1、1河北科技師范學院大專課程河北科技師范學院大專課程 第三十講主講人：曾曉寧2 第7章 操作系統的安全性3u 操作系統安全性概念操作系統安全性概念 u 操作系統安全機制（內存保護機制、操作系統安全機制（內存保護機制、文件保護機制、用戶鑒別機制、惡意程序文件保護機制、用戶鑒別機制、惡意程序防御機制）防御機制）u 實現系統安全性的基本策略實現系統安全性的基本策略本章知識點：本章知識點：47.1 7.1 安全性概述安全性概述7.1.1 安全性含義安全性含義 計算機系統的安全性是指防范與保計算機系統的安全性是指防范與保護計算機系統及其信息資源，使其在使護計算機系統及其信息資源，使其在使用過程中免受人為的

2、蓄意攻擊、失誤與用過程中免受人為的蓄意攻擊、失誤與自然危害等帶來的損壞、竊取、篡改或自然危害等帶來的損壞、竊取、篡改或泄密。泄密。5對用戶來說，計算機系統應具有：對用戶來說，計算機系統應具有：n保密性保密性n完整性完整性n可用性可用性n真實性真實性指文件、數據等信息不被非授指文件、數據等信息不被非授權用戶訪問。權用戶訪問。指非授權用戶在沒有得到擁有指非授權用戶在沒有得到擁有者本人同意的情況下不能隨意者本人同意的情況下不能隨意修改數據。修改數據。指系統隨時滿足用戶的任何正指系統隨時滿足用戶的任何正常資源請求，防止資源被非法常資源請求，防止資源被非法獨占。獨占。指計算機系統能驗證用戶的身指計算機系

3、統能驗證用戶的身份是否合法，防止非法用戶進份是否合法，防止非法用戶進入系統。入系統。6計算機系統安全分為：計算機系統安全分為：n硬件安全硬件安全n軟件安全軟件安全是指硬件設備的可用性，防止是指硬件設備的可用性，防止出現硬件故障，一旦出現問題出現硬件故障，一旦出現問題能及時進行處理和修復。能及時進行處理和修復。是指軟件運行的可用性、正確是指軟件運行的可用性、正確性和可靠性，防止非法復制和性和可靠性，防止非法復制和使用未經許可的軟件資源。使用未經許可的軟件資源。77.1.2 影響系統安全性的因素影響系統安全性的因素1、自然因素、自然因素n自然災害自然災害n軟硬件故障軟硬件故障2、人為因素、人為因素

4、n發生人為失誤發生人為失誤n病毒破壞病毒破壞P250n黑客入侵黑客入侵8 操作系統（操作系統（Operating System）是一組）是一組面向機器和用戶的程序，其目的是最大限度面向機器和用戶的程序，其目的是最大限度地、高效地、合理地使用計算機資源，同時地、高效地、合理地使用計算機資源，同時對系統的所有資源（軟件和硬件資源）進行對系統的所有資源（軟件和硬件資源）進行管理。管理。 操作系統安全包括了對系統重要資源操作系統安全包括了對系統重要資源（存儲器、文件系統）的（存儲器、文件系統）的保護和控制保護和控制。 補：操作系統安全性問題補：操作系統安全性問題9 1、重要性、重要性u 用戶與計算機系

5、統的交互用戶與計算機系統的交互界面和環境界面和環境u 各種應用系統運行的各種應用系統運行的軟件平臺軟件平臺u 計算機系統計算機系統運行基礎運行基礎u 工作任務成敗的關鍵工作任務成敗的關鍵一、操作系統的重要性：一、操作系統的重要性：10操作系統是計算系統安全的原始基石，現操作系統是計算系統安全的原始基石，現代操作系統支持許多程序設計概念，允許代操作系統支持許多程序設計概念，允許多道程多道程序及資源共享序及資源共享，同時也限制各類程序的行為。操，同時也限制各類程序的行為。操作系統的功能和權力如此之大，使它也成為攻擊作系統的功能和權力如此之大，使它也成為攻擊的首要目標。一旦攻破操作系統的防御，就獲得

6、的首要目標。一旦攻破操作系統的防御，就獲得了計算系統保密信息的存取權。了計算系統保密信息的存取權。11 1、來自系統設計上的缺陷、來自系統設計上的缺陷 2、來自外部的惡意攻擊、來自外部的惡意攻擊 計算機惡意程序，非法使用、系統破壞計算機惡意程序，非法使用、系統破壞等。等。 一個沒有設防的系統或者防御性不好一個沒有設防的系統或者防御性不好的系統，對合法用戶與非法用戶實際上提的系統，對合法用戶與非法用戶實際上提供了同樣的計算和通信能力。供了同樣的計算和通信能力。二、操作系統的安全威脅：12u計算機網絡的普及使任何一臺計算機都可以通計算機網絡的普及使任何一臺計算機都可以通過某種途徑與網絡相連，通過各

