网络信息安全期末复习要点

网络信息安全期末复习要点

第1章 网络安全概述

 

1、网络安全的定义
答案：网络安全是指保护网络系统中的软件、硬件及信息资源，使之免受偶然或恶意的破坏、篡改和泄露，保证网络系统的正常运行、网络服务不中断。
从用户角度看，网络安全主要是保障个人数据或企业的信息在网络中的保密性、完整性、不可否认性，防止信息的泄露和破坏，防止信息资源的非授权访问。对于网络管理者来说，网络安全的主要任务是保障合法用户正常使用网络资源，避免病毒、拒绝服务、远程控制、非授权访问等安全威胁，及时发现安全漏洞，制止攻击行为等。从教育和意识形态方面，网络安全主要是保障信息内容的合法与健康，控制含不良内容的信息在网络中的传播。

2．网络安全的属性
答案：美国国家信息基础设施（NII）的文献中，给出了安全的五个属性：可用性、机密性、完整性、可靠性和不可抵赖性。

（1）可用性

   可用性是指得到授权的实体在需要时可以得到所需要的网络资源和服务。

（2）机密性

   机密性是指网络中的信息不被非授权实体（包括用户和进程等）获取与使用。

（3）完整性

   完整性是指网络信息的真实可信性，即网络中的信息不会被偶然或者蓄意地进行删除、修改、伪造、插入等破坏，保证授权用户得到的信息是真实的。

（4）可靠性

   可靠性是指系统在规定的条件下和规定的时间内，完成规定功能的概率。

（5）不可抵赖

   不可抵赖性也称为不可否认性。是指通信的双方在通信过程中，对于自己所发送或接收的消息不可抵赖。

3.网络安全威胁

答案：网络安全威胁是指某个实体（人、事件、程序等）对某一网络资源的机密性、完整性、可用性及可靠性等可能造成的危害。

通信过程中的四种攻击方式：图示

 

4．安全策略

安全策略是指在某个安全区域内，所有与安全活动相关的一套规则 

网络安全策略包括对企业的各种网络服务的安全层次和用户的权限进行分类，确定管理员的安全职责，如何实施安全故障处理、网络拓扑结构、入侵和攻击的防御和检测、备份和灾难恢复等内容。

5．网络安全模型

1.  P2DR安全模型

P2DR模型是由美国国际互联网安全系统公司提出的一个可适应网络安全模型（Adaptive Network Security Model）。

P2DR包括四个主要部分，分别是：Policy——策略，Protection——保护，Detection——检测，Response——响应。

P2DR模型的基本思想是：一个系统的安全应该在一个统一的安全策略（Policy）的控制和指导下，综合运用各种安全技术（如防火墙、操作系统身份认证、加密等手段）对系统进行保护，同时利用检测工具（如漏洞评估、入侵检测等系统）来监视和评估系统的安全状态，并通过适当的响应机制来将系统调整到相对“最安全”和“风险最低”的状态。

1.  PDRR模型是美国国防部提出的“信息安全保护体系”中的重要内容，概括了网络安全的整个环节。PDRR表示：Protection（防护）、Detection（检测）、Response（响应）、Recovery（恢复）。这四个部分构成了一个动态的信息安全周期。

6．研究网络安全的意义

网络安全与政治、军事、经济与社会稳定，关系重大。

第3章 密码学基础

1.密码系统

图示略

2. 对称加密算法

1. 对称加密算法（symmetric algorithm），也称为传统密码算法，其加密密钥与解密密钥相同或很容易相互推算出来，因此也称之为秘密密钥算法或单钥算法。对称算法分为两类，一类称为序列密码算法（stream cipher），另一种称为分组密码算法（block cipher）。
2. 对称加密算法的主要优点是运算速度快，硬件容易实现；其缺点是密钥的分发与管理比较困难，特别是当通信的人数增加时，密钥数目急剧膨胀。

