時間:2023-05-30 10:45:41
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇木馬程序,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:木馬 基因
1 木馬程序簡介
木馬是一種新型的計算機網絡病毒程序。它利用自身所具有的植入功能,或依附其它具有傳播能力的病毒,或通過入侵后植入等多種途徑,進駐目標計算機,搜集其中各種敏感信息,并通過網絡與外界通信,發回所搜集到的各種信息,并能接受植入者指令,完成其它各種操作,如修改指定文件、格式化硬盤等。當木馬被應用在入侵和攻擊方面時,它顯示出巨大的危害性。一個典型的木馬程序通常具有以下四個特點:有效性、隱蔽性、頑固性和易植入性。
(1)有效性:是指入侵的木馬能夠與其控制端建立某種有效聯系,從而能夠充分控制目標機器并竊取其中的敏感信息;(2)隱蔽性:木馬病毒必須有能力長期潛伏于目標機器中而不被發現:(3)頑固性:是指有效清除木馬病毒的難易程度;(4)易植入性:木馬病毒有效性的先決條件。木馬技術與蠕蟲技術的結合使得木馬病毒具有類似蠕蟲的傳播性,這也極大提高了木馬病毒的易植入性。
2 木馬病毒的新發展
2.1加殼技術
所謂“殼”就是專門壓縮的工具。是針對exe、tom和dll等程序文件進行壓縮,在程序中加入一段如同保護層的代碼,使原程序文件代碼失去本來面目,從而保護程序不被非法修改和反編譯,這段如同保護層的代碼,稱之為程序的殼。程序的殼有以下作用:(1)保護程序不被修改和反編譯;(2)對程序專門進行壓縮,以減小文件大小,方便傳播和存儲。
目前的防火墻和殺毒軟件雖然也具有了一定的脫殼能力。但病毒加殼又使用了新技術。
(1)加多層殼。這個加殼方法就是用兩種相同或者不同的加殼工具對木馬進行雙重加殼,這樣就等于將木馬程序進行了兩次壓縮計算,自然就會逃脫殺毒軟件和防火墻的第一層過濾。使用的加殼算法越多,逃脫防火墻和殺毒軟件查殺的幾率就越高。
(2)換殼。就是把原來的殼脫了換另一種殼。如FSG就是使用這種方法。還有就是用GUW32脫了再加殼,對于脫殼不干凈的軟件用UPXpr技術處理再加殼,也可以定制加殼軟件和定制殼。
2.2多態和變形技術
病毒多態是使病毒能夠改變自身存儲形式的技術,使傳統的依靠特征值檢測的技術失效。變形則在多態的基礎上更進一步。對整個病毒體都進行處理,使不同病毒實例的代碼完全不同,不但沒有固定的特征碼,而且也無需還原成沒有任何變化的病毒體。
3 引入基因機制檢測木馬病毒
目前,木馬程序的查殺主要還是使用特征碼的查殺毒方法,但是它的弊端也是眾所周知的。在入侵檢測領域,無論是基于統計的入侵檢測還是基于規則的入侵檢測,它們的數據源都是從病毒的攻擊或者是表象出發,首先獲得病毒或者黑客的攻擊表象,然后提取出特征,再抽取表達成模式或者規則,供入侵檢測系統進行檢測和識別。對這種殺毒機制而言,高頻的升級都是滯后的。并且難以發現未知的木馬模式,也是制約它們進一步發展的瓶頸。我們必須透過病毒程序的表象看到它們的本質特征,即借鑒生物體的生物機理和機制,將基因機制引入信息安全領域。針對病毒的變形和多態,可以追溯到病毒和惡意軟件的本質,即運行時的核心序列和動作,如系統調用序列等,也就是基因層。在基因層面上,部分多態病毒和惡意軟件,有的基因一樣,有的能從它們的相似度上面找到多態和變形病毒程序之間的親緣關系,找到查殺抑制病毒的多態和變形的方法,指導一條切實可行,而且高效的途徑。對于基因機制引入病毒檢測和防護領域,包括以下幾個方面:
(1)表象到本質(基因)。從病毒的表象出發,找出病毒程序的本質或者是深層次的根源如系統調用序列,提取出類似生物體中的基因片段,每一個基因片段都對應一個或者多個病毒表象。
(2)單個基因入手。找出病毒基因,關注基因變異(稱病毒的基因片段為病變基因,相應的正常程序那部分為正常基因),進而使用基因療法,用好的基因來置換和修復病變基因、基因修飾和基因失活。
(3)基因片段組合入手。惡意軟件中對應的一些基因片段,孤立地看它們都是正常的,但是當它們組合以后,便是一個惡意程序,如木馬程序。在這種情況下,我們關注的是基因片段之間的關聯關系,打破這種關聯,也就可以達到防止這些惡意軟件的目的。
(4)已知基因到未知基因。對基因進行誘發變異,產生新的基因。使用的具體方法是:一是定向誘變,就是使用一些領域的知識進行啟發式誘變;二是表型誘變,對未知基因進行誘變,發現新的顯性和隱性基因突變體及功能改變。
4 引入基因機制的可行性分析
(1)計算機病毒單基因存在的可行性:在信息安全中有些病毒或者惡意程序自身的復制能力很強,也就是具有自我復制性。
針對這類病毒,如果能夠找出它們自我復制的那部分基因片段或者強行向EXE文件中寫入代碼的基因片段,就可以借鑒生物上面的基因療法,首先是報警,然后可以用正常的基因片段來對病變基因進行替換,從根本上達到檢測和防治病毒的目的。所以引入單個計算機病毒基因機制是可行的。
(2)計算機病毒基因組存在的可行性:計算機中的程序基因從單個基因角度看時是正常程序也擁有的基因片段,但是它們組合后產生的癥狀就是惡意程序的典型表現。
關鍵詞:木馬;隱藏技術;網絡安全
中圖分類號:TP309.5 文獻標識碼:A 文章編號:1007-9599 (2012) 10-0000-02
目前,木馬已經成為常見的網絡攻擊技術之一,對網絡安全造成了嚴重的威脅。它具有攻擊范圍廣、隱蔽性強等特點。本文主要針對木馬的隱藏技術展開研究。
一、木馬定義和特征
木馬是指潛伏在電腦中,受到外部用戶控制以達到竊取本機信息或控制權為目的的程序。其全稱為特洛伊木馬,英文叫做“Trojan horse”。它是指利用一段特定的程序(木馬程序)來控制另一臺計算機。木馬通常有兩個可執行程序:分別為客戶端和服務端,即控制端和被控制端。植入被種者電腦的是“服務器”部分,而所謂的“黑客”正是利用“控制器”進入運行了“服務器”的電腦。一旦運行了木馬程序的“服務器”以后,被種者的電腦就會有一個或幾個端口被打開,黑客就可以利用這些打開的端口進入電腦系統,用戶的個人隱私就全無保障了。木馬的設計者采用多種手段隱藏木馬以防止木馬被發現。隨著病毒編寫技術的發展,木馬程序采用越來越狡猾的手段來隱蔽自己,使普通用戶很難發覺。
二、木馬的功能
木馬的主要功能有:
(一)竊取數據:僅僅以竊取數據為目的,本身不破壞損傷計算機的文件和數值,也不妨礙系統的正常辦公。有很多木馬有鍵盤記錄功能,會記錄服務端每次敲擊鍵盤的動作,所以一旦有木馬入侵,數據將很容易被竊取。
(二)篡改文件:對系統的文件有選擇地進行篡改,對服務端上的文件有篩選的施行刪除,修改,運行等一些系列相關操作。
(三)使系統自毀。利用的方法有很多:比如改變報時的鐘頻率、使芯片熱解體而毀壞、使系統風癱等。
三、木馬的隱藏技術
(一)文件隱藏
木馬程序植入目標系統后,就會改變其文件表現形式加以隱蔽,從而欺騙用戶。隱藏保護木馬文件的方式主要有以下幾種:
1.捆綁隱藏
采用此隱蔽手段的木馬主要有兩種方式:插入到某程序中或者與某程序捆綁到一起,一旦程序運行木馬也就會被啟動,例如使用壓縮的木馬程序偽裝成jpeg等格式的圖片文件,木馬程序就有了隨時運行的可能。或者與常用程序捆綁到一起,一旦木馬被點擊就會加載運行,使用戶難以防范,例如提供給用戶捆綁了木馬程序的解壓軟件,一旦用戶運行該軟件此程序便被釋放并立即運行。
