1.22k likes | 1.4k Views
计算机安全与保密技术. 教案 邓亚平 2002 年 9 月. 第 1 章 安全技术概述 1.1 计算机应用技术的演变 ● 主机计算 (mainframe computing) ● 分布式客户机 / 服务器计算 (distributed client/serer computing) ● 网络计算 (network computing) 1.1.1 主机计算模式 主机 —— 终端计算模式:系统软件和硬件集中管理,用户界面单一, 可扩展性差(前十年)
E N D
计算机安全与保密技术 教案 邓亚平 2002年9月
第1章 安全技术概述 • 1.1 计算机应用技术的演变 • ● 主机计算(mainframe computing) • ● 分布式客户机/服务器计算(distributed client/serer computing) • ● 网络计算(network computing) • 1.1.1主机计算模式 • 主机——终端计算模式:系统软件和硬件集中管理,用户界面单一, • 可扩展性差(前十年) • 程序设计时代:FORTRAN,COBOL GOTO语句 • 只使用:顺序,分支,循环结构 • 2 结构化程序设计时代:PASCAL 设计重于编码,分析重于设计 • 数据流程图,伪代码,结构化查询语言(SQL):数据联系语句 • 软件工程时代 • 系统中的软件成本比例越来越大 • 大量生产,高度重用,容易重组,容易维护 • 瀑布模型:任务规划,需求分析,概要设计,详细设计,测试,维护 • 开发方法:系统结构分析设计,系统表示语言和工具,软件需求工程方法,有限状态分析机——综合的:计算机辅助软件工程 • (CASE:computer aided software engineering) • 开发模型:原型法技术模型和面向对象的开法模型 • 1.1.2 分布式客户机/服务器计算模式 • 1 计算机应用阶段:DOS单用户,单任务——资源独占 • 2 网络应用阶段:实现资源共享 • 客户机/服务器应用阶段:将一个较大的任务适当地分解成多个子任务,由多个系统分别完成。多个子任务间存在交互关系,并体现为“服务请求/服务响应”关系。
网络硬件,网络软件,客户机平台,服务器平台,连接软件(RPC)网络硬件,网络软件,客户机平台,服务器平台,连接软件(RPC) • 1.1.3 互联网络计算模式 • 用户界面更趋向自然化,资源相对集中,升级和维护简单,开销较少 • 1 多媒体应用:构架(模型的抽象)和构件——代码的重写量减少 • 网络计算应用:多种服务器;页面传递;浏览查询和计算处理; • APPLET在网上上移动; • 1.2 计算机安全技术概述 • 1.2.1 计算机系统面临的威胁 • 1 对硬件实体的威胁和攻击 • 2 对信息的威胁和攻击:hacker • 3 同时攻击软硬件系统:计算机病毒(几十亿美元的直接经济损失) • 1.2.2 计算机犯罪:每年盗用200多亿美元,其特征如下 • 1 获益高,罪犯作案时间短 • 2 风险低,作案容易而不留痕迹 • 3 犯罪采用先进技术:断口扫描,木马 • 4 内部人员和青少年犯罪日趋严重 • 5 犯罪区域广,犯罪机会多 • 1.2.3 计算机系统的脆弱性和安全的重要性 • 计算机系统自身的脆弱性 • 抗外部环境影响的能力差;数据信熄聚集性和安全性密不可分; • 剩磁效应和电磁泄漏的不可避免;通信网络的弱点;数据处理的可 • 访问性和资源共享的目的性之间的矛盾——难保密性 • 系统安全的重要性
(1)计算机系统存储和处理有关国家安全的机密信息/个人的隐私(1)计算机系统存储和处理有关国家安全的机密信息/个人的隐私 • (2)计算机系统越来越复杂以及网络化 • (3)计算机系统广泛使用,环境变化使系统的可靠性和安全性降低 • (4)各级应用人员的操作失误或缺乏经验都会使系统的安全功能不足 • (5)计算机系统安全问题涉及多个学科:计算机,通信,容错,加密,防病毒等 • (6)重应用轻安全 • 1.2.4 计算机系统的安全需求与对策 • 计算机系统的安全需求 • (1)保密性 • (2)安全性:保密的程度;内部安全,外部安全(物理,人事,过程安全) • (3)完整性:程序和数据不被非法修改和复制,保证其真实性和有效性。软件完整性(防复制和动态跟踪);数据完整性(不被非法修改) • (4)服务可用性:适用性,可靠性,及时性和安全性的综合表现 • (5)有效性和合法性:是否过时和重发,身份鉴别 • (6)信息流的保护:采用填充机制防有害信息的插入 • 计算机系统的安全对策 • (1)系统安全对策的一般原则 • · 综合平衡代价原则:需求,风险,代价三者的折衷 • · 整体总和分析与分级授权原则:物理管理和技术管理 • · 方便用户原则 • · 灵活实用性原则:安全措施留有余地,应急措施 • · 可评估性原则 • (2)计算机系统的安全措施 • 安全立法,安全管理,安全技术三个层次 • 1.2.5 计算机系统安全的一般措施 • 安全立法:社会规范和技术规范两类 • (1)社会规范:信息活动中人与人之间的行为准则——合法登记原 • 则;合法用户原则;信息公开原则;信息利用原则;资源限制原则
