计算机病毒.docx

1、计算机病毒IP地址是Internet上分配给每台主机或网络设备的一个32bit的二进制数字标识IP地址采用层次结构：网络号+主机号。其中，网络号由IANA统一分配，保证全球唯一；主机号由各网络的管理员分配IP地址的分类 根据网络号和主机号位数的关系，分为： A类地址 ,B类地址 ,C类地址 ,D类地址 ,E类地址 A类网络的个数：27-2 每个A类网络包含的主机数：224-2 适用于大型网络。 第一段数字的范围：1127B类网络的个数：214-2 每个B类网络包含的主机数：216-2 适用于中型网络。 第一段数字的范围：128191C类网络的个数：221-2 每个C类网络包含的主机数：28-2

2、 适用于小型局域网。 第一段数字的范围：192223D类地址的最高的4位是1110 点分十进制表示:224.0.0.0-239.255.255.255 这段地址被保留用于组播地址E类地址的最高的4位是1111 点分十进制表示:240.0.0.0-255.255.255.255 被保留用于试验目的私有IP地址：私有IP地址是一段保留的IP地址。只是使用在局域网中，在Internet上是不使用的。 私有IP地址的范围：A类：10.0.0.0-10.255.255.255B类：172.16.0.0-172.31.255.255C类：192.168.0.0-192.168.255.255MAC地址 在

3、以太网中的物理地址也叫MAC地址。 MAC地址是由网络设备制造商在生产时写在网络设备的ROM中，是唯一的。 MAC地址的长度为48位，即6个字节，通常用12个16进制数表示，每2个16进制数之间用“-”隔开。 前3个字节00-01-F4代表网络设备制造商的编号，由IEEE分配；后3个字节1A-1E-B9代表该制造商所制造的某个网络产品的系列号。网卡的原理和作用 提供固定的网络地址。 接收网线上传来的数据，并把数据转换为本机可识别和处理的格式，通过计算机总线传输给本机。 把本机要向网上传输的数据按照一定的格式转换为网络设备可处理的数据形式，通过网线传送到网上。实验室双网卡本地连接2：实验过程中始

4、终开启，用于连接实验室局域网。该地址最好与机器标签相一致。本地连接：用于验证实验结果。开机后及配置设备的过程中，本地连接应禁用。在配置交换机/路由器之后，再连通本地连接，进行实验测试。该地址可自由配置。二层交换机：是指依靠OSI第二层（数据链路层）信息，来决定如何转发数据帧的交换机。二层交换机内部有一个MAC地址表，该地址表是用来存储MAC地址和交换机端口的对应关系。 二层交换机根据MAC地址表转发数据的过程1. 若数据帧的目的MAC地址是广播地址或组播地址，则交换机向除数据帧进入端口外所有的端口转发；2. 若数据帧的目的地址是MAC单播地址，且该地址不在交换机的地址表中，则交换机向除数据帧进

5、入的端口外所有的端口转发（广播）3. 若数据帧的目的MAC地址在交换机的地址表中，则根据地址表将数据帧转发到相应的端口；4. 若数据帧的目的地址与数据帧的源地址对应同一端口，则丢弃该数据帧，交换也就不会发生。路由器发送数据包时，如果找不到可以到达目标网络的路由信息，则丢弃该数据包三层交换机转发数据的过程：I. 交换机收到数据帧后，查找其IP转发表中是否有该条目的IP地址与端口号对应信息，如果有，则将该数据帧按条目进行转发； II. 如果在IP转发表中未找到相关IP地址和端口对应信息条目，则将查询其路由表，找到相关网络的路由，然后按照路由转发的工作原理将数据帧转发到相应的端口，同时在IP转发表中

