網(wǎng)絡(luò)安全計(jì)算機(jī)病毒

網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第一頁，共四十六頁。網(wǎng)絡(luò)安全的構(gòu)成物理安全性設(shè)備的物理安全：防火、防盜、防破壞等通信網(wǎng)絡(luò)安全性防止入侵和信息泄露系統(tǒng)安全性計(jì)算機(jī)系統(tǒng)不被入侵和破壞用戶訪問安全性通過身份鑒別和訪問控制，阻止資源被非法用戶訪問數(shù)據(jù)安全性數(shù)據(jù)的完整、可用數(shù)據(jù)保密性信息的加密存儲(chǔ)和傳輸?shù)诙?，共四十六頁。安全的分層結(jié)構(gòu)和主要技術(shù)物理安全層網(wǎng)絡(luò)安全層系統(tǒng)安全層用戶安全層應(yīng)用安全層數(shù)據(jù)安全層加密訪問控制授權(quán)用戶/組管理單機(jī)登錄身份認(rèn)證反病毒風(fēng)險(xiǎn)評(píng)估入侵檢測(cè)審計(jì)分析安全的通信協(xié)議VPN防火墻存儲(chǔ)備份第三頁，共四十六頁。計(jì)算機(jī)病毒概述第四頁，共四十六頁。計(jì)算機(jī)病毒的概念計(jì)算機(jī)病毒是一種特殊的“計(jì)算機(jī)程序”，它不僅能破壞計(jì)算機(jī)系統(tǒng)，而且還能夠傳播、感染到其它系統(tǒng)。它通常隱藏在其它看起來無害的程序中，能生成自身的復(fù)制品并將其插入其它的程序中，執(zhí)行惡意的操作《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第28條明確指出：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！彪S著Internet技術(shù)的發(fā)展，計(jì)算機(jī)病毒的含義也在逐步發(fā)生著變化。與計(jì)算機(jī)病毒特征和危害有類似之處的“特洛伊木馬”和“蠕蟲”，從廣義角度而言也可歸為計(jì)算機(jī)病毒之列第五頁，共四十六頁。計(jì)算機(jī)病毒的發(fā)展過程-1磁芯大戰(zhàn)20世紀(jì)60年代初，美國(guó)貝爾實(shí)驗(yàn)室三個(gè)年輕的程序員編寫的一個(gè)游戲，游戲中的一方通過復(fù)制自身來擺脫對(duì)方的控制，這就是所謂“計(jì)算機(jī)病毒第一個(gè)雛形”。巴基斯坦智囊20世紀(jì)80年代后期，巴基斯坦兩個(gè)以編軟件為生的兄弟,為了打擊那些盜版軟件的使用者而設(shè)計(jì)，該病毒只傳染軟盤引導(dǎo)區(qū)。這就是最早在世界上流行的第一個(gè)真正的病毒。20世紀(jì)90年代以前病毒的弱點(diǎn)被感染的文件大小明顯增加病毒代碼主體沒有加密。訪問文件的日期得到更新。很容易被debug工具跟蹤第六頁，共四十六頁。計(jì)算機(jī)病毒的發(fā)展過程-2能對(duì)自身進(jìn)行簡(jiǎn)單加密的病毒1741病毒：用DIR列目錄表的時(shí)候，這個(gè)病毒就會(huì)掩蓋被感染文件后增加的字節(jié)數(shù)，使人看起來文件的大小沒有什么變化DIR2病毒：1992年出現(xiàn)，整個(gè)程序大小只有263個(gè)字節(jié)宏病毒美麗莎,臺(tái)灣一號(hào)等病毒生產(chǎn)機(jī)1996年下半年在國(guó)內(nèi)終于發(fā)現(xiàn)了“G2、IVP、VCL”三種“病毒生產(chǎn)機(jī)軟件”第七頁，共四十六頁。