(2)技术规范:人和自然界之间的关系准则 • 计算机安全标准,网络安全标准,操作系统安全标准,数据和信息安 • 全标准,电磁泄露安全极限安全标准等 • 行政管理:三分技术,七分管理 • (1)人员的教育与培训 • (2)健全机构,岗位设置和规章制度 • 岗位责任制;运行管理维护制度;计算机处理控制管理制度;文档资 • 料管理制度 • 技术措施:安全技术措施应落实在系统开发的各个阶段 • 1.2.6 计算机系统安全技术与标准 • 计算机系统安全技术概述 • (1)实体硬件安全 • (2)软件系统安全 • (3)数据信息安全 • (4)网络站点安全 • (5)运行服务安全 • (6)病毒防治技术 • (7)防火墙技术 • (8)计算机应用系统的安全评价 • 计算机系统安全技术标准 • (1)ISO7489-2:OSI安全体系结构的5种安全服务: • 鉴别(authentication);访问控制(access control);数据保密(data • confidentiality);数据完整性(data integrity);抗否认(non-reputation) • 为实现以上服务制定了8种安全机制: • 加密机制(enciphering mechanisms );数字签名机制(digital signature • mechanisms);访问控制机制(access control mechanisms);数据完整性 • 机制(data integrity mechanisms);鉴别机制(authentication mechanisms); • 通信量填充机制(traffic padding mechanisms);路由控制机制(routing • control mechanisms);公证机制(notarization mechanisms) • (2)信息技术安全评定标准(ITSEC)——欧共体,1991 • 加拿大可信计算机产品评价准则(CTCPEC)——加拿大,1993 • 组合的联邦标准(FC)——美国,1993 • 信息技术安全评价通用准则(CC for ITSEC)——美加英法德荷六国,1993.6
计算机信息安全保护等级划分准则 • 公安部提出并组织制订,99,9,13经国家质量技术监督局发布,2001,1,1起实施。 • 本标准规定了计算机信息系统安全保护能力的五个等级: • 第一级:用户自主保护级 • 第二级:系统审计保护级 • 第三级:安全标记保护级 • 第四级:机构化保护级 • 第五级:访问验证保护级 • 1.3 有关安全立法和知识产权的几个问题 • 1.3.1 广泛开展计算机安全教育 • 1.3.2 计算机安全立法 • 《保守国家秘密法》《计算机软件保护条例》《信息系统安全保护条例》《计算机病毒控制条例》等 • 1.3.3 计算机软件保护问题 • 1 现有著作权保护法在计算机领域受限,需要完善 • 2 Internet/Intranet带来新的挑战 • 3 正确使用软件的商标权:自由,共享,商用软件 • 案例:计算机逻辑炸弹(江明公司)——1997夏 • 第二章 计算机硬件检测与维护 • 2.1 计算机的可靠性 • 2.1.1计算机的可靠性(RAS,Reliability, A Safegard , ) • 1可靠性:故障概率 • 2可维护性 • 3可用性:能正常工作的概率 • 2.1.2别 计算机的安全性 • 1 温度与湿度:10-25,40-60% • 2 清洁度与照度:<1000粒/升, • 3 防静电,电磁干扰及噪音:26分贝,800mA/m,64dB • 4防火,防水及防震