2.偽裝隱藏
首先利用自身多變性的外部特征偽裝成單獨的文件,選定好文件名,然后修改文件系統的相關程序,最后設置文件屬性為隱藏或者只讀。這樣,木馬就偽裝成了正常的文件或者非可執行文件。
3.替換隱藏
木馬將自身的DLL替換為目標文件的同名DLL文件,備份原先的正常系統文件。經過這樣的替換后,一般情況下,正常的系統文件,只有當具有木馬的控制端向被控制端發出指令后,隱藏的程序才開始運行。
(二)進程隱藏
進程是程序運行在操作系統中的表現行為。主要有以下三種方法:
1.注冊為系統服務
在WIN9X系列的操作系統中,在系統進程列表中看不到任何系統服務進程,因此只需要將指定進程注冊為系統服務就可以在系統進程列表中隱形此進程。
2.使用HOOK技術
我們可以利用Windows系統提供的掛鉤函數,使得被掛鉤的進程在自己處理接收到的消息之前,先處理我們的消息處理函數。一般地,這個消息處理函數放在DLL中,讓目標進程加載,這就達到了注入代碼的目的。
所謂的HOOK技術是指通過特殊的編程手段截取Windows系統調用的API函數,并將其丟掉或者替換。例如在用戶查看任務管理器時截取系統遍歷進程列表的函數并進行替換,隱藏木馬進程。
3.基于DLL的進程隱藏技術
DLL不會在進程列表中出現,是因為它不能獨立運行,必須由進程加載并調用。一個以DLL形式的程序,通過某個已經存在進程進行加載,就可實現程序的進程隱藏。主要有以下兩種方式:
在注冊表中插入DLL。在Windows NT/2000/XP/2003中,有一個注冊表鍵值HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsHKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs。當某個進程加載User32.dll時,這里面所有的DLL都將User32.dll利用LoadLibrary函數加載到該進程空間中。我們可以把自己的代碼放在一個DLL中,并加入該鍵值,這樣就可以注入到所有使用User32.dll的進程中了。
遠程線程注入。在Windows系統中,每個進程都有自己專門的地址空間,一個進程不能創建本來屬于另一個進程的內存指針。遠程線程技術就是利用特殊的內核編程手段打破這種限制,訪問另一個進程的地址空間,進而達到隱藏自身的目的。所謂遠程線性插入DLL技術是指通過在另一個進程中創建遠程線程的方法進入其內存空間,然后加載啟動DLL程序。
文獻[3]提出的基于DLL加載三級跳和線程守護的隱藏技術,增強了木馬的隱蔽性與抗毀性。
(三)啟動隱藏
木馬的最大特點就是它一定要伴隨系統的啟動而啟動,否則就失去了意義。木馬啟動的方式有以下幾種:
1.注冊表啟動項:
網站被黑,牽出木馬“大小姐”
2008年5月6日這天,江蘇省水利廳的工作人員一上班就發現,他們的官方網站頁面無法打開,疑被黑客侵入。該網站主要承擔公文辦理、汛情傳遞等重要任務,日訪問量5000人次。當時,全省已進入汛期,該網站能否正常運行,將直接影響防汛工作。當日,省水利廳即向南京警方報案。南京市公安局網警支隊接警后,立即會同南京鼓樓公安分局組成專案組,立案偵查。
經過現場勘查,專案組確認,“江蘇水利網”系遭到黑客攻擊而癱瘓。黑客攻擊政府網站,目的何在?辦案人員經過連續幾天的工作,終于查明,導致“江蘇水利網”癱瘓的原因,是黑客將一款木馬程序植入了網站后臺程序。通過高科技偵查手段鑒別確認,黑客是在湖北省宜昌市某小區一民房內,對“江省水利網”發起的攻擊。在宜昌市公安局網監支隊的配合下,5月14日,南京警方猶如神兵天降,一舉將逃離宜昌的犯罪嫌疑人何亮等人抓獲。
審訊發現,何亮并非是直接攻擊“江蘇水利網”的人,他只是通過租用服務器,購買攻擊者截獲的點擊用戶流量。根據何亮等人的交代,專案組于5月20日在宜昌市精品國際一單元房內,將犯罪嫌疑人楊江平及其三名雇用人員抓獲。
原來,楊江平是一名典型的網絡黑客,他正是受雇何亮而攻擊“江蘇水利網”的。攻擊的目的,是為了在該網站植入一款由何亮提供的域名代碼,而一旦植入成功,用戶只要點擊該網站,就會跳轉到由何亮控制的服務器上,而何亮的服務器上,設置了一種名叫“大小姐”的木馬程序。楊江平本人賺錢的方式,只是向何亮賣流量,即中毒電腦越多,他獲得的流量也就越大,賺的錢也就越多。之所以導致“江蘇水利網”癱瘓,是因為楊江平雇用的新手,在攻擊該網站時犯了低級錯誤。
通過對何亮、楊江平等6名歸案者的審訊,專案組發現,犯罪嫌疑人攻擊“江蘇水利網”的目的,均是為了傳播“大小姐”木馬病毒。網絡警察對“大小姐”木馬病毒并不陌生,因為該盜號木馬程序,曾屢屢竊取玩家游戲賬號內的虛擬財產,對網絡安全構成嚴峻挑戰。而且殺毒軟件又拿它沒辦法,所以該木馬程序的編寫及傳播者,早就成了公安機關的打擊對象。情況逐級上報后,引起了公安部的高度重視,隨后公安部指定南京市公安局管轄“大小姐”系列木馬病毒案,并于同年7月1日掛牌督辦。
一網打盡,揭開黑客產業鏈
南京警方按照公安部的指令,追剿“大小姐”盜號木馬的始作俑者。經過艱苦工作,專案組分別于6月13日在上海,6月24日在四川廣元、綿陽等地,抓獲了制作、傳播“大小姐”系列木馬病毒,涉嫌破壞計算機信息系統的團伙組織者王華、編寫者龍斌及銷售總周牧等10人。
經過對犯罪嫌疑人的逐一審訊,“大小姐”木馬肆虐網絡的真實面目,被一層層揭開。原來,王華以牟利為目的,自2006年下半年開始,雇用頂級編程高手龍斌,先后編寫了40余款針對國內流行網絡游戲的盜號木馬。王華拿到龍斌編寫的木馬程序后,對外謊稱為自己所寫,同時尋找人銷售,先后通過周牧等三人,在網上總銷售盜號木馬。該木馬系列在傳播銷售時,被命名為“大小姐”木馬。
購買了“大小姐”木馬的犯罪嫌疑人,則分別針對“QQ自由幻想”、“武林外傳”、“征途”、“問道”、“夢幻西游”等網絡游戲,進行盜號。2009年2月23日,專門負責盜號并銷售游戲裝備的犯罪嫌疑人張某,在湖南益陽落網。在他的賬戶中,警方查獲現金30余萬元。由此,警方揭開了這個涉嫌制造、傳播木馬程序團伙的獲利黑幕。
經查,王華靠銷售“大小姐”木馬程序,已獲利1400余萬元,至于王華等人到底侵害了多少游戲用戶,目前難有準確的統計數字。據介紹,這些人先將非法鏈接植入正規網站,用戶訪問網站后,會自動下載盜號木馬。當用戶登錄游戲賬號時,游戲賬號就會自動被盜取。犯罪嫌疑人將盜來的賬號直接銷售,或者雇用人員將賬號內的虛擬財產轉移出來,銷售牟利。
據南京網警支隊負責人介紹稱:“大小姐”木馬程序,事實上形成了一條黑色產業鏈,占據了我國“木馬盜號市場”60%以上的份額,危害極大。
鎖定證據,按刑法新條款定罪
2008年9月,偵查機關將該案向南京市鼓樓區檢察院移送審查。當時,辦案檢察官面臨著的最大困難,就是電子證據如何使用和固定。例如,犯罪嫌疑人的買賣交易都是在網上進行的,犯罪所得也都是通過“支付寶”等網上支付形式支付的。而“支付寶”的交易記錄,只保留兩個月時間,如何將犯罪所得與具體的犯罪行為聯系起來呢?犯罪所得,其實都是源于買賣所竊取的“虛擬財產”,而受害者又很難找到,如何認定取得這些財產的非正當性呢?
