《網絡信息安全》

網絡信息安全.“熊貓燒香（武漢男生）”.“熊貓燒香（武漢男生）”病毒名：Worm.WhBoy.h“熊貓燒香”最早現身于2006年11月，它是一個由Delphi工具編寫的蠕蟲，終止大量的反病毒軟件和防火墻軟件進程。病毒會刪除擴展名為gho的文件，使用戶無法使用ghost軟件恢復操作系統(tǒng)。.“熊貓燒香（武漢男生）”“熊貓燒香”其實是一種蠕蟲病毒的變種，而且是經過多次變種而來的。它是尼姆亞變種W(Worm.Nimaya.w)。由于中毒電腦的可執(zhí)行文件會出現“熊貓燒香”圖案，所以也被稱為“熊貓燒香”病毒。用戶電腦中毒后可能會出現藍屏、頻繁重啟以及系統(tǒng)硬盤中數據文件被破壞等現象。同時，該病毒的某些變種可以通過局域網進行傳播，進而感染局域網內所有計算機系統(tǒng)，最終導致企業(yè)局域網癱瘓，無法正常使用。.病毒特征

1、病毒關閉眾多殺毒軟件和安全工具

2、循環(huán)遍歷磁盤目錄，感染文件，對關鍵系統(tǒng)文件跳過

3、感染所有EXE、SCR、PIF、COM文件,并更改圖標為燒香熊貓。在硬盤各個分區(qū)下生成文件autorun.inf和setup.exe，可以通過U盤和移動硬盤等方式進行傳播，并且利用Windows系統(tǒng)的自動播放功能來運行，搜索硬盤中的.exe可執(zhí)行文件并感染，感染后的文件圖標變成“熊貓燒香”圖案。

.“熊貓燒香（武漢男生）”

4、感染所有.htm/.html/.asp/.php/.jsp/.aspx文件，添加木馬惡意代碼；

添加病毒網址，導致用戶一打開這些網頁文件，IE就會自動連接到指定的病毒網址中下載病毒。

5、自動刪除*.gho文件６、病毒還可以通過共享文件夾、系統(tǒng)弱口令等多種方式進行傳播。.“熊貓燒香”蠕蟲不但可以對用戶系統(tǒng)進行破壞，導致大量應用軟件無法使用，而且還可刪除擴展名為gho的所有文件，造成用戶的系統(tǒng)備份文件丟失，從而無法進行系統(tǒng)恢復；同時該病毒還能終止大量反病毒軟件進程，大大降低用戶系統(tǒng)的安全性。.病毒工作原理

1:拷貝文件

.病毒運行后,會把自己拷貝到C:\WINDOWS\System32\Drivers\spoclsv.exe

.2:添加注冊表自啟動

.病毒會添加自啟動項HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

svcshare

>

C:\WINDOWS\System32\Drivers\spoclsv.exe

..病毒工作原理3:病毒行為

.a:每隔1秒尋找桌面窗口,并關閉窗口標題中含有以下字符的程序：

.QQKav、QQAV、防火墻、進程、VirusScan、網鏢、殺毒、毒霸、瑞星、江民、黃山IE、超級兔子、優(yōu)化大師、木馬克星、木馬清道夫、QQ病毒、注冊表編輯器、系統(tǒng)配置實用程序、卡巴斯基反病毒、Symantec

AntiVirus、Duba、esteem

proces、綠鷹PC、密碼防盜、噬菌體、木馬輔助查找器、System

Safety

Monitor、Wrapped

gift

Killer、Winsock

Expert、游戲木馬檢測大師、msctls_statusbar32、pjf(ustc)、IceSword

.并使用的鍵盤映射的方法關閉安全軟件IceSword

..病毒工作原理添加注冊表使自己自啟動

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

svcshare

->

C:\WINDOWS\System32\Drivers\spoclsv.exe

.并中止系統(tǒng)中以下的進程:

Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe

..病毒工作原理b:每隔18秒點擊病毒作者指定的網頁,并用命令行檢查系統(tǒng)中是否存在共享，共享存在的話就運行net

share命令，關閉admin$共享

.c:每隔10秒下載病毒作者指定的文件,并用命令行檢查系統(tǒng)中是否存在共享，共存在的話就運行net

share命令關閉admin$共享

..病毒工作原理d:每隔6秒刪除安全軟件在注冊表中的鍵值

.并修改以下值不顯示隱藏文件

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue

->

0x00

.刪除以下服務:

.navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec

Core

LC、NPFMntor

MskService、FireSvc

..病毒工作原理e:感染文件

.病毒會感染擴展名為exe,pif,com,src的文件,把自己附加到文件的頭部，并在擴展名為htm,html,

asp,php,jsp,aspx的文件中添加一網址，用戶一但打開了該文件，IE就會不斷的在后臺點擊寫入的網址，達到增加點擊量的目的,但病毒不會感染以下文件夾名中的文件：

.WINDOW、Winnt、System

Volume

Information、Recycled、Windows

NT、WindowsUpdate、Windows

Media

Player、Outlook

Express、Internet

Explorer、NetMeeting、Common

Files、ComPlus

Applications、Messenger、InstallShield

Installation

Information、MSN、Microsoft

Frontpage、Movie

Maker、MSN

Gamin

Zone

..病毒工作原理f:刪除文件

.病毒會刪除擴展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件使用戶的系統(tǒng)備份文件丟失。.“熊貓燒香（武漢男生）”

2007年２月，湖北警方告破熊貓燒香電腦病毒案，抓獲8名疑犯，這是我國破獲的國內首例制作計算機病毒的大案。

病毒制造者涉嫌4重罪：即竊取信息，又破壞計算機系統(tǒng)，有可能會定為“非法侵入計算機信息系統(tǒng)罪”和“非法破壞計算機信息系統(tǒng)罪”；再加上傳播病毒，并竊取財富，又涉及了“盜竊罪”；并且，病毒在竊取用戶游戲賬號或者QQ號后會導致原使用者無法使用，可能會涉及“侵犯通訊自由罪”.網絡信息安全教材：《信息安全原理與應用》（第三版）SecurityinComputing(ThirdEdition)[美]CharlesP.Pfleeger著ShariLawrencePfleeger李毅超等譯電子工業(yè)出版社.參考資料

《網絡信息安全》周明全等著，西安電子科技大學出版社《密碼編碼學與網絡安全》－原理與實踐（第三版）［美］WilliamStallings著，劉玉珍等譯，電子工業(yè)出版社《應急響應&計算機司法鑒定》（第２版）KevinMandia，ChrisProsise，MattPepe著，汪青青等譯，清華大學出版社.參考資料

中國黑客聯盟/中國紅客基地/國家計算機網絡應急技術處理協調中心/.課程安排PartⅠ：信息安全概述(ch1)PartⅡ：密碼學（重點）Sec1，密碼學基礎(ch2)Sec2，密碼學精講(ch10)PartⅢ：程序安全(ch3).課程安排PartⅣ：操作系統(tǒng)安全(ch4)數據庫安全(ch5)

專題討論：可信計算(ch5).課程安排PartⅤ：網絡安全((重點):網絡安全概述(ch7)專題討論：IP安全，Web安全專題討論：防火墻技術專題討論：入侵檢測技術專題討論：垃圾郵件與垃圾短信過濾專題討論：計算機病毒.課程安排PartⅥ：專題討論：計算機犯罪取證技術(ch8+ch9).考核總分=期末（60%）+期中（20%）+平時成績（15%）+考勤（5%）.

2006年全國信息網絡安全狀況與計算機病毒疫情調查分析報告CNCERT／CC2005年上半年網絡安全工作報告.第一章信息安全概述1.1信息安全問題1.2計算機安全的含義1.3計算機犯罪簡介1.4計算機安全防范方法.信息安全問題出現信息成為社會發(fā)展的重要戰(zhàn)略資源，信息技術改變著人們的生活和工作方式,計算機系統(tǒng)成為不法分子的主要攻擊目標計算機系統(tǒng)本身的脆弱性網絡的開放性、共享性信息安全成為世人關注的社會問題.信息安全問題及其表現