5 接地系统:交流地,直流地,安全地 • 6 供电系统:UPS • 2.2 计算机故障的分析 • 2.2.1计算机故障的分类 • 1 按影响大小分类:局部性/全局性,独立型/相关型故障 • 2 按持续时间分类:暂时性/永久性/边缘性故障(元件参数变化) • 按计算机软硬件界面分类 • (1)硬件故障;(2)机械故障;(3)人为故障;(4)软件故障; • (5)病毒故障 • 2.2.2 计算机故障产生的原因 • 1 集成电路本身的缺陷 • 2 静电感应使器件击穿失效 • 3 电气干扰使器件损坏 • 4 环境条件的影响:温度和湿度过高过低 • 5 管理不善:随便开关机,随便拔插电源 • 2.3 计算机故障的检测原理及方法 • 2.3.1计算机故障的检测前的准备 • 1 充分了解机器,熟悉机器性能 • 2 掌握机器器件的主要参数和测试方法:型号,管脚,电压,电流 • 3 熟悉计算机常用的测试仪器设备及诊断程序的功能和作用 • 4 准备好一定数量板,卡部件备份 • 5 认真做好故障记录 • 2.3.2 计算机故障的检测原则 • 1 采取先软后硬的原则:QAPlus,Norton • 2 采取先外设后主机的原则 • 3 采取先电源后负载的原则 • 4 采取先一般后特殊的原则 • 5 采取先公用后专用的原则 • 6 采取先简单后复杂的原则 • 2.3.3计算机故障的一般检测方法 • 1 原理分析法:从逻辑上分析各点应有的特征 • 诊断程序测试法:简易程序测试,检查诊断(专用),高级诊断法 • 3 • 4
直接观察法:看,听,摸,闻,对电路板用放大镜直接观察法:看,听,摸,闻,对电路板用放大镜 • 拔插法 • 交换法:相同的器件 • 比较法:正确的参量 • 静态芯片测量和动态分析法:用万用表;运行时观测波形/脉冲数 • 升温法和降温法:关机检查正常,升温使故障表现出来;降温使故障消失——确定故障元件 • 2.4 计算机硬故障的诊断与排除 • 2.4.1计算机硬故障的诊断及分析技巧 • 计算机正常启动过程 • 检查CPU;ROM BIOS;POST;引导程序;DOS/WINDOWS • 计算机硬故障的诊断分析 • 初始化显示器前的故障称为关键性故障;非关键性故障(显示) • (1)对于非关键性故障:根据提示信息进行处理 • (2)对于关键性故障:机器发“嘟嘟”声的长短及次数来找故障 • 详教材第36页的表。 • 2.4.2 主机板及其维护 • 1 主机板:系统板;母板,主板(80%的死机故障与主板有关) • CPU,芯片组(北桥,南桥),内存,插槽 • 2 主板的分类 • (1)按所适合的CPU分类: • (2)按扩展总线的分类:ISA总线主板;EISA总线主板;PCI总线主板 • (3)按主板结构尺寸的分类:AT主板,ATX主板,一体化,NLX(CPU升级方便) • (4)按主板结构特点的分类:基于CPU的主板;基于适配电路的主板 • 3 主板的识别 • PCI主板的识别:插槽比ISA短,是白色 • 软件测试:QAPlus,PC bench,WinBench,Winstone等 • 4 主板的安装:跳线要按使用说明书进行 • 5 主板上的插槽与连线:扩展槽,键盘插槽,电源插槽(P8,P9) • 6 主板的常见故障分析:先软后硬,静态测试/动态测试 • 7 主机的使用与维护:严禁带电拔插;先开外设后开主机
2.4.3 中央处理单元(CPU) 1 CPU的种类 (1)Pentium系列:赛扬(Celeron), PentiumIII, Pentium 4 (2)AMD的K7系列:速龙(Athlon),雷鸟(Thunderbrird),毒龙(Dulon) 2 CPU的测试 用户迫切地需要有一个测试标准,来比较各种微处理器的性能高低。CPU基准测试软件目前有十几种,如果再加上一些实验室自己的测试软件多达50多种。其中比较有权威的要算WinBench 97和ZD实验室开发的Winstone测试软件。 每当新的CPU问世时,伴随的介绍总少不了用SPECint,SPECfp这样的测试基准对CPU的性能进行测试,从而得到CPU的性能指标,并以这些测试参数来作为CPU指数性能的基准测试。 SPEC是System Performance Evaluation Cooperative的缩写,即系统性能评价协作标准。SPEC负责研究如何对计算机系统性能进行有效的描述,由此建立的一套测试程序称为SPEC。由于其评价标准比较客观公正,因而成为计算机系统评测的公认标准。 目前使用的版本是SPEC92,她由20个基准程序组成(6个整数,14个浮点数)。其评价指标有SPEC参考时间,SPEC比率和SPECmark。SPEC参考时间是指在DEC VAX11/780上运行SPEC92基准程序所花的时间;SPEC比率是该基准程序参考时间与被测机器上运行时间的比值,被测机器运行越快,SPEC比率就越大;SPECmark为该机器20个SPEC比率的几何平均值。 目前,根据上述测试标准来建立的衡量微处理器性能指标的主要有两个,一个是有Intel公司制定的iCOMP,另一个是由IBM,AMD,Cyrix等公司联合制定的P-Rating指数。 (1)iCOMP指数 iCOMP是intel Comparative Microprocessor Performance的缩写。它是Intel公司为一般用户提供的一个理解和比较Intel微处理器性能相对差异的易用工具。
