信息安全实用教程

《信息安全实用教程》面向非网络空间安全或信息安全专业的信息安全课程，以“大学计算机基础”课程的教学内容为起点组织教材内容。以浅显易懂的方式阐述信息安全的基础概念和理论，让读者尽可能理解信息安全技术的工作原理，知其然，并知其所以然。着重培养读者防御病毒、确保移动通信和无线通信安全、确保电子商务和移动支付安全、保障计算机中数据保密性和可用性、*程度地开发Windows系统的安全功能、保留黑客入侵证据等信息安全技能，使读者真正具有解决工作、学习和生活面临的实际信息安全问题的能力。 

本书着重培养读者解决实际生活中的信息安全问题的能力，重点讨论病毒防御技术、移动通信安全技术、电子商务和移动支付安全技术、数据安全技术、Windows 7网络安全技术与Windows 7安全审计技术等。
作为面向非计算机专业的信息安全教材，作者基于“大学计算机基础”课程组织教材内容，以浅显易懂的方式阐述信息安全的基础理论，在讨论具体安全技术时，基于信息安全基础理论阐述安全技术的实现原理，让读者知其所以然。
本书内容组织严谨、叙述方法新颖，是一本理想的非计算机专业本科生的信息安全教材，也可作为实用型计算机专业的信息安全教材。对所有需要具备一定信息安全问题解决能力的人员而言，本书是一本非常合适的参考书。