計(jì)算機(jī)病毒的發(fā)展過程-3Internet的廣泛應(yīng)用，激發(fā)了病毒的活力CIH惡性病毒1998年2月，由臺(tái)灣省學(xué)生陳盈豪編寫，并定于每年的4月26日發(fā)作破壞。破壞主板BIOS通過網(wǎng)絡(luò)（軟件下載）傳播全球有超過6000萬臺(tái)的機(jī)器被感染第一個(gè)能夠破壞計(jì)算機(jī)硬件的病毒全球直接經(jīng)濟(jì)損失超過10億美元“美麗莎”病毒1999年2月，席卷了整個(gè)歐美大陸世界上最大的一次病毒浩劫，也是最大的一次網(wǎng)絡(luò)蠕蟲大泛濫在16小時(shí)內(nèi)席卷全球互聯(lián)網(wǎng)至少造成10億美元的損失！通過email傳播傳播規(guī)模（50的n次方，n為傳播的次數(shù)）第八頁，共四十六頁。計(jì)算機(jī)病毒的發(fā)展過程-4“愛蟲”網(wǎng)絡(luò)蠕蟲病毒2000年5月出現(xiàn)，vbs腳本病毒微軟、Intel等在內(nèi)的大型企業(yè)網(wǎng)絡(luò)系統(tǒng)癱瘓全球經(jīng)濟(jì)損失達(dá)幾十億美元特點(diǎn)通過電子郵件傳播，向地址本中所有用戶發(fā)帶毒郵件通過聊天通道IRC、VBS、網(wǎng)頁傳播能刪除計(jì)算機(jī)內(nèi)的部分文件制造大量新的電子郵件，使用戶文件泄密、網(wǎng)絡(luò)負(fù)荷劇增。一年后出現(xiàn)的愛蟲變種VBS／LoveLetter．CM它還會(huì)在Windows目錄下駐留一個(gè)染有CIH病毒的文件，并將其激活。第九頁，共四十六頁。計(jì)算機(jī)病毒的發(fā)展過程-5第十頁，共四十六頁。計(jì)算機(jī)病毒的發(fā)展過程-6紅色代碼II

特點(diǎn)具有紅色代碼的特點(diǎn)可以攻擊任何語言的系統(tǒng)在遭到攻擊的機(jī)器上植入“特洛伊木馬”，擁有極強(qiáng)的可擴(kuò)充性未感染則注冊(cè)Atom并創(chuàng)建300個(gè)病毒線程當(dāng)判斷到系統(tǒng)默認(rèn)的語言ID是中華人民共和國(guó)或中國(guó)臺(tái)灣時(shí)，線程數(shù)猛增到600個(gè)IP隨機(jī)數(shù)發(fā)生器產(chǎn)生用于病毒感染的目標(biāo)電腦IP地址。(40萬/天）當(dāng)病毒在判斷日期大于2002年10月時(shí)，會(huì)立刻強(qiáng)行重啟計(jì)算機(jī)

造成的損失網(wǎng)絡(luò)性能急劇下降，路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備負(fù)載加重，甚至崩潰等硬盤數(shù)據(jù)能夠被遠(yuǎn)程讀寫直接經(jīng)濟(jì)損失：26億美元第十一頁，共四十六頁。計(jì)算機(jī)病毒的發(fā)展過程-7第十二頁，共四十六頁。