當前，信息安全問題嚴重，其現狀和發(fā)展趨勢令人擔憂具體表現如下:.政治上敵對勢力的破壞◆2002年在江澤民主席的767專機上查出27個竊聽器◆2002年和2003年法輪功分子三次攻擊鑫諾衛(wèi)星，將信息對抗引入到空間領域.軍事上信息戰(zhàn)已經開始

信息技術的發(fā)展促進了軍事革命，信息戰(zhàn)、網絡戰(zhàn)成為重要作戰(zhàn)形式◆兩次海灣戰(zhàn)爭中美國都實施了信息戰(zhàn)美國、韓國、以色列都成立了網絡作戰(zhàn)部隊◆2003年的伊拉克戰(zhàn)爭中美軍使用電子炸彈，發(fā)出微波脈沖，可損壞幾百米內的計算機和通信設備◆美國加緊研究衛(wèi)星防護與干擾技術

.經濟犯罪

利用計算機進行經濟犯罪◆利用計算機進行經濟犯罪超過普通經濟犯罪◆我國利用計算機進行經濟犯罪的發(fā)案率每年高速度遞增.信息安全概述信息安全問題可追溯到兩個問題：計算機系統(tǒng)安全問題+網絡通信安全問題.計算機系統(tǒng)安全問題計算機病毒◆計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。

◆計算機病毒在繼續(xù)增加

黑客入侵.

◆2003年1月25日13時30分到19時30分的6個小時內，亞洲、北美和歐洲的INTERNET網絡全部陷入癱瘓和半癱瘓狀態(tài)可能的原因：

●反戰(zhàn)黑客反對美國對伊動武，對美國網絡發(fā)動攻擊

●美國為對伊實施網絡戰(zhàn)在作準備

●新的計算機病毒.網絡通信安全問題網絡共享性、開放性通信設備、通信鏈路防范措施不夠完善.我國基礎信息技術受控于國外◆主要的集成電路芯片依賴進口

易于在集成電路中植入病毒、后門、竊聽器等

◆操作系統(tǒng)依賴國外

所有操作系統(tǒng)都有后門

◆微軟開放WINDOWS源碼是鬧?。?/p>

不是全面開放；不支持編譯比對；不支持測試.安全目標（主要）：保密性Confidentiality信息的機密性，對于未授權的個體而言，信息不可用完整性Integrity信息的完整性、一致性，分為數據完整性，未被未授權者篡改或者損壞系統(tǒng)完整性，系統(tǒng)未被非法操縱，按既定的目標運行可用性Availability服務連續(xù)性1.2計算機安全的含義.拒絕服務（DoS）攻擊

DoS的攻擊方式有很多種，最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的響應。.分布式拒絕服務（DDoS）攻擊

DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎之上產生的一類攻擊方式。單一的DoS攻擊一般是采用一對一方式的，當攻擊目標CPU速度低、內存小或者網絡帶寬小等等各項性能指標不高時，它的效果是明顯的。

.分布式拒絕服務（DDoS）攻擊隨著計算機與網絡技術的發(fā)展，計算機的處理能力迅速增長，內存大大增加，同時也出現了千兆級別的網絡，這使得DoS攻擊的困難程度加大了攻擊目標對惡意攻擊包的“消化能力”加強了不少。這時候分布式的拒絕服務攻擊手段（DDoS）就應運而生了。DDoS就是利用更多的傀儡機來發(fā)起進攻，以比從前更大的規(guī)模來進攻受害者。

.分布式拒絕服務攻擊體系結構.分布式拒絕服務（DDoS）攻擊

高速廣泛連接的網絡給大家?guī)砹朔奖?，也為DDoS攻擊創(chuàng)造了極為有利的條件。在低速網絡時代時，黑客占領攻擊用的傀儡機時，總是會優(yōu)先考慮離目標網絡距離近的機器，因為經過路由器的跳數少，效果好。而現在電信骨干節(jié)點之間的連接都是以G為級別的，大城市之間更可以達到2.5G的連接，這使得攻擊可以從更遠的地方或者其他城市發(fā)起，攻擊者的傀儡機位置可以在分布在更大的范圍，選擇起來更靈活了。