目录

第1章概述/1

1.1信息和日常生活1

1.1.1信息的定义1

1.1.2日常生活中的信息1

1.2信息和网络2

1.2.1互联网和移动互联网2

1.2.2互联网应用4

1.2.3信息安全目标9

1.3信息面临的安全威胁10

1.3.1嗅探攻击10

1.3.2截获攻击10

1.3.3钓鱼网站12

1.3.4非法访问13

1.3.5黑客入侵14

1.3.6病毒14

1.3.7智能手机面临的安全威胁17

1.4信息安全技术18

1.4.1病毒防御技术18

1.4.2无线通信安全技术19

1.4.3电子商务安全技术20

1.4.4数据安全技术21

1.4.5Windows安全技术21

本章小结22

习题22

第2章信息安全基础/24

2.1加密解密算法24

2.1.1基本概念24

2.1.2加密传输过程26

2.1.3密码体制分类262.1.4对称密钥体制26

2.1.5非对称密钥体制28

2.1.6对称密钥体制和非对称密钥体制的适用环境29

2.2报文摘要算法30

2.2.1报文摘要算法要求30

2.2.2报文摘要算法的主要用途30

2.2.3几种常用的报文摘要算法31

2.3数字签名和证书32

2.3.1数字签名特征32

2.3.2基于RSA数字签名原理32

2.3.3证书和认证中心33

2.3.4PKI34

2.3.5数字签名应用实例38

2.3.6Windows 证书39

2.4身份鉴别40

2.4.1身份鉴别定义和分类40

2.4.2主体身份标识信息41

2.4.3单向鉴别过程41

2.4.4双向鉴别过程43

2.4.5第三方鉴别过程45

本章小结47

习题48

〖1〗信息安全实用教程目录〖3〗〖3〗第3章病毒防御技术/49

3.1病毒作用过程49

3.1.1病毒的存在形式49

3.1.2病毒的植入方式50

3.1.3病毒隐藏和运行51

3.1.4病毒感染和传播54

3.1.5病毒破坏过程55

3.2病毒检测技术56

3.2.1基于特征的扫描技术56

3.2.2基于线索的扫描技术57

3.2.3基于完整性检测的扫描技术57

3.2.4杀毒软件58

3.3病毒监控技术63

3.3.1基于行为的检测技术63

3.3.2基于模拟运行环境的检测技术64

3.3.3常见的病毒监控软件64

3.4应用程序控制策略67

3.4.1配置Application
Identity服务67

3.4.2配置应用程序控制策略71

3.4.3应用程序控制策略的防病毒应用77

本章小结78

习题79

第4章无线通信安全技术/80

4.1无线通信基础80

4.1.1无线通信定义80

4.1.2电磁波频谱80

4.1.3无线数据传输过程81

4.1.4无线通信应用82

4.2无线通信的开放性和安全问题82

4.2.1频段的开放性82

4.2.2空间的开放性83

4.2.3开放性带来的安全问题和解决思路84

4.3移动通信网络安全机制86

4.3.1GSM安全机制86

4.3.23G安全机制88

4.4无线局域网安全机制93

4.4.1WEP93

4.4.2WPA296

4.4.3无线路由器配置过程101

4.4.4家庭局域网面临的安全威胁与对策104

本章小结107

习题108

第5章电子商务和移动支付安全技术/109

5.1电子商务概述109

5.1.1电子商务定义109

5.1.2电子商务应用场景109

5.1.3电子商务面临的安全威胁111

5.1.4解决电子商务安全威胁的思路112

5.2移动支付概述113

5.2.1移动支付定义113

5.2.2移动支付应用场景114

5.2.3移动支付面临的安全威胁120

5.2.4解决移动支付安全威胁的思路120

5.3网上银行安全机制121

5.3.1TLS/SSL121

5.3.2其他鉴别网上银行身份的机制124

5.3.3其他鉴别用户身份的机制124

5.3.4用户身份鉴别机制综述125

5.3.5商家与网上银行之间的安全机制125

5.4移动支付安全机制127

5.4.1微信登录过程127

5.4.2微信加密和完整性检测过程127

5.4.3手机丢失保护机制128

5.4.4密码重置保护机制129

5.4.5微信支付的其他安全机制129

本章小结130

习题130

第6章数据安全技术/132

6.1数据安全概述132

6.1.1数据安全目标132

6.1.2数据安全问题132

6.1.3解决数据安全问题的思路133

6.2Windows 7用户管理机制135

6.2.1创建用户135

6.2.2设置密码138

6.2.3配置账户策略140

6.2.4删除用户143

6.3Windows 7数据加密机制144

6.3.1EFS144

6.3.2BitLocker151

6.3.3其他数据保护机制158

6.4Windows 7访问控制机制162

6.4.1访问控制矩阵与访问控制表162

6.4.2访问控制实施过程163

6.5手机数据保护机制168

6.5.1腾讯手机管家数据保护机制168

6.5.2腾讯手机管家数据保护实施过程168

6.6数据备份还原机制169

6.6.1Windows 7备份还原工具169

6.6.2Ghost176

本章小结182

习题183

第7章Windows 7网络安全技术/184

7.1Windows 7防火墙184

7.1.1防火墙的作用和工作原理184

7.1.2入站规则和出站规则186

7.1.3Windows 7防火墙配置实例188

7.1.4个人防火墙的安全应用197

7.2IPSec和Windows 7连接安全规则198

7.2.1安全传输要求198

7.2.2IPSec198

7.2.3Windows 7连接安全规则配置过程203

7.3Windows 7网络管理和监测命令218

7.3.1ping命令218

7.3.2tracert命令220

7.3.3ipconfig命令222

7.3.4arp命令222

7.3.5nslookup命令224

7.3.6route命令226

7.3.7netstat命令228

本章小结230

习题231

第8章Windows 7安全审计技术/232

8.1安全审计概述232

8.1.1计算机系统面临的安全威胁232

8.1.2安全审计的定义和作用233

8.2审核策略和安全审计234

8.2.1审核策略234

8.2.2审核策略配置过程234

8.2.3审核策略应用实例236

8.3Prefetch文件夹和安全审计246

8.3.1检查程序执行过程246

8.3.2Prefetch文件夹246

8.3.3查看Prefetch文件夹中文件247

8.4自启动项和安全审计248

8.4.1自启动项和病毒程序激发过程249

8.4.2查看自启动项列表249

本章小结250

习题250

英文缩写词/251

参考文献/253

前言随着计算机应用尤其是移动支付和电子商务的普及，信息安全与人们的日常生活息息相关。保证移动通信、移动支付和电子商务的安全性，保证计算机系统不被病毒侵害，保证计算机中数据的保密性、完整性和可用性，限度地利用Windows操作系统的网络安全功能，尽量保留黑客入侵计算机系统的证据等，已经成为所有人的技能。因此，对非计算机专业学生普及信息安全基础知识，培养学生解决实际生活中的信息安全问题的能力，已成为十分迫切的事情。目前，面向非计算机专业的信息安全教材通常都有以下两个问题: 一是教材内容往往是计算机专业网络安全或信息安全教材的简化版，非计算机专业特性不明显;二是教材内容偏重于理论，缺乏培养解决实际信息安全问题的能力的内容。因此，作者编写了这本以理工类非计算机专业本科生为教学对象的信息安全教材。本书有以下特色: 一是基于“大学计算机基础”课程组织教材内容;二是以浅显易懂的方式阐述信息安全的基础理论;三是在讨论具体安全技术时，基于信息安全基础理论阐述安全技术的实现原理，让读者知其所以然;四是着重培养读者解决实际生活中的信息安全问题的能力，重点讨论病毒防御技术、移动通信安全技术、电子商务和移动支付安全技术、数据安全技术、Windows 7网络安全技术与Windows 7安全审计技术等。因此，本书是一本理想的非计算机专业本科生的信息安全教材，也可作为实用型计算机专业的信息安全教材，本书对所有需要具备一定信息安全问题解决能力的人员而言，也是一本非常好的参考书。作为一本无论在内容组织、叙述方法还是教学目标都和传统信息安全教材有一定区别的新教材，书中的错误和不足之处在所难免，殷切希望使用本书的教师和学生批评指正。作者的Email地址为[email protected]。
作者2018年6月