3.非对称加密算法

1. 非对称加密算法（Asymmetric Algorithm）也称公开密钥算法（Public Key Algorithm）。
2. 公开密钥体制把信息的加密密钥和解密密钥分离，通信的每一方都拥有这样的一对密钥。其中加密密钥可以像电话号码一样对外公开，由发送方用来加密要发送的原始数据；解密密钥则由接收方秘密保存，作为解密时的私用密钥。
3. 公开密钥体制最大的优点就是不需要对密钥通信进行保密，所需传输的只有公开密钥。这种密钥体制还可以用于数字签名，。公开密钥体制的缺陷在于其加密和解密的运算时间比较长，这在一定程度上限制了它的应用范围。   

4.密码的破译

1)密钥的穷尽搜索

2)密码分析

1.  已知明文的破译方法
2.  选定明文的破译方法
3.  差别比较分析法

5.古典密码学

代换密码：依据一定的规则，明文字母被不同的密文字母所代替。

置换密码：保持明文的所有字母不变，只是利用置换打乱明文字母出现的位置。

缺点：不能掩盖字母的统计规律，因而不能抵御基于统计的密码分析方法的攻击。

6.扩散和混乱—分组密码的基本原理

扩散和混乱是由Shannon提出的设计密码系统的两个基本方法，目的是抵抗攻击者对密码的统计分析。

1.  扩散就是指将明文的统计特性散布到密文中去
2.  混乱就是使密文和密钥之间的统计关系变得尽可能复杂 

7.DES算法—Data Encryption Standard --最有影响的对称密钥算法

DES算法：

1. 首先把明文分成若干个64-bit的分组，算法以一个分组作为输入，通过一个初始置换（IP）将明文分组分成左半部分（L0）和右半部分（R0），各为32-bit。
2. 然后进行16轮完全相同的运算，这些运算我们称为函数f，在运算过程中数据与密钥相结合。
3.  经过16轮运算后，左、右两部分合在一起经过一个末转换（初始转换的逆置换IP-1），输出一个64-bit的密文分组。

密钥通常表示为64-bit，但每个第8位用作奇偶校验，实际的密钥长度为56-bit。

3DES--三重DES

DES一个致命的缺陷就是密钥长度短，并且对于当前的计算能力，56位的密钥长度已经抗不住穷举攻击，而DES又不支持变长密钥。但算法可以一次使用多个密钥，从而等同于更长的密钥。

8. AES算法—现行的NIST（National Institute Of Science And Technology美国国家标准研究所）加密标准

由于DES算法密钥长度较小(56位),已经不适应当今分布式开放网络对数据加密安全性的要求，因此1997年NIST公开征集新的数据加密标准,即AES。经过三轮的筛选,比利时Vincent Rijmen和Joan Daeman提交的Rijndael算法被提议为AES的最终算法。总体来说,AES作为新一代的数据加密标准汇聚了强安全性、高性能、高效率、易用和灵活等优点。AES设计有三个密钥长度:128,192,256位，相对而言，AES的128密钥比DES的56密钥强1021倍。

9. RSA算法--最有影响的公钥密码算法

RSA算法描述如下：

（1）选取不同且足够大的两个素数：p 和 q ；

（2）计算这两个素数的乘积：n =p×q；

（3）计算：φ（n）=(p－1)(q－1)；

（4）选择一个随机数e ，满足：1＜e＜φ(n)，并且e

     和φ(n)互质，即 gcd（e,φ(n)）=1。e即为加密密钥

（5）计算：d×e≡1 mod φ(n)，

     可得到数d，d满足：1＜d＜φ(n)     d即为解密密钥

（6）公钥PK={n,e}，私钥SK={n,d}

 (7) 加密：用（n,e）计算：c=me mod n

（8）解密：用（n,d) 计算：m=cd mod n    

两个大数p和q应当销毁。

RSA算法的安全性基于数论中大数分解的困难性。即知道n，想要分解出p和q非常困难。

10.Diffe-Hellman算法

第一个公开密钥算法，1976年由Diffe和Hellman提出。不能用于加解密，可用于密钥分配。

Diffe-Hellman算法的安全性基于有限域中计算离散对数的困难性。所谓离散对数，就是给定正整数x，y，n，求出正整数k（如果存在的话），使y≡xk(mod n)。就目前而言，人们还没有找到计算离散对数的快速算法（所谓快速算法，是指其计算复杂性在多项式范围内的算法，即O(logn)k，其中k为常数）。

 