6、生成一条到达该目的IP地址所对应端口号的地址条目； III. 如果在查询其路由表时无法找到匹配的路由条目，则该数据包被丢弃。中继器: 中继器(REPEATER)是局域网互连的最简单设备，它工作在OSI体系结构的物理层。 中继器能够对信号进行再生和还原。是扩展网络最廉价的方法。 它的作用是放大信号，补偿信号衰减，支持远距离的通信。适用于同种类型网络的互连。 安全工具使用实验（文件加解密）a) 工具easycode的加密效果 正常文字变成乱码b) 常用的数据急救软件是什么？EasyRecoverc) Assuremark的作用 数字水印的嵌入/提取网络常用命令Ping后面的参数有IP地址，域名Tr

7、acert：该诊断程序将包含不同生存时间值的Internet 控制消息协议回显数据包发送到目标，以决定到达目标采用的路由。Route：控制网络路由表Netstat：显示协议及其端口信息和当前的 TCP/IP 网络连接Ipconfig：查看IP地址、子网掩码、默认网关Ipconfig /all：查看全部端口扫描的作用：端口扫描的目的就是要判断主机开放了哪些服务，以及主机的操作系统的具体情况。端口侦听的原理：以太网的广播技术入侵检测过程分为三个步骤：信息收集、信息分析和结果处理。 信息收集系统和网络日志、非正常的目录/文件改变、非正常的程序执行 信息分析模式匹配、统计分析、完整性分析 结果处理终止

8、进程、切断连接、重新配置、简单告警蜜罐技术：定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷。设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址。一台合格的蜜罐应具备的功能:发现攻击、产生警告、强大的记录能力、欺骗、协助调查。计算机病毒：是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。第一个破坏硬件的病毒CIH计算机病毒的特点传染性：把自身复制到其他程序的能力。破坏性：占用系统资源、破坏数据、干扰运行、摧毁系统等。隐蔽性：依附于其他载体存在，病毒短小精悍。潜伏性：不满足触发条件时只传染不破坏。可触发性：

9、时间、日期、文件类型等。病毒检测的方法特征代码法：将所有病毒的代码加以剖析，并将这些病毒独有的特征搜集在一个病毒特征码资料库（病毒库）中；检测时，以扫描的方式将待检测程序与病毒库中的病毒特征码一一对比。优点：准确快速，能识别病毒名称，误报率低，能做出杀毒处理。缺点：不能检测未知病毒，搜集已知病毒特征码开销大校验和法：根据正常文件的内容，计算其校验和，将校验和写入文件中保存；使用文件前，检查根据文件现有内容算出的校验和，与原来保存的校验和是否一致。 优点：方法简单，能发现未知病毒和细微变化。 缺点：必须预先记录正常的校验和，不能识别病毒种类，常常误报，对隐蔽性病毒无效 行为监测法：利用病毒的特有

10、行为特征来监测病毒。如：更改.com、.exe文件内容、修改DOS系统数据区的内存容量等。 优点：可发现未知病毒。 缺点：可能误报，不能识别病毒名称。软件模拟法（虚拟机法）：检测密码化的多态性病毒 比较法：用原始备份进行比较 可发现未知病毒 感染实验法：利用病毒的感染性 可发现未知病毒。 分析法：反病毒技术人员使用，静态+动态。预防病毒的措施: 数据备份 不要用移动介质启动 安装补丁，并及时更新 安装防病毒软件，及时更新病毒定义码 限制文件共享 不轻易打开电子邮件的附件 没有病毒处理前不要使用其他移动介质 不要运行不可信的程序 移动介质写保护通常计算机病毒程序包括三大模块：引导模块、传染模块和

11、表现/破坏模块。引导模块的作用：将病毒由外存引入内存 ，使静态病毒激活成为动态病毒。传染模块的作用：将病毒传染到其它对象上。包括：传染条件判断部分和传染部分。单机：通过磁盘引导扇区、操作系统文件、应用程序文件进行传染。表现/破坏模块的作用：实施病毒的表现及破坏作用计算机病毒：是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。蠕虫的定义 一个独立的计算机程序，不需要宿主程序； 自我复制，自主传播； 占用系统或网络资源、破坏其他程序； 不伪装成其他程序 利用系统漏洞； 利用电子邮件（无需用户参与）病毒与蠕虫的区别：蠕虫病毒普通病毒存