第3章病毒防御技术病毒是计算机面临的威胁，防御病毒需要从三个方面着手: 一是养成良好的使用计算机和上网的习惯，防止计算机植入病毒;二是通过杀毒软件及时清除计算机中已经植入的病毒;三是通过监控程序运行过程发现病毒、控制病毒造成的危害。3.1病毒作用过程病毒是一种恶意代码，只有植入主机系统并被执行，才能对计算机系统和网络系统产生破坏作用。病毒又是一种特殊的恶意代码，具有感染和传播能力。为了完成感染和传播过程，病毒需要隐藏在主机系统中，并不时激发其感染和传播功能。病毒防御技术需要贯穿整个病毒的作用过程: 能够阻止病毒植入,能够发现隐藏在主机系统的病毒并予以清除,能够检测到病毒的感染和传播过程并予以阻止,能够检测到病毒的破坏过程并予以制止。3.1.1病毒的存在形式病毒可以是一段寄生在其他程序和文件中的恶意代码，也可以是一个完整的程序。寄生在其他程序和文件中的病毒称为寄生病毒。对于寄生病毒，嵌入病毒的程序和文件称为宿主程序和文件。为了方便，将嵌入病毒的程序和完整、独立的病毒程序统称为病毒程序。1. 寄生病毒(1) 脚本病毒脚本病毒是用脚本语言编写的一段恶意代码，嵌入在超文本标记语言（Hyper Text Markup Language，HTML）文档中，当浏览器浏览嵌入脚本病毒的HTML文档时，将执行用脚本语言编写的脚本病毒。(2) 宏病毒宏病毒以宏的形式寄生在Office文档中，宏通常由Visual Basic宏语言（Visual Basic for Application，VBA）编写。当用户通过Office软件（如Word、Excel等）打开包含宏病毒的Office文档时，Office软件将执行以宏的形式寄生在Office文档中的宏病毒。(3) PE病毒可移植的执行体（Portable Executable，PE）是指win 32可执行文件，如后缀为exe、dll和ocx等的文件。PE病毒是嵌入在PE格式文件中的一段恶意代码，当运行PE格式文件时，执行嵌入在PE格式文件中的PE病毒。2. 非寄生病毒非寄生病毒是一个独立、完整的程序，可以单独执行。蠕虫病毒一般是非寄生病毒。3.1.2病毒的植入方式对于寄生病毒，病毒植入是指将包含病毒的宿主程序或宿主文件传输到主机系统中的过程。对于非寄生病毒，病毒植入是指将独立、完整的病毒程序传输到主机系统中的过程。〖1〗信息安全实用教程第3章病毒防御技术〖3〗〖3〗1. 移动媒体移动媒体是植入病毒的主要手段之一，通过移动媒体，可以将包含病毒的宿主程序或宿主文件，以及独立、完整的病毒程序复制到主机系统中，作为该主机系统的某个文件。2. 访问网页网页中可以嵌入脚本病毒，当通过浏览器访问嵌入脚本病毒的网页时，包含脚本病毒的网页被下载到主机系统中。3. 下载实用程序有些应用程序中嵌入了PE病毒，甚至有些应用程序本身就是一个完整、独立的病毒程序，只是为该病毒程序取了一个具有欺骗性的名字。当用户通过网络下载这样的应用程序后，该应用程序会以PE格式的文件存储在主机系统中。4. 下载和复制Office文档当用户通过移动媒体复制了包含宏病毒的Office文档，或者通过网络下载了包含宏病毒的Office文档后，包含宏病毒的Office文档以Office文档的格式存储在主机系统中。5. 邮件附件电子邮件的附件可以是嵌入了PE病毒的PE格式文件，也可以是包含宏病毒的Office文档，当用户接收并存储了附件是嵌入了PE病毒的PE格式文件，或者是包含宏病毒的Office文档的电子邮件后，事实上是存储了嵌入了PE病毒的PE格式文件，或者是包含宏病毒的Office文档。6. 黑客上传黑客利用主机系统漏洞成功入侵主机系统后，往往会上传后门程序，这种后门程序将长期驻留在主机系统中。7. 蠕虫蔓延当网络中的某个主机系统执行蠕虫病毒时，该蠕虫病毒将自动地向网络中的其他主机系统传播自身。8. 智能手机病毒植入过程智能手机病毒植入过程与普通计算机系统相比有着一些特殊性，以下是常见的智能手机植入病毒过程。(1) 下载安装嵌入病毒的应用程序黑客可以对某个下载量较大的应用程序（App）进行如下处理，即解包（Unpacking）、反汇编（Decompiling）、嵌入病毒（Code Injection）、重新生成源代码（Source Code）、重新打包（Repacking）,然后将该嵌入病毒的应用程序（App）上传到一些缺乏安全验证的中小型手机软件论坛，骗取用户下载安装。一旦用户下载安装这样的应用程序，就会完成病毒程序的植入过程。(2) 打开诱导植入病毒的链接一些骗取用户扫描的二维码和一些用于实施欺骗的短消息中会嵌入某个链接，该链接指向的网页主要用于诱导用户下载安装病毒程序。如果用户按照该网页的提示完成操作过程，将完成病毒程序的植入过程。3.1.3病毒隐藏和运行病毒植入主机系统后，一是必须运行，二是需要隐藏，三是需要能够被不时激发。病毒次运行的过程与病毒的存在形式和植入方式有关。1. 