7、個站點而進入網過某種途徑與網絡相連，通過各個站點而進入網絡系統；絡系統；u各種應用軟件，將與各種惡意的和非法的程序各種應用軟件，將與各種惡意的和非法的程序共存，各類計算機犯罪共存，各類計算機犯罪 ( (如濫用、偽造、篡改、如濫用、偽造、篡改、誤導、竊取等誤導、竊取等) ) 也容易趁虛而入。也容易趁虛而入。 如果操作系統本身的安全機制不能抵擋入侵如果操作系統本身的安全機制不能抵擋入侵者的攻擊，所造成的損壞和范圍將是嚴重和廣泛者的攻擊，所造成的損壞和范圍將是嚴重和廣泛的。的。13 計算機系統的安全極大地取決于操作系統計算機系統的安全極大地取決于操作系統的安全，的安全，計算機操作系統的安全是利用安全

8、手計算機操作系統的安全是利用安全手段防止操作系統本身被破壞，防止非法用戶對段防止操作系統本身被破壞，防止非法用戶對計算機資源計算機資源 ( (如軟件、硬件、時間、空間、數如軟件、硬件、時間、空間、數據、服務等資源據、服務等資源) ) 的竊取。的竊取。 操作系統安全的實施將保護計算機硬件、操作系統安全的實施將保護計算機硬件、軟件和數據，防止人為因素造成的故障和破壞軟件和數據，防止人為因素造成的故障和破壞.三、操作系統的安全性三、操作系統的安全性14補：什么是系統漏洞補：什么是系統漏洞 所謂漏洞就是操作系統軟件在編寫時產生錯所謂漏洞就是操作系統軟件在編寫時產生錯誤，這個錯誤可以被不法者利用來攻擊安

9、裝這個誤，這個錯誤可以被不法者利用來攻擊安裝這個軟件的電腦。軟件的電腦。系統漏洞又稱安全缺陷，對用戶造系統漏洞又稱安全缺陷，對用戶造成的不良后果如下：成的不良后果如下： n如漏洞被惡意用戶利用，會造成信息泄漏，如黑如漏洞被惡意用戶利用，會造成信息泄漏，如黑客攻擊網站即利用網絡服務器操作系統的漏洞。客攻擊網站即利用網絡服務器操作系統的漏洞。 n對用戶操作造成不便，如不明原因的死機和丟失對用戶操作造成不便，如不明原因的死機和丟失文件等。文件等。 15漏洞產生的原因漏洞產生的原因n受編程人員的能力、經驗和當時安全技受編程人員的能力、經驗和當時安全技術所限，在程序中難免會有不足之處，術所限，在程序中難

10、免會有不足之處，輕則影響程序效率，重則導致非授權用輕則影響程序效率，重則導致非授權用戶的權限提升。戶的權限提升。 n由于硬件原因，使編程人員無法彌補硬由于硬件原因，使編程人員無法彌補硬件的漏洞，從而使硬件的問題通過軟件件的漏洞，從而使硬件的問題通過軟件表現。表現。 16漏洞的特點漏洞的特點n漏洞問題是與時間緊密相關的。一個系統從發漏洞問題是與時間緊密相關的。一個系統從發布的那一天起，隨著用戶的深入使用，系統中布的那一天起，隨著用戶的深入使用，系統中存在的漏洞會被不斷暴露出來，這些早先被發存在的漏洞會被不斷暴露出來，這些早先被發現的漏洞也會不斷被系統供應商發布的補丁軟現的漏洞也會不斷被系統供應商

11、發布的補丁軟件修補，或在以后發布的新版系統中得以糾正。件修補，或在以后發布的新版系統中得以糾正。n而在新版系統糾正了舊版本中具有漏洞的同時，而在新版系統糾正了舊版本中具有漏洞的同時，也會引入一些新的漏洞和錯誤。因而隨著時間也會引入一些新的漏洞和錯誤。因而隨著時間的推移，舊的漏洞會不斷消失，新的漏洞會不的推移，舊的漏洞會不斷消失，新的漏洞會不斷出現。漏洞問題也會長期存在。斷出現。漏洞問題也會長期存在。 17什么是漏洞補丁什么是漏洞補丁? 針對某一個具體的系統漏洞或安全問題而發針對某一個具體的系統漏洞或安全問題而發布的專門解決該漏洞或安全問題的小程序，通常布的專門解決該漏洞或安全問題的小程序，通常

12、稱為修補程序，也叫系統補丁或漏洞補丁。稱為修補程序，也叫系統補丁或漏洞補丁。 漏洞補丁不限于漏洞補丁不限于Windows系統，大家熟悉系統，大家熟悉的的Office產品同樣會有漏洞，也需要打補丁。而產品同樣會有漏洞，也需要打補丁。而且，微軟公司為提高其開發的各種版本的且，微軟公司為提高其開發的各種版本的Windows操作系統和操作系統和Office軟件的市場占有率，軟件的市場占有率，會及時的把軟件產品中發現的重大問題以安全公會及時的把軟件產品中發現的重大問題以安全公告的形式公布于眾告的形式公布于眾. 如果系統存在漏洞，請及時打上漏洞補丁，如果系統存在漏洞，請及時打上漏洞補丁，以防止惡意軟件，木