為了證明犯罪嫌疑人的錢財,來源于犯罪所得,公訴科長曹立帶領其他辦案檢察官,從犯罪嫌疑人QQ聊天記錄和“支付寶“記錄出發,尋找突破口。“我們從兩個犯罪嫌疑人的QQ聊天記錄入手,從中找出和案件相關的只言片語,僅這項工作,就用去800多張A4打印紙。”曹立如是說。
網絡用語木馬是擬聲詞,主要模擬用力親吻的聲音。
木馬通常指通過一段特定的程序(木馬程序)來控制另一臺計算機。木馬通常有兩個可執行程序:一個是客戶端,即控制端;另一個是服務端,即被控制端。植入被種者電腦的是“服務器”部分,而所謂的“黑客”正是利用“控制器”進入運行了“服務器”的電腦。運行了木馬程序的“服務器”以后,被害者的電腦就會有一個或幾個端口被打開,使黑客可以利用這些打開的端口進入電腦系統,安全和個人隱私也就全無保障了!木馬的設計者為了防止木馬被發現,而采用多種手段隱藏木馬。木馬的服務一旦運行并被控制端連接,其控制端將享有服務端的大部分操作權限,例如給計算機增加口令,瀏覽、移動、復制、刪除文件,修改注冊表,更改計算機配置等。
(來源:文章屋網 )
【關鍵詞】計算機;泄密隱患;安全管理
計算機病毒,實際上就是一種特殊的計算機程序。這種程序能夠通過修改計算機程序或者以其自身的復制品去感染與已經受到侵害的計算機系統相連接的其他計算機或計算機系統。把它稱之為“病毒”,是因為其在計算機系統中的發作規律與習性同那些生物病毒在生物群中傳染傳播的情況十分類似。在這里,以廣泛流行、危害極大的木馬病毒程序為例,剖析病毒的危害性、破壞性,以引起廣泛的重視和認同。
一、計算機病毒的特點規律
(一)木馬一詞的由來
木馬全稱“特洛伊木馬”,英文為Trojan Horse。故事來源于古希臘神話,公元前1193年,特洛伊國王普利阿莫斯和它的二兒子――帕里斯王子在希臘斯巴達王麥尼勞斯的宮中受到了盛情的款待。但是,帕里斯卻與麥尼勞斯美貌的妻子海倫一見鐘情并將她帶出宮去,惱怒的麥尼勞斯和他的兄弟邁西尼國王阿伽門農興兵討伐特洛伊。由于特洛伊城池牢固易守難攻,希臘軍隊和特洛伊勇士們對峙長達10年之久,最后英雄奧德修獻上妙計,讓希臘士兵全部登上戰船,制造撤兵的假象,并故意在城前留下一具巨大的木馬。特洛伊人高興地把木馬當作戰利品抬進城去。當晚,正當特洛伊人沉湎于美酒和歌舞的時候,藏在木馬腹內的20名希臘士兵殺出,打開城門,里應外合,特洛伊立刻被攻陷,殺戮和大火將整個城市毀滅,持續10年之久的戰爭終于結束。這就是“特洛伊木馬”一詞的來歷。
計算機領域把偽裝成一般程序的程序形象地稱之為“木馬”。它是通過一種特定的遠程控制程序來控制目標計算機。它由客戶端和服務端兩部分組成。客戶端運行在入侵者的主機上,完全操控服務端計算機的運行。比如,瀏覽、移動、復制、刪除服務端計算機上的文件等等。它不會自我繁殖,也不感染其他文件,主要通過“偽裝隱身”來誘騙用戶下載執行,從而向客戶端提供所需的信息,進而達到竊密的目的。而服務端運行在目標主機上,是被控制的平臺,一般發送給目標主機的就是服務端文件。
(二)木馬病毒程序的特點
1.偽裝性。木馬總是偽裝成一般程序來迷惑網絡管理員和計算機用戶。比如偽裝成郵件、游戲等。
2.潛伏性。木馬可以悄無聲息地打開端口等待外部連接。
3.隱蔽性。木馬可以在用戶絲毫不知情的情況下隱蔽運行。
4.通用性。目前安裝主流操作系統WindowsXP以及安裝有早期的Windows98操作系統的計算機都同樣控。
5.頑固性。計算機一旦感染木馬,無法清除,只能重新安裝操作系統軟件。
當然,它還具有密碼截取、屏幕監視、郵件發送、開機啟動、無認證入侵等特性。
(三)木馬病毒程序的工作原理
其工作原理大概分為:木馬種植、隱蔽偽裝、自動運行、攻擊目標。
木馬種植就是把木馬程序種植于受控計算機中。其做法是:把木馬程序打包、捆綁到郵件、賀卡等諸如此類的一般文件上,發送給用戶或者誘騙用戶主動下載,在用戶打開這些文件時就完成了木馬的種植,攻擊者就可以將客戶端和服務端連接起來,從而獲得控制權。
隱蔽偽裝就是當木馬在被控計算機上運行后,會把自己隱蔽偽裝起來,更有甚者可以修改殺毒軟件的參數配置而變成合法程序。
自動運行就是修改被控計算機的配置參數,使得每次計算機開機啟動時都能夠自動運行木馬程序。
攻擊目標就是在上述基礎性工作的前提下,攻擊者就完全取得了對被控計算機的控制權,可以毫無顧忌地竊取所需信息了。
(四)木馬病毒程序的傳播與危害
木馬病毒的傳播主要通過電子郵件、瀏覽網頁、文件下載、存儲介質拷貝等途徑進行。傳播的方法主要有:1.喬裝打扮。把木馬程序的圖標偽裝成文檔文件,比如,TXT、WORD、HTML等經常使用的文件圖標,引誘用戶下載使用。2.弄虛作假。木馬程序被激活時,常常有類似于“文件已損壞,無法打開”的提示,用戶信以為真,實際上木馬已經侵入該用戶計算機。3.銷聲匿跡。木馬程序一旦被激活,其源文件會立即自動刪除,查殺病毒無從下手。
計算機感染木馬病毒的最大危害就是,其被完全控制,為今后的失泄密留下安全隱患。那么,在網絡中斷的情況下,在非計算機上處理文件或用移動存儲介質拷貝文件也是不安全的。因為木馬程序在網絡中斷時會自動搜索、采集移動存儲介質里的文件,為入侵者聯網后竊密打下基礎,甚至有些木馬程序把搜集到的信息自動發送到入侵者的郵箱中。其具體表現就是盜取用戶密碼、監視鍵盤操作、損壞殺毒軟件等。
(五)計算機感染木馬病毒后的特征
計算機一旦感染木馬病毒,它的運轉就會變得異常,主要體現在:網絡瀏覽器會自動連接某個網站;篡改操作系統軟件的配置文件;文件無法徹底清除;莫名其妙警告或提示;存儲介質不能正常讀寫等。
計算機感染木馬病毒是當前最重要的失泄密途徑,除此之外,操作系統漏洞泄密、密碼設置不合理泄密、存儲介質使用不當泄密、電磁泄露泄密等也是常見的泄密途徑。
二、計算機與信息安全的防護技術和措施
(一)安裝防火墻
防火墻一詞(firewall)來源于早期的歐系建筑,它是建筑物之間的一道矮墻,用來防止發生火災時火勢的蔓延。在計算機網絡中,防火墻通過對數據包的篩選和屏蔽,防止非法的訪問進入內部或外部計算機網絡。比較公認的防火墻定義為:防火墻是位于可信網絡與不可信網絡之間并對二者之間流動的數據包進行檢查的一臺、多臺計算機或路由器。通常情況下,可信網絡指的是內部網,不可信網絡指的是外部網,比如國際互聯網等。內部網絡與外部網絡所有通信的數據包都必須經過防火墻,而防火墻只放行合法的數據包,因此,它在內部網絡與外部網絡之間建立了一個屏障。對于一般用戶來說,安裝個人防火墻就可以屏蔽掉絕大多數非法的探測和訪問,它不僅可以防止入侵者對主機的端口、漏洞進行掃描,還能阻止木馬進入主機。
目前,比較流行的防火墻軟件主要有:瑞星、金山網鏢、卡巴斯基、諾頓、麥卡非等。
(二)安裝殺毒軟件和使用專殺工具
據不完全統計,全球每天大約產生3000種以上的病毒或病毒變種,大部分互聯網計算機被感染,因此,安裝防殺毒軟件變得十分必要。由于防殺毒軟件查殺病毒的能力各有優勢,要針對病毒類型合理地選擇使用防殺毒軟件。有的時候,安裝在計算機上的殺毒軟件對一些病毒無能為力,既查不出來也清理不掉,這個時候就需要使用病毒專殺工具。另外,要及時更新防殺毒軟件,可以更好地防止和清除病毒,保持計算機正常、高效地運行。目前,卡巴斯基、瑞星、金山毒霸等都是大家公認的防殺毒能力較強的軟件,用戶可選擇使用。
