育家》2009年第3期供稿作者:刘军绍[导读] 为了确保信息的安全与畅通,研究计算机病毒的防范措施已迫在眉睫。本文从计算机的特点入手,初步探讨对付计算机病毒的方法和措施。 浅析计算机病毒及其防范措施 刘军绍 (河南省郸城县职教中心477150) 【摘要】目前计算机病毒可以渗透到信息社会的各个领域,给计算机系统带来了巨大的破坏和潜在的威胁。为了确保信息的安全与畅通,研究计算机病毒的防范措施已迫在眉睫。本文从计算机的特点入手,初步探讨对付计算机病毒的方法和措施。【关键词】计算机;病毒;防范措施 【中图分类号】TP309.5 【文献标识码】A 【文章编号】1009-9646(2009)03-0022-02 1. 计算机病毒的内涵、类型及特点 1.1计算机病毒的内涵:计算机病毒是一组通过复制自身来感染其它软件的程序。当程序运行时,嵌入的病毒也随之运行并感染其它程序。一些病毒不带有恶意攻击性编码,但更多的病毒携带毒码,一旦被事先设定好的环境激发,即可感染和破坏。 1.2计算机病毒的类型:自80年代莫里斯编制的第一个“蠕虫”病毒程序至今,世界上已出现了多种不同类型的病毒。 1.2.1按照计算机病毒攻击的系统分:攻击DOS系统的病毒;攻击Windows系统的病毒;攻击UNIX系统的病毒;攻击OS/2系统的病毒。世界上已经发现第一个攻击OS/2系统的病毒,它虽然简单,但也是一个不祥之兆。 1.2.2按照病毒的攻击机型分:攻击微型计算机的病毒;攻击小型机的计算机病毒;攻击工作站的计算机病毒。近几年,计算机工作站有了较大的进展,并且应用范围也有了较大的发展,所以我们不难想象,攻击计算机工作站的病毒的出现也是对信息系统的一大威胁。 1.2.3按照计算机病毒的链结方式分:源码型病毒;嵌入型病毒;外壳型病毒;操作系统型病毒。 1.2.4按照计算机病毒的破坏情况分:良性计算机病毒,指其不包含有立即对计算机系统产生直接破坏作用的代码;恶性计算机病毒,指在其代码中包含有损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。 1.2.5按照计算机病毒的寄生部位或传染对象分:磁盘引导区传染的计算机病毒;操作系统传染的计算机病毒;可执行程序传染的计算机病毒。可执行程序传染的病毒通常寄生在可执行程序中,一旦程序被执行,病毒也就被激活,病毒程序首先被执行,并将自身驻留内存,然后设置触发条件,进行传染。 1.3计算机病毒的特点 1.3.1攻击隐蔽性强。病毒可以无声无息地感染计算机系统而不被察觉,待发现时,往往已造成严重后果。 1.3.2繁殖能力强。电脑一旦染毒,可以很快“发病”。目前的三维病毒还会产生很多变种。 1.3.3传染途径广。可通过软盘、有线和无线网络、硬件设备等多渠道自动侵入计算机中,并不断蔓延。 1.3.4潜伏期长。病毒可以长期潜伏在计算机系统而不发作,待满足一定条件后,就激发破坏。 1.3.5破坏力大。计算机病毒一旦发作,轻则干扰系统的正常运行,重则破坏磁盘数据、删除文件,导致整个计算机系统的瘫痪。 1.3.6针对性强。计算机病毒的效能可以准确地加以设计,满足不同环境和时机的要求。 2. 计算机病毒的技术分析 长期以来,人们设计计算机的目标主要是追求信息处理功能的提高和生产成本的降低,而对于安全问题则重视不够。计算机系统的各个组成部分,接口界面,各个层次的相互转换,都存在着不少漏洞和薄弱环节。从国外技术研究现状来看,病毒注入方法主要有以下几种:2.1无线电方式:主要是通过无线电把病毒码发射到对方电子系统中。此方式是计算机病毒注入的最佳方式,同时技术难度也最大。可能的途径有:①直接向对方电子系统的无线电接收器或设备发射,使接收器对其进行处理并把病毒传染到目标机上。②冒充合法无线传输数据。根据得到的或使用标准的无线电传输协议和数据格式,发射病毒码,使之能够混在合法传输信号中,进入接收器,进而进人信息网络。③寻找对方信息系统保护最差的地方进行病毒注放。通过对方未保护的数据链路,将病毒传染到被保护的链路或目标中。 2.2“固化”式方法:即把病毒事先存放在硬件和软件中,然后把此硬件和软件直接或间接交付给对方,使病毒直接传染给对方电子系统,在需要时将其激活,达到攻击目的。这种攻击方法十分隐蔽,即使芯片或组件被彻底检查,也很难保证其没有其他非凡功能。目前,我国很多计算机组件依靠进口,困此,很轻易受到芯片的攻击。 2.3后门攻击方式。后门,是计算机安全系统中的一个小洞,由软件设计师或维护人发明,答应知道其存在的人绕过正常安全防护措施进入系统。攻击后门的形式有许多种,如控制电磁脉冲可将病毒注入目标系统。计算机入侵者就常通过后门进行攻击,如目前普遍使用的WINDOWS98,就存在这样的后门。 2.4数据控制链侵入方式:随着因特网技术的广泛应用,使计算机病毒通过计算机系统的数据控制链侵入成为可能。使用远程修改技术,可以很轻易地改变数据控制链的正常路径。 除上述方式外,还可通过其他多种方式注入病毒。 3. 对计算机病毒攻击的防范的对策和方法 3.1建立有效的计算机病毒防护体系:有效的计算机病毒防护体系应包括多个防护层。一是访问控制层;二是病毒检测层;三是病毒遏制层;四是病毒清除层;五是系统恢复层;六是应急计划层。上述六层计算机防护体系,须有有效的硬件和软件技术的支持,如安全设计及规范操作。 3.2严把收硬件安全关:国家的机密信息系统所用设备和系列产品,应建立自己的生产企业,实现计算机的国产化、系列化;对引进的计算机系统要在进行安全性检查后才能启用,以预防和限制计算机病毒伺机入侵。
