防火墙及防病毒技术

防火墙及防病毒技术防火墙及防病毒技术第2页,共107页，2024年2月25日，星期天第一部分：防火墙技术第3页,共107页，2024年2月25日，星期天

防火墙的定义传统的防火墙概念概念：防火墙被设计用来防止火从大厦的一部分传播到另一部分第4页,共107页，2024年2月25日，星期天IT领域使用的防火墙概念两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为

一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。第5页,共107页，2024年2月25日，星期天防火墙发展软件防火墙

软硬件结合防火墙

硬件防火墙

运行在通用操作系统上性能依靠于计算机CPU,内存等极易造成网络带宽瓶颈(20%--70%)可以满足低带宽低流量环境下的安全需要高速环境下容易造成系统崩溃有用户限制，性价比较低管理复杂，与系统有关

机箱+CPU+防火墙软件采用专用或通用操作系统核心技术仍然为软件只能满足中低带宽要求(20%--70%)在高流量环境下会造成堵塞甚至系统崩溃性价比不高管理比较方便

用专用芯片处理数据包使用专用的操作系统平台高带宽，高吞吐量，真正线速防火墙安全与速度同时兼顾性价比高管理简单，快捷，具有良好的总体成本低第6页,共107页，2024年2月25日，星期天

防火墙分类包过滤防火墙应用代理防火墙状态检测防火墙第7页,共107页，2024年2月25日，星期天防火墙在网络中的位置防火墙放置于不同网络安全域之间第8页,共107页，2024年2月25日，星期天

第一代防火墙和最基本形式防火墙检查每一个通过的网络包，或者丢弃，或者放行，取决于所建立的一套规则。所以称为包过滤防火墙。包过滤防火墙的特点第9页,共107页，2024年2月25日，星期天包过滤防火墙第10页,共107页，2024年2月25日，星期天包过滤防火墙

缺点：配置困难,因为包过滤防火墙的配置很复杂，人们经常会忽略建立一些必要的规则，或者错误配置了已有的规则，在防火墙上留下漏洞。为特定服务开放的端口存在着危险，可能会被用于其他传输。可能还有其他方法绕过防火墙进入网络，例如拨入连接。优点：防火墙对每条传入和传出网络的包实行低水平控制。防火墙可以识别和丢弃带欺骗性源IP地址的包。第11页,共107页，2024年2月25日，星期天安全网域HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包控制策略数据包过滤依据主要是TCP/IP报头里面的信息，不能对应用层数据进行处理数据TCP报头IP报头分组过滤判断信息包过滤防火墙工作原理图第12页,共107页，2024年2月25日，星期天应用代理防火墙应用程序代理防火墙接受来自内部网络特定用户应用程序的通信，然后建立于公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访问内部网的任何一部分。第13页,共107页，2024年2月25日，星期天应用代理防火墙第14页,共107页，2024年2月25日，星期天

优点：指定对连接的控制，例如允许或拒绝基于服务器IP地址的访问，或者是允许或拒绝基于用户所请求连接的IP地址的访问。

通过限制某些协议的传出请求，来减少网络中不必要的服务。

大多数代理防火墙能够记录所有的连接，包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事很有用的。缺点：

必须在一定范围内定制用户的系统，这取决于所用的应用程序。一些应用程序可能根本不支持代理连接。应用代理防火墙第15页,共107页，2024年2月25日，星期天安全网域HostCHostD数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据包应用代理可以对数据包的数据区进行分析，并以此判断数据是否允许通过控制策略数据TCP报头IP报头分组过滤判断信息应用代理判断信息应用代理防火墙原理图第16页,共107页，2024年2月25日，星期天状态/动态检测防火墙状态检测技术：在包过滤的同时，检察数据包之间的关联性，数据包中动态变化的状态码。跟踪通过防火墙的网络连接和包，使用一组附加的标准，以确定是否允许和拒绝通信。监测引擎技术：采用一个或若干个在网关上执行网络安全策略的软件模块，抽取有关数据的方法对网络通信的各层实施监测，获得状态信息，并动态地保存起来作为以后执行安全策略的参考。当用户访问请求到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。可以实现拒绝携带某些数据的网络通信，如带有附加可执行程序的传入电子消息，或包含ActiveX程序的Web页面。第17页,共107页，2024年2月25日，星期天应用层表示层会话层传输层应用层表示层会话层传输层网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层应用层表示层会话层传输层监测引擎状态检测示意图第18页,共107页，2024年2月25日，星期天优点：检查IP包的每个字段的能力，并遵从基于包中信息的过滤规则。识别带有欺骗性源IP地址包的能力。包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙，绕过是困难的。基于应用程序信息验证一个包的状态的能力，例如基于一个已经建立的FTP连接，允许返回的FTP包通过。基于应用程序信息验证一个包状态的能力，例如允许一个先前认证过的连接继续与被授予的服务通信。