(三)及時為操作系統、應用軟件打好補丁
任何一款操作系統,任何一個應用軟件都不是十全十美的,總有這樣或那樣的一些不足,這些不足我們稱之為漏洞。這些漏洞就為病毒的入侵提供了可乘之機,為此,及時更新軟件、打好補丁變得十分必要,這樣可以堵塞病毒入侵的漏洞。
(四)嚴格控制移動存儲介質的使用
移動存儲介質主要是指移動硬盤、優盤等使用方便、攜帶方便的存儲介質。它輕巧精致、存儲量大、時尚新潮,越來越受到人們的歡迎,不少單位已經把移動存儲介質作為辦公的標準存儲設備。殊不知,這些介質已經成了當前傳播病毒的重要工具,很多失泄密事件也由此而引起。《嚴密防范網絡泄密“十條禁令”》嚴格規定了計算機和移動存儲介質的使用,人人都要牢固樹立安全保密意識,切實遵守安全保密規定,嚴防失泄密事件的發生。
(五)科學合理設置計算機密碼
安全使用計算機,設置好開機密碼、用戶密碼、屏保密碼是不可或缺的重要手段,它可以防止計算機里存儲的信息被窺探、被盜取。設置密碼的要求是:1.同時設置上述三種密碼;2.密碼長度要在八位數以上;3.由字母、數字、特殊字符構成。這樣設置的密碼通常情況下是很難破解的,有利于保證計算機信息的安全。
(六)安裝安全管理保密系統
安全保密系統是局域網的一道安全屏障,它不僅可以防止病毒的入侵,還可以有效控制外接設備的隨意使用。
(七)為計算機配備防輻射干擾儀和屏蔽設施
防輻射干擾儀工作時,可以產生與計算機頻譜十分類似、強度較高的電磁信號,來覆蓋計算機產生的輻射,隱藏真正的信號,防止接受設備接收到計算機泄漏的電磁信息。
為計算機安裝屏蔽設施也可以較好地保護計算機和信息安全,一是能夠阻止信息的泄露;二是防止外部電磁信號的干擾和影響。
(八)養成使用計算機的良好習慣
[關鍵詞] 掃描 權限 后門
信息網絡和安全體系是信息化健康發展的基礎和保障。但是,隨著信息化應用的深入、認識的提高和技術的發展,現有信息網絡系統的安全性建設已提上工作日程。
入侵攻擊有關方法,主要有完成攻擊前的信息收集、完成主要的權限提升完成主要的后門留置等,下面僅就包括筆者根據近年來在網絡管理中有關知識和經驗,就入侵攻擊的對策及檢測情況做一闡述。
對入侵攻擊來說,掃描是信息收集的主要手段,所以通過對各種掃描原理進行分析后,我們可以找到在攻擊發生時數據流所具有的特征。
一、利用數據流特征來檢測攻擊的思路
掃描時,攻擊者首先需要自己構造用來掃描的IP數據包,通過發送正常的和不正常的數據包達到計算機端口,再等待端口對其響應,通過響應的結果作為鑒別。我們要做的是讓IDS系統能夠比較準確地檢測到系統遭受了網絡掃描。考慮下面幾種思路:
1.特征匹配。找到掃描攻擊時數據包中含有的數據特征,可以通過分析網絡信息包中是否含有端口掃描特征的數據,來檢測端口掃描的存在。如UDP端口掃描嘗試:content:“sUDP”等等。
2.統計分析。預先定義一個時間段,在這個時間段內如發現了超過某一預定值的連接次數,認為是端口掃描。
3.系統分析。若攻擊者對同一主機使用緩慢的分布式掃描方法,間隔時間足夠讓入侵檢測系統忽略,不按順序掃描整個網段,將探測步驟分散在幾個會話中,不導致系統或網絡出現明顯異常,不導致日志系統快速增加記錄,那么這種掃描將是比較隱秘的。這樣的話,通過上面的簡單的統計分析方法不能檢測到它們的存在,但是從理論上來說,掃描是無法絕對隱秘的,若能對收集到的長期數據進行系統分析,可以檢測出緩慢和分布式的掃描。
二、檢測本地權限攻擊的思路
行為監測法、文件完備性檢查、系統快照對比檢查是常用的檢測技術。虛擬機技術是下一步我們要研究的重點方向。
1.行為監測法。由于溢出程序有些行為在正常程序中比較罕見,因此可以根據溢出程序的共同行為制定規則條件,如果符合現有的條件規則就認為是溢出程序。行為監測法可以檢測未知溢出程序,但實現起來有一定難度,不容易考慮周全。行為監測法從以下方面進行有效地監測:一是監控內存活動,跟蹤內存容量的異常變化,對中斷向量進行監控、檢測。二是跟蹤程序進程的堆棧變化,維護程序運行期的堆棧合法性。以防御本地溢出攻擊和競爭條件攻擊。
監測敏感目錄和敏感類型的文件。對來自www服務的腳本執行目錄、ftp服務目錄等敏感目錄的可執行文件的運行,進行攔截、仲裁。對這些目錄的文件寫入操作進行審計,阻止非法程序的上傳和寫入。監測來自系統服務程序的命令的執行。對數據庫服務程序的有關接口進行控制,防止通過系統服務程序進行的權限提升。監測注冊表的訪問,采用特征碼檢測的方法,阻止木馬和攻擊程序的運行。
2.文件完備性檢查。對系統文件和常用庫文件做定期的完備性檢查。可以采用checksum的方式,對重要文件做先驗快照,檢測對這些文件的訪問,對這些文件的完備性作檢查,結合行為檢測的方法,防止文件覆蓋攻擊和欺騙攻擊。
3.系統快照對比檢查。對系統中的公共信息,如系統的配置參數,環境變量做先驗快照, 檢測對這些系統變量的訪問,防止篡改導向攻擊。
4.虛擬機技術。通過構造虛擬x86計算機的寄存器表、指令對照表和虛擬內存,能夠讓具有溢出敏感特征的程序在虛擬機中運行一段時間。這一過程可以提取與有可能被懷疑是溢出程序或與溢出程序程序相似的行為,比如可疑的跳轉等和正常計算機程序不一樣的地方,再結合特征碼掃描法,將已知溢出程序代碼特征庫的先驗知識應用到虛擬機的運行結果中,完成對一個特定攻擊行為的判定。
虛擬機技術仍然與傳統技術相結合,并沒有拋棄已知的特征知識庫。虛擬機的引入使得防御軟件從單純的靜態分析進入了動態和靜態分析相結合的境界,在一個階段里面,極大地提高了已知攻擊和未知攻擊的檢測水平,以相對比較少的代價獲得了可觀的突破。在今后相當長的一段時間內,虛擬機在合理的完整性、技術技巧等方面都會有相當的進展。目前國際上公認的、并已經實現的虛擬機技術在未知攻擊的判定上可達到80%左右的準確率。
三、后門留置檢測的常用技術
1.對比檢測法。檢測后門時,重要的是要檢測木馬的可疑蹤跡和異常行為。因為木馬程序在目標網絡的主機上駐留時,為了不被用戶輕易發現,往往會采取各種各樣的隱藏措施,因此檢測木馬程序時必須考慮到木馬可能采取的隱藏技術并進行有效地規避,才能發現木馬引起的異常現象從而使隱身的木馬“現形”。 常用的檢測木馬可疑蹤跡和異常行為的方法包括對比檢測法、文件防篡改法、系統資源監測法和協議分析法等。
2.文件防篡改法。文件防篡改法是指用戶在打開新文件前,首先對該文件的身份信息進行檢驗以確保沒有被第三方修改。文件的身份信息是用于惟一標識文件的指紋信息,可以采用數字簽名或者md5檢驗和的方式進行生成。
關鍵詞:木馬入侵:漏洞入侵;口令入侵
中圖分類號:TP393.8 文獻標識碼:A
許多上網的用戶對網絡安全可能抱著無所謂的態度,認為最多不過是被“黑客”盜用賬號,他們往往會認為“安全”只是針對那些大中型企事業單位的,而且黑客與自己無怨無仇,干嘛要攻擊自己呢?其實,在信息時代里,幾乎每個人都面臨著安全威脅,都有必要對網絡安全有所了解,并能夠處理一些安全方面的問題,那些平時不注意安全的人,往往在受到安全方面的攻擊時,付出慘重的代價時才會后悔不已。為了把損失降低到最低限度,我們一定要有安全觀念,并掌握一定的安全防范措施,讓黑客無任何機會可乘。只有了解了他們的入侵方式,我們才能采取準確的對策對付這些黑客。常見入侵方式有以下幾種:木馬入侵、漏洞入侵、口令入侵等。