病毒的首次运行过程(1) U盘AutoRun病毒如果仅仅通过U盘等移动媒体将包含病毒的宿主程序或宿主文件，以及独立、完整的病毒程序作为文件存储在主机系统中，则需要人工激发该病毒的次运行过程。一般情况下，人工激发该病毒的次运行过程的机会不是很大，除非将病毒嵌入一个非常有用的应用程序中，或者为独立、完整的病毒程序取一个非常有欺骗性的文件名。通常做法是将病毒写入U盘中，然后修改U盘的AutoRun.inf文件，将病毒程序作为双击U盘后执行的程序。如果已经启动Windows 的自动播放功能，当用户打开该U盘时，Windows将自动执行该病毒程序。解决自动运行AutoRun病毒问题的方法是关闭Windows 的自动播放功能。关闭Windows 7自动播放功能的过程如下。完成“开始”→“运行”操作过程，弹出如图3.1所示的“运行”程序界面，在“打开”输入框中输入命令gpedit.msc。单击“确定”按钮，弹出“本地组策略管理器”界面。在“本地组策略管理器”界面上完成“计算机配置”→“管理模板”→“所有设置”操作过程，弹出如图3.2所示的“所有设置”，找到并双击“关闭自动播放”这一设置，弹出如图3.3所示的“关闭自动播放”界面，选中“已启用”，在“关闭自动播放”列表中选择“CDROM和可移动介质驱动器”。后单击“确定”按钮，完成关闭Windows 7 的自动播放功能的过程。图3.1“运行”程序界面图3.2“本地组策略管理器”界面图3.3“关闭自动播放”界面(2) 宏病毒用户必须用Office软件打开包含宏病毒的Office文档，才能执行包含在Office文档中的宏病毒。(3) 脚本病毒当浏览器浏览包含脚本病毒的网页时，浏览器执行包含在网页中的脚本病毒。(4) PE病毒用户必须人工执行，或者由其他进程调用包含PE病毒的PE格式文件，才能执行包含在PE格式文件中的PE病毒。(5) 蠕虫病毒蠕虫病毒的特点是能够自动完成植入和运行过程，当网络中某个主机系统执行蠕虫病毒时，蠕虫病毒能够自动地将自身植入网络中的其他主机系统并运行。这是蠕虫病毒快速蔓延的主要原因。(6) 智能手机病毒程序智能手机病毒程序的次运行过程通常是通过下载安装过程完成的。2. 病毒激发机制病毒程序为了能够被不时激发，其在首次运行过程中往往需要完成以下过程。(1) 嵌入BIOS和引导区硬盘的个扇区是主引导区，主引导区中存放了分区表和主引导程序。每一个分区有着分区引导区，分区引导区中存放了分区引导程序。如果某个分区作为启动分区存放操作系统，则由该分区的分区引导程序完成将操作系统加载到内存并运行的过程。主机系统从加电到运行操作系统的过程如下。主机系统加电后，首先执行基本输入输出系统（Basic Input Output System，BIOS），然后检测主引导区，执行主引导区中的主引导程序。由主引导程序找到存放操作系统的分区，执行该分区引导区中的分区引导程序，由分区引导程序完成将操作系统加载到内存并运行的过程。为了保证每一次加电启动过程都能够激发该病毒，该病毒在次运行过程中需要完成以下操作之一。 将病毒嵌入BIOS。 将病毒嵌入主引导程序。 将病毒嵌入存放操作系统的分区中的分区引导程序。(2) 病毒程序作为自启动项运行操作系统后，操作系统能够自动执行一些程序，这些程序称为自启动项。为了保证操作系统运行后能够自动执行病毒程序，需要将病毒程序作为自启动项。因此，病毒在次运行过程中需要完成将病毒程序添加到自启动项列表的过程。查看Windows 7自启动项列表的过程如下。完成“开始”→“运行”操作过程，弹出如图3.4所示的“运行”程序界面，在“打开”输入框中输入命令msconfig，在弹出的“系统配置”界面中，选择“启动”选项卡，弹出如图3.5所示的“启动项目”列表，可以通过不再选中某个启动项来禁止该启动项。如果“启动项目”列表中出现可疑的自启动项，则需要检查该自启动项对应的位置信息。图3.4“运行”程序界面图3.5“启动项目”列表(3) 修改名字为了隐藏病毒程序，需要修改病毒程序的名字，通常会为病毒程序取一个与系统文件相似的名字，以避免引起用户的注意。(4) 智能手机病毒激发机制智能手机病毒通常具有自启动功能，能够随着智能手机的启动而启动。不同的智能手机操作系统有着不同的自启动技术，智能手机病毒的次运行过程需要完成将自己变为自启动程序的过程。3.1.4病毒感染和传播病毒的每一次运行过程，不是完成感染和传播的过程，就是完成破坏的过程。感染是指寄生病毒将自身嵌入另一个宿主文件或宿主程序的过程。传播是指将独立、完整的病毒程序植入另一个主机系统的过程。一般情况下，PE病毒感染PE格式文件，宏病毒感染Office文档，脚本病毒感染HTML文档，蠕虫病毒自动完成传播过程。3.1.5病毒破坏过程1. 设置后门目前大量病毒的作用是实现主机资源的非法访问，因此，病毒在执行过程中会创建一个用于远程登录且具有管理员权限的账号，使得黑客可以不时地非法远程登录该主机系统，获取该主机系统中的资源。2. 