记录有关通过的每个包的详细信息的能力。基本上，防火墙用来确定包状态的所有信息都可以被记录，包括应用程序对包的请求，连接的持续时间，内部和外部系统所做的连接请求等。状态/动态检测防火墙第19页,共107页，2024年2月25日，星期天状态/动态检测防火墙的缺点

状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞，特别是在同时有许多连接激活的时候，或者是有大量的过滤网络通信的规则存在时。

解决办法就是将特定信息通过硬件进行处理，硬件速度越快，这个问题就越不易察觉，而且防火墙的制造商一直致力于提高他们产品的速度。第20页,共107页，2024年2月25日，星期天状态检测防火墙原理图安全网域HostCHostD数据包数据包数据包数据包数据包查找对应的控制策略拆开数据包根据策略决定如何处理该数据包数据包

状态检测可以结合前后数据包里的数据信息进行综合分析决定是否允许该包通过控制策略数据3TCP报头IP报头数据2TCP报头IP报头数据1TCP报头IP报头状态检测第21页,共107页，2024年2月25日，星期天市场发展需要的新技术软件防火墙专用硬件

防火墙软件VPN专用VPN网关加密处理芯片软件内容扫描安全内容

处理网关内容处理芯片状态检测处理芯片第22页,共107页，2024年2月25日，星期天基于状态检测的硬件防火墙采用ASIC芯片硬件设计体系具有内容处理芯片和内容处理加速单元可以实现实时分析和数据包协调处理具有优化内容搜索、模式识别和数据分析功能同时具有病毒扫描、VPN、内容过滤和基于网络的入侵检测功能。主流防火墙发展趋势第23页,共107页，2024年2月25日，星期天底层内容过滤原理图物理接口(10/100,GigE,etc.)…OS操作系统系统总线中心CPU(s)会话调度ASIC内容处理器特征存储器内容重组和扫描存储器系统管理(CLI,Web,SNMP,AutoUpdate)加密引擎(DES,3DES,MD5,SHA1,AES)包过滤引擎特征扫描引擎流量管理引擎第24页,共107页，2024年2月25日，星期天防火墙的性能指标

延时

并发连接数

平均无故障时间

吞吐量防火墙在不丢包的情况下能够达到的最大包转发速率

数据包通过防火墙所用的时间防火墙能够同时处理的点对点连接的最大数目系统平均能够正常运行多长时间，才发生一次故障第25页,共107页，2024年2月25日，星期天防火墙产品功能特性组业界标准：符合工业标准的防火墙工作模式：网络地址转换，透明模式，路由模式。用户认证：内建用户认证数据库，支持RADIUS认证数据库。服务：支持标准服务（例如：FTP、HTTP），用户自定义服务，还支持用户定义服务组。时间表：根据小时、日、周和月建立一次性或循环时间表，防火墙根据不同的时间表定义安全策略。虚拟映射：外部地址映射到内部或DMZ网络上的地址IP/MAC绑定：阻止来自IP地址欺骗的攻击

第26页,共107页，2024年2月25日，星期天操作模式:NAT/Route/TransparentNAT–

网络地址翻译，每个接口有一个IP地址，向外的包IP地址翻译成对外端口的IP地址Route–

每个接口有IP地址，IP包从一个端口路由到另一端口，没有地址翻译Transparent–

网络接口没有IP地址，类似于二层交换机第27页,共107页，2024年2月25日，星期天双向NAT外部的端口：8080正向NAT反向NAT（端口映射）InternetINTERNAL端口：80端口：21/24客户机http://外部影射的IP:8080INTERNAL外部的端口：2121External第28页,共107页，2024年2月25日，星期天透明模式的支持受保护网络如果防火墙支持透明模式则内部网络主机的配置不用调整HostAHostCHostDHostB同一网段透明模式下，这里不用配置IP地址透明模式下，这里不用配置IP地址DefaultGateway=防火墙相当于网桥，原网络结构没有改变第29页,共107页，2024年2月25日，星期天基于时间的策略控制管理员设置员工上网时间限制在防火墙上制定基于时间的访问控制策略上班时间不允许访问Internet下班时间可以自由访问公司的网络InternetHostCHostD第30页,共107页，2024年2月25日，星期天IP/MAC绑定InternalExternal