1 木馬入侵
木馬不屬于病毒,它是設計藏在電腦中進行特定工作或依照黑客的操作來進行某些工作的程序。它是一個C/S結構的程序,運行在黑客的電腦上的是Client瑞,運行在目標電腦上的是Server端。當目標電腦連上互聯網后,Client端會發給Server端信息,然后聽候黑客指令,執行黑客指令。
機器中木馬的原因大概有以下幾種:
(1)黑客入侵后植入,如利用NetBIOS入侵后侵入。
(2)利用系統或軟件(IE、OutlookExpress)等的漏洞侵入。
(3)寄電子郵件后侵入,寄一封夾帶木馬程序的信件,只要收件者沒有警覺心、不注意網絡安全而運行它就可能成功侵入;或通過即時聊天軟件發送含木馬的鏈接或者文件,接收者運行后木馬就被成功侵入。
(4)在自己的網站上放一些偽裝后的木馬程序,宣稱它是好玩的或者是有用的工具等,讓不知情的人下載運行后便可成功侵入木馬程序。一般我們說的木馬程序多半是指功能強大且完整的工具,如冰河、SubSever等。他們通常可以進行如下黑客任務:
①復制各類文件或電子郵件、刪除各類文件、查看被黑者電腦中的文件,就如同使用資源管理器查看一樣。
②轉向入侵,利用被黑者的電腦來進入其他電腦或服務器進行各種黑客行為,也就是找個替罪羊。
③監控被黑者的電腦屏幕畫面,鍵盤操作來獲取各類密碼,例如進入各種會員網頁的密碼、撥號上網的密碼、網絡銀行的密碼、郵件密碼等。
④遠程遙控操作對方的Windows系統、程序、鍵盤。
預防方法:及時給系統打補丁,不要隨意打開來歷不明的郵件,不隨意下載和運行不明軟件,打開殺毒軟件的即時監控功能。
2 漏洞入侵
漏洞就是有缺陷的地方,而所謂的系統或軟件的漏洞,當然就是因在程序設計上的問題或考慮不夠周密而造成黑客可以利用這些漏洞有機可乘地進行入侵、攻擊或其他黑客任務,例如:Windows、IE等產品都有許多的漏洞。黑客通常是利用有漏洞的軟件下達命令、針對該漏洞的王具、自己設計的針對該漏洞的工具等方式來入侵、攻擊。不同的漏洞產生的原因與用法差別很大,怎樣利用該漏洞也是取決于漏洞本身,利用該漏洞能執行什么樣的黑客行為也取決于該漏洞本身的特性。比較著名的漏洞入侵有Unicode漏洞入侵、跨站腳本入侵、Sql注入入侵等。
預防方法:及時升級你的系統,及時給系統打補丁。補丁是漏洞的修補程序,一般某種漏洞被發現并公布后,系統廠商就會考慮及時修補該系統,于是補丁包。及時打補丁不但可以預防黑客入侵,還可以阻止病毒入侵,因為有些病毒就是針對系統的漏洞進行傳播、攻擊的。
3 口令入侵
口令入侵,是指破解口令或屏蔽口令保護。但實際上,真正的加密口令是很難逆向破解的。黑客們常用的口令入侵工具所采用的技術是仿真對比,利用與原口令程序相同的方法,通過對比分析,用不同的加密口令去匹配原口令。Internet上大多數服務器運行的是UNIX或類UNIX操作系統。在UNIX平臺上,用戶錄的ID和口令都存放在password中。UNIX以數據加密標準DES為基礎,以ID為密鑰,對口令進行加密。而加密算法是公開的。雖然加密算法公開,但目前還沒有能夠逆向破解其加密信息的方法。
預防方法:黑客們破解口令的過程大致如下:首先將大量字表中的單詞用一定規則進行變換,再用加密算法進行加密。看是否有與password文件中加密口令相匹配者,若有,則口令很可能被破解。單詞變換的規則一般有:大小寫交替使用;把單詞正向、反向拼寫后,接在一起(如mannam);在每個單詞的開頭或結尾加上數字1等等。同時,在Internet上有許多字表可用。如果用戶選擇口令不恰當,口令落入了字表庫,黑客們獲得了password文件,基本上就等于完成了口令破解任務。
“網頁掛馬”已成為木馬傳播的主要途徑之一,黑客往往在入侵網站后利用這種方式將木馬“種植”到瀏覽該網站的用戶計算機上并執行命令,以達到盜取用戶財物和控制用戶計算機的目的。日前,微點反病毒專家發現一種更為新穎的網頁掛馬方法,通過向“第三方”網站間接掛馬,實現病毒傳播速度、數量倍速增長,對網民危害極大。微點反病毒專家經過技術分析發現,與以往不同的是近期被掛馬的網站,其共同特征為被掛馬的地址完全相同。經核查,這批被掛馬網站均使用了國內某知名“統計網站”編寫的用于收集統計用戶瀏覽網頁數據信息的代碼。黑客正是利用該知名統計網站進行掛馬,從而使得所有使用了該統計代碼的網站全部被間接掛馬。如果用戶瀏覽了被間接掛馬的網站,木馬即被下載到用戶電腦中,下載的木馬被激活后,將注入系統關鍵進程中,并自動下載多種盜號木馬程序,同時完成自身木馬程序在線更新,釋放autorun.inf利用Windows自動播放功能并借助移動存儲介質廣泛傳播。利用統計網站間接掛馬的方式,使得病毒的傳播范圍和感染數量呈幾何級數增長,對社會危害極大。
微點反病毒專家介紹,這種新型的借助第三方進行間接“網頁掛馬”手段實為一種帶有濃郁牟利色彩的新型木馬傳播手段,可以迅速實現病毒大量傳播,已成為黑客“創收”不義之財聚寶盆。傳統的網頁掛馬手段只針對單一網站,并不會主動 “感染”其他網站,由于瀏覽特定網站的用戶數量終究有限,因此病毒傳播范圍并不是很大,對社會危害也較為有限。微點反病毒專家認為,統計網站間接掛馬方式將有可能取代傳統的單一網頁掛馬而成為未來網頁掛馬的主流途徑。黑客肆意尋找知名的第三方網站“下手”,成功入侵后對該網站進行掛馬,從而使得其他依賴該第三方網站功能的網站自動被中上了木馬頁面,這樣顯然極大地增強了木馬傳播能力。由于使用知名第三方網站功能的網站很多,使得病毒網頁能夠短時間內迅速膨脹傳播,對社會危害極大。
值得注意的是,使用間接掛馬的方法,使得單純分析網頁本身代碼的方法已無法發現網站是否被掛馬。微點反病毒專家在用戶的反饋中發現,由于間接掛馬手段的隱蔽性較強,很多網站的管理員甚至都不知道自己的網站已被掛馬。微點反病毒專家說,這種新型掛馬方式甚至能夠逃脫部分具有網頁監控的殺毒軟件的檢測,從而可以躲避傳統殺毒軟件的查殺。因此,建議廣大網友安裝使用具有主動防御功能的安全軟件,主動防御軟件特有的行為殺毒技術,針對此類復雜多變的木馬程序也有較好清除功能。
關鍵詞:計算機病毒,信息安全博物館
0.引言
當前,我們正處在飛速發展的信息社會,計算機已經普及到我們工作和學習的每個角落,我們對計算機和計算機網絡的依賴性也越來越高。隨著博物館信息化的推進,很多重要數據都以電子文件的形式保存,雖然現階段博物館擁有基本抵御網絡安全威脅的能力和硬件設施,但是針對數據、信息、身份等竊取為主的入侵攻擊、機密信息泄露、重要數據丟失等現象仍然時有發生,因此在博物館信息化建設中加強信息安全迫在眉睫。
1.博物館信息化建設中信息安全的重要性
信息是博物館的重要資源,信息安全是博物館信息化建設中的重要問題,特別是現代化博物館的信息化建設將由獨立的計算機服務器過渡到計算機網絡集成化管理,信息的安全問題更加突出。計算機病毒與互聯網黑客入侵,計算機管理及應用人員在使用中的疏漏等,都容易威脅到博物館信息化網絡系統的信息安全。