第4章  密码学应用

1.密钥的生命周期

一个密钥在生存期内一般要经历以下几个阶段：

1)  密钥的产生

2)  密钥的分配

3)  启用密钥/停有密钥

4)  替换密钥或更新密钥

5)  撤销密钥

6)  销毁密钥

2.对称密码体制的密钥管理

（1）密钥分配中心KDC

KDC与每一个用户之间共享一个不同的永久密钥，当两个用户A和B要进行通信时，由KDC产生一个双方会话使用的密钥K，并分别用两个用户的永久密钥KA、KB来加密会话密钥发给他们，即将KA(K)发给A，KB(K)发给B；A、B接收到加密的会话密钥后，将之解密得到K，然后用K来加密通信数据。

（2）基于公钥体制的密钥分配

假设通信双方为A和B。使用公钥体制交换对称密钥的过程是这样的：首先A通过一定的途径获得B的公钥；然后A随机产生一个对称密钥K，并用B的公钥加密对称密钥K发送给B；B接收到加密的密钥后，用自己的私钥解密得到密钥K。在这个对称密钥的分配过程中，不再需要在线的密钥分配中心，也节省了大量的通信开销。

3.公开密钥体制的密钥管理

主要有两种公钥管理模式，一种采用证书的方式，另一种是PGP采用的分布式密钥管理模式。

（1）公钥证书

公钥证书是由一个可信的人或机构签发的，它包括证书持有人的身份标识、公钥等信息，并由证书颁发者对证书签字。

（2）分布式密钥管理

在某些情况下，集中的密钥管理方式是不可能的，比如：没有通信双方都信任的CA。用于PGP的分布式密钥管理，采用了通过介绍人（introducer）的密钥转介方式

4.数据完整性验证

消息的发送者用要发送的消息和一定的算法生成一个附件，并将附件与消息一起发送出去；消息的接收者收到消息和附件后，用同样的算法与接收到的消息生成一个新的附件；把新的附件与接收到的附件相比较，如果相同，则说明收到的消息是正确的，否则说明消息在传送中出现了错误。

5.单向散列函数

1. 单向散列函数（one-way hash function），是现代密码学的三大基石之一。
2. 散列函数长期以来一直在计算机科学中使用，散列函数是把可变长度的输入串（叫做原象，pre-image）转换成固定长度的输出串（叫做散列值）的一种函数
3. 单向散列函数是在一个方向上工作的散列函数，即从预映射的值很容易计算出散列值，但要从一个特定的散列值得出预映射的值则非常难。

6. MD5—最为人们熟知的消息摘要算法

MD5以512bit的分组来处理输入文本。算法输出一个128bit的散列值。

7.数字签名

签名机制的本质特征是该签名只有通过签名者的私有信息才能产生，也就是说，一个签名者的签名只能唯一地由他自己产生。当收发双方发生争议时，第三方（仲裁机构）就能够根据消息上的数字签名来裁定这条消息是否确实由发送方发出，从而实现抗抵赖服务。另外，数字签名应是所发送数据的函数，即签名与消息相关，从而防止数字签名的伪造和重用。

数字签名的实现方法

（1）使用对称加密和仲裁者实现数字签名

（2）使用公开密钥体制进行数字签名

公开密钥体制的发明，使数字签名变得更简单，它不再需要第三方去签名和验证。签名的实现过程如下：

1. A用他的私人密钥加密消息，从而对文件签名；
2. A将签名的消息发送给B；
3.  B用A的公开密钥解消息，从而验证签名；

（3）使用公开密钥体制与单向散列函数进行数字签名：更小的计算量

8. Kerberos认证交换协议

Kerberos协议主要用于计算机网络的身份鉴别(Authentication),其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务，即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥，使得该协议具有相当的安全性。由于协议中的消息无法穿透防火墙，这些条件就限制了Kerberos协议往往用于一个组织的内部， 使其应用场景不同于X.509 PKI。