00-20-ED-A8-81-60IP//MACTable:

00-20-Ef-A8-82-61

00-20-ED-A8-81-64(甲）（丙）

严格限制内部用户的网络地址增加网络安全，抵御网络攻击没有在表中的配置项不能通过第31页,共107页，2024年2月25日，星期天HA功能高可用性(HA)提高可靠性和负载分配。负载分配：增强性能，在失败恢复的时候不会发生服务中断。客户机客户机客户机服务器服务器服务器第32页,共107页，2024年2月25日，星期天病毒检测Exe/doc/zip病毒库病毒检测：扫描邮件附件（SMTP，POP3，IMAP）、

Web内容和插件（HTTP）的病毒特征码和宏病毒InternetDMZEmailHTTP财务部市场部研发部Router第33页,共107页，2024年2月25日，星期天蠕虫保护蠕虫保护：扫描所有进出的电子邮件及附件（SMTP,POP3,IMAP）检测网页里的插件和下载的内容（HTTP）第34页,共107页，2024年2月25日，星期天内容安全控制内容安全控制

网络访问的内容控制，支持WEB内容的关键字过滤，屏蔽具有激越或敏感的网页内容，提供了内容级可控制手段。阻塞有害的Web语言攻击，包括JavaApplet、Activex、Cookie等ＵＲＬ管理与控制Reject:/xxx.asp?返回结果：所访问网页包含管理员禁止内容，以被屏蔽！！第35页,共107页，2024年2月25日，星期天入侵检测InternetDMZEmailHTTP财务部市场部研发部Router恶意的攻击和扫描IDS127-TELNET-oginIncorrect

2003/7/209：10/index攻击方法目的地址源地址时间攻击描述第36页,共107页，2024年2月25日，星期天抵抗DOS/DDOS攻击防止入侵者的扫描防止源路由攻击防止IP碎片攻击防止ICMP/IGMP攻击防止IP欺骗攻击入侵检测内容第37页,共107页，2024年2月25日，星期天虚拟专用网（VPN）虚拟专用网（VPN）

在网络之间或网络与客户端之间进行安全通讯，支持IPSec、PPTP、L2TP等标准。硬件加速加密：支持DES，3DES加密算法密钥交换算法：支持自动IKE和手工密钥交换。VPN客户端通过：没有专门的配置需求，支持PPTP、L2TP第38页,共107页，2024年2月25日，星期天VPN解决方案远程访问Internet分支机构虚拟私有网虚拟私有网虚拟私有网合作伙伴内部网第39页,共107页，2024年2月25日，星期天企业VPN解决方案(一)外部端口地址内部网络/24内部网络/24外部端口地址虚拟私有网第40页,共107页，2024年2月25日，星期天企业VPN解决方案(二)内部网络/24外部端口地址外部端口地址内部网络/24虚拟私有网第41页,共107页，2024年2月25日，星期天基于PPTP/L2TP的拨号VPN在Internal端网络定义远程地址池每个客户端动态地在地址池中为VPN会话获取地址客户端先得拨号（163/169）得到一个公网地址，然后和公司的防火墙设备利用PPTP/L2TP协议进行VPN的建立建立VPN的用户可以访问公司内部网络的所有资源，就象在内部网中一样客户端不需要附加软件的安装，简单方便Dial-UpNATPool/24---0

第42页,共107页，2024年2月25日，星期天基于ipsec的拨号VPN利用IPSEC协议的通道模式进行VPN的建立无需为客户分配IPPool用户端要安装IPSECClient软件建立VPN的用户可以访问公司内部网络的所有资源，就象在内部网中一样第43页,共107页，2024年2月25日，星期天基于浏览器界面配置管理使用HTTPS远程登录管理第44页,共107页，2024年2月25日，星期天基于字符和命令行界面配置管理提供Console口或ＳＳＨ远程连接通过使用ＳＮＭＰ远程管理第45页,共107页，2024年2月25日，星期天防火墙不足之处

无法防护内部用户之间的攻击无法防护基于操作系统漏洞的攻击无法防护内部用户的其他行为无法防护端口反弹木马的攻击多数防火墙无法防护病毒的侵袭无法防护非法通道出现第46页,共107页，2024年2月25日，星期天企业部署防火墙的误区