博物館的信息系統存在安全方面的問題主要表現在:①計算機病毒和互聯網黑客入侵。博物館網站的電子信箱每天都會接收到包括病毒程序和釣魚網頁鏈接的垃圾郵件,這對博物館的信息安全構成嚴重威脅,因此必須采取防病毒措施避免病毒和黑客程序在博物館計算機網絡內傳播。②博物館使用計算機的工作人員也必須保持安全防范意識,不要認為計算機安裝了殺毒軟件和病毒防火墻就不會遭受病毒和黑客的入侵,而要根據實際使用情況對殺毒軟件進行合理配置,打開殺毒軟件的實時監控功能,并且定期進行殺毒軟件的升級和相關病毒代碼庫文件的更新,保證殺毒軟件能夠查殺互聯網上最新流行的病毒。③做好計算機重要數據的備份。
博物館的計算機專業技術人員應經常對整個計算機網絡系統進行維護、檢測,發現問題及時解決,消除安全隱患。同時博物館在進行計算機硬件建設時不應忽視軟件方面的投資,一方面適當購買計算機信息安全產品,如企業級網絡版殺毒軟件、企業級防火墻軟件等,在技術方面消除安全隱患;另一方面就是對計算機技術人員的定期培訓,以提高計算機管理人員的網絡信息維護的能力。
2.計算機病毒的傳播途徑、處理方法及預防技巧
計算機病毒程序的傳播途徑主要有以下兩種:①通過存儲介質。存儲介質包括軟盤、硬盤(包括移動硬盤)、光盤、優盤和各種數碼設備的存儲介質(包括MP3、MP4、數碼伴侶、SD卡、CF卡)等,這些存儲介質存放用戶需要的信息數據文件,一旦這些信息數據文件受到病毒的感染,這些存儲介質將會成為病毒傳播的物理介質。②通過網絡方式。網絡方式包括電子郵件、互聯網地址頁面、網絡協議等,互聯網絡的普及給病毒的傳播增加了新的途徑。目前新型的病毒程序不但能夠感染計算機的數據文件,而且能夠主動對網絡上的計算機進行攻擊,并造成大規模的計算機中毒,進而使整個計算機網絡陷入癱瘓狀態。
計算機病毒的處理方法:首先判斷計算機是否感染病毒程序,只需要查看計算機中的安全軟件或殺毒軟件能否正常運行;如果安全軟件或殺毒軟件都不能正常運行的話,就基本確定計算機被病毒感染了。其次為防止病毒在網絡上傳播和相互感染,在處理感染病毒的計算機前,都必須斷開計算機的物理網絡連接,然后進行計算機病毒的清除工作。再次根據計算機感染病毒的具體特性,采用針對病毒特性的方法進行查殺病毒。最后連接計算機網絡并且升級安全軟件和殺毒軟件,確保它們處于正常運行的狀態,避免計算機受到病毒程序和木馬程序的重復感染。免費論文參考網。
預防計算機病毒有以下技巧:①在計算機上安裝安全軟件并且更新到最新版本,及時升級計算機操作系統安全補丁,定期檢查計算機系統的整體安全性。免費論文參考網。②在計算機上安裝殺毒軟件,開啟殺毒軟件的實時監控功能,及時更新殺毒軟件的病毒特征數據庫,定期檢查計算機內的所有文件,檢測可能入侵計算機的未知病毒程序。③在計算機上安裝防火墻軟件,設置合適的防火墻軟件安全策略,能夠有效阻止來自互聯網絡上黑客的入侵攻擊。④建立良好的計算機使用習慣,例如不要打開來歷不明的郵件及其附件,不要訪問不太了解的網站,不要運行從互聯網上下載后未經殺毒處理的軟件等。⑤在使用各種存儲介質前,先運行殺毒軟件對存儲介質進行病毒檢查,在確認沒有病毒的情況下才打開存儲介質里的文件。⑥定期對計算機進行全盤病毒木馬掃描,及時發現隱藏在計算機中的各種病毒木馬程序。
3.計算機網絡入侵的攻擊方法和防范措施
在互聯網普及的時代,博物館信息化建設需要結合計算機網絡新技術,在抵御病毒入侵的同時,更加需要抵御來自互聯網的黑客入侵攻擊。黑客入侵的攻擊方法有:掃描器法、特洛伊木馬法、拒絕服務攻擊法等。
(1)掃描器是利用客戶機/服務器(簡稱C/S)結構中的“請求——應答”機制來實現的。它通過使用不同的請求信息依次向遠程主機或本地主機發送服務請求,如果遠程主機或本地主機有響應,則表明與服務請求所對應的服務正在進行中,這時再進一步分析和確定服務軟件的版本信息,并試探該版本中的漏洞是否存在,從而實現掃描的目的。網絡入侵掃描器具備的基本功能包括:利用網絡命令掃描并且發現目標主機及其所在的計算機網絡,發現目標主機后能夠掃描目標主機正在運行的各種服務及其對應的端口,能夠掃描并測試目標主機上這些服務中是否存在漏洞,能夠結合其它黑客工具對目標主機實施攻擊并且達到控制目標主機的作用。免費論文參考網。
預防掃描器法網絡入侵攻擊的方法是:使用正版的操作系統軟件并及時安裝操作系統的漏洞補丁升級程序,使用正版的各種應用程序軟件并及時安裝軟件的升級補丁程序,保持操作系統和應用軟件處于最新的版本,使用安全軟件檢查系統軟件,這樣能夠有效防止因系統漏洞或者軟件漏洞而導致計算機被網絡掃描器攻擊入侵。
(2)特洛伊木馬(簡稱木馬)是一種C/S結構的網絡應用程序。木馬的服務器端程序可以駐留在目標主機上以后臺方式自動運行,攻擊者使用木馬的客戶端程序與駐留在目標主機上的服務器木馬程序進行通信,進而獲取目標主機上的各種信息。例如,竊取用戶口令、復制或刪除文件、控制目標主機等。
計算機系統中出現木馬程序的原因主要有三種:第一種是合法用戶故意獲得木馬程序并將其安裝在系統上;第二種是互聯網上免費提供下載的軟件被植入木馬程序,合法用戶在安裝該軟件時,無意識地將木馬程序安裝到了系統上;第三種是合法用戶訪問掛馬網站激活了網頁木馬而中毒。網頁木馬防不勝防,主要有兩個原因:一、網頁木馬利用用戶電腦中的各式各樣的漏洞偷偷潛入;以往最多的是系統漏洞,現在主流的都是第三方軟件漏洞,因為很多用戶都沒有給軟件打安全補丁的習慣。二、木馬在變成網頁木馬之前,一般都會針對各種流行的殺毒軟件使用加花、加殼等手段進行病毒免殺處理,從而逃避殺毒軟件的查殺。
預防木馬入侵的方法是:不要打開來歷不明的軟件程序;不要打開未知的互聯網網頁地址;通過安全軟件檢查計算機操作系統是否存在木馬程序。
(3)拒絕服務攻擊(簡稱DoS攻擊)是指攻擊者通過消耗或破壞目標系統上的網絡帶寬、系統資源、服務程序使目標系統無法提供正常的網絡服務。DoS攻擊會導致計算機系統資源匱乏,無論計算機的處理速度多快、內存容量多大、網絡帶寬的速度多快,都無法避免這種攻擊帶來的后果,因此DoS攻擊是一種對計算機網絡危害巨大的惡意攻擊。DoS攻擊以分布式拒絕服務攻擊(簡稱DDoS攻擊)最為典型。發動一次DDoS攻擊,攻擊者首先控制大量的僵尸機(攻擊者通過操作系統或某些常用應用程序的漏洞來獲得訪問主機系統的權限,并在主機系統里安裝木馬程序,這些被入侵的主機系統就是僵尸機),大量的僵尸機組織在一起就形成一個僵尸網絡,攻擊者控制僵尸網絡同時以高速度向目標主機發送大量的數據包,目標主機就會因處理源源不斷的數據包而迅速消耗系統資源,最終導致目標主機無法響應正常的請求或死機。
防范拒絕服務攻擊的對策有:①進行拒絕服務檢測,如主機異常情況的檢測、主機網絡連接特征的檢測、偽造數據包的檢測、統計檢測等;②增強容忍拒絕服務攻擊的能力;③阻止拒絕服務攻擊,如通過入口過濾、源端統計過濾、基于路由過濾等方式來過濾明顯偽造的數據包;④追蹤拒絕服務攻擊;⑤網絡的邊界過濾;⑥合理編寫防火墻規則和路由器的訪問控制列表,合理過濾數據流;⑦網絡的流量控制;⑧網絡帶寬提供冗余,關鍵的防火墻和服務器提供備份;⑨盡量為系統打好必須的安全補丁;⑩服務器采用DNS輪詢或負載均衡技術等等。拒絕服務攻擊問題一直以來得不到根本的解決,是因為這是由于計算機網絡協議本身的安全缺陷造成的,因此無法從根本上抵御拒絕服務攻擊。【1】
4.加強博物館網絡安全和提高安全防范技能,有效保護博物館信息化建設成果