监控用户操作过程许多间谍软件的作用是监控用户的操作过程，当间谍软件监测到用户访问某个银行网站时，可以记录该用户输入的账号和密码，并将其封装成邮件，发送给指定邮件地址。3. 破坏硬盘信息这是早期病毒执行过程中经常进行的破坏活动，如删除硬盘主引导区中的内容，使得用户需要重新对硬盘进行分区。删除重要的系统文件，导致操作系统无法运行，使得用户需要重新安装操作系统。4. 破坏BIOS由于BIOS存储在可以在线擦除和写入的闪存中，因此，病毒在执行过程中可以擦除甚至修改闪存中的BIOS，导致主机系统无法启动，需要由厂家重新在闪存中写入正确的BIOS。5. 发起拒绝服务攻击病毒在执行过程中，可以发起对网络或目标主机系统的拒绝服务攻击，如SYN泛洪攻击、Smurf攻击等。6. 蠕虫蔓延如果某个主机系统执行了蠕虫病毒，则蠕虫病毒会在网络中快速蔓延。一方面，蠕虫蔓延过程会浪费大量网络资源，导致拒绝服务攻击的结果;另一方面，蠕虫蔓延过程会导致大量主机系统被植入并运行该蠕虫病毒。7. 对智能手机的破坏过程(1) 窃取私密信息智能手机有着大量的私密信息，如通讯录、短消息、微信聊天记录、照片、视频等，木马病毒可以将这些私密信息发送给窃密者。(2) 监控用户操作木马病毒可以通过监控智能手机用户的操作过程窃取支付密码等。(3) 截获验证码木马病毒能够截获验证码，并将验证码转发给窃密者。(4) 移动窃听器病毒程序可以通过启动麦克风监听智能手机周围的声音，并将录音发送给窃听者，使智能手机成为一个移动窃听器。(5) 跟踪器病毒程序通过启动定位功能记录智能手机的行踪，并将智能手机的行踪发送给窃密者，使智能手机成为一个跟踪器。(6) 恶意扣费病毒程序通过自动启动一些高额收费服务、秘密拨打声讯电话等进行恶意扣费。3.2病毒检测技术病毒检测技术用于发现计算机中已经植入的病毒，并清除或隔离被病毒感染的文件。Windows Defender是Windows自带的杀毒软件，不仅能够静态检测被病毒感染的文件，而且能够动态发现、终止病毒的感染过程。3.2.1基于特征的扫描技术1. 检测病毒过程基于特征的扫描技术是目前常用的病毒检测技术，首先通过分析已经发现的病毒，提取出每一种病毒有别于正常代码或文本的病毒特征，并以此建立病毒特征库。然后根据病毒特征库在扫描的文件中进行匹配操作，整个检测过程如图3.6所示。图3.6基于特征的扫描检测过程目前病毒主要分为嵌入在可执行文件中的病毒和嵌入在文本或字处理文件中的脚本病毒。因此，首先需要对文件进行分类，当然，如果是压缩文件，则解压后再进行分类。解压后的文件主要分为两大类: 一类是二进制代码形式的可执行文件，包括类似动态链接库（Dynamic Link Library，DLL）的库函数;另一类是用脚本语言编写的文本文件，由于Office文件中可以嵌入脚本语言编写的宏代码，因此，将这样的Office文件归入文本文件类型。对可执行文件，由二进制检测引擎根据二进制特征库进行匹配操作，如果这些二进制代码文件经过类似ASPACK、UPX工具软件进行加壳处理，则在匹配操作前必须进行脱壳处理。对文本文件，由脚本检测引擎根据脚本特征库进行匹配操作。由于存在多种脚本语言，如VBScript、JavaScript、PHP和Perl。在匹配操作前，必须先对文本文件进行语法分析，然后根据分析结果再进行匹配操作。同样，必须从类似字处理文件这样的Office文件中提取出宏代码，然后对宏代码进行语法分析，再根据分析结果进行匹配操作。2. 存在问题基于特征的扫描技术主要存在以下问题。 由于通过特征匹配检测病毒，因此无法检测出变形、加密和未知病毒。 必须及时更新病毒特征库。 由于病毒总是在造成危害后才被发现，因此该技术是一种事后补救措施。3.2.2基于线索的扫描技术基于特征的扫描技术由于需要精确匹配病毒特征，因此很难检测出变形病毒。但病毒总有一些规律性特征，如有些变形病毒通过随机产生密钥和加密作为病毒的代码来改变自己。对于这种情况，如果检测到某个可执行文件的入口存在实现解密过程的代码，且解密密钥包含在可执行文件中，这样的可执行文件可能就是感染了变形病毒的文件。基于线索的扫描技术通常不是精确匹配特定二进制位流模式或文本模式的，而是通过分析可执行文件入口代码的功能来确定该文件是否感染病毒。3.2.3基于完整性检测的扫描技术1. 完整性检测过程完整性检测是一种用于确定任意长度信息在传输和存储过程中是否发生改变的技术，它的基本思想是在传输或存储任意长度信息P时，添加附加信息C，C是对P进行报文摘要运算后的结果，具有如下特性。 给定任意长度信息Ｐ，能够很容易地计算出固定长度的C（C=MD（P），MD是报文摘要算法），且C的位数远小于P的位数。 知道C，不能反推出Ｐ。 从计算可行性上讲，对于任何Ｐ，无法找出另一任意长度信息Ｐ′，且Ｐ≠Ｐ′，但ＭＤ（Ｐ）＝ＭＤ（Ｐ′）。 即使只改变Ｐ中一位二进制位，也使得重新计算后的C变化很大。