最全的就是最好的，最贵的就是最好的软件防火墙部署后不对操作系统加固一次配置，永远运行测试不够完全审计是可有可无的第47页,共107页，2024年2月25日，星期天如何选择防火墙选择防火墙的标准有很多，但最重要的是以下几条：

1、总拥有成本

2、防火墙本身是安全的

3、是硬件还是软件

4、可扩充性

5、升级能力第48页,共107页，2024年2月25日，星期天第二部分：计算机病毒技术第49页,共107页，2024年2月25日，星期天计算机病毒定义

计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。——摘自《中华人民共和国计算机信 息系统安全保护条例》第50页,共107页，2024年2月25日，星期天计算机病毒的基本特性之一

1.寄生性（依附性）计算机病毒是一种特殊的计算机程序，它不是以独立的文件的形式存在的，它寄生在合法的程序中.

病毒所寄生的合法程序被称做病毒的载体，也称为病毒的宿主程序。病毒程序嵌入到宿主程序中，依赖于宿主程序的执行而生存，这就是计算机病毒的寄生性。第51页,共107页，2024年2月25日，星期天计算机病毒的基本特性之二2.传染性

计算机病毒的传染性是指计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。第52页,共107页，2024年2月25日，星期天计算机病毒的基本特性之三

计算机病毒在发作之前，必须能够将自身很好的隐蔽起来，不被用户发觉，这样才能实现进入计算机系统、进行广泛传播的目的。计算机病毒的隐蔽性表现为传染的隐蔽性与存在的隐蔽性。3．隐蔽性第53页,共107页，2024年2月25日，星期天计算机病毒的潜伏性是指病毒程序为了达到不断传播并破坏系统的目的，一般不会在传染某一程序后立即发作，否则就暴露了自身。潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染范围就会愈大。4．潜伏性计算机病毒的基本特性之四第54页,共107页，2024年2月25日，星期天计算机病毒的基本特性之五

共同的危害，即降低计算机系统的工作效率，占用系统资源，其具体情况取决于入侵系统的病毒程序。计算机病毒的破坏性主要取决于计算机病毒设计者的目的。有时几种本来没有多大破坏作用的病毒交叉感染，也会导致系统崩溃等重大恶果。

5．破坏性第55页,共107页，2024年2月25日，星期天计算机病毒的基本特性之六6.可触发性

因某个特征或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。第56页,共107页，2024年2月25日，星期天计算机病毒的基本特性之七

计算机病毒存在的理论依据来自于冯·诺依曼结构及信息共享，从理论上讲如果要彻底消灭病毒，只有摒弃冯·诺依曼结构及信息共享，显然，此二者都是无法摒弃的。7．产生的必然性第57页,共107页，2024年2月25日，星期天计算机病毒的基本特性之八

从本质上说，计算机病毒是非授权的对程序体的字符型信息加工过程。病毒具有正常程序的一切特性，它隐藏在正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户是未知的，是未经用户允许的。8．非授权性第58页,共107页，2024年2月25日，星期天1、磁盘在使用中的传递2、软件共享使用3、盗版软件4、OFFICE文档流行5、盗版光盘的泛滥6、网络连接和INTERNET、局域网内的目录共享7、E-mail的传播，是网络蠕虫病毒传播的主要途径

病毒传播途径：病毒传播途径第59页,共107页，2024年2月25日，星期天病毒的危害影响系统效率进行反动宣传

占用系统资源删除、破坏数据干扰正常操作阻塞网络第60页,共107页，2024年2月25日，星期天1)Dos病毒

2)Windows病毒

3)UNIX病毒

4）攻击OS/2系统的病毒。

5）攻击嵌入式操作系统的病毒。

1.按照病毒依赖的操作系统来分

一般说来，特定的病毒只能在特定的操作系统下运行。病毒分类之一第61页,共107页，2024年2月25日，星期天病毒分类之二2.按照计算机病毒的链结方式分为：

源码型病毒

入侵型病毒

操作系统型病毒

外壳型病毒第62页,共107页，2024年2月25日，星期天病毒分类之二

源码型病毒：较为少见，亦难以编写。因为它要攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。

入侵型病毒：可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以被发现，清除起来也较困难。第63页,共107页，2024年2月25日，星期天病毒分类之二