博物館的計算機網絡安全是保護博物館計算機網絡系統中的硬件、軟件和數據資源,不因偶然或其他的原因遭到破壞、更改、泄露,使博物館計算機網絡系統能夠連續可靠地正常運行并提供網絡服務。加強博物館計算機網絡安全和提高博物館計算機網絡安全防范技能有以下的對策:
(1)在技術層面的對策。①加強網絡安全教育和管理。提高工作人員的保密觀念和責任心, 教育工作人員嚴格遵守操作規程和各項保密規定,防止人為事故的發生。②運用網絡加密技術保護網絡傳輸的數據。把各種加密算法結合在一起使用,這樣可以更加有效地加強網絡的完全性。網絡加密技術也是網絡安全最有效的技術之一,既可以對付惡意軟件攻擊又可以防止非授權用戶的訪問。③加強計算機網絡訪問控制。訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非常訪問,也是維護網絡系統安全、保護網絡資源的重要手段。④信息資源數據庫的備份與恢復。博物館信息資源數據庫的備份與恢復是數據庫專業技術人員維護博物館信息數據安全性和完整性的重要操作。⑤采用防火墻技術是解決網絡安全問題的主要手段。防火墻是在網絡之間執行訪問控制策略的系統,通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,而且防火墻具有較強的抗攻擊能力。
(2)在物理層面的對策。①保證博物館計算機網絡系統實體有安全的物理環境條件,如溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴格的標準。②選擇博物館信息中心機房安裝場所十分重要,它直接影響到計算機系統的安全性和可靠性,而且要注意其外部環境安全性、地質可靠性、場地抗電磁干擾性,避開強振動源和強噪聲源,避免設在建筑物高層和用水設備的下層或隔壁,還要注意出入口的管理。③博物館信息中心機房的安全防護是針對環境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網絡設施、重要數據而采取的安全措施和對策。首先物理訪問控制識別訪問用戶的身份并對其合法性進行驗證,其次對來訪者必須限定其活動范圍,再次要在計算機系統中心設備外設多層安全防護圈防止非法暴力入侵,最后信息中心計算機系統設備所在的建筑物應具有抵御各種自然災害的設施。【2】
5.結論
我們只有重視博物館信息化建設中信息安全的重要性,做好各項措施預防計算機病毒并且有效抵御互聯網的黑客入侵攻擊,加強博物館計算機網絡安全和提高博物館計算機網絡安全防范技能,才能保障博物館信息化建設成果。
參考文獻:
[1]王海彬. 網絡拒絕服務攻擊及防范對策[J]. 網管員世界,2008,24:98-102.
[2]顧巧論,高鐵杠,賈春福. 計算機網絡安全[M], 清華大學出版社,2008,6.
[3]張洪彪. 淺談計算機網絡安全與防范[J]. 決策與信息,2009,12:186-188.
1垃圾郵件的危害
電子郵件具有公開性與廣泛性的特點,從而使不法入侵者通過發送一些垃圾郵件的形式來實施攻擊。垃圾郵件通常不能夠直接危害到用戶計算機的安全,可是郵件的發送占用了很多的流量,會導致用戶的網絡變慢,甚至會導致郵件系統的崩潰,一些垃圾郵件占用郵箱的空間,在垃圾郵件當中隱藏著一些木馬程序和病毒,危害著網絡的安全。
2黑客攻擊的危害
黑客能夠應用他人計算機的系統漏洞,非法地訪問計算機。黑客的攻擊方式有非破壞性與破壞性兩類:非破壞性的攻擊通常是僅僅是擾亂計算機系統的正常運轉;破壞性的攻擊通常是盜取別人的信息資料,破壞對方的數據。黑客往往使用竊取用戶密碼和木馬程序的攻擊方式。
3特洛伊木馬程序的危害
特洛伊木馬程序是一種比較特殊的計算機病毒,具有危害較大,較為常見,類別較多的特點。特洛伊木馬能夠直接侵入用戶的計算機,盜取信息。在侵入計算機后,木馬病毒把自己偽裝成程序或游戲,隱藏在計算機當中,一旦把這些程序或游戲打開,木馬就能夠盜用和復制計算機的參數、文件等,控制用戶的計算機。
4計算機病毒的危害
當前,威脅計算機網絡安全的主要因素是計算機病毒。計算機病毒指的是一些特定的程序代碼或指令。一旦計算機系統受到病毒的入侵,就能夠在軟件程序或存儲介質當中得以寄生,隨后實施自我復制,網絡是當前傳播病毒的主要方式,病毒的傳播依靠互聯網,具有隱蔽性強,清除難度大,傳染速度快的特點。計算機病毒會降低計算機的工作效率,破壞計算機的數據資料。
5用戶的安全觀念較差
系統的管理人員沒有妥善地保管配置信息、口令、密碼,就可能泄露系統的信息。此外,有不少的用戶沒有充分地認識到計算機網絡的安全問題,不遵循網絡安全的有關要求,沒有定期地維護、檢查與監控網絡環境,沒有實施必要的防范措施。
6不適當的系統配置
計算機的網絡系統是非常復雜的,它需要結合相關要求與網絡環境的變化進行配置,倘若沒有進行適當的配置,那么就會威脅到網絡的安全,比如,設置不適當的防火墻軟件,就會使防火墻失去應有的意義。一些特定的程序會直接影響到一系列相關的配置,一些用戶亂配置系統,就會導致安全隱患。
二、防范建議
1安裝防火墻
防火墻是確保網絡安全的最有效、最基本的策略,是外部網和內部網之間的門戶。防火墻在內部網絡與外部網絡之間創建了一套通信監控系統,來篩選、限制與檢測進出的數據流,屏蔽外部的網絡,禁止訪問沒有進行授權的用戶,實現保護計算機網絡的效果。防火墻技術由安全路由器、應用級、地址翻譯和數據包過濾等技術組成。
2備份與恢復機制
備份與恢復機制能夠在發生網絡安全事故的情況下迅速地恢復想要的服務。備份與恢復機制的實現需要借助于多個層次,首先要避免損壞硬件設施,其次系統的備份需要借助于軟件層面,需要養成定期備份重要數據的習慣。
3防治病毒的策略
針對計算機病毒,需要注重預防。首先確保具備有效的計算機防護機制。其次重視選擇軟件與操作系統,并實時地更新軟件與操作系統,以減少漏洞。還需要重視選擇殺毒軟件,保證所安裝的殺毒軟件是正版的,并實時地更新與檢查殺毒軟件,以及實施定期地殺毒。
4網絡加密技術
數據加密技術通常跟防火墻技術配套使用,能夠提高數據的安全系數,避免數據被盜竊。它的使用方法是應用一些算法來加密數據,使它變成一些亂碼,隨后發送數據,到達目的地后再用同樣的算法實施還原,這樣可以避免泄露機密信息。
5訪問控制技術
訪問控制技術能夠根據一定的規則判斷用戶的進程,使用戶合法地訪問數據,并限制重要資源的訪問,以避免非法的用戶入侵重要的數據資源。訪問控制包括高層訪問控制與低層訪問控制,高層訪問控制的方式是檢查權限與身份這兩個方面,通過對比和檢查用戶的權限、口令來實施的,低層訪問控制是通過判斷網絡通信協議當中的信息特征來實施的。訪問控制技術是保護網絡安全的一種核心手段。
6入侵檢測技術
1.救活“假死”的電腦
電腦出錯的問題,常用電腦的人幾乎都遇到過。玩游戲或是用某個軟件時電腦突然沒有了反應,鼠標的指針雖然能夠移動,但點擊鼠標沒有反應,你無法操作電腦了,這種情況稱為電腦“假死”。這時按電腦主機上的Reset鍵重新啟動電腦,讓電腦放棄現在運行出錯的程序重新開始工作,電腦就又“復活”了。這可能是菜鳥最常用的解決問題的方法了,簡單、實用、有效。