13、馬，病毒的攻擊。以防止惡意軟件，木馬，病毒的攻擊。18如何處理系統中的漏洞如何處理系統中的漏洞 nWindows操作系統的漏洞，操作系統的漏洞，某些由于軟件設計失誤而產生，某些由于軟件設計失誤而產生，另一些則由于用戶設置不當所引發，另一些則由于用戶設置不當所引發，均會嚴重影響系統安全。均會嚴重影響系統安全。針對兩種不同的錯誤需采用不同的方式加以解決，如下所述：針對兩種不同的錯誤需采用不同的方式加以解決，如下所述： (1)針對設計錯誤，微軟公司會及時推出補丁程序，用戶只針對設計錯誤，微軟公司會及時推出補丁程序，用戶只需及時下載并安裝即可，因此建議用戶經常瀏覽微軟的安全需及時下載并安裝即可，因此建

14、議用戶經常瀏覽微軟的安全公告，并及時下載補丁，官方網址為：公告，并及時下載補丁，官方網址為：http:/ (2)對于設置錯誤，則應及時修改配置，使系統更加安全可對于設置錯誤，則應及時修改配置，使系統更加安全可靠。靠。 19市面上主流打漏洞補丁產品市面上主流打漏洞補丁產品1.Windows自身自身Windows自身以前是通過光盤或其他介質自身以前是通過光盤或其他介質來發行補丁，后來隨著網絡的發展，現在多數來發行補丁，后來隨著網絡的發展，現在多數可以通過互聯網來直接下載，而且可以通過互聯網來直接下載，而且Windows將漏洞補丁功能集成在了其系統中，只要安裝將漏洞補丁功能集成在了其系統中，只要安裝

15、完后，默認會自動開啟此功能。完后，默認會自動開啟此功能。2.各殺毒軟件各殺毒軟件系統漏洞同樣有很大的危險，作為殺毒公司系統漏洞同樣有很大的危險，作為殺毒公司自然不能不管。因此他們也開發了系統漏洞掃自然不能不管。因此他們也開發了系統漏洞掃描和打補丁的功能。國內的殺毒廠商的產品基描和打補丁的功能。國內的殺毒廠商的產品基本都有這樣的功能。本都有這樣的功能。203.反惡意軟件反惡意軟件以以360安全衛士為代表的反惡意軟件同樣提安全衛士為代表的反惡意軟件同樣提供了類似的功能，還有雅虎的天盾也有這樣的供了類似的功能，還有雅虎的天盾也有這樣的功能。功能。4.迅雷軟件迅雷軟件隨著下載在網民上網行為中占據越來越

16、重的隨著下載在網民上網行為中占據越來越重的份額，木馬、蠕蟲、病毒、插件等也份額，木馬、蠕蟲、病毒、插件等也“泥沙俱泥沙俱下下”，將其夾帶在了下載資源之中，給我們帶，將其夾帶在了下載資源之中，給我們帶來了極大麻煩。作為最大的下載服務提供商的來了極大麻煩。作為最大的下載服務提供商的迅雷提供了漏洞補丁修復功能。而且，它較其迅雷提供了漏洞補丁修復功能。而且，它較其他的產品還有很多的特色功能。他的產品還有很多的特色功能。nhttp:/ 一個一個OSOS僅僅完成功能設計還不夠，還必僅僅完成功能設計還不夠，還必須在安全上采取有效的機制來保證須在安全上采取有效的機制來保證OSOS的安全，的安全，與操作系統本身

17、密切相關的最基本的安全機與操作系統本身密切相關的最基本的安全機制：制：1 1、隔離機制、隔離機制2 2、分級安全機制、分級安全機制7.1.3 操作系統的安全機制操作系統的安全機制221、隔離機制、隔離機制n在多道程序環境下，實現系統進程、用在多道程序環境下，實現系統進程、用戶進程及用戶進程之間相互隔開的一種戶進程及用戶進程之間相互隔開的一種手段。手段。n根據隔離技術不同，可分為：根據隔離技術不同，可分為：n狀態隔離狀態隔離n空間隔離空間隔離23狀態隔離狀態隔離n通過對通過對CPU設置不同的工作狀態，來保設置不同的工作狀態，來保護系統中的程序相互之間不被互相干擾護系統中的程序相互之間不被互相干擾

18、和破壞。和破壞。n通用的方法是為通用的方法是為CPU設置兩種狀態：核設置兩種狀態：核心態和用戶態，在不同狀態下只能使用心態和用戶態，在不同狀態下只能使用不同的機器指令。不同的機器指令。核心態時，核心態時，CPU只能執行內存只能執行內存管理、中斷處理、管理、中斷處理、I/O處理及系處理及系統調用等在內的所有指令。統調用等在內的所有指令。用戶態時，用戶態時，CPU只能執行用戶只能執行用戶程序，如執行編譯、編輯、連程序，如執行編譯、編輯、連接等各種實用程序。接等各種實用程序。24空間隔離空間隔離n指為不同進程分配不同的地址空間，從指為不同進程分配不同的地址空間，從而避免相互干擾。而避免相互干擾。n多