計(jì)算機(jī)病毒的發(fā)展過程-8中國(guó)黑客2002年6月6日出現(xiàn)，發(fā)明了全球首創(chuàng)的“三線程”技術(shù)主線程：往硬盤寫入病毒文件或感染其他執(zhí)行文件分線程1：監(jiān)視主線程并保證主線程的運(yùn)行，一旦主線程被清除，這個(gè)監(jiān)視器就將主病毒體再次調(diào)入分線程2：不斷監(jiān)視注冊(cè)表的某個(gè)值（run項(xiàng)），一旦被人工或反病毒軟件修改，他立即重新寫入這個(gè)值，保證自己下次啟動(dòng)時(shí)拿到控制權(quán)病毒的特點(diǎn)很多反病毒軟件一般都是直接修改會(huì)引起病毒自動(dòng)加載的注冊(cè)表選項(xiàng)，但是中國(guó)黑客病毒馬上又將這個(gè)值改回去在傳播方式上，“中國(guó)黑客”尋找用戶郵件地址薄來向外發(fā)病毒郵件傳播，或通過局域網(wǎng)傳播在Windows95/98/Me系統(tǒng)下，“中國(guó)黑客”病毒學(xué)習(xí)了CIH病毒，取得了系統(tǒng)的最高權(quán)限”中國(guó)黑客”病毒還預(yù)留了接口，只要作者愿意的話很多破壞功能與傳播方式很快就可以加上病毒體內(nèi)的感染開關(guān)沒有打開，所以目前此病毒還不能感染文件，但實(shí)際上病毒體內(nèi)的感染代碼已經(jīng)比較完整，加上幾行代碼就可以實(shí)現(xiàn)感染W(wǎng)indows下的.EXE、.DLL、.SCR等文件

第十三頁，共四十六頁。病毒的發(fā)展趨勢(shì)病毒向有智能和有目的的方向發(fā)展未來凡能造成重大危害的，一定是“蠕蟲”“蠕蟲”的特征是快速地不斷復(fù)制自身，以求在最短的時(shí)間內(nèi)傳播到最大范圍病毒開始與黑客技術(shù)結(jié)合，將會(huì)為世界帶來無可估量的損失從Sircam、“尼姆達(dá)”、“求職信”、“中文求職信”到“中國(guó)黑客”，這類病毒越來越向輕感染文件、重復(fù)制自身的方向發(fā)展病毒的大面積傳播與網(wǎng)絡(luò)的發(fā)展密不可分基于分布式通信的病毒很可能在不久即將出現(xiàn)未來病毒與反病毒之間比的就是速度，而增強(qiáng)對(duì)新病毒的反應(yīng)和處理速度，將成為反病毒廠商的核心競(jìng)爭(zhēng)力之一第十四頁，共四十六頁。計(jì)算機(jī)病毒的產(chǎn)生開個(gè)玩笑，一個(gè)惡作劇產(chǎn)生于個(gè)別人的報(bào)復(fù)心理用于版權(quán)保護(hù)用于經(jīng)濟(jì)、軍事和政治目的第十五頁，共四十六頁。計(jì)算機(jī)病毒的特征-1破壞性傳染性隱蔽性潛伏性不可預(yù)見性針對(duì)性第十六頁，共四十六頁。計(jì)算機(jī)病毒的特征-2破壞性破壞系統(tǒng)的正常運(yùn)行，主要表現(xiàn)有占用系統(tǒng)資源、破壞用戶數(shù)據(jù)、干擾系統(tǒng)正常運(yùn)行。惡性病毒的危害性很大，嚴(yán)重時(shí)可導(dǎo)致系統(tǒng)死機(jī)，甚至網(wǎng)絡(luò)癱瘓傳染性也叫自我復(fù)制或叫傳播性，這是其本質(zhì)特征。在一定條件下，病毒可以通過某種渠道從一個(gè)文件或一臺(tái)計(jì)算機(jī)上傳染到另外的沒被感染的文件或計(jì)算機(jī)上，輕則使被感染的文件或計(jì)算機(jī)數(shù)據(jù)破壞或工作失常，重則使系統(tǒng)癱瘓第十七頁，共四十六頁。計(jì)算機(jī)病毒的特征-3隱蔽性一般是具有很高編程技巧、短小靈活的程序，通常依附在正常程序或磁盤中較隱蔽的地方，也有的以隱含文件夾形式出現(xiàn)，用戶很難發(fā)現(xiàn)。