外壳型病毒：将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。操作系统型病毒：可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较大。第64页,共107页，2024年2月25日，星期天病毒分类之三良性病毒：小球病毒、三维球病毒、WM/Concept病毒

3.按照病毒危害程度来分为：恶性病毒：冲击波病毒、蠕虫王病毒、CIH病毒、 爱虫病毒第65页,共107页，2024年2月25日，星期天病毒演示之一——女鬼病毒第66页,共107页，2024年2月25日，星期天病毒演示之二—千年老妖第67页,共107页，2024年2月25日，星期天其他病毒演示—白雪公主第68页,共107页，2024年2月25日，星期天手机病毒2004年，针对使用Symbian的蓝牙手机的病毒出现针对使用PocketPC的验证性攻击程序也被发现手机功能和操作系统通用性不断增强，会有越来越多针对手机的攻击第69页,共107页，2024年2月25日，星期天病毒分类之四4．按寄生方式分为：引导型病毒文件型病毒混合型病毒第70页,共107页，2024年2月25日，星期天引导型病毒:

引导型病毒是藏匿在磁盘片或硬盘的第一个扇区。因为DOS的架构设计,使得病毒可以在每次开机时,在操作系统还没被加载之前就被加载到内存中,这个特性使得病毒可以针对DOS的各类中断(Interrupt)得到完全的控制,并且拥有更大的能力进行传染与破坏。典型病毒：Michelangelo—米开朗基罗病毒潜伏期：一年发病日：3月6日

产地：瑞典（也有一说为台湾）症状：病毒发作后，使用者一开机若出现黑画面，那表示硬盘资料全部丢失。引导型病毒第71页,共107页，2024年2月25日，星期天

一般只传染磁盘上的可执行文件（COM，EXE）。在用户调用染毒的可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。这是较为常见的传染方式。根据文件型的病毒依传染方式的不同,又分成非常驻型以及常驻型两种。文件型病毒文件型病毒：第72页,共107页，2024年2月25日，星期天

非常驻型病毒将自己寄生在*.COM,*.EXE或是*.SYS的文件中。当这些中毒的程序被执行时，就会尝试去传染给另一个或多个文件。(1)非常驻型病毒(Non-memoryResidentVirus):典型病毒：DatacrimeII资料杀手

发病日：10月12日起至12月31日

发现日：1989.3

产地：荷兰

症状：低级阶格式化硬盘，高度破坏数据资料

非常驻型病毒第73页,共107页，2024年2月25日，星期天

常驻型病毒躲在内存中，其行为就好象是寄生在各类的低阶功能一般(如Interrupts)，由于这个原因,常驻型病毒往往对磁盘造成更大的伤害。一旦常驻型病毒进入了内存中,只要执行文件被执行,它就对其进行感染的动作,其效果非常显着。发病日：每逢13号星期五

产地：南非

症状：将任何你想执行的中毒文件删除，该病毒感染速度相当快，其发病的唯一征兆是软驱的灯会一直亮着。

(2)常驻型病毒(MemoryResidentVirus):典型病毒：Friday13th

黑色（13号）星期五常驻型病毒第74页,共107页，2024年2月25日，星期天复合型病毒(Multi-PartiteVirus)

复合型病毒兼具开机型病毒以及文件型病毒的特性。它们可以传染*.COM,*.EXE文件，也可以传染磁盘的开机系统区(BootSector)。由于这个特性,使得这种病毒具有相当程度的传染力。一旦发病，其破坏的程度将会非常可观。复合型病毒

典型病毒：Flip翻转发病日：每月2日

产地：瑞士(也有一说为西德)

症状：每个月2号，如果使用被寄生的磁盘或硬盘开机时，则在16时至16时59分之间，屏幕会呈水平翻动。

第75页,共107页，2024年2月25日，星期天病毒分类之五

宏病毒：美丽莎

系统病毒:CIH病毒

蠕虫病毒：红色代码，尼姆达

木马病毒：QQ尾巴

黑客病毒：007

破坏性程序、网页脚本病毒：万花谷病毒6．按照病毒的感染特性来分第76页,共107页，2024年2月25日，星期天病毒概念扩展对病毒概念的扩展：第77页,共107页，2024年2月25日，星期天蠕虫病毒（一）蠕虫病毒与一般病毒的差异比较普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机第78页,共107页，2024年2月25日，星期天蠕虫病毒（二）