Kerberos协议分为两个部分：

1. Client向KDC发送自己的身份信息，KDC从Ticket Granting Service得到TGT(ticket-granting ticket)， 并用协议开始前Client与KDC之间的密钥将TGT加密回复给Client。

2. Client利用获得的TGT向KDC请求其他Service的Ticket，从而通过其他Service的身份鉴别。

9.公钥基础设施—PKI

PKI就是一个用公钥概念和技术实现的、为网络的数据和其它资源提供具有普适性安全服务的安全基础设施。

完整的PKI系统必须具有权威认证机关(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。

CA的功能：

证书颁发、证书更新、证书撤销、证书和CRL的公布、证书状态的在线查询、证书认证

10.数字证书

数字证书中包含证书持有者的个人身份信息、公钥及CA的签名，在网络通讯中标识证书持有者的个人身份，可用于网上购物、网上证券、网上金融、网上拍卖、网上保险等多种应用系统。

证书的验证，是验证一个证书的有效性、完整性、可用性的过程。证书验证主要包括以下几方面的内容：

1. 验证证书签名的是否正确有效，这需要知道签发证书的CA的真正公钥，有时可能要涉及证书路径的处理。
2. 验证证书的完整性，即验证CA签名的证书散列值与单独计算出的散列值是否一致。
3. 验证证书是否在有效期内
4. 查看证书撤销列表，验证证书没有被撤销。
5. 验证证书的使用方式与任何声明的策略和使用限制一致。

第5章 防火墙技术

1基本概念

防火墙（Firewall）是指隔离在内部网络与外部网络之间的一道防御系统，它能挡住来自外部网络的攻击和入侵，保障着内部网络的安全

非军事化区（DMZ）：为了配置管理方便，内网中需要向外网提供服务的服务器（如WWW、FTP、SMTP、DNS等）往往放在Internet与内部网络之间一个单独的网段，这个网段便是非军事化区。

包过滤，也被称为数据包过滤，是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤规则，检查数据流中的每个数据包，根据数据包的源地址、目标地址以及端口等信息来确定是否允许数据包通过。

2 防火墙的作用

（1）可以限制未授权用户进入内部网络，过滤掉不安全服务和非法用户；

（2）防止入侵者接近内部网络的防御设施，对网络攻击进行检测和告警；

（3）限制内部用户访问特殊站点；

（4）记录通过防火墙的信息内容和活动，监视Internet安全提供方便。

3 防火墙技术分类，

（1）包过滤防火墙

（2）代理服务型防火墙

4 包过滤防火墙

使用包过滤技术的防火墙叫做包过滤防火墙（Packetfilter），因为它工作在网络层，又叫网络层防火墙（Networklevelfirewall）。

包过滤防火墙一般由屏蔽路由器（ScreeningRouter，也称为过滤路由器）来实现，这种路由器是在普通路由器基础上加入IP过滤功能而实现的，这是防火墙最基本的构件。

包过滤技术的工作原理：

• 包过滤防火墙基于一定的过滤规则，通过检测、分析所有流经的数据包头信息以及数据包传输方向来判断是否允许通过：
  • 如果数据包信息与用户制定的通行规则相匹配，防火墙就允许其通过，并通过路由转发；
  • 如果按照规则属于不该放行的，防火墙就阻止该数据包通行；
  • 不与任何过滤规则匹配的，防火墙就丢弃该数据包。
• 包过滤规则：根据源、目标IP地址，协议类型，源、目标端口等来制定。

包过滤防火墙的优点

（1）一个屏蔽路由器能保护整个网络

（2）包过滤对用户透明

（3）屏蔽路由器速度快、效率高

包过滤防火墙的缺点

1) 通常它没有用户的使用记录，这样就不能从访问记录中发现黑客的攻击记录。

2) 配置繁琐也是包过滤防火墙的一个缺点。

3) 不能在用户级别上进行过滤，只能认为内部用户是可信任的、外部用户是可疑的。

4) 一旦屏蔽路由器被攻陷就会对整个网络产生威胁。

5 代理服务器

代理服务器是指代表内网用户向外网服务器进行连接请求的服务程序。代理服务器运行在两个网络之间，它对于客户机来说像是一台真的服务器，而对于外网的服务器来说，它又是一台客户机。

代理服务器的工作原理

• 代理服务器运行在内、外网络之间，对内外网起到了隔离的作用，使得内外网不能直接互访。
• 运行了一个代理服务程序，代表外网用户向内网服务器进行连接请求;也代表内网用户向外网服务器进行连接请求。
• 它在应用层检查每一个包从而提供足够的应用级连接信息.应用级代理防火墙能很容易看见每一个连接的细节从而实现各种安全策略。