19、道系統中，空間隔離能確保每個用戶多道系統中，空間隔離能確保每個用戶進程能正確運行。進程能正確運行。n通過一些內存管理技術，也能實現每個通過一些內存管理技術，也能實現每個用戶進程內存空間的保護。用戶進程內存空間的保護。252、分級安全機制、分級安全機制 是指把是指把OS的安全管理分為幾個級別的安全管理分為幾個級別或層次，常用的一種三級安全管理模式或層次，常用的一種三級安全管理模式如下：如下：n系統級安全管理系統級安全管理n用戶級安全管理用戶級安全管理n文件級安全管理文件級安全管理26系統級安全管理系統級安全管理n任務是禁止未授權用戶進入系統，目的任務是禁止未授權用戶進入系統，目的是防止他人從系統

20、外入侵。從源頭上杜是防止他人從系統外入侵。從源頭上杜絕他人非法進入系統。絕他人非法進入系統。n可采用的措施：可采用的措施：n注冊機制注冊機制n登錄機制登錄機制系統設置一張注冊表，記錄了系統設置一張注冊表，記錄了注冊用戶名和口令等信息，使注冊用戶名和口令等信息，使系統管理員給了解進入系統的系統管理員給了解進入系統的用戶的情況，并確保每個用戶用戶的情況，并確保每個用戶在系統中是唯一的。在系統中是唯一的。用戶進入系統時，首先要進行用戶進入系統時，首先要進行登錄，只有通過系統驗證后的登錄，只有通過系統驗證后的用戶才能進入系統。用戶才能進入系統。27用戶級安全管理用戶級安全管理n具體通過給用戶文件指定訪

21、問權限來限具體通過給用戶文件指定訪問權限來限制用戶對文件的訪問。根據用戶的種類、制用戶對文件的訪問。根據用戶的種類、需求和文件屬性來設定用戶對文件的訪需求和文件屬性來設定用戶對文件的訪問權限。問權限。28文件級安全管理文件級安全管理n系統管理員或文件所有者通過對文件系統管理員或文件所有者通過對文件屬性的設置，來控制其他用戶對文件屬性的設置，來控制其他用戶對文件的訪問。的訪問。297.2 實現系統安全性的基本策略實現系統安全性的基本策略 在操作系統安全機制下，計算機系在操作系統安全機制下，計算機系統可采用一套行之有效的安全策略來應統可采用一套行之有效的安全策略來應對安全性問題：對安全性問題：n身

22、份鑒別策略身份鑒別策略 n文件保護策略、文件保護策略、n內存保護策略、內存保護策略、n惡意程序防御機制。惡意程序防御機制。 30 網絡的普及使任何人都可以試圖登錄網絡的普及使任何人都可以試圖登錄進入系統進入系統. 用戶認證機制必須基于計算機系統和用戶認證機制必須基于計算機系統和人雙方都能夠認可的鑒別媒體和知識。最人雙方都能夠認可的鑒別媒體和知識。最常見的身分鑒別機制是口令常見的身分鑒別機制是口令 (password)。 此外，數字簽名、指紋識別、聲音辨此外，數字簽名、指紋識別、聲音辨識等操作系統安全機制也正在建立。識等操作系統安全機制也正在建立。31方法：方法：u在系統中必須為每個用戶設置一個

23、唯一在系統中必須為每個用戶設置一個唯一的帳號，每個帳號對應一個口令。的帳號，每個帳號對應一個口令。u帳號可以是公開的，但口令應保密。帳號可以是公開的，但口令應保密。u在用戶登錄時，系統索取口令，只有口在用戶登錄時，系統索取口令，只有口令正確，才能完成正常登錄。令正確，才能完成正常登錄。7.2.1 身份鑒別策略身份鑒別策略(一一)帳號帳號-口令（口令（Password)32口令策略的脆弱性口令策略的脆弱性n用戶自己可能會遺忘口令，或在無意中用戶自己可能會遺忘口令，或在無意中泄露口令；泄露口令；n口令本身也存在一定的不安全性；口令本身也存在一定的不安全性；對口令的保護措施對口令的保護措施P2533

24、3增加組成口令的字符種類。增加字符種類可增加口增加組成口令的字符種類。增加字符種類可增加口令的破譯難度，從而使此種攻擊方法失去吸引力。令的破譯難度，從而使此種攻擊方法失去吸引力。 采用較長的口令。當口令的字符數超過采用較長的口令。當口令的字符數超過 5 時，其時，其組合數將呈爆炸型增長趨勢。口令越長，被發現和破組合數將呈爆炸型增長趨勢。口令越長，被發現和破譯的可能性就越低。譯的可能性就越低。 避免使用常規名稱、術語和單詞。非常規的字符避免使用常規名稱、術語和單詞。非常規的字符組合會增大攻擊者窮舉搜索的難度，而不能使用簡單組合會增大攻擊者窮舉搜索的難度，而不能使用簡單的字典搜索。因此，既要選擇不