1996年公布的iCOMP Index 2.0,由4个工业标准的32位测试基准和一个Intel自行开发的Media Benchmark组成。它们的应用类别和权值列于表1-1: 评价项目 测试基准 权值(P) 传统商业应用 CPUmark32 40% 高端应用 Norton SI32 15% 常规用途的整数运算 SPEC int_base 95 20% 常规用途的浮点运算 SPEC fp_base 95 5% 常规多媒体、通信和视频应用 Intel Media Benchmark 20% iCOMP Index 2.0以Pentium 120(主频120MHz,外频60MHz)为性能测试的基准,即它的iCOMP值为100。计算公式如下: iCOMP=100[(BM1/Base_BM1)P1+ (BM2/Base_BM2)P2+ …… + (BM5/Base_BM5)P5] 表1-2列出Pentium, Pentium MMX,Pentium II在2.0版下的iCOMP指数: CPU类型 主频(MHz)外频(MHz)倍频因子 iCOMP指数 Pentium120 120 60 2 100 Pentium133 133 66 2 111 Pentium150 150 60 2.5 114 Pentium166 166 66 2.5 127 Pentium200 200 66 3 142 PentiumMMX166 166 66 2.5 160 PentiumMMX200 200 66 3 182 PentiumMMX233 233 66 3.5 203 Pentium II233 233 66 3.5 267 PentiumII266 266 66 4 303 Pentium II300 300 66 4.5 332 Pentium II333 333 66 5 366 为能反映处理器在当今迅速增长的多媒体,3D和Internet应用需求面前的性能指标,1999年初Intel公司公布了iCOMP Index 3.0性能评价体系。将PC应用明确划分成4大领域:多媒体,3D,Internet和生产率(Productivity)。其中, Productivity是指除去前三项之外的所有PC应用,典型的是各种电子表格,数据库和字处理软件。 iCOMP Index 3.0的评价条件如表1-3所示。
评价项目 基准测试 权值(P) Productivity CPU mark 99 20% ProductivityWintune 98 Advanced CPU Interger Test 20% 多媒体 Multimedia Mark 99 25% 3D3D Winbench 99-3D Lighting and Transformation Test 20% Productivity/3D WinBench 99-FPU 5% Internet Jmark 2.0 Processor Test 10% iCOMP Index 3.0以Pentium II-350为性能测试的基准,并且其iCOMP指数为1000。故iCOMP指数计算公式变为: iCOMP=1000[(BM1/Base_BM1)P1+ (BM2/Base_BM2)P1+ ……+ (BM6/Base_BM6)P6] Pentium II-350以6个测试基准程序测得的Base_MB的值分别是:27.8,87.21,883,26.5,1790,609。例如,以6个测试基准程序测试Pentium II-400,得到BM值分别是:31.6, 99.25, 999 , 30.1, 12050, 674。不难计算出它的iCOMP指数为1130.。 CPU类型 主频(MHz)外频(MHz) 倍频因子 iCOMP3.0指数 Pentium II350 350 100 3.5 1000 Pentium II400 400 100 4.0 1130 Pentium II450 450 100 4.5 1240 PentiumIII450 450 100 4.5 1500 PentiumIII500 500 100 5.0 1650 PentiumIII550 550 100 5.5 1780 (2)P-Rating指数 随着厂家各自CPU新品的推出,用iCOMP来测评不同厂家生产的CPU会有失公正,为此,IBM、AMD、Cyrix等公司合作建立了一套新的微处理器性能评测标准: P-Rating,即额定性能。 P-Rating是以WINSTONE96为测试依据,将非Intel公司的CPU与Pentium系列CPU比较来评定其性能。 WINSTONE96是基于实际应用的测试软件,它测试了十几个当今最流行的应用软件,并结合权重给出最终得分,它是公认的基于Windows的测试标准。 例如, Cyrix公司的6x86的命名就采用了P-Rating指数: Cyrix 6x86-P166+GP133,它表示主频为133MHz,与Pentium-166CPU性能相当。