这样，可以对系统中的所有文件计算出对应的C，将C存储在某个列表文件中，扫描软件定期重新计算系统中每一个文件对应的C，并将计算结果和列表中存储的结果进行比较，如果相等，则表明该文件没有发生改变，如果不相等，则表明该文件自计算出列表中存储的C以后，已经发生改变。为了防止一些精致的病毒能够在感染文件的同时修改文件的原始报文摘要，可以采用如图3.7所示的检测过程，在计算出某个文件对应的原始报文摘要后，用扫描软件自带的密钥K对报文摘要进行加密运算，然后将密文存储在原始检测码列表中，在定期检测文件时，对每一个文件同样计算出加密后的报文摘要，并和存储在原始检测码列表中的密文进行比较。图3.7基于完整性的扫描检测过程2. 存在问题 基于完整性检测的扫描技术只能检测出文件是否发生改变，并不能确定文件是否被病毒感染。 必须在正常修改文件后，重新计算该文件对应的原始检测码，并将其存储在原始检测码列表中，否则在定期检测过程中，扫描软件会对该文件示警。 对于系统中需要经常改变的文件，每一次文件改变后，都需要通过用户干预，生成与改变后的文件一致的原始检测码，这种干预可能会使用户感到不便。 对于在计算初始检测码前已经感染病毒的文件，这种检测技术是无效的。3.2.4杀毒软件1. 杀毒软件工作原理目前大部分杀毒软件采用的是基于特征的扫描技术，因此只能检测已经发现的病毒。这一类杀毒软件的病毒查杀率完全取决于病毒库中包含的病毒特征的数量。因此保证这一类杀毒软件查杀率较高的关键有两点: 一是厂家提供的病毒库必须尽可能包含目前已经发现的所有病毒的病毒特征;二是用户的病毒库必须与厂家的病毒库同步，即用户必须及时更新病毒库。2. 常见的杀毒软件国内常见的杀毒软件有360杀毒、金山毒霸、瑞星杀毒等。国外常见的杀毒软件有卡巴斯基、诺顿等。可以基于以下因素选择杀毒软件。 是否免费。普通用户大都选择免费的杀毒软件。 占用资源程度。运行时，占用资源越少的杀毒软件对计算机系统的影响越少。 病毒库。病毒库包含的病毒特征数量越多，杀毒软件的查杀率越高，因此，厂家病毒库要尽可能包含目前已经发现的所有病毒的病毒特征。目前,杀毒软件不仅能够静态检测已经感染病毒的文件，而且能够动态发现、终止病毒感染过程，因此杀毒软件通常都是自启动软件，不仅可以静态扫描文件，而且可以实时监控程序运行过程中执行的操作，如360杀毒软件就出现在了图3.5所示的“启动项目”列表中。3. Windows DefenderWindows Defender是Windows 7自带的防护软件，主要用于防护间谍软件、木马和广告软件等。Windows Defender通过软件更新更新病毒库。(1) 启动Windows Defender通过 “开始”→“控制面板”操作过程打开“控制面板”，在“查看方式”中选择“小图标”选项，弹出如图3.8所示的所有控制面板项，双击Windows Defender可以启动Windows Defender。图3.8所有控制面板项(2) 扫描计算机系统启动Windows Defender后，弹出如图3.9所示的Windows Defender界面，单击“扫描”选项卡旁边的箭头打开“扫描”选项，根据需要选择“快速扫描”“完全扫描”和“自定义扫描”选项。图3.9Windows Defender快速扫描: 只扫描上一次完全扫描后生成的新文件和间谍软件可能藏身的文件。快速扫描只需很短的时间即可完成。一般在进行完全扫描后的一段时间内，通过快速扫描维持计算机系统的安全。完全扫描: 扫描硬盘中的每一个文件。完全扫描是彻底的扫描方式，但需要花费较长的时间，为了计算机系统的安全，需要定期进行完全扫描。自定义扫描: 可以由用户选择需要扫描的驱动器和文件夹，是自主的扫描方式。扫描结束后，如果表明没有检测到不需要的软件，则计算机运行正常。如果列出全部可疑软件，则这些可疑软件被Windows Defender自动隔离，根据其可能存在的危害程度，分为严重、高、中、低和无法分类。用户可以选择删除可疑软件列表中的其中几项，删除过程如下: 选中需要删除的可疑软件，单击“删除”按钮。(3) 查看历史记录单击“历史记录”选项卡，弹出如图3.10所示的“历史记录”界面，该界面清楚地表明了被检测出病毒的文件，以及这些文件被执行的操作。Windows Defender根据检测出的病毒的危害程度，将这些被检测出病毒的文件的警报级别分为严重、高、中、低和无法分类5类。图3.10历史记录(4) 配置可选项① 自动扫描。单击“工具”选项卡，弹出如图3.11所示的Windows Defender“工具和设置”界面，单击“选项”按钮，弹出如图3.12所示的“选项”界面。在左栏中选择“自动扫描”，右栏中弹出有关自动扫描的选项，根据需要选中各个选项并选择选项值，如图3.12所示。图3.11Windows Defender工具和设置图3.12设置自动扫描选项② 启动实时保护实时保护可以监测运行程序的行为、扫描下载的文件和邮件中的附件。实时保护可以避免下载包含间谍软件的文件、打开包含间谍软件的邮件附件和安装间谍软件。