25、太可能的字符串作口的字典搜索。因此，既要選擇不太可能的字符串作口令，又需要易于記憶。這是一對矛盾。令，又需要易于記憶。這是一對矛盾。 口令的選擇口令的選擇34保護口令秘密。不要將口令書面記錄，保護口令秘密。不要將口令書面記錄，也不要告訴任何人，定期更換、放棄過也不要告訴任何人，定期更換、放棄過時口令，口令失效后禁止用戶操作和存時口令，口令失效后禁止用戶操作和存取，或者強迫用戶修改口令取，或者強迫用戶修改口令采用一次性口令。即每次使用后都作更采用一次性口令。即每次使用后都作更換的口令。換的口令。357.2.2 文件保護策略文件保護策略u文件系統是用戶使用文件的接口文件系統是用戶使用文件的接口u文

26、件系統的安全在一定程度上反映文件系統的安全在一定程度上反映了了OS的安全性能。的安全性能。u對文件的操作主要和文件的訪問權對文件的操作主要和文件的訪問權限有關，因此設置文件的權限成為主限有關，因此設置文件的權限成為主要問題。要問題。36兩種文件保護策略兩種文件保護策略n存取控制表存取控制表n存取控制矩陣存取控制矩陣37 存取控制表：存取控制表：對每個文件建立。對每個文件建立。 將存取控制表看作能存取單個文件的主體表。將存取控制表看作能存取單個文件的主體表。所有數據在兩種表示中是等價的，區別在適用的場所有數據在兩種表示中是等價的，區別在適用的場合合. . 存取控制矩陣：存取控制矩陣：矩陣的行表示

27、文件，列表示用矩陣的行表示文件，列表示用戶，每個記錄則表示用戶對文件的存取權限集。戶，每個記錄則表示用戶對文件的存取權限集。詳見詳見P255P255存取控制表與控制矩陣存取控制表與控制矩陣38為什么保護？為什么保護？ 多道程序技術：主存中同時存放的若干道多道程序技術：主存中同時存放的若干道程序，必須防止一道程序在存儲和運行時影響程序，必須防止一道程序在存儲和運行時影響其他程序的內存。其他程序的內存。 7.2.3 內存保護策略內存保護策略39兩種方法兩種方法1 1、界址與界限保護（略）、界址與界限保護（略）2 2、分段保護、分段保護 用分段方式實現保護是通過在段表中設置相用分段方式實現保護是通過

28、在段表中設置相應的存取控制權限實現的。見表應的存取控制權限實現的。見表7-27-2，每段都，每段都有它自己的訪問權限，這樣，每當有它自己的訪問權限，這樣，每當CPUCPU給出一給出一個訪問地址后，針對該地址的操作就受到其所個訪問地址后，針對該地址的操作就受到其所在段的存取權限的限制。在段的存取權限的限制。40 惡意代碼是指具有特殊目的、非法進入計惡意代碼是指具有特殊目的、非法進入計算機系統并待機運行，能給計算機系統或網絡算機系統并待機運行，能給計算機系統或網絡系統帶來嚴重干擾和破壞的程序代碼。系統帶來嚴重干擾和破壞的程序代碼。 常見的有計算機病毒、蠕蟲、木馬和惡意常見的有計算機病毒、蠕蟲、木馬

29、和惡意腳本代碼。腳本代碼。 7.2.4 惡意代碼防御機制惡意代碼防御機制411、電腦病毒的概念、電腦病毒的概念n是編制的破壞電腦功能的數據，影響電腦使是編制的破壞電腦功能的數據，影響電腦使用并且能夠自我復制的一組電腦指令或程序用并且能夠自我復制的一組電腦指令或程序代碼。代碼。n它是一種傳染程序，它能將自身的副本插入它是一種傳染程序，它能將自身的副本插入到電腦文件中從而感染電腦中的文件。到電腦文件中從而感染電腦中的文件。n當受感染的文件被加載到內存時，這些副本當受感染的文件被加載到內存時，這些副本開始執行，又感染其他文件，一直循環下去。開始執行，又感染其他文件，一直循環下去。 422 2、電腦病

30、毒的特點、電腦病毒的特點 病毒通常具有以下特征。病毒通常具有以下特征。 n傳染性：傳染性：最重要的特征，病毒一旦侵入內存，就最重要的特征，病毒一旦侵入內存，就會不失時機地尋找適合其傳染的文件或磁介質作會不失時機地尋找適合其傳染的文件或磁介質作為外殼，并將自己的全部代碼復制到其中，從而為外殼，并將自己的全部代碼復制到其中，從而達到傳染的目的。達到傳染的目的。n破壞性：破壞性：電腦系統一旦感染上病毒，會影響系統電腦系統一旦感染上病毒，會影響系統正常運行，浪費系統資源，破壞存儲數據，導致正常運行，浪費系統資源，破壞存儲數據，導致系統癱瘓，給用戶造成無法挽回的損失。系統癱瘓，給用戶造成無法挽回的損失。