12、在形式独立程序寄存文件传染机制主动攻击宿主程序运行传染目标网络计算机本地文件木马和远程控制软件的区别：远程控制软件的服务器端会出现很醒目的标志，而木马的服务器端在运行时则使用多种手段来隐藏自己数据急救 数据急救就是要将被删除的文件重新找回。 原理：数据被删除或硬盘被格式化后，文件并没有被真正删除，除非被新的数据覆盖。 为了提高数据修复率，一旦发现异常的文件丢失，或某个磁盘上的文件全部丢失，应立刻停止任何写入操作入侵检测1）定义：识别针对计算机或者网络资源的恶意企图和行为，并对此作出反应的过程。信息收集系统和网络日志、非正常的目录/文件改变、非正常的程序执行信息分析模式匹配、统计分析、完整性分析

13、结果处理终止进程、切断连接、重新配置、简单告警数据急救原理：数据被删除或硬盘被格式化后，文件并没有被真正删除，除非被新的数据覆盖。目的：将被删除的文件重新找回。注意事项：为了提高数据修复率，一旦发现异常的文件丢失，或某个磁盘上的文件全部丢失，应立刻停止任何写入操作 。二、实验与作业第一步：在交换机SwitchA上创建Vlan 10，并将0/1端口划分到Vlan 10中SwitchA#configure terminalSwitchA(config)#vlan 10SwitchA(config-vlan)#name salesSwitchA(config-vlan)#exitSwitchA(co

14、nfig)#interface fastethernet 0/1SwitchA(config-if)#switchport access vlan 10SwitchA(config-if)#exitSwitchA(config)#exitSwitchA#show vlan id 10 /查看某一个VLAN的信息VLAN Name Status Ports- 10 sales active Fa0/1 第二步：在交换机switchA上创建Vlan 20，并将0/2端口划分到Vlan 20中SwitchA#configure terminalSwitchA(config)#vlan 20Switc

15、hA(config-vlan)#name technicalSwitchA(config-vlan)#exitSwitchA(config)#interface fastethernet 0/2SwitchA(config-if)#switchport access vlan 20SwitchA(config-if)#exitSwitchA(config)#exitSwitchA#show vlan id 20VLAN Name Status Ports- 20 technical active Fa0/2 第三步：把交换机SwitchA上与交换机SwitchB相连的F0/24端口定义为Tru

16、nk模式SwitchA#configure terminalSwitchA(config)#interface fastethernet 0/24SwitchA(config-if)#switchport mode trunk /将fastethernet 0/24端口设为Trunk模式，Trunk属于任何一个vlanSwitchA(config-if)#exitSwitchA(config)#exitSwitchA#show interfaces fastEthernet0/24 switchportInterface Switchport Mode Access Native Protec

17、ted VLAN lists-Fa0/24 Enabled Trunk 1 1 Disabled All 第四步：在交换机SwitchB上创建Vlan 30，并将0/1端口划分到Vlan 30中SwitchB#configure terminalSwitchB(config)#vlan 30SwitchB(config)#name salesSwitchB(config-vlan)#exitSwitchB(config)#interface fastethernet0/1SwitchB(config-if)#switchport access vlan 30SwitchB(config-if)

18、#exitSwitchB(config)#exitSwitchB#show vlan id 30VLAN Name Status Ports- 10 sales active Fa0/1第五步：把交换机SwitchB与交换机SwitchA相连的F0/24端口定义为Trunk模式SwitchB#configure terminalSwitchB(config)#interface fastethernet0/24SwitchB(config-if)#switchport mode trunkSwitchB(config-if)#exitSwitchB(config)#exitSwitchB#sh

19、ow interface fastethernet 0/24 switchportInterface Switchport Mode Access Native Protected VLAN lists-Fa0/24 Enabled Trunk 1 1 Disabled All 第六步：验证测试在测试机和交换机之间连线，设定PC1、PC2、PC3的“本地连接”IP地址分别为192.168.10.10、192.168.20.20、192.168.30.30。验证PC1与PC3 不能互相通信 PC2与PC3不能互相通信 PC1与PC2不能互相通信。C:ping 192.168.10.30 /在PC