入侵检测技术 课后答案
精品文档 . 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理
信息安全与计算机病毒……毕业论文
题目:信息安全与计算机病毒
信息安全与计算机病毒 摘要:…… 本篇论文研究了信息安全的实现目标、安全威胁以及威胁的主要来源、并研究信息安全的策略以及当前条件下保护信息安全的主要技术。并对计算机病毒的由来、发展、特征、分类、危害、防治进行了初步分析。 本篇论文的主要侧重点在于对当前条件下,计算机病毒对信息安全产生的威胁进行研究,分析研究了目前新信息时代下几种反病毒技术,并且对这集中新技术进行了简要的分析,本文针对目前信息安全的现状提出初步的解决方案,以及对防治计算机病毒、保护计算机信息安全的技术方面提出改进意见。希望通过本文尽可能的提出在计算机病毒防治方面自己的研究结论和观点。 关键词:信息安全、病毒防治、主动防御 Information security and computer viruses Abstract: In this thesis,we study the information security goals, security threats and the main source of threat and to study the information security policy and the current information security under the protection of the main technology. The origin of the computer virus, development, characteristics, classification, hazards, prevention and control conducted a preliminary analysis. The main focus of this paper is on the current conditions, the computer virus on the information security threats arising from research, analysis of the current era of new information on several anti-virus technology, and new technologies in this Jizhong a brief analysis.In this paper, the status of the current preliminary information security solutions, as well as the prevention of computer viruses, protecting the technical aspects of computer information security advice for improvement. Hope that through this as much as possible in the computer virus prevention and control presented their resear ch findings and perspectives. Keywords: Information Security、Virus Prevention、Active defense
计算机病毒与防范基础知识考试题及答案【最新】
计算机病毒与防范基础知识考试题及答案 (单选);姓名得分: 注:每题5分,满分100分; 1.下面是关于计算机病毒的两种论断,经判断___; (1)计算机病毒也是一种程序,它在某些条件上激活;A)只有(1)正确B)只有 (2)正确;C)(1)和(2)都正确D)(1)和(2)都不正; 2.通常所说的“计算机病毒”是指______; A)细菌感染 B)生物病毒感染; C)被损坏的程序 D)特制的具 计算机病毒知识测试题(单选) 姓名得分: 注: 每题5分,满分100分