但這個方法有一些副作用,如可能會在硬盤中形成很多無用的垃圾文件。另外,如果電腦正同時執行多個任務,當一個程序造成電腦“假死”時,按Reset鍵等于是不分青紅皂白把所有任務都拋棄掉重新開始,這有點濫殺無辜的味道了。在沒有(或你不會用)任務管理器時,這種“濫殺無辜”是無奈之舉,有了任務管理器,就不要濫用Reset鍵了。
小提示
自學電腦的法寶――Reset鍵
告訴你一個小秘密,電腦不是學會的,而是用會的。自學的主要手段不是看書,而是試用和摸索。這個圖標有什么用?點擊一下試試。那個程序有什么功能?運行一下試試。試用了這個程序后退不出來了怎么辦?試亂了電腦找不回桌面了怎么辦?沒關系,有萬能鑰匙――Reset鍵,按下它后,經過電腦的重新啟動,熟悉的Windows就又回來了,我們又可以重新開始我們的自學電腦冒險之旅了。機箱上的Reset鍵是我們學電腦不求人的第一大法寶。
要是連Windows也進不去了怎么辦?這時我們要請出自學電腦的第二大法寶――重裝系統,這確實需要向高手學習幾分鐘。掌握這兩大法寶,你就可以大膽地進行你的自學電腦冒險之旅,再也不會有一不小心“用壞”電腦而四處求人的后顧之憂了。
2.拷大文件時干別的也不影響速度
現在的U盤越來越大,連8GB的都有了,這無疑給我們轉移大文件提供了很大的便利。你也許遇到過往U盤里復制幾GB的文件要等幾十分鐘的事,這時你總不會坐在那里干等吧,我們知道Windows可以同時干多項任務,那么在復制文件的時候玩玩Flash小游戲怎樣?可玩游戲會不會使復制文件的速度變慢呢?那可有點得不償失了。別擔心,調出任務管理器,把你認為重要的任務的優先級設為高,不重要的任務的優先級設為低就可以了。
經過如下圖這樣的設置,你就不用擔心玩小游戲會影響復制文件的速度了。你也不用太擔心任務管理器的警告,因為只要重啟電腦,程序的優先級就又恢復正常了。
3.自己查殺木馬 體驗當高手的感覺
如果你想體驗一下當高手的感覺,就學習一下用任務管理器找出運行程序所在的位置方法吧。首先調出任務管理器,在“進程”選項卡中選中你關心的“進程”(通常它就是一個可執行文件)。
如果你在“進程”選項卡中選中一個“進程”后選“結束進程”,就可以終止這個正在運行的程序。
小提示
學會這些不但有實用價值,還有經濟價值呢!現在上網的人都痛恨一個東西――木馬,它不但會使你的電腦運行速度變慢,還會竊取你電腦中的秘密,如QQ密碼、銀行賬號和密碼等,就算你電腦中沒有什么值錢的信息,也不希望別人窺探你的隱私吧。買殺毒軟件不但貴,而且每年還要交年費,簡直是個無底洞。免費的殺毒軟件經常是能查毒不能殺毒,如果你用免費殺毒軟件查到自己的電腦里有木馬,選“清除木馬”時卻告訴你要交費注冊才能清除,這時你該怎么辦?上面學會的方法就有用了。
隨著黑客技術的“普及”,以獲利為目的的病毒、惡意、木馬軟件開始在互聯網泛濫。由此帶來的安全市場的動蕩難以想像。據有關數據顯示,2007年上半年截獲的惡意軟件數量達到14萬,其中90%是以盜竊帳號為目的的木馬程序。
隨著股市的火爆,網上虛擬資產的失竊事件,也在一夜間成為互聯網公害。
一個典型的故事版本是:為了鼓勵注冊,互聯網公司迅雷曾經向十個注冊用戶頒發獎品。然而,消息公布之后,這十個注冊用戶帳號很快全部失竊,獎品也全被盜竊者冒領。
“目前中國法律對于虛擬財產的保護還處于空白狀態。大量黑客都在盜竊虛擬資產,卻很少有人因此受到嚴懲。”周鴻t說,這種“無法可依”的局面也在加劇了黑客產業化形成的趨勢。
變味
黑客的身影已經存在了多年。但在中國的變質,卻只有幾年時間。
20世紀70年代,幾個青少年用破壞新注冊的電話系統的行為挑戰權威,他們成為黑客的最早樣板。“黑客”因此也成為一個褒義詞,指那些盡力挖掘計算機程序的最大潛力的電腦精英。
當時,美國雅皮士社會運動發起了“青年國際陣營聯盟/技術協助計劃”,以黑客技術實現免費長途通話功能。加利福尼亞某電腦俱樂部的兩名成員開始制作“藍盒子”,并用這種裝備侵入電話系統。這兩名成員,一個綽號“伯克利藍”(即SteveJobs),另一個綽號“橡樹皮”(即SteveWozniak),他們后來創建了蘋果電腦。
據他們在回憶錄透露,當時在破解電話系統之后,他們自己打電話從來不使用這種裝備,而是自己花錢。“因為他們的目的不是牟利,而是挑戰權威,大多是惡作劇。”周鴻t如此評論說。
實際上,早期的病毒作者的動機也同樣“單純得可愛”。
1998年,臺灣青年陳盈豪編寫了臭名昭著的CIH病毒,造成的損失在當時可謂“史無前例”,但諷刺的是,陳盈豪編寫它的動機卻是“出一家在廣告上吹噓‘百分之百防毒軟件’的洋相”。陳盈豪并沒有通過CIH賺一分錢。
然而時至今日,國內黑客不求牟利的已經少之又少。在過去兩年,大量流氓軟件充斥國內互聯網,甚至發展到人人喊打的地步。隨后,病毒、木馬等黑客技術也快速加入到利益鏈條中來。調查顯示,我國有7成的網民曾經丟失過QQ帳號,6成的網民因此不敢使用網上支付平臺。
業內人士透露,目前我國已經基本形成了制造木馬、傳播木馬、盜竊賬戶信息、第三方平臺銷贓、洗錢,分工明確的木馬程序產業鏈。2007年上榜的“毒王”中,“AV終結者”、“熊貓燒香”、“灰鴿子”等均屬此例。這些“毒王”的威脅更是無處不在:無論是網銀中真實的錢,還是虛擬財產,都可能成為他們瞄準的對象。
最為可怕的是,由于暴利驅使,且犯罪成本低,網上甚至出現了公開授課“如何制作木馬程序”的團伙。據奇虎360安全衛士負責人傅勝透露,目前從事木馬傳播的大多是不具備“專業知識”的普通少年,他們可以輕易在網上買到木馬文件,而且用50元就能給木馬加一層“外殼”,從而產生新的木馬變種。據他透露,之前流行的“灰鴿子”病毒官方統計就有6萬多種,其中大部分是由眾多的“少年黑客”自行制作。
考驗
這樣的形勢也對殺毒軟件廠商提出嚴峻挑戰。隨著流氓軟件、木馬技術的發展,傳統的殺毒軟件已經很難真正給網民“保駕護航”。
據傅勝解釋,這種尷尬局面的形成,也與殺毒軟件的運作原理有關,因為殺毒軟件一般都是查殺已知軟件,對于潛在的病毒和木馬束手無策。隨著病毒、木馬及其變種數量的激增,這種查殺方式顯然很難滿足網上安全的需求,而且對于任何殺毒軟件廠商,統計已知病毒也是一件難以承受的浩大工程。
“而且木馬存在滯后效應。病毒中了可以殺掉,木馬中了再去殺的話,你的隱私和虛擬財富可能已經被竊了。”傅勝解釋說。
在這種背景下,木馬查殺和預防工具因此受到網民極大歡迎。最近,艾瑞咨詢了《2007中國個人網絡安全研究報告》。該報告顯示,國內安全市場三強排名已改頭換面,除了瑞星還穩坐老大的位置外,老牌的金山和江民竟不知所蹤,諾頓呈現明顯下滑趨勢。崛起的新生力量竟是“反流氓軟件”360安全衛士,以及與之合作的卡巴斯基。
這一份報告引起了殺毒廠商的強烈抗議,金山公司公關發言人許曉輝對外聲稱,艾瑞報告統計方法存在明顯的作弊行為。另一殺毒廠商也聲稱,將殺毒軟件與360安全衛士排列一起并不科學,因為“兩者定義不一樣,而且,殺毒軟件收費,360只是個免費小軟件”。
不過,周鴻t對此不屑一顧。“現在用戶的需求已經發生變化,安全市場已經不再是殺毒軟件的事,而是病毒、流氓軟件、木馬的綜合治理,殺毒軟件和木馬查殺工具缺一不可。”據他透露,目前360安全衛士已經擁有4000萬用戶,同樣免費的瑞星卡卡也擁有1600多萬用戶,其力量不容忽視。