20、1命令行方式下验证PC1与PC3不能互相通信C:ping 192.168.10.30 /在PC2命令行方式下验证PC2与PC3不能互相通信C:ping 192.168.20.20 /在PC1命令行方式下验证PC1与PC2不能互相通信第一个破坏硬件的病毒CIH：1999年4月26日，由台湾大学生陈盈豪编写，可改写系统BIOS数据，导致主板无法启动，开机黑屏。病毒的命名 一般格式为：病毒前缀名病毒名病毒后缀名 病毒前缀：区别病毒的种类。如木马的前缀Trojan，蠕虫的前缀Worm。 病毒名：区别病毒家族。如振荡波的家族名是“Sasser”。 病毒后缀：区别病毒的变种特征。用A-Z表示。 举例：Wo

21、rm.Sasser.b振荡波蠕虫病毒的变种B计算机病毒的构成 通常计算机病毒程序包括三大模块：引导模块、传染模块和表现/破坏模块。 引导模块的作用：将病毒由外存引入内存 ，使静态病毒激活成为动态病毒。 传染模块的作用：将病毒传染到其它对象上。包括：传染条件判断部分和传染部分。 单机：通过磁盘引导扇区、操作系统文件、应用程序文件进行传染。 Internet：通过E-mail、web页面传染。 表现/破坏模块的作用：实施病毒的表现及破坏作用病毒检测的原理（1） 特征代码法：将所有病毒的代码加以剖析，并将这些病毒独有的特征搜集在一个病毒特征码资料库（病毒库）中；检测时，以扫描的方式将待检测程序与病毒

22、库中的病毒特征码一一对比。 优点：准确快速，能识别病毒名称，误报率低，能做出杀毒处理。 缺点：不能检测未知病毒，搜集已知病毒特征码开销大 被认为是用来检测已知病毒的最简单、开销最小的方法 蠕虫Worm 一个独立的计算机程序，不需要宿主程序； 自我复制，自主传播； 占用系统或网络资源、破坏其他程序； 不伪装成其他程序 利用系统漏洞； 利用电子邮件（无需用户参与）木马（Trojan） 木马是一种在远程计算机之间建立起连接，使远程计算机能通过网络控制本地计算机的程序。 木马通常有两个可执行程序：一个是客户端，即控制端；另一个是服务端，即被控制端。 从本质上讲，木马程序属于远程管理工具的范畴，其目的在

23、于通过网络进行远程管理控制. 木马和远程控制软件的区别：远程控制软件的服务器端会出现很醒目的标志，而木马的服务器端在运行时则使用多种手段来隐藏自己。文件的彻底销毁 文件粉碎机：将某些资料彻底删除，并且使用恢复软件也无法恢复。 文件粉碎机的原理就是在被删除文件所占的空间处重新写一些东西，以覆盖原来的文件，使恢复软件失去作用 。 如：File Wipe端口扫描技术 端口：在TCP/IP协议中指逻辑端口，分别对应不同的应用服务。端口号为16bit。 网络中的每一台计算机如同一座城堡，这个城堡中，有很多大门对外完全开放，而有些则是紧闭的。网络技术中，把这些城堡的“城门”称作计算机的端口。 端口扫描的目的就是要判断主机开放了哪些服务，以及主机的操作系统的具体情况。 端口侦听 原理：以太网的广播技术 Windows系统中不论用户是否有权限都可以直接运行侦听工具进入侦听模式。 分析处理侦听到的数据很复杂，但侦听到明文的口令是可以实现的。 入侵检测 定义：识别针对计算机或者网络资源的恶意企图和行为，并对此作出反应的过程。入侵检测过程分析 入侵检测系统的基本结构包括： 信息收集 系统和网络日志、非正常的目录/文件改变、非正常的程序执行 信息分析 模式匹配、统计分析、完整性分析 结果处理 终止进程、切断连接、重新配置、简单告警