1.下面是关于计算机病毒的两种论断,经判断______ (1)计算机病毒也是一种程序,它在某些条件上激活,起干扰破坏作用,并能传染到其他程序中去;(2)计算机病毒只会破坏磁盘上的数据. A)只有(1)正确 B)只有(2)正确 C)(1)和(2)都正确 D)(1)和(2)都不正确 2.通常所说的“计算机病毒”是指______ A)细菌感染 B)生物病毒感染 C)被损坏的程序 D)特制的具有破坏性的程序 3.对于已感染了病毒的U盘,最彻底的清除病毒的方法是_____ A)用酒精将U盘消毒 B)放在高压锅里煮 C)将感染病毒的程序删除 D)对U盘进行格式化
4.计算机病毒造成的危害是_____ A)使磁盘发霉 B)破坏计算机系统 C)使计算机内存芯片损坏 D)使计算机系统突然掉电 5.计算机病毒的危害性表现在______ A)能造成计算机器件永久性失效 B)影响程序的执行,破坏用户数据与程序 C)不影响计算机的运行速度 D)不影响计算机的运算结果,不必采取措施 6.计算机病毒对于操作计算机的人,______ A)只会感染,不会致病 B)会感染致病 C)不会感染 D)会有厄运
浅谈计算机病毒的危害及防范措施
浅谈计算机病毒的危害及防范措施 摘要:随着计算机技术的飞速发展和计算机应用的日益普及,计算机病毒也在不断地推陈出新。目前计算机病毒可以渗透到信息社会的各个领域,给计算机系统带来了巨大的破坏和潜在的威胁。为了确保信息的安全与畅通,计算机病毒的防范措施已迫在眉睫。本文从计算机病毒的特点入手,来初步探讨对付计算机病毒的危害及防范。 关键词:计算机病毒危害防范措施。 随着计算机在社会生活各个领域的广泛运用,计算机病毒攻击与防范技术也在不断拓展。计算机病毒已成为困扰计算机系统安全和网络发展的重要问题,各行各业中的管理部门更是要增强计算机病毒的防范意识,世界各国遭受计算机病毒感染和攻击的事件数以亿计,严重地干扰了人类正常的社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。例如:2006年“熊猫烧香”病毒泛滥成灾,据据国内的病毒专家初步统计,感染“熊猫烧香”病毒的个人用户已经高达几百万,企业用户感染数更是成倍上升,“熊猫烧香”病毒不但对用户系统进行破坏,导致大量应用软件无法使用,而且还可删除扩展名为gho的所有文件,造成用户的系统备份文件丢失,从而无法进行系统恢复。此外,该病毒还能终止大量反病毒软件进程,大大降低用户系统的安全性。可以预见,随着计算机、网络运用的不断普及、深入,防范计算机病毒将越来越受到各界的高度重视。 一、计算机病毒有以下特点: 一是攻击隐蔽性强。大部分病毒代码非常短小,也是为了隐蔽。一般都夹在正常程序之中,难以发现,病毒可以无息感染计算机系统而不被察觉,待发现时,往往已造成严重后果。二是繁殖能力强。计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机感染病毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。三是传染途径广。计算机病毒可以在运行过程中根据病毒程序的中断请求随机读写,不断进行病毒体的扩散。病毒程序一旦加到当前运行的程序体上面,就开始搜索能进行感染的其它程序,也可通过软盘、有线和无线网络、硬件设备等多渠道自动侵入计算机中,并不断蔓延从而使病毒很快扩散到磁盘存储器和整个计算机系统上。四是潜伏期长。一些编制精巧的病毒程序,进入系统之后不马上发作,隐藏在合法文件中,对其他系统进行秘密感染,一旦时机成熟,得到运行机会,就四处繁殖、扩散。五是破坏力大。所有的计算机病毒都是一种可执行程序,而这一可执行程序又必然要运行,有计算机病毒一旦发作,轻则干扰系统的正常运行,重则破坏磁盘数据、删除文件,导致整个计算机系统的瘫痪它可以毁掉系统的部分数据,也可以破坏全部数据并使之无法恢复。六是针对性强。计算机病毒的效能可以准确地加以设计,满足不同环境和时机的要求。七是可执行性。与其他合法程序一样,是一段可执行程序,但不是一个完整的程序,而是寄生在其他可执行程序上,当病毒运行时,便与合法程序争夺系
入侵检测技术 课后答案
习题答案 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理 –– 1
计算机病毒分析与防范
计算机病毒的分析与防范 1.计算机病毒的引入 1983 年11 月3 日,弗雷德·科恩(Fred Cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序(该程序能够导致UNIX系统死机)伦·艾德勒曼(Len Adleman) 将它命名为计算机病毒(computer viruses),并在每周一次的计算机安全讨论会上正式提出。 2.计算机病毒发展史 1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻、IBM圣诞树、黑色星期五等等。 1989年全世界的计算机病毒攻击十分猖獗,其中“米开朗基罗”病毒给许多计算机用户造成极大损失。 