如果不經(jīng)過代碼分析，是很難將病毒程序與正常程序區(qū)分開的。正是這種特性才使得病毒在發(fā)現(xiàn)之前已進(jìn)行了廣泛的傳播，造成了破壞潛伏性大部分計(jì)算機(jī)系統(tǒng)感染病毒后，病毒不會(huì)馬上發(fā)作，可在幾天、幾周、幾個(gè)月甚至幾年地隱藏起來，而不被發(fā)現(xiàn)。只有在滿足某種特定條件時(shí)才會(huì)發(fā)作。如著名的“黑色星期五”和“CIH”病毒第十八頁，共四十六頁。計(jì)算機(jī)病毒的特征-4不可預(yù)見性計(jì)算機(jī)病毒的制作技術(shù)不斷提高，種類也不斷翻新。相比之下，防病毒技術(shù)落后病毒制作技術(shù)。新型操作系統(tǒng)、新型軟件工具的應(yīng)用，也為病毒編制者提供了方便。因此，對(duì)未來病毒的類型、特點(diǎn)及破壞性等均很難預(yù)測(cè)衍生性計(jì)算機(jī)病毒程序可被他人模仿或修改，經(jīng)過惡做劇者或惡意攻擊者的改寫，就可能成為原病毒的變種。針對(duì)性很多計(jì)算機(jī)病毒并非任何環(huán)境下都可起作用，而是有一定的運(yùn)行環(huán)境要求，只有在軟、硬件條件滿足要求時(shí)才能發(fā)作。第十九頁，共四十六頁。計(jì)算機(jī)病毒的分類-1按破壞程度的強(qiáng)弱不同良性病毒和惡性病毒；按傳染方式的不同文件型病毒、引導(dǎo)型病毒和混合型病毒按連接方式的不同源碼型病毒、嵌入型病毒、操作系統(tǒng)型病毒和外殼型病毒第二十頁，共四十六頁。計(jì)算機(jī)病毒的分類-2良性病毒只是為了表現(xiàn)自身，并不徹底破壞系統(tǒng)和數(shù)據(jù)，但會(huì)占用大量CPU時(shí)間，增加系統(tǒng)開銷，降低系統(tǒng)工作效率的一類計(jì)算機(jī)病毒該類病毒多為惡作劇者的產(chǎn)物惡性病毒一旦發(fā)作，就會(huì)破壞系統(tǒng)或數(shù)據(jù)，造成計(jì)算機(jī)系統(tǒng)癱瘓的一類計(jì)算機(jī)病毒該類病毒危害極大，有些病毒發(fā)作后可能給用戶造成不可挽回的損失如“黑色星期五”、木馬、蠕蟲病毒等第二十一頁，共四十六頁。計(jì)算機(jī)病毒的分類-3文件型病毒一般只傳染磁盤上的可執(zhí)行文件（如.com，.exe）。在用戶運(yùn)行染毒的可執(zhí)行文件時(shí)，病毒首先被執(zhí)行，然后病毒駐留內(nèi)存伺機(jī)傳染其他文件或直接傳染其他文件。這類病毒的特點(diǎn)是附著于正常程序文件中，成為程序文件的一個(gè)外殼或部件。當(dāng)該病毒完成了它的工作后，其正常程序才被運(yùn)行，使人看起來仿佛一切都很正常引導(dǎo)扇區(qū)型病毒潛伏在軟盤或硬盤的引導(dǎo)扇區(qū)或主引導(dǎo)記錄中。如果計(jì)算機(jī)從被感染的軟盤引導(dǎo)，病毒就會(huì)感染到引導(dǎo)硬盤，并把自己的代碼調(diào)入內(nèi)存。病毒可駐留在內(nèi)存并感染被訪問的軟盤。觸發(fā)引導(dǎo)扇區(qū)型病毒的典型事件是系統(tǒng)日期和時(shí)間混合型病毒兼有以上兩種病毒的特點(diǎn)，既傳染引導(dǎo)區(qū)，又傳染文件，因此擴(kuò)大了這種病毒的傳染途徑。