31、 43 n頑固性：頑固性：現在的病毒一般很難一次性根除，現在的病毒一般很難一次性根除，被病毒破壞的系統、文件和數據等更是難以被病毒破壞的系統、文件和數據等更是難以恢復。恢復。 n隱蔽性：隱蔽性：編制者巧妙地把病毒藏匿起來，使編制者巧妙地把病毒藏匿起來，使用戶很難發現病毒。當系統或數據被感染后，用戶很難發現病毒。當系統或數據被感染后，并不立即發作，而等待達到引發病毒條件時并不立即發作，而等待達到引發病毒條件時才發作。才發作。 443 3、電腦病毒的破壞形式、電腦病毒的破壞形式 電腦病毒的破壞性體現了病毒的殺傷能電腦病毒的破壞性體現了病毒的殺傷能力。病毒破壞性的激烈程度取決于病毒制作者力。病毒破壞

32、性的激烈程度取決于病毒制作者的主觀愿望和其所具有的技術能力。的主觀愿望和其所具有的技術能力。 根據現有的病毒資料可以把病毒的破壞目根據現有的病毒資料可以把病毒的破壞目標和攻擊部位歸納為如下幾方面。標和攻擊部位歸納為如下幾方面。 45n攻擊內存：攻擊內存：內存是電腦的重要資源，也是病內存是電腦的重要資源，也是病毒的攻擊目標。病毒額外地占用和消耗系統毒的攻擊目標。病毒額外地占用和消耗系統的內存資源，可以導致一些大程序受阻，甚的內存資源，可以導致一些大程序受阻，甚至引起系統死機。病毒攻擊內存的方式主要至引起系統死機。病毒攻擊內存的方式主要有占用大量內存、改變內存總量、禁止分配有占用大量內存、改變內存

33、總量、禁止分配內存和消耗內存。內存和消耗內存。46n攻擊文件：攻擊文件：病毒對文件的攻擊方式很多，主病毒對文件的攻擊方式很多，主要有刪除、改名、替換內容、丟失部分程序要有刪除、改名、替換內容、丟失部分程序代碼、內容顛倒、寫入時間空白、變碎片、代碼、內容顛倒、寫入時間空白、變碎片、假冒文件、丟失文件簇或丟失數據文件。假冒文件、丟失文件簇或丟失數據文件。 47n攻擊系統數據區：攻擊系統數據區：攻擊部位主要包括硬盤主攻擊部位主要包括硬盤主引導扇區、引導扇區、FATFAT表、文件目錄、表、文件目錄、OSOS核心數據核心數據等。等。484 4、電腦病毒的分類、電腦病毒的分類 病毒可分為以下幾類。病毒可分

34、為以下幾類。 n引導型病毒：引導型病毒：指主要感染軟盤、硬盤扇區的病毒。指主要感染軟盤、硬盤扇區的病毒。在啟動時自動加載到內存中，這類病毒不大容易在啟動時自動加載到內存中，這類病毒不大容易被發現。被發現。 n文件型病毒：文件型病毒：指主要感染可執行文件的病毒。指主要感染可執行文件的病毒。 n宏病毒：宏病毒：指利用宏語言編制的病毒。指利用宏語言編制的病毒。 n混合型病毒：混合型病毒：是引導型和文件型病毒的混合，不是引導型和文件型病毒的混合，不但感染可執行文件，而且感染軟硬盤引導扇區。但感染可執行文件，而且感染軟硬盤引導扇區。 nInternet語言病毒：語言病毒：一些用一些用JavaVBJava

35、VB腳本腳本ActiveXActiveX等撰寫的病毒。等撰寫的病毒。 495、木馬、木馬1 1）木馬）木馬 計算機技術中的木馬，是一種與計算計算機技術中的木馬，是一種與計算機病毒類似的指令集合，它寄生在普通機病毒類似的指令集合，它寄生在普通程序中，并在暗中進行某些破壞性操作程序中，并在暗中進行某些破壞性操作或進行盜竊數據。或進行盜竊數據。50n木馬（木馬（TrojanTrojan）這個名字來源于古希臘傳說，）這個名字來源于古希臘傳說，它是指通過一段特定的程序（木馬程序）來它是指通過一段特定的程序（木馬程序）來控制另一臺計算機。控制另一臺計算機。沒有復制能力，它的特沒有復制能力，它的特點是偽裝成

36、一個實用工具或者一個可愛的游點是偽裝成一個實用工具或者一個可愛的游戲，這會誘使用戶將其安裝在戲，這會誘使用戶將其安裝在PC或者服務器或者服務器上。上。51n木馬通常有兩個可執行程序：木馬通常有兩個可執行程序：一個是客戶端，一個是客戶端，即控制端，另一個是服務端，即被控制端。即控制端，另一個是服務端，即被控制端。n“中了木馬中了木馬”就是指安裝了木馬的服務程序，就是指安裝了木馬的服務程序，若你的電腦被安裝了服務程序，則擁有控制程若你的電腦被安裝了服務程序，則擁有控制程序的人就可以通過網絡控制你的電腦、為所欲序的人就可以通過網絡控制你的電腦、為所欲為，他為，他將享有服務端的大部分操作權限，例如將享