1991年在“海湾战争”中,美军第一次将计算机病毒用于实战。 1992年出现针对杀毒软件的“幽灵”病毒,如One-half。 1997年1997年被公认为计算机反病毒界的“宏病毒”年。 1998年出现针对Windows95/98系统的病毒,如CIH(1998年被公认为计算机反病毒界的CIH病毒年)。 1999年Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。 2000年出现了拒绝服务(Denial of Service)和恋爱邮件(Love Letter) 这次拒绝服务袭击规模巨大,致使雅虎,亚马逊书店等主要网站服务瘫痪。 2002年多变的混合式病毒求职信(Klez)及FunLove病毒席卷全球。 2003年,冲击波(Blaster)病毒于8月开始爆发。 2004年,MyDoom、网络天空(NetSky)及震荡波(Sasser)病毒出现。3.基础知识——计算机病毒的本质 计算机病毒一词是从生物医学病毒概念中引申而来的。在生物界,病毒(Virus)是一种没有细胞结构、只有由蛋白质的外壳和被包裹着的一小段遗传物质两部分组成的比细菌还要小的病原体生物,如大肠杆菌、口蹄疫、狂犬病毒、天花病毒、肺结核病毒、禽流感病毒等。绝大多数的病毒只能在显微镜下才能看
入侵检测技术简单汇总
入侵检测技术 注意:本文只是对入侵检测技术的粗略的汇总,可供平时了解与学习,不能作为科研使用! 入侵检测分析系统可以采用两种类型的检测技术:异常检测(Anomaly Detection)和误用检测(Misuse Detection). 异常检测 异常检测也被称为基于行为的检测,基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵。基于行为的检测与系统相对无关,通用性较强。它甚至有可能检测出以前未出现过的攻击方法,不像基于知识的检测那样受已知脆弱性的限制。但因为不可能对整个系统内的所有用户行为进行全面的描述,况且每个用户的行为是经常改变的,所以它的主要缺陷在于误检率很高。尤其在用户数目众多,或工作目的经常改变的环境中。其次由于统计简表要不断更新,入侵者如果知道某系统在检测器的监视之下,他们能慢慢地训练检测系统,以至于最初认为是异常的行为,经一段时间训练后也认为是正常的了。 异常检测主要方法: (1)统计分析 概率统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。首先,检测器根据用户对象的动作为每个用户都建立一个用户特征表,通过比较当前特征与已存储定型的以前特征,从而判断是否是异常行为。 用户特征表需要根据审计记录情况不断地加以更新。用于描述特征的变量类型有: 操作密度:度量操作执行的速率,常用于检测通过长时间平均觉察不到的异常行为; ` 审计记录分布:度量在最新纪录中所有操作类型的分布; 范畴尺度:度量在一定动作范畴内特定操作的分布情况; 数值尺度:度量那些产生数值结果的操作,如 CPU 使用量,I/O 使用量等。 统计分析通过在一段时间内收集与合法用户行为相关的数据来定义正常的域值(Threshold ),如果当前的行为偏离了正常行为的域值,那么就是有入侵的产生。对于用户所生成的每一个审计记录,系统经计算生成一个单独的检测统计值T2,用来综合表明最近用户行为的异常程度较大的T2值将指示有异常行为的发生,而接近于零的T2值则指示正常的行为。统计值 T2本身是一个对多个测量值异常度的综合评价指标。假设有n个测量值表示为Si ,(1<=i<=n ),则T2 =a1S12+a2S22+…+a n S n2,其中 a i(1<=i<=n )表示第i个测量值的权重。 其优点是能应用成熟的概率统计理论,检测率较高,因为它可以使用不同类型的审计数据,但也有一些不足之处,如:统计检测对事件发生的次序不敏感,也就是说,完全依靠统
计算机病毒行为特征的检测方法
2012.4 37 计算机病毒行为特征的 检测分析方法 谢辰 国际关系学院 北京 100091 摘要:在研究计算机病毒之前,如果我们能先对被研究病毒的行为特征有足够的了解,那么对于之后的反汇编代码分析以及查杀工作都会起到事半功倍的效果。本文先介绍了计算机病毒行为特征,然后通过实验的方法,利用虚拟机和软件分析技术,从动态和静态两个角度,以new orz.exe 病毒为例,来阐述和总结检测分析计算机病毒行为特征的方法。 关键词:计算机病毒;行为特征;虚拟机;软件分析技术 0 引言 随着互联网技术的日渐普及和高速发展,全球化通信网络已经成为大势所趋。但网络在提供巨大便利的同时,也存在种种安全隐患和威胁,其中危害最大影响最广的莫过于计算机病毒。在网络带宽不断升级的今天,计算机病毒的传播速度和变种速度也随之加快,问题也越来越严重,引起了人们的广泛关注,并成为当前计算机安全技术研究的热点。据国内外各大反病毒公司统计,2008 年截获的各类新病毒样本数已经超过1000万,日均截获病毒样本数万。