P-Rating指数作为一种实用的性能评价指标给用户提`供了一个当量级的概念,为选用CPU提供了一种简易的比较方案。P-Rating指数作为一种实用的性能评价指标给用户提`供了一个当量级的概念,为选用CPU提供了一种简易的比较方案。 • 但是, P-Rating确实存在一定的局限性,其原因是WINSTONE96测试软件的浮点运算很少,而对3D应用来讲,浮点运算相当重要。虽说兼容芯片很多性能与同级Pentium系列并不逊色,但其浮点运算性能一般不如Pentium速度快。 • 3 CPU的安装:引脚有300多,拔插式,有拉杆压紧 • 2.4.4 存储器 • 三级存储器结构:高速缓存,主存和外存, • 前两种为内存 • 2.4.4.1 易失性存储器(RAM) • 静态RAM(SRAM) • (1)SRAM的主要特点: • 工作稳定,存取速度快(约为DRAM的3 – 5倍),不需要刷新电路,使用简单;功耗大,集成度较低,价格较贵。 • 在PC中SRAM主要作为Cache. • (2) SRAM的分类: • 异步SRAM(ASRAM),同步SRAM(SSRAM), • 流水突发式SRAM(PB-SRAM):可以超过系统的工作时钟 • CSRAM:Slot 2专用(奔腾2 Xeon) • 动态RAM(DRAM) • (1)DRAM的主要特点: • 集成度较高,地址引脚信号分时复用,数据输入和输出信号分离,需要刷新电路,接口电路复杂,存取速度比SRAM慢。 • 在PC中主要作为内存
(2)DRAM的分类: 1)FPM DRAM(Fast Page Mode DRAM) 标准的DRAM是通过一种称为分页的技术来存取的,其方法是在一定的内存里,保持行地址不变,只改变列地址.这样减少了寻址开销来提高存取速度. 在大多数情况下,内存中的下一个所需要的数据在当前所读取数据的下一个单元.典型的方法是采用突发模式:对于一个给定的存取,除第一次访问以外,还可再连续访问下3个邻近的地址.可用X-Y-Y-Y来描述.例如60ns的DRAM的突发模式为5-3-3-3,只有第一次用5个T,其后为3T。 但在总线时钟频率高于33MHz时,读出的数据可能不可靠。 2)EDO DRAM(Extended Data Out DRAM) 又称为HPM DRAM(Hyper Page Mode),是在FPM技术上的改进,它可以在输出一个数据的过程中,就准备下一个数据的输出,使内存控制器省去了发一系列地址信息的等待时间,当进行4次内存传送时,可按5-2-2-2的方式进行。 但在总线时钟频率高于50MHz时,读出的数据可能不可靠。 3)B(Bust)EDO DRAM 是在EDO DRAM的基础上的改进,主要是在存储器芯片上增加了一个地址计数器,用来跟踪下一个地址:当以4周期突发访问内存时,一旦知道了第一个地址,接下来的3个地址可由芯片提供,即可以是5-1-1-1的方式工作。 但在总线时钟频率高于66MHz时,读出的数据可能不可靠。 4)SDRAM(Synchronous DRAM) 它支持高速总线时钟频率( 66MHz以上),而不必插入指令等待周期,将CPU和RAM通过一个相同的时钟锁在一起,共享一个时钟周期,以相同的速度同步工作。以430VX芯片支持的SDRAM为例,在66MHz的内存数据总线下,可按7-1-1-1的方式工作。
SDRAM采用新的双存储体结构,内含两个交错的存储阵列,允许两个内存页面同时打开,当CPU从一个存储器体或阵列访问数据的同时,在内存控制器作用下另一个已准备好读写数据。通过两个存储器阵列的紧密切换,读取效率得到成倍提高。SDRAM采用新的双存储体结构,内含两个交错的存储阵列,允许两个内存页面同时打开,当CPU从一个存储器体或阵列访问数据的同时,在内存控制器作用下另一个已准备好读写数据。通过两个存储器阵列的紧密切换,读取效率得到成倍提高。 • SDRAM II:DDR SDRAM(Double Data Rate)与SRAM相比有两个不同的特点——首先,它使用了更多,更先进的同步电路,允许数据在时钟的上升与下降两个边沿触发,其数据带宽是SDRAM的两倍;其次,使用了DLL(Delay-Locked Loop,延时锁定回路)来提供一个数据选通信号,每16次输出一次,并重新使来自不同的双存储体的数据同步。 • 5)SLDRAM(Synchronous Link DRAM) • 比SDRAM增加了更先进的同步电路,将当前的4个体结构扩展到16体,同时还改进了逻辑控制电路.实验室里数据传输率可达1.6GB/s。 • 6) RDRAM(Rambus DRAM) • 是Rambus公司开发的具有高系统带宽的,具有从芯片到芯片接口设计的新型高速DRAM。主要采用了两种技术: • A)专用接口: Rambus通道有28条信号线,低电压信号,内含总线控制器,使得在每个时钟的两个边沿都可突发传送数据。 • B)应用型专用集成电路单元(ASIC cells:Application Specific Integrated Circuit) • 有两种:Base RDRAM 数据传输率为600MB/s • Direct RDRAM 数据传输率为800MB/s • 第二代的产品: • Concurrent RDRAM 数据传输率为800MB/s • Direct RDRAM 数据传输率为1600MB/s(16位数据宽度) • CDRAM(Cached DRAM) • 存储器芯片内部插入了一个SRAM作为二级Cache使用。
3)内存条及其接口 1)内存条的分类: A)SIMM(Single Inline Memory Module) 有30线和72线两种: 30线是FPM DRAM,容量256KB,1MB,4MB(16位数据线) 存取周期:70 – 100ns 72线是EDO DRAM, 容量4MB,8MB,16MB,32MB(32位) 存取周期:50 – 70ns B) DIMM (Double Inline Memory Module) 有72线和168线两种: 72线:同上,激光打印机 168线,64位数据线,SDRAM,容量16MB,32MB,64MB, 128MB,256MB。存取周期:6 – 15ns C)SO-DIMM(Small Outline DIMM): 它比一般的DIMM内存条体积小,只有72线DIMM的一半大小。应用于笔记本电脑和传真机等。144线(EDO) 奇偶校验:微机要求内存有奇偶校验位,但没有也能运行。 内存条有奇偶校验位:IC芯片是3/9片。目前内存的质量已过关,现在制作的72线SIMM时已不再加上奇偶校验的功能。 奇偶校验无法确知错误发生在哪一位,所以无法纠正错误。因此当出错时,就会死机。 错误纠正码(ECC):一个字节中增加4bit的ECC,如果仅有一位错,就可检测出并加以纠正,而不会造成死机。 2)内存条存储器芯片的识别 内存芯片一般标记了生产厂家、芯片的容量、存取速度、类型和数据宽度等指标。每个厂家的标记方式都不太一样。 例1:NEC 4217405-60,它所代表的含义如下 “42”—类型。41/42=DRAM,43=SRAM,45=SDRAM,48=VRAM
“17”—容量。16/17/18=16Mbit, 4=4Mbit, 1=1Mbit “40”—组成方式。40/41=4bit, 80=8bit, 16=16bit, 10=1bit(数据宽度) “5”—规格。5=EDO DRAM,0=FPM DRAM “60”—存取时间。06/60=60ns, 07/70=70ns 例2:HY 57 V 16 80 10ATC-10,它所代表的含义如下 “HY”—厂家代号。Hyundai(现代电子) “57”及“ATC”—厂家的内部标识:封装的形式,刷新时内存块的大小,批次 “V”—工作电压3.3v. 没有时就表示5v,U=2.5v “16”—容量。16/17/18=16Mbit, 64/65/72=64Mbit, 128/129=128Mbit “80”—数据宽度。80=8bit “10”—规格。0=FPM,单数=EDO,双数=SDRAM “-10”—存取时间。10ns 2.4.4.2 非易失性存储器 1. ROM(Read Only Memory) 2. OTPRPM(One Time Programmable ROM) 3. EPROM(Erasable Programmable ROM) 4. EEPROM(Electronically EPROM) 5.Flash存储器 它在某种低电压下,其内部数据可读不可写,这时类似于ROM;但在一种较高的电压下,其内部数据是可读可写,这时类似于RAM。现广泛用于主板的ROM BIOS。 6.FRAM(Ferro electric RAM):铁电存储器 结构与DRAM有些相似,对数据的存储是利用铁电电容被电场极化后的双稳特性,来表示“1/0”。主要优点: 1)写入数据的速度快;2)可重写次数高:一亿次 3)功耗低:为其它ROM型的二分之一到十二分之一; 4)体积小