启动实时保护如图3.13所示，根据需要选择扫描选项。图3.13启动实时保护图3.14高级选项③ 高级选项配置“高级选项”界面如图3.14所示，该界面的作用: 一是可以选择扫描的文件类型和驱动器类型;二是可以选择是否启动启发性扫描和检测方式，一旦启动启发性扫描和检测方式，只需部分匹配特征，就可判断间谍软件,这种扫描和检测方式用于识别变形间谍软件;三是可以选择创建还原点。如果对计算机系统进行了错误操作，则可以将计算机系统恢复到还原点。④ 管理员选项配置管理员选项可以选择启动或关闭Windows Defender，以及是否列出所有用户的隔离项、允许项等。“管理员选项”界面如图3.15所示。图3.15管理员选项3.3病毒监控技术病毒监控技术用于实时监控程序运行过程中执行的操作，一旦发现该程序的执行可能危害计算机系统的操作，则暂停该操作，并向用户示警，以此控制病毒程序可能对计算机系统造成的危害。用户账户控制（User Account Control，UAC）是Windows 7的一种安全机制，用于实时监控程序运行过程中执行的操作。3.3.1基于行为的检测技术病毒为了激活、感染其他文件、对系统实施破坏操作，需要对系统中的文件、注册表、引导扇区及内存等系统资源进行操作，这些操作通常由操作系统内核中的服务模块完成，因此，当某个用户进程发出修改注册表中的自启动项列表、格式化文件系统、删除某个系统文件的操作请求时，可以认为该用户进程正在实施病毒代码要求完成的操作。为了检测某个用户进程是否正在执行病毒代码，可以为不同安全等级的用户配置资源访问权限，用权限规定每一个用户允许发出的请求类型、访问的资源种类及访问方式，病毒检测程序常驻内存，截获所有对操作系统内核发出的资源访问请求，确定发出请求的用户及安全等级，要求访问的资源及访问模式，然后根据为该安全等级用户配置的资源访问权限检测请求中要求的操作的合法性，如果请求中要求的资源访问操作违背为发出请求的用户规定的访问权限，则表明该用户进程可能包含病毒代码，病毒检测程序可以对该用户进程进行干预并以某种方式示警。基于行为的检测技术可以检测出变形病毒和未知病毒，但也存在以下缺陷: 一是由于在执行过程中检测病毒，检测到病毒时有可能已经执行部分病毒代码，已经执行的这部分病毒代码有可能已经对系统造成危害;二是由于很难区分正常和非正常的资源访问操作，无法为用户精确配置资源访问权限，常常发生漏报和误报病毒的情况。3.3.2基于模拟运行环境的检测技术模拟运行环境是一个软件仿真系统，用软件仿真处理器、文件系统、网络连接系统等，该环境与其他软件系统隔离，其仿真运行结果不会对实际物理环境和其他软件运行环境造成影响。模拟运行环境需要事先建立已知病毒的操作特征库和资源访问原则，病毒的操作特征是指病毒实施感染和破坏时需要完成的操作序列，如修改注册表中“启动项目”列表所需要的操作序列，变形病毒感染可执行文件需要的操作序列（读可执行文件、修改可执行文件、加密可执行文件、写可执行文件）等。资源访问原则用于指定正常资源访问过程中进行的资源访问操作。当基于线索的检测技术怀疑某个可执行文件或文本文件感染病毒时，为了确定该可执行文件或文本文件是否包含病毒，在模拟运行环境中运行该可执行文件或文本文件，并对每一条指令的执行结果进行分析。如果发生某种病毒的操作特征时，如修改注册表某个特定键的值或者发生违背资源访问原则的资源访问操作，则确定该可执行文件或文本文件感染病毒。如果直到整个代码仿真执行完成，都没有发生和操作特征库匹配或违背资源访问原则的资源访问操作，则断定该文件没有感染病毒。由于整个代码的执行过程都在模拟运行环境下进行，所以执行过程不会对系统的实际物理环境和其他软件的运行环境产生影响。3.3.3常见的病毒监控软件1. 主机安全卫士安全卫士的主要功能是监控程序的运行过程，当某个用户进程发出修改注册表中“启动项目”列表、格式化文件系统、删除某个系统文件的操作请求时，可以认为该用户进程正在实施病毒代码要求完成的操作，安全卫士将弹出示警信息，由用户确认后完成更改系统设置的操作。当然，实际的安全卫士可能具有其他管理计算机系统的功能，如计算机体检、木马查杀、系统修复、优化加速等。常见的国内安全卫士软件有360安全卫士、百度安全卫士等。2. 手机安全卫士智能手机本身是一个完整的计算机系统，因此，手机安全卫士的部分功能与主机安全卫士是相似的，如手机体检、木马查杀、优化加速等，但手机安全卫士有着以下针对手机特有的安全威胁的安全功能。(1) 拦截垃圾短信手机安全卫士具有举报垃圾短信功能。如果用户接收到垃圾短信，可以举报该垃圾短信，手机安全卫士后台云端将记录与所有被举报的垃圾短信有关的信息，如发送号码、短信关键词等。手机安全卫士具有示警垃圾短信功能。当用户接收到短信时，手机安全卫士首先将该短信的发送号码和短信关键词发送给云端，一旦发送号码和短信关键词与云端存储的某个被举报的垃圾短信相同，手机安全卫士将给出提示信息。