37、有服務端的大部分操作權限，例如給計算機增加口令，瀏覽、移動、復制、刪除給計算機增加口令，瀏覽、移動、復制、刪除文件，修改注冊表，更改計算機配置等。文件，修改注冊表，更改計算機配置等。這時這時你電腦上的各種文件、程序，以及在你電腦上你電腦上的各種文件、程序，以及在你電腦上使用的帳號、密碼就無安全可言了。使用的帳號、密碼就無安全可言了。 52n隨著病毒編寫技術的發展，木馬程序對隨著病毒編寫技術的發展，木馬程序對用戶的威脅越來越大，尤其是一些木馬用戶的威脅越來越大，尤其是一些木馬程序采用了極其狡猾的手段來隱蔽自己，程序采用了極其狡猾的手段來隱蔽自己，采用多種手段隱藏木馬。（集成到程序采用多種手段隱藏

38、木馬。（集成到程序/ /隱藏在配置文件隱藏在配置文件/ /內置到注冊表）內置到注冊表） 使普通用戶很難在中毒后發覺。使普通用戶很難在中毒后發覺。n木馬與計算機病毒的區別是，木馬與計算機病毒的區別是，前者不進前者不進行自我復制，即不感染其他程序。行自我復制，即不感染其他程序。n 536、主要傳播路徑、主要傳播路徑1 通過網頁傳播通過網頁傳播是通過打開網頁而中毒是通過打開網頁而中毒,現現在很多小網站在很多小網站,由于維護不周等原因由于維護不周等原因,一些所謂一些所謂的的”黑客黑客”總是出于某些目的將病毒掛到這些總是出于某些目的將病毒掛到這些網頁里網頁里,用戶一瀏覽到這些網頁如果沒有一些防用戶一瀏覽

39、到這些網頁如果沒有一些防護措施護措施,就會中毒。就會中毒。n絕大多數通過瀏覽網頁就會中毒的用戶用的都是絕大多數通過瀏覽網頁就會中毒的用戶用的都是IEIE內核內核的瀏覽器，因為此類病毒基本都是瞄準的瀏覽器，因為此類病毒基本都是瞄準IEIE攻擊的。建議攻擊的。建議在隨意瀏覽網頁時使用非在隨意瀏覽網頁時使用非IEIE內核的的瀏覽器，如內核的的瀏覽器，如firefoxfirefox，operaopera，注意此類瀏覽器并不多，很多人用傲游，但傲游，注意此類瀏覽器并不多，很多人用傲游，但傲游也是也是IEIE內核的瀏覽器，一樣易中此類病毒。內核的瀏覽器，一樣易中此類病毒。n將將IEIE內核和內核和fire

40、foxfirefox或者或者operaopera聯合起來用就非常用好了，聯合起來用就非常用好了，安全的大站用安全的大站用IEIE內核的瀏覽器，隨意瀏覽或者查找資料內核的瀏覽器，隨意瀏覽或者查找資料時使用時使用firefoxfirefox或者或者opera. opera. 542通過執行不明通過執行不明EXE文件而中招文件而中招這類病毒這類病毒主要是用戶到一些非正規網站去下一些軟件主要是用戶到一些非正規網站去下一些軟件n只能靠良好的習慣只能靠良好的習慣, ,比如說不要去一些小網站下載比如說不要去一些小網站下載一些軟件一些軟件, ,一般的軟件可以到天空一般的軟件可以到天空, ,華軍去下載華軍去下載

41、, , 非要非要到不明小站下載時到不明小站下載時, ,一定要注意要下載的軟件信息。一定要注意要下載的軟件信息。553.通過通過U盤，光盤等可移動設備中招盤，光盤等可移動設備中招 這類病這類病毒利用毒利用windows的自動播放功能，多數用戶的自動播放功能，多數用戶一接上有毒的移動設備就中招了。一接上有毒的移動設備就中招了。nAutorun Autorun 病毒其實都是通過在磁盤根目錄下面創建一病毒其實都是通過在磁盤根目錄下面創建一個個autorun.infautorun.inf文件來達到自動啟動的目的，要是關掉自文件來達到自動啟動的目的，要是關掉自動運行功能，它就無法發作了。很多安全軟件都提供

42、動運行功能，它就無法發作了。很多安全軟件都提供有關閉自動運行功能的，可以通過它們關掉自動運行有關閉自動運行功能的，可以通過它們關掉自動運行也可以選擇利用組策略管理器，關閉也可以選擇利用組策略管理器，關閉windowswindows系統的自系統的自動播放服務就可以了。動播放服務就可以了。n具體操作方法是：具體操作方法是：禁止禁止Shell Hardware DetectionShell Hardware Detection服務（用于對服務（用于對“自自動播放動播放”硬件事件進行監測并提供通知）硬件事件進行監測并提供通知） ，不讓，不讓其自動播放，（右擊我的電腦其自動播放，（右擊我的電腦管理管理服

43、務和應用服務和應用程序程序服務，在列表中找到服務，在列表中找到Shell Hardware Shell Hardware DetectionDetection，右鍵屬性先停掉，將自動改為手動或，右鍵屬性先停掉，將自動改為手動或者禁止）；者禁止）；n或要用或要用U U盤，光盤時，切記不要雙擊它的盤符，而要盤，光盤時，切記不要雙擊它的盤符，而要用右鍵用右鍵打開，即使打開，即使U U盤上有毒也不會中。盤上有毒也不會中。 564通過局域網傳播通過局域網傳播 此類病毒運行后，不停此類病毒運行后，不停的向掃描網絡上的電腦，一有機會就傳到中其的向掃描網絡上的電腦，一有機會就傳到中其它電腦上了。它電腦上了。