當(dāng)染有該類病毒的磁盤用于引導(dǎo)系統(tǒng)或調(diào)用執(zhí)行染毒文件時(shí)，病毒都會(huì)被激活第二十二頁，共四十六頁。計(jì)算機(jī)病毒的分類-4源碼型病毒較為少見，亦難以編寫。它要攻擊高級(jí)語言編寫的源程序，在源程序編譯之前插入其中，并隨源程序一起編譯、連接成可執(zhí)行文件，這樣剛剛生成的可執(zhí)行文件便已經(jīng)帶毒了。嵌入型病毒可用自身代替正常程序中的部分模塊，因此，它只攻擊某些特定程序，針對(duì)性強(qiáng)。一般情況下也難以被發(fā)現(xiàn)，清除起來也較困難操作系統(tǒng)型病毒可用其自身部分加入或替代操作系統(tǒng)的部分功能。因其直接感染操作系統(tǒng)，因此病毒的危害性也較大，可能導(dǎo)致整個(gè)系統(tǒng)癱瘓外殼型病毒將自身附著在正常程序的開頭或結(jié)尾，相當(dāng)于給正常程序加了個(gè)外殼。大部份的文件型病毒都屬于這一類第二十三頁，共四十六頁。計(jì)算機(jī)病毒的傳播網(wǎng)絡(luò)帶有病毒的文件、郵件被下載或接收后被打開或運(yùn)行，病毒就會(huì)擴(kuò)散到系統(tǒng)中相關(guān)的計(jì)算機(jī)上可移動(dòng)的存儲(chǔ)設(shè)備如軟盤、磁帶、光盤、優(yōu)盤等通信系統(tǒng)通過點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無線通信信道也可傳播計(jì)算機(jī)病毒。如手機(jī)病毒第二十四頁，共四十六頁。計(jì)算機(jī)病毒的危害攻擊系統(tǒng)數(shù)據(jù)區(qū)包括硬盤主引導(dǎo)扇區(qū)、boot扇區(qū)、FAT表、文件目錄等數(shù)據(jù)區(qū)攻擊文件方式很多，如刪除、改名、替換內(nèi)容、丟失簇和對(duì)文件加密等搶占系統(tǒng)資源大多數(shù)病毒在動(dòng)態(tài)下都常駐內(nèi)存，這就要搶占部分系統(tǒng)資源占用磁盤空間和對(duì)信息的破壞干擾系統(tǒng)運(yùn)行，使運(yùn)行速度下降如不執(zhí)行命令、干擾內(nèi)部命令的執(zhí)行、虛假報(bào)警、打不開文件、內(nèi)部棧溢出、占用特殊數(shù)據(jù)區(qū)、時(shí)鐘倒轉(zhuǎn)、重啟動(dòng)、死機(jī)、強(qiáng)制游戲、擾亂串/并接口等攻擊和破壞網(wǎng)絡(luò)系統(tǒng)第二十五頁，共四十六頁。病毒的檢查方法比較法比較被檢測(cè)對(duì)象與原始備份掃描法利用病毒特征代碼串特征字識(shí)別法病毒體內(nèi)特定位置的特征分析法和檢驗(yàn)和法運(yùn)用反匯編技術(shù)對(duì)被檢測(cè)對(duì)象進(jìn)行分析和檢驗(yàn)第二十六頁，共四十六頁。比較法比較法是用原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或被檢測(cè)的文件進(jìn)行比較。該方法可能發(fā)現(xiàn)異常，如文件長(zhǎng)度的變化，或程序代碼的變化等。優(yōu)點(diǎn)：簡(jiǎn)單，方便，不需專用軟件缺點(diǎn)：無法確定病毒類型第二十七頁，共四十六頁。掃描法掃描法是用每一種病毒體含有的特定字符串對(duì)被檢測(cè)的對(duì)象進(jìn)行掃描掃描程序由兩部分組成病毒代碼庫(kù)對(duì)該代碼進(jìn)行掃描的程序病毒掃描程序可識(shí)別的病毒數(shù)目取決于病毒代碼庫(kù)中所含病毒的種類第二十八頁，共四十六頁。