第6章  网络攻击技术

1、系统攻击或入侵

是指利用系统安全漏洞，非授权进入他人系统（主机或网络）的行为。

系统攻击的三个阶段

（1）收集信息

（2）探测系统安全弱点

（3）实施攻击

2、主要的攻击方法

1)  获取口令

2)  放置特洛伊木马

3)  WWW的欺骗技术

4)  电子邮件攻击

5)  网络监听

6)  寻找系统漏洞

3、口令攻击方法

（1）通过网络监听非法得到用户口令

（2）口令的穷举攻击

（3）利用系统管理员的失误

4、扫描器

扫描器是检测远程或本地系统安全脆弱性的软件。

扫描器分类：数据库安全扫描器、操作系统安全扫描器和网络安全扫描器

5、常用的扫描技术

（1）TCP connect（）扫描

（2）TCP SYN扫描

（3）TCP FIN扫描

6、网络监听

网络监听可以监视网络的状态、数据流动情况以及网络上传输的信息，是网络管理员的一种监视和管理网络的一种方法，但网络监听工具也常是黑客们经常使用的工具。

7、网络监听的原理

以太网中，当主机工作在监听模式下，不管数据帧的目的地址是什么，所有的数据帧都将被交给上层协议软件处理。

7、拒绝服务

DoS是Denial of Service的简称，即拒绝服务。造成DoS的攻击行为被称为DoS攻击，拒绝服务攻击是指一个用户占据了大量的共享资源，使系统没有剩余的资源给其它用户提供服务的一种攻击方式。

最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。

8、DDoS

（分布式拒绝服务）是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，

DDoS的主要攻击方式

1)  SYN Flooding攻击

2)  Land攻击

3)  Smurf攻击的过程

9、缓冲区溢出

在程序试图将数据放到机器内存缓冲区中的某一个位置的时候，如果没有足够的空间，程序又不检查缓冲区的边界，就会发生缓冲区溢出

缓冲区溢出攻击的分类：

1. 基于栈的缓冲区溢出
2. 基于堆的缓冲区溢出
3. 整型溢出
4. 格式化字符串溢出
5. 文件流溢出。

 

10、缓冲区溢出的保护

一是强制编写正确代码的方法。二是通过操作系统使得缓冲区不可执行，从而阻止攻击者植入攻击代码。三是利用编译器的边界检查来实现缓冲区的保护。

 

11、特洛伊木马

木马是一种基于远程控制的黑客工具，一般的木马都有客户端和服务器端两个执行程序，其中客户端是用于攻击者远程控制被植入木马的机器。服务器端程序即是木马程序。攻击者要通过木马攻击你的系统，要做的第一件事就是把木马的服务器端程序通过某种方式植入到用户的电脑里面。

木马具有隐蔽性和非授权性的特点：所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马；所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件、修改注册表、控制鼠标、键盘等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

12 Sniffer软件的功能

1. 捕获网络流量进行详细分析
2. 利用专家分析系统诊断问题
3. 实时监控网络活动
4. 收集网络利用率和错误等

16 ARP欺骗的防范

1. 不要把网络安全信任关系建立在IP地址的基础上或硬件MAC地址基础上，（RARP同样存在欺骗的问题），理想的关系应该建立在IP＋MAC基础上；
2.  设置静态的MAC—IP对应表，不要让主机刷新你设定好的对应表；

17 SYN Flood是当前最流行的DoS（拒绝服务攻击）方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式.服务器端忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作服务器端受到了SYN Flood攻击（SYN洪水攻击）

18 DNS欺骗的实现

假如我们能够伪装DNS服务器提前向客户端发送响应数据报，那么客户端的DNS缓存里域名所对应的IP就是我们自定义的IP，这样客户端在访问期望的域名时被我们重定向到我们自定义的IP地址所对应地方了。

第7章  入侵检测技术

1、入侵检测（Intrusion Detection）

顾名思义，即是对入侵行为的发觉。它在计算机网络或计算机系统中的若干关键点收集信息，通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