蠕虫的破坏和发展趋势病毒名称持续时间造成损失莫里斯蠕虫1988年6000多台计算机停机,直接经济损失达9600万美元美丽杀手1999年3月政府部门和一些大公司紧急关闭了网络服务器,经济损失超过12亿美元爱虫病毒2000年5月至今众多用户电脑被感染，损失超过100亿美元以上红色代码2001年7月网络瘫痪，直接经济损失超过26亿美元求职信2001年12月至今大量病毒邮件堵塞服务器，损失达数百亿美元SQL蠕虫王2003年1月网络大面积瘫痪,银行自动提款机运做中断,直接经济损失超过26亿美元第79页,共107页，2024年2月25日，星期天蠕虫发作的一些特点和发展趋势病毒制作技术新潜在的威胁和损失更大与黑客技术相结合利用操作系统和应用程序的漏洞主动进行攻击传播方式多样第80页,共107页，2024年2月25日，星期天SQL蠕虫

SQL蠕虫攻击的是微软数据库系MicrosoftSQLServer2000。利用了MSSQL2000服务远程堆栈缓冲区溢出漏洞。此蠕虫病毒本身除了对网络产生拒绝服务攻击外,并没有别的破坏措施。但如果病毒编写者在编写病毒的时候加入破坏代码,后果将不堪设想。第81页,共107页，2024年2月25日，星期天红色代码(Codered)病毒红色代码(Codered)病毒该蠕虫感染运行MicrosoftIndexServer2.0的系统，或是在Windows2000、IIS中启用了IndexingService(索引服务)的系统。该蠕虫利用了一个缓冲区溢出漏洞进行传播（未加限制的IndexServerISAPIExtension缓冲区使WEB服务器变的不安全）。该蠕虫只存在于内存中，并不向硬盘中拷文件。第82页,共107页，2024年2月25日，星期天该病毒影响运行Windows95,98,ME,NT和2000的客户端和服务器通过Email传播通过网络共享传播通过浏览器传播通过主动扫描未打补丁的IIS服务器进行传播携带该病毒的邮件的包含两部分Nimda病毒第83页,共107页，2024年2月25日，星期天计算机病毒命名之一第84页,共107页，2024年2月25日，星期天计算机病毒命名之二第85页,共107页，2024年2月25日，星期天计算机病毒命名之三第86页,共107页，2024年2月25日，星期天计算机病毒命名之四第87页,共107页，2024年2月25日，星期天计算机病毒命名之五第88页,共107页，2024年2月25日，星期天计算机病毒逻辑结构分析第89页,共107页，2024年2月25日，星期天常见病毒类型流程分析一第90页,共107页，2024年2月25日，星期天常见病毒类型流程分析二第91页,共107页，2024年2月25日，星期天常见病毒类型流程分析三第92页,共107页，2024年2月25日，星期天如何发现病毒之一

计算机病毒发作时，通常会出现以下几种情况，这样我们就能尽早地发现和清除它们。（1）电脑运行比平常迟钝。（2）程序载入时间比平常久。（3）对一个简单的工作，磁盘似乎花了比预期长的时间。（4）不寻常的错误信息出现。（5）由于病毒程序的异常活动，造成对磁盘的异常访问。当你 没有存取磁盘，但磁盘指示灯却亮了，表示电脑这时已经 受到病毒感染了。（6）系统内存容量忽然大量减少。（7）磁盘可利用的空间突然减少。（8）可执行程序的大小改变第93页,共107页，2024年2月25日，星期天如何发现病毒之二（9）由于病毒可能通过将磁盘扇区标记为坏簇的方式把自己隐藏起来，磁盘坏簇会莫名其妙地增多。（10）程序同时存取多部磁盘。（11）内存内增加来路不明的常驻程序。（12）文件、数据奇怪的消失。（13）文件的内容被加上一些奇怪的资料。（14）文件名称，扩展名，日期，属性被更改过。（15）打印机出现异常。（16）死机现象增多。（17）出现一些异常的画面或声音。异常现象的出现并不表明系统内肯定有病毒，仍需进一步的检查。第94页,共107页，2024年2月25日，星期天什么是病毒代码(VirusPattern)?

所谓的病毒代码其实可以想像成是犯人的指纹,当防毒软件公司收集到一只新的病毒时,他们就会从这个病毒程序中截取一小段独一无二而且足以表示这只病毒的二进位程序码(BinaryCode),来当做杀毒程序辨认此病毒的依据,而这