特征字識(shí)別法基于特征串掃描法發(fā)展起來的一種新方法只需從病毒體內(nèi)抽取很少幾個(gè)關(guān)鍵的特征字來組成特征字庫(kù)該方法由于要處理的字節(jié)很少，所以工作起來速度更快、誤報(bào)警更少第二十九頁，共四十六頁。分析法運(yùn)用相應(yīng)技術(shù)分析被檢測(cè)對(duì)象，確認(rèn)檢測(cè)對(duì)象是否為病毒目的確認(rèn)被觀察的磁盤引導(dǎo)區(qū)和程序中是否含有病毒確認(rèn)病毒的類型和種類，是否新病毒弄清病毒體的大致結(jié)構(gòu)，提取字節(jié)串或特征字，用于增添到病毒代碼庫(kù)詳細(xì)分析病毒代碼，為制定相應(yīng)的反病毒措施制定方案第三十頁，共四十六頁。校驗(yàn)和法對(duì)正常文件的內(nèi)容，計(jì)算并保存其校驗(yàn)和。在文件使用過程中或使用之前，定期地檢查由現(xiàn)有內(nèi)容算出的校驗(yàn)和與原來保存的校驗(yàn)和是否一致，從而可以發(fā)現(xiàn)文件是否被感染優(yōu)點(diǎn)方法簡(jiǎn)單，能發(fā)現(xiàn)未知病毒，也能發(fā)現(xiàn)被查文件的細(xì)微變化缺點(diǎn)有誤報(bào)警、不能識(shí)別病毒類型和名稱、不能對(duì)付隱蔽型病毒第三十一頁，共四十六頁。病毒的清除隔離將染毒計(jì)算機(jī)與其他計(jì)算機(jī)進(jìn)行隔離報(bào)警向網(wǎng)絡(luò)系統(tǒng)安全管理人員報(bào)警查毒源檢查那些經(jīng)常引起病毒感染的節(jié)點(diǎn)和用戶，并查找病毒的來源采取應(yīng)對(duì)方法和對(duì)策對(duì)病毒的破壞程度進(jìn)行分析檢查，并根據(jù)需要決定采取有效的病毒清除方法和對(duì)策備份數(shù)據(jù)將重要的數(shù)據(jù)文件備份清除病毒第三十二頁，共四十六頁。惡意代碼第三十三頁，共四十六頁。惡意代碼的概念惡意代碼是一種程序，它通過把代碼在不被察覺的情況下寄宿到另一段程序中，從而達(dá)到破壞被感染計(jì)算機(jī)數(shù)據(jù)、運(yùn)行具有入侵性或破壞性的程序、破壞被感染的系統(tǒng)數(shù)據(jù)的安全性和完整性的目的按工作機(jī)理和傳播方式區(qū)分，惡意代碼可有普通病毒、木馬、蠕蟲、移動(dòng)代碼和復(fù)合型病毒五類第三十四頁，共四十六頁。木馬概述特洛伊木馬（Trojanhouse）簡(jiǎn)稱木馬，一種基于遠(yuǎn)程控制的黑客程序，一般通過秘密方式安裝到目標(biāo)系統(tǒng)，一旦安裝成功并取得管理員權(quán)限，安裝此程序的人就可以直接遠(yuǎn)程控制目標(biāo)系統(tǒng)在黑客進(jìn)行的各種攻擊行為中，木馬都起到了開路先鋒的作用特點(diǎn)隱蔽性，難以察覺客戶端/服務(wù)器模式第三十五頁，共四十六頁。木馬與傳統(tǒng)病毒木馬也算是一種病毒，但與傳統(tǒng)的計(jì)算機(jī)病毒不同木馬是一種惡意代碼，它通常并不像病毒程序那樣感染文件以尋找后門、竊取密碼和重要文件為主，還能對(duì)計(jì)算機(jī)進(jìn)行跟蹤監(jiān)視、控制、查看、修改資料等操作具有很強(qiáng)的隱蔽性、突發(fā)性和攻擊性第三十六頁，共四十六頁。