对于现如今计算机病毒变种的不断增加,反计算机病毒的一个研究方向便是怎样在不对病毒汇编代码分析的前提下,分析出已知或未知的计算机病毒的全部行为特征。 1 计算机病毒行为特征 (1) 传染性 传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。是否具有传染性是判别一个程序是否为计算机病毒的重要条件。 (2) 非授权性 病毒隐藏在合法程序中,当用户调用合法程序时窃取到系统的控制权,先于合法程序执行,病毒的动作、目的对用户是未知的,是未经用户允许的。 (3) 隐蔽性 病毒一般是具有很高编程技巧、短小精悍的程序,它们一般附着在合法程序之中,也有个别的以隐含文件形式出现,目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与合法程序是不容易区别开来的。 (4) 潜伏性 大部分的病毒传染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动破坏模块。如著名的在每月26日发作的CIH 病毒。 (5) 破坏性 病毒可分为良性病毒与恶性病毒。良性病毒多数都是编制者的恶作剧,它对文件、数据不具有破坏性,但会浪费系统资源。而恶性病毒则会破坏数据、删除文件或加密磁盘、格式化磁盘等。 (6) 不可预见性 从对病毒检测方面看,病毒还有不可预见性。不同种类的病毒,它们的代码千差万别。虽然反病毒技术在不断发展,但是病毒的制作技术也在不断的提高,病毒总是先于相应反病毒技术出现。 (7) 可触发性 计算机病毒一般都有一个或者几个触发条件。如果满足其触发条件,将激活病毒的传染机制进行传染,或者激活病毒的表现部分或破坏部分。病毒的触发条件越多,则传染性越强。
计算机病毒解析与防范技术研究
计算机病毒解析与防范技术研究 摘要 伴随着计算机系统的不断发展,目前计算机病毒已成为系统以及网络安全的巨大威胁。因此要对计算机病毒常见类型以及基础常识进行把握,在这样的前提下如果遭遇病毒不会变的束手无策。基于此,本文对计算机病毒的定义、传播方式以及受到感染之后的现象进行详细分析,并分析了计算机病毒的传播方式,主要包括基于网络的病毒传播模式、计算机常见病毒、几个经典的计算机病毒传播模型,进一步研究了计算机病毒防御方法,包括基于主机的检测方案、基于网络的检测策略、创建一套完善的病毒防护机制、对防治技术进行不断完善,同时对病毒检测手段进行升级,最后对病毒防范措施进行详细分析,除了漏洞扫描以及防火墙等技术之外,还包括反病毒、计算机病毒免疫技术,以便最大限度地减少计算机病毒造成的危害。 关键词:计算机病毒;计算机病毒传播途径;预防计算机病毒
Abstract With the continuous development of computer systems, computer viruses have become a great threat to system and network security. Therefore, we should grasp the common types of computer viruses and basic common sense, under such a premise, if encounter viruses will not change at a loss. Based on this, this paper makes a detailed analysis of the definition, mode of transmission and the phenomena after infection of computer viruses, and analyses the mode of transmission of computer viruses, mainly including network-based virus transmission mode, common computer viruses, several classical computer virus transmission models, and further studies the methods of computer virus defense, including host-based detection. Measuring scheme, network-based detection strategy, establishing a set of perfect virus protection mechanism, improving prevention and control technology, and upgrading virus detection means. Finally, the virus prevention