2 IDS

进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System，简称IDS）。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须能将得到的数据进行分析，并得出有用的结果。

3 IDS的任务和作用

1) 监视、分析用户及系统活动；

2) 对系统构造和弱点的审计；

3) 识别和反应已知进攻的活动模式并向相关人士报警；

4) 异常行为模式的统计分析；

5) 评估重要系统和数据文件的完整性；

6) 操作系统的审计跟踪管理，识别用户违反安全策略的行为。

4、入侵检测系统的分类

1.  按照入侵检测系统的数据来源划分

（1）基于主机的入侵检测系统

（2）基于网络的入侵检测系统

（3）采用上述两种数据来源的分布式的入侵检测系统

1.  按照入侵检测系统采用的检测方法来分类

（1）基于行为的入侵检测系统：

（2）基于模型推理的入侵检测系统：

（3）采用两者混合检测的入侵检测系统：

5、入侵检测工具

ISS BlackICE

ISS RealSecure

第8章  计算机病毒与反病毒技术

1、计算机病毒

是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码

2．病毒的生命周期

隐藏阶段、传播阶段、触发阶段、执行阶段

3、病毒的特征

（1）传染性

（2）破坏性

（3）潜伏性

（4）可执行性

（5）可触发性

（6）隐蔽性

4、病毒的危害

（1）病毒发作对计算机数据信息的直接破坏

（2）占用磁盘空间和对信息的破坏

（3）抢占系统资源

（4）影响计算机运行速度

（5）计算机病毒错误与不可预见的危害

（6）计算机病毒给用户造成严重的心理压力

5、病毒的命名

病毒前缀.病毒名.病毒后缀

1. 病毒前缀是指一个病毒的种类。比如木马的前缀是Trojan，蠕虫的前缀是Worm。
2. 病毒名是指一个病毒的家族特征，如CIH病毒的家族名都是统一的CIH，振荡波蠕虫病毒的家族名是Sasser。
3. 病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如：Worm.Sasser.b就是指振荡波蠕虫病毒的变种b。如果病毒变种非常多，可以采用数字与字母混合表示变种标识。

6 CIH病毒

属于文件型病毒，主要感染Windows 9x下的可执行文件。CIH病毒使用了面向Windows的VxD技术，使得这种病毒传播的实时性和隐蔽性都特别强.

发作日是每年4月26日。v1.3版本发作日是每年6月26日。v1.4版本发作日为每月26日。

CIH最大的特点就是对计算机硬盘以及BIOS具有超强的破坏能力。

7、宏病毒

是一种使用宏编程语言编写的病毒，主要寄生于Office文档或模板的宏中。一旦打开这样的文档，宏病毒就会被激活，进入计算机内存，并驻留在Normal模板上。从此以后，所有自动保存的文档都会感染上这种宏病毒，如果网上其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

宏病毒通常使用VB脚本，影响微软的Office组件或类似的应用软件，大多通过邮件传播。最有名的例子是1999年的美丽杀手病毒（Melissa），通过Outlook来把自己放在电子邮件的附件中自动寄给其他收件人。

 

8、宏病毒的特点

（1）感染数据文件

（2）多平台交叉感染

（3）容易编写

（4）容易传播

9、蠕虫病毒

蠕虫（Worm）是一种通过网络传播的恶性病毒，它通过分布式网络来扩散传播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁。

蠕虫又与传统的病毒又有许多不同之处，如不利用文件寄生、对网络造成拒绝服务、与黑客技术相结合等。

 

10、蠕虫的基本程序结构

1) 传播模块：负责蠕虫的传播，又分为三个基本模块：扫描模块、攻击模块和复制模块。

2) 隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现。

3) 目的功能模块：实现对计算机的控制、监视或破坏等功能。

11、防病毒措施

1．服务器的防病毒措施

（1）安装正版的杀毒软件

（2）拦截受感染的附件

（3）合理设置权限

（4）取消不必要的共享

（5）重要数据定期存档

2．终端用户防病毒措施

（1）安装杀毒软件和个人防火墙

（2）禁用预览窗口功能

（3）删除可疑的电子邮件

（4）不要随便下载文件

（5）你认为有用的其他措施