用户确认是垃圾短信后，该短信的发送号码和关键词将自动进入手机安全卫士的短信黑名单。用户可以手工配置手机安全卫士的短信黑名单。手机安全卫士将自动拦截所有与短信黑名单匹配的短信。(2) 拦截骚扰电话手机安全卫士后台云端记录与所有被举报的骚扰电话有关的信息，如主叫号码等，一旦手机接收到呼叫连接请求，且主叫号码与云端存储的某个被举报的骚扰电话相同，手机安全卫士就给出提示信息。用户确认是骚扰电话后，该电话的主叫号码将自动进入手机安全卫士的电话黑名单。手机安全卫士能够检测某些特征明显的骚扰电话，如“响一声”来电，自动将这些来电的主叫号码加入疑似骚扰电话列表，用户可以将这些来电的主叫号码导入手机安全卫士的电话黑名单。用户可以手工配置手机安全卫士的电话黑名单。手机安全卫士将自动拦截所有与电话黑名单匹配的来电。(3) 杀毒手机安全卫士一般兼具手机杀毒软件的功能，可以查杀手机中的病毒。(4) 流量监控手机安全卫士针对每一个软件统计流量，用于发现感染病毒的软件进行的恶意扣费活动。手机安全卫士一般也可以对每一个软件设置流量阈值，以防发生重大恶意扣费事件。(5) 隐私保护手机安全卫士具有保护手机中隐私信息的功能，可以对指定的隐私信息进行加密，并指定密码。以后读取隐私信息时，必须手工输入密码。隐私信息可以是指定号码发送的短信，将某个号码发送的短信指定为隐私信息后，一旦接收到该号码发送的短信，手机安全卫士首先对其进行加密。用户手工输入密码后，才能读取该短信内容。3. Windows 7 UAC(1) UAC功能用户账户控制（User Account Control，UAC）是Windows 7中用于保障主机系统安全的机制，它具有以下安全功能: 一是对账户分类，不同类型的账户具有不同的操作计算机的权限，用相应账户登录的用户具有该账户对应的权限;二是只允许用管理员账户登录的用户和在具有管理员权限的运行环境下运行的程序更改系统设置;三是为避免错误操作，只要用户和程序进行更改系统设置的操作，Windows 7将弹出示警信息，由用户确认后完成更改系统设置的操作。(2) UAC工作机制有些选项旁边有“盾牌”标记，如图3.16所示的“更改用户账户控制设置”选项，选择这些选项的用户必须具有管理员权限，如果某个用标准用户账户登录的用户选中旁边有“盾牌”标记的选项，则弹出输入管理员账户和密码的对话框，除非输入正确的管理员账户和密码，否则该用户无法选择该选项。同样，在用标准账户登录的环境下运行的程序也不能更改系统设置。图3.16用户账户设置用具有管理员权限账户登录的用户选择这些选项时，不会弹出输入管理员账户和密码的对话框。但为了防止用具有管理员权限账户登录的用户因为误操作修改系统设置，可以通过设置用户账户控制使在具有管理员权限的用户更改系统设置时同样弹出警示信息，用户确定需要更改相应系统设置时，通过单击“是”按钮完成更改操作。如果是用户因为误操作选择该选项，则可以通过单击“否”按钮终止更改操作。通过设置用户账户控制使在具有管理员权限的运行环境下运行的某个程序更改系统设置时同样弹出警示信息，在用户确认后，才能允许该程序完成更改操作，以此防止病毒或其他恶意软件通过更改系统设置对计算机系统实施破坏操作。(3) UAC配置完成“控制面板”→“用户账户和家庭安全”→“用户账户”操作过程，弹出如图3.16所示的“用户账户”设置界面。单击“更改用户账户控制设置”选项，弹出如图3.17所示的“用户账户控制设置”界面，通过拖动游标可以在“始终通知”“默认”“不变暗屏幕”和“从不通知”四个选项中选择其中一个选项。图3.17用户账户控制设置始终通知: 一旦用户或运行的程序更改系统设置，UAC便弹出警示信息，同时变暗屏幕，用户通过选择“是”或“否”继续或终止更改操作。默认: 只有当运行的程序更改系统设置时，UAC才弹出警示信息，同时变暗屏幕，用户通过选择“是”或“否”继续或终止更改操作。用户更改系统设置时不再弹出警示信息。不变暗屏幕: 该选项与默认选项相同，只是弹出警示信息时不变暗屏幕。从不通知: 关闭UAC，用户和运行的程序更改系统设置时，UAC均不弹出警示信息。值得强调的是，UAC对通过内置管理员账户登录的用户不起作用，这也是慎用内置管理员账户登录的原因。3.4应用程序控制策略病毒是一段恶意代码，只有执行后才能完成感染和破坏过程，因此，限制程序执行也是一种防御病毒的机制。Windows 7应用程序控制策略（AppLocker）可以为每一个用户指定允许或禁止该用户执行的程序、Windows安装程序和脚本，因此，通过精心配置应用程序控制策略可以限制病毒程序的运行。3.4.1配置Application Identity服务Windows的每一个服务用于为用户实现特定的功能，Application Identity服务用于实现确定并验证应用程序标识的功能，该功能是实现应用程序控制策略所需要的。将Application Identity服务的启动类型设置为自动的过程如下。图3.18控制面板图3.19系统和安全