2.4.5 电源的使用和维护 • 1 电源工作原理 • 220/110V——低通滤波器——桥式整流——电容滤波(DC300V)—— • 逆变器——可调矩形波——脉冲方波——整流滤波(直流电压输出) • +5V,+12V,-5V,-12V,Power Good;150w,220w,230w • 有过压保护和欠压保护电路 • 2 电源的常见故障 • 保险丝熔断;输出欠载/空载;选择开关错;整流二极管损坏 • 3 电源的使用与维护 • 用UPS;三芯插头;不频繁开关电源(10秒后) • 2.4.6 显示器的使用和维护 • 显示器 • CRT(Cathode-Ray Tube:阴极射线管);LCD(Liquid Crystal Display:液晶 • 显示器;Flat CRT(平面阴极射线管);PDP(Plasma Display Panel:等离子 • 体显示板)-超大屏幕显示和大屏幕显示 • PC显示系统:显示适配 器(显示卡),监视器(CRT) • 显示模式 • 字符(A/N)方式:每屏行×列字符数 • 图形(APA)方式:每屏行×列象素数(分辨率) • MDA,CGA,EGA,VGA,扩展VGA(SVGA/TVGA) • 3 显示适配器:ISA总线显示卡;EISA总线显示卡;PCI总线显示卡 • 显示器的分类与识别 • 单色/彩色;低分辨率(640×350以下)/中分辨率/高分辨率(800×600以 • 上);数字信号输入型/模拟信号输入型;固定扫描频率/可变扫描频率; • (1)分辨率: • (2)点间距:0.28mm, 0.31mm, 0.29mm(0.24mm, 0.25mm,0.26mm) • (3)水平扫描:逐行扫描,隔行扫描 • 隔行扫描:TV系统采用,一幀画面分两场传送并显示的方法,它的优点是 • 节省频带,对元器件的要求较低,成本低。其缺点是刷新率低,图像有闪 • 烁感,易使眼睛疲劳。 • 逐行扫描:早期的刷新率与电网频率一致,因当时滤波技术的限制,会出 • 现非同步干扰(滚动的黑色条纹)。现在幀频不需与电网频率同步(85Hz)
简单的判别逐行和隔行扫描方式的办法: 将显示模式设在高分辨率下,刷新频率调为70Hz,这时注意观察显示器的边角,如产生严重的闪烁或抖动,则多半是隔行显示器。 5 显示器常见故障及分析 (1)彩色不好/没有彩色:调彩色控制;远离电磁干扰;显示卡 (2)显示器无显示:调整辉度;有视频输入?;有视频产生?; (3)水平不同步:调水平同步旋钮;有水平同步信号?;显示卡 (4)垂直不同步:调垂直同步旋钮;有垂直同步信号?;显示卡 (5)没有字符有图形显示/有字符没有图形显示:显示卡 (6)字符显示不好:病毒;显示卡 6 显示器维修时应注意的问题:详教材第47页 7 使用显示器应注意的问题:DIP开关不可随动;屏幕保护 8 显示器的维护:详教材第48页 2.4.7 硬盘的使用和维护 1 硬盘的基本结构:盘片,硬盘驱动器,适配器组成 盘片:基片是金属片,两面有磁化材料,直径:5.25inch,3.5inch,2.5inch,1.8inch 5400转/分,7200转/分 硬盘驱动器:头盘组件(HDA,Head Disk Assembly),印刷电路板(PCB) 头盘组件:磁头组件,磁头驱动机构,盘片驱动机构,读/写电路, 循环过滤器,其他附件(底座,上盖) 印刷电路板:主轴和定位系统的控制电路,读/写接口,主轴伺服电路 2 硬盘的性能和指标 容量:10-40GB,磁头数×柱面数×扇区数×512B 数据传输率:外部数据传输率和内部数据传输率 外部数据传输率:又称为突发数据传输率/接口速率 指计算机从硬盘中准确找到相应数据后,从硬盘缓冲区通过接口传输到内存的速率。4MB/s-100MB/s。至少16.6MB/s。 内部数据传输率:又称为最大或最小持续传输速率 指磁头到应盘高速缓存之间的数据传输速率。 18MB/s-40MB/s 主轴转速:3600-10000r/min 平均寻道时间:7.5ms-14ms
3 硬盘的接口 (1)IDE系列接口 IDE(Integrated Device Electronics)也称AT-总线接口/ATA接口 采用40条信号线的单组电缆连接,只能连接两个硬盘,支持和管 理的容量为504MB(528MB),数据传输率8.3MB/s Enhanced IDE接口标准又称ATA-2,主要特点如下: ·支持大容量硬盘 最大容量可达8.4GB(7.88GB),支持以下三种工作模式: (1)普通模式(NORMAL) IDE标准,支持的最大容量528MB(504MB) C(柱面数):1024 H(磁头数):16 R(扇区数):63 N(扇区字节数):2(512) (2)逻辑块寻址(LBA:Logical Block Addressing) 将传给出BIOS的CHRN信息转换成了28位逻辑块地址,BIOS将 逻辑块地址送到任务文件暂存器并设定SDH(Select Drive Head) 的第六位,以表示LBA。 