木馬的傳播方式E-mail通過E-mail，控制端將木馬程序以附件形式附著在郵件上發(fā)送出去軟件下載一些非正式的網(wǎng)站以提供軟件下載的名義，將木馬捆綁在軟件安裝程序上會(huì)話軟件通過會(huì)話軟件（如QQ）的“傳送文件”進(jìn)行傳播第三十七頁，共四十六頁。木馬的原理傳統(tǒng)的文件型病毒寄生于正?？蓤?zhí)行程序體內(nèi)，通過寄主程序的執(zhí)行而執(zhí)行木馬程序都有一個(gè)獨(dú)立的可執(zhí)行文件，一般是以一個(gè)正常應(yīng)用的身份在系統(tǒng)中運(yùn)行的采用客戶機(jī)/服務(wù)器工作模式客戶端放在木馬控制者的計(jì)算機(jī)中，服務(wù)器端放置在被入侵的計(jì)算機(jī)中木馬控制者通過客戶端與被入侵計(jì)算機(jī)的服務(wù)器端建立遠(yuǎn)程連接，利用客戶程序向服務(wù)器程序發(fā)送命令，達(dá)到操控用戶機(jī)器的目的木馬的服務(wù)器部分都是可以定制的，攻擊者可以定制的項(xiàng)目一般包括：服務(wù)器運(yùn)行的IP端口號(hào)、程序啟動(dòng)時(shí)機(jī)、如何發(fā)出調(diào)用、如何隱身、是否加密等第三十八頁，共四十六頁。木馬的檢測(cè)和清除查看開放端口例如，“冰河”木馬使用的監(jiān)聽端口是7626，BackOrifice2000使用的監(jiān)聽端口是54320查看和恢復(fù)win.ini和system.ini系統(tǒng)配置文件查看啟動(dòng)程序并刪除可疑的啟動(dòng)程序查看系統(tǒng)進(jìn)程并停止可疑的系統(tǒng)進(jìn)程查看和還原注冊(cè)表第三十九頁，共四十六頁。網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)蠕蟲一種能自我復(fù)制的程序，并能通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播，它大量消耗系統(tǒng)資源，使其它程序運(yùn)行減慢以至停止，最后導(dǎo)致系統(tǒng)和網(wǎng)絡(luò)癱瘓網(wǎng)絡(luò)蠕蟲與普通病毒的區(qū)別普通病毒主要是感染文件和引導(dǎo)區(qū)，而蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性代碼具有普通病毒的一些共性，如傳播性，隱蔽性，破壞性等自己的特征，如不利用文件寄生、可對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)、與黑客技術(shù)相結(jié)合等第四十頁，共四十六頁。蠕蟲的特點(diǎn)傳播迅速，難以清除利用操作系統(tǒng)和應(yīng)用程序漏洞主動(dòng)進(jìn)行攻擊傳播方式多樣可利用的傳播途徑包括文件、電子郵件、Web服務(wù)器、網(wǎng)絡(luò)共享病毒制作技術(shù)與傳統(tǒng)的病毒不同與黑客技術(shù)相結(jié)合第四十一頁，共四十六頁。蠕蟲的類別-1根據(jù)使用者情況的不同面向企業(yè)用戶的蠕蟲利用系統(tǒng)漏洞，主動(dòng)進(jìn)行攻擊，可以對(duì)整個(gè)網(wǎng)絡(luò)造成癱瘓性的后果如“紅色代碼