measures are analyzed in detail. In addition to vulnerability scanning and firewall technologies, anti-virus and computer virus immune technologies are also included in order to minimize the number of computers. The harm caused by virus.. KEY WORDS: Computer viruses; Computer virus transmission route; Prevention of computer viruses
8计算机信息安全及答案
第8章计算机信息安全(单选题) (其实我所给的这些典型题目就是期末考试题或统考题,因此必做。参考答案在另一个Word文档中) 一.计算机安全定义、计算机安全属性 1、计算机系统安全通常指的是一种机制,即___A___。(参考p.320) A.只有被授权的人才能使用其相应的资源 B.自己的计算机只能自己使用 C.只是确保信息不暴露给未经授权的实体 D.以上说法均错 [解析]参考p.320 2、计算机安全属性包含5个方面,它们是:可用性、可靠性、完整性、___C__和不可抵赖性(也称不可否认性)。(请看解析) A.可靠性 B.完整性 C.保密性(或机密性) D.以上说法均错 [解析]具体给出5个属性:(1)可用性:是指得到授权的实体在需要时能访问资源和得到服务(2) 可靠性:是指系统在规定条件下和规定时间内完成规定的功能(3)完整性:是指信息不被偶然或蓄意地删除、修改、伪造、篡改等破坏的特性(4)保密性:是指确保信息不暴露给未经授权的实体(5) 不可抵赖性:是指通信双方对其收、发过的信息均不可抵赖。(这5点可记一下,5点的内容就不必记了。) 3、计算机安全属性不包括____D__。 A.保密性 B.完整性 C.可用性服务和可审性 D.语义正确性 [解析]略 4、得到授权的实体需要时就能得到资源和获得相应的服务,这一属性指的是____C__。(参考第二题的解析) A.保密性 B.完整性 C.可用性 D.可靠性 [解析]参考第二题的解析。 5、系统在规定条件下和规定时间内完成规定的功能,这一属性指的是___D___。 A.保密性 B.完整性 C.可用性 D.可靠性
[解析]参考第二题的解析。 6、信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的属性指的是___B___。 A.保密性 B.完整性 C.可用性 D.可靠性 [解析]参考第二题的解析。 7、确保信息不暴露给未经授权的实体的属性指的是__A____。 A.保密性 B.完整性 C.可用性 D.可靠性 [解析]参考第二题的解析。 8、通信双方对其收、发过的信息均不可抵赖的特性指的是___D___。 A.保密性 B.不可抵赖性 C.可用性 D.可靠性 [解析]参考第二题的解析。 9、下列情况中,破坏了数据的完整性的攻击是___C____。 A.假冒他人地址发送数据 B.不承认做过信息的递交行为 ---- 破坏了数据的不可抵赖性 C.数据在传输中途被篡改 ---- 破坏了数据的完整性 D.数据在传输中途被窃听 ---- 破坏了数据的保密性 [解析]略 10、下列情况中,破坏了数据的保密性的攻击是____D___。 A.假冒他人地址发送数据 B.不承认做过信息的递交行为 C.数据在传输中途被篡改 D.数据在传输中途被窃听 [解析]略 11、使用大量垃圾信息,占用带宽(拒绝服务)的攻击破坏的是____C__。(提示:因为这样的攻击导致了实体无法访问网络资源) A.保密性 B.完整性 C.可用性 D.可靠性 [解析]略 12、上面讲了计算机系统安全的5个属性,下面要求大家知道:从技术上讲,计算机安全主要包括以下几种:(1)实体安全(2)系统安全(3)信息安全(请参考p.320-321)。来看一个题
计算机病毒与防护作业题
1.描述计算机病毒的概念和特征 答:在《计算机信息系统安全保护条例》中明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。其特征有:1、可执行性;2. 寄生性;3. 诱惑欺骗性;4. 非授权性;5. 针对性;6. 衍生性;7. 传染性;8. 潜伏性;9. 可触发性;10. 隐蔽性;11. 破坏性; 12. 持久性;13. 不可预见性 2.叙述计算机病毒的四大功能模块及其作用。 答:1、感染标志;2、引导模块;3感染模块;4、破坏表现模块 引导模块是感染、破坏表现模块的基础; 感染模块是病毒的核心; 破坏表现模块依赖感染模块扩大攻击的范围。 3.描述宏病毒、脚本病毒、木马和蠕虫的特征,及其防范策略。答:宏病毒是使用宏语言编写的恶意程序。或者说是利用宏语言编写的一个或多个具有病毒特点的宏的集合。 1、office文档大量使用,传播快; 2、宏语言编写方便,变种多; 3、宏语言可以调用系统函数,破坏性大; 4、Office文档可以再不同平台使用,多平台感染。 1、在Normal模板发现有AutoOpen或Document_Open、Document_Close 等自动宏,而自己又没有加载,这就有可能有病毒了。 2、禁止所有自动执行的宏。