.分布式拒絕服務（DDoS）攻擊被DDoS攻擊時的現象：被攻擊主機上有大量等待的TCP連接網絡中充斥著大量的無用的數據包，源地址為假制造高流量無用數據，造成網絡擁塞，使受害主機無法正常和外界通訊利用受害主機提供的服務或傳輸協議上的缺陷，反復高速的發(fā)出特定的服務請求，使受害主機無法及時處理所有正常請求嚴重時會造成系統(tǒng)死機.拒絕服務（DoS）攻擊舉例嚴重的拒絕服務攻擊事件（主觀控制）：（2003年我國網絡安全事件報告提供）2003年3月底，某亞洲地區(qū)業(yè)務量排名第二的商業(yè)網站受到有組織持續(xù)性拒絕服務攻擊5月14日，某市政府信息網絡遭攻擊，癱瘓8小時以上5月19日，某省信息港網站受到拒絕服務攻擊，網絡業(yè)務受到重大影響。5月23日，某省廣播電視網遭有組織拒絕服務攻擊6月底，某著名政府新聞網站遭攻擊事件7月，博客中國遭攻擊事件8月，中國互聯網協會網站遭攻擊事件.安全目標其他方面：真實性authenticity個體身份的認證，適用于用戶、進程、系統(tǒng)等Accountability確保個體的活動可被跟蹤Reliability行為和結果的可靠性、一致性.1.3計算機犯罪簡介計算機犯罪定義：與計算機有關或利用計算機實施犯罪的所有犯罪行為.黑客

黑客”（Hacker）指對于任何計算機操作系統(tǒng)奧秘都有強烈興趣的人?！昂诳汀贝蠖际浅绦騿T，他們具有操作系統(tǒng)和編程語言方面的高級知識，知道系統(tǒng)中的漏洞及其原因所在；他們不斷追求更深的知識，并公開他們的發(fā)現，與其他分享；并且從來沒有破壞數據的企圖。入侵者Cracker只不過是那些利用網絡漏洞破壞網絡的人，他們往往會通過計算機系統(tǒng)漏洞來入侵，他們也具備廣泛的電腦知識，但與黑客不同的是他們以破壞為目的?，F在hacker和Cracker已經混為一談，人們通常將入侵計算機系統(tǒng)的人統(tǒng)稱為黑客..黑客入侵和破壞的危險黑客在網上的攻擊活動每年以高速增長。修改網頁進行惡作劇、竊取網上信息興風作浪。非法進入主機破壞程序、阻塞用戶、竊取密碼。串入銀行網絡轉移金錢、進行電子郵件騷擾。黑客可能會試圖攻擊網絡設備，使網絡設備癱瘓。.黑客站點INTERNET上有成千上萬個黑客站點：黑客咨詢站黑暗魔域黑客專家黑客工作室中國紅客黑客俱樂部……G.MarkHardy.“頭號電腦黑客”凱文米特尼克

KevinMitnick1964年出生。3歲父母離異，致性格內向、沉默寡言。4歲玩游戲達到專家水平。13歲喜歡上無線電活動，開始與世界各地愛好者聯絡。編寫的電腦程序簡潔實用、傾倒教師。15歲闖入“北美空中防務指揮系統(tǒng)”主機，翻閱了美國所有的核彈頭資料、令大人不可置信。不久破譯了美國“太平洋電話公司”某地的用戶密碼，隨意更改用戶的電話號碼。并與中央聯邦調查局的特工惡作劇。被電腦信息跟蹤機發(fā)現第一次被逮捕。.“頭號電腦黑客”凱文米特尼克

KevinMitnick出獄后，又連續(xù)非法修改多家公司電腦的財務帳單。1988年再次入獄，被判一年徒刑。1994年向圣地亞哥超級計算機中心發(fā)動攻擊，該中心安全專家下村勉決心將其捉拿歸案。期間米特尼克還入侵了美國摩托羅拉、NOVELL、SUN公司及芬蘭NOKIA公司的電腦系統(tǒng)，盜走各種程序和數據（價值4億美金）。下村勉用“電子隱形化”技術跟蹤，最后準確地從無線電話中找到行跡，并抄獲其住處電腦。.“頭號電腦黑客”凱文米特尼克

KevinMitnick1995年2月被送上法庭，“到底還是輸了”。