44、5通過通過QQ傳播傳播n不要輕易打開不要輕易打開QQQQ上好友發過來的連接，實在要打開，那上好友發過來的連接，實在要打開，那就將其復制下來，用就將其復制下來，用firefoxfirefox打開也是一樣的安全。打開也是一樣的安全。n安裝防火墻。安裝防火墻。57n木馬、病毒都可能對計算機數據資源的安木馬、病毒都可能對計算機數據資源的安全構成威脅（例如數據被竄改、毀壞或外全構成威脅（例如數據被竄改、毀壞或外泄等）。免受木馬、病毒威脅的最有效的泄等）。免受木馬、病毒威脅的最有效的方法是不要運行來歷不明的程序。方法是不要運行來歷不明的程序。 58 7、計算機病毒、計算機病毒/木馬命名解讀木馬命名解讀 完

45、整的病毒名稱通常分為三個部分：完整的病毒名稱通常分為三個部分：n病毒家族名、前綴和后綴。病毒家族名、前綴和后綴。如如:“ Backdoor.Huigezi.ik ”，它的病毒家族，它的病毒家族名為名為“ Huigezi ”，前綴為，前綴為“ Backdoor ”，后綴為后綴為“ ik ”。 59n病毒家族名是反病毒工程師在分析病毒時根據病毒病毒家族名是反病毒工程師在分析病毒時根據病毒特征起的名字，它是一個廣義的病毒名稱。特征起的名字，它是一個廣義的病毒名稱。n具相同家族名稱的病毒通常具有相同或相似的特征。具相同家族名稱的病毒通常具有相同或相似的特征。 比如凡是族名為比如凡是族名為“ Huige

46、zi ”的病毒都具有盜的病毒都具有盜取用戶密碼、隱藏自身、遠程控制染毒計算機等特取用戶密碼、隱藏自身、遠程控制染毒計算機等特征。征。 病毒家族名：病毒家族名：60n前綴一般包含病毒的類型等相關信息，前綴一般包含病毒的類型等相關信息，常見的病毒名稱前綴如下：常見的病毒名稱前綴如下： 病毒名稱前綴表病毒名稱前綴表前綴前綴61后門后門n當一個訓練有素的程序員設計一個功能較復雜的軟件當一個訓練有素的程序員設計一個功能較復雜的軟件時，都習慣于先將整個軟件分割為若干模塊，然后再時，都習慣于先將整個軟件分割為若干模塊，然后再對各模塊單獨設計、調試，而后門則是一個模塊的秘對各模塊單獨設計、調試，而后門則是一個

47、模塊的秘密入口。在程序開發期間，后門的存在是為了便于測密入口。在程序開發期間，后門的存在是為了便于測試、更改和增強模塊的功能。當然，程序員一般不會試、更改和增強模塊的功能。當然，程序員一般不會把后門記入軟件的說明文檔，因此用戶通常無法了解把后門記入軟件的說明文檔，因此用戶通常無法了解后門的存在。后門的存在。 n按照正常操作程序，在軟件交付用戶之前，程序員應按照正常操作程序，在軟件交付用戶之前，程序員應該去掉軟件模塊中的后門，但是，由于程序員的疏忽，該去掉軟件模塊中的后門，但是，由于程序員的疏忽，或者故意將其留在程序中以便日后可以對此程序進行或者故意將其留在程序中以便日后可以對此程序進行隱蔽的訪

48、問，方便測試或維護已完成的程序等種種原隱蔽的訪問，方便測試或維護已完成的程序等種種原因，實際上并未去掉。因，實際上并未去掉。 這樣，后門就可能被程序的作這樣，后門就可能被程序的作者所秘密使用，也可能被少數別有用心的人發現利用。者所秘密使用，也可能被少數別有用心的人發現利用。62n有時病毒名稱前綴由多個部分組成，除類型外還包含有時病毒名稱前綴由多個部分組成，除類型外還包含了病毒的運行平臺或病毒的一些其他特性。了病毒的運行平臺或病毒的一些其他特性。n比如：比如：“ Trojan.PSW.Yoben.a ”，它的前綴是，它的前綴是“ Trojan.PSW ”，代表它是一個可以盜取密碼的特，代表它是一個可以盜取密碼的特洛伊木馬。洛伊木馬。n“ Backdoor.Win32.PcClient.al ”的前綴是的前綴是“ Backdoor.Win 32 ” ，代表它是一個運行在，代表它是一個運行在32 位位 Windows 平臺的后門程序。平臺的后門程序。 63n后綴用來標識病毒變種，通常用后綴用來標識病毒變種，通常用 A-Z 這這 26 個字母來順序表示。個字母來順序表示。n以以“ Worm.Mimail.B ( 小郵差變種小郵差變種 B) ”病病毒為例：毒為例