3、提高office软件自身对宏的审核与限制。如:Word菜单\工具\宏\安全性\有两个选项:安全级应为“中及其以上”, 4、可靠发行商应不信任对VB项目的访问。 5、提高office软件自身对宏的审核与限制。 6、对于已染毒的模板文件(Normal.dot),应先将其中的自动宏清除,然后将其置成只读方式。 7、对于其他已染毒的文件均应将自动宏清除。 8、对于在另存菜单中只能以模板方式存盘.或者无法使用“另存为(Save As)”,或不能再被转存为其它格式的文件。 9、平时使用时要加强预防。对来历不明的宏最好删除。 10、安装反病毒软件。 脚本病毒是用脚本语言(如VBscript、Javascript、PHP等)编写而成的恶意代码。 脚本语言的特点: 1.语法结构简单。 2.学习使用容易。 3.以解释方式执行。 4.开发较快,广泛使用。 5.执行较慢。 一般防范: 1.卸载VB脚本依赖的WSH。 2.增强IE安全设置。
浅析计算机病毒及其防范措施
毕业设计(论文) 浅析计算机病毒及其防范措施 班级08 网络班 专业网络技术 教学系信息工程系 指导老师
完成时间年月日至年月日 目录 一、计算机病毒的概述......................................................................... 错误!未定义书签。 二、计算机病毒的工作原理................................................................. 错误!未定义书签。 (一)、计算机病毒的引导机制................................................. 错误!未定义书签。 1、计算机病毒的寄生对象................................................... 错误!未定义书签。 2、计算机病毒的寄生方式................................................... 错误!未定义书签。 3、计算机病毒的引导过程................................................... 错误!未定义书签。 (二)计算机病毒的感染机制..................................................... 错误!未定义书签。 1、计算机病毒的传染对象................................................... 错误!未定义书签。 (1)磁盘引导区传染的计算机病毒................................... 错误!未定义书签。 (2)操作系统传染的计算机病毒....................................... 错误!未定义书签。 (3)可执行程序传染的计算机病毒................................... 错误!未定义书签。 2、计算机病毒的传播途径................................................... 错误!未定义书签。 (三)计算机病毒的触发机制..................................................... 错误!未定义书签。 (四)、计算机病毒的破坏机制................................................. 错误!未定义书签。 三、计算机机病毒的预防与查杀病毒......................................................... 错误!未定义书签。 1、软件清除........................................................................... 错误!未定义书签。 2、手工清除........................................................................... 错误!未定义书签。 四、总结 五、参考文献 ........................................................................................ 错误!未定义书签。