支持的硬盘最大容量为8.4GB(7.88GB) C:1024 H:255 R:63 N:2(512B) (3)大硬盘模式(LARGE) 当硬盘的柱面数超过1024,而又不被LBA模式支持时采用.它是将 柱面数除以2,而将磁头数乘以2,总容量不变.支持的硬盘最大容量 为1GB(1008MB). H:32 · 提高了数据传输速率 突发数据传输速率:模式1(多字DMA模式1)13.3MB/s 模式2(多字DMA模式2)16.6MB/s 模式3(PIO模式3)11.1MB/s 模式4(PIO模式4)16.6MB/s ·支持硬盘以外的其它设备:磁带驱动器和CD-ROM驱动器 ·两个通道可同时支持四台EIDE设备
Ultra DMA33和Ultra DMA66接口 ATA-3标准的改进之处: 1)提高了可靠性;2)一种简单的基于口令的安全方案; 3)更为出色的电源管理;4)支持SMART(Self-Monitor Analysis and Reporting Technology)技术。 在ATA-4标准还没有正式推出之前,Quantum和Intel公司推出了Ultra ATA(Ultra DMA)接口标准: Ultra DMA33 有人把它称为ATA-3,其主要特点是通过改善驱动程序来提高系统并行工作的能力,在猝发方式下,数据传输速率理论上最高可达33MB/s,实际可达26MB/s - 30MB/s Ultra DMA66 其主要特点: ● 在猝发方式下,数据传输速率理论上最高可达66MB/s ● 为减少线间的干扰,增加了40条地线,成为80线电缆 ● 采用了新CRC校验方法,提高了数据传输的可靠性。 使用Ultra DMA33/66硬盘接口标准必须具备以下的条件: 1)主板芯片组必须支持该标准; 2)硬盘必须支持该标准; 3)正确安装支持硬盘该标准的驱动程序。 (2)SCSI系列接口 SCSI是英文Small Computer System Interface的缩写。它是系统级接口,可以连接各种采用SCSI标准的外设:硬盘,光驱,扫描仪,磁带驱动器,打印机等。 主机通过适配器与SCSI总线相连,外设是通过外设控制器与SCSI总线相连。对设备的依赖性少,可连8台设备,每台设备可连7台外设(逻辑设备号LUN),可进行主机与主机之间,主机与外设,外设与外设之间的通信。
· SCSI接口标准的主要特性: 1)它是一个通用智能型系统级接口。(设备无关) 2)它是一个多任务接口,具有总线仲裁功能 3)可以按同步方式和异步方式传输数据。 4)可以分为单端传送方式和差分传送方式:长度在6米以内采 用单端传送方式,传送距离超过6米时采用差分传送方式。 5)SCSI设备没有主从关系。 · SCSI接口标准 SCSI-1的数据总线宽度只有8位,50芯扁平电缆,连线长度为6米。 1994年SCSI-2的数据总线宽度有8位,16位,采用一根68芯的扁平电缆。它可分为三个标准: ①Fast SCSI: 8位数据总线,数据传输率可达10MB/s, 连线长度为3米 ②Wide SCSI:16位数据总线,数据传输率可达10MB/s, 连线长度为6米 ③Fast Wide SCSI:16位数据总线,数据传输率可达20MB/s, 连线长度为3米 SCSI-3的标准正在制定中:已在应用的有四个标准 ①Ultra SCSI: 8位数据总线,数据传输率可达20MB/s, 连线长度为 1.5米 ②Wide Ultra SCSI: 16位数据总线,数据传输率可达40MB/s, 连线长度为1.5米 ③Ultra-2 SCSI: 8位数据总线,数据传输率可达40MB/s ④Wide Ultra-2 SCSI: 16位数据总线,数据传输率可达80MB/s ⑤Ultra-3 SCSI: 16位数据总线,数据传输率可达160MB/s 4 硬盘的安装步骤:跳线;系统配置;分区高级格式化 5 硬盘常见故障及分析 (1)低级格式化时:“没安装硬盘驱动器”-跳线;电缆线;类型 (2)硬盘不能启动:未分区;没有活动分区;没高级格式化 (3)启动时“硬盘错”:跳线;电缆线;CMOS设置;病毒 6 硬盘的使用与维护
“硬维护”:不要经常低级格式化;环境;不频繁开关机;固定“硬维护”:不要经常低级格式化;环境;不频繁开关机;固定 “软维护”:工具软件对硬盘定期进行维护和整理—碎片;子目录 2.4.8 软盘的使用及其维护 1 软盘系统:软盘驱动器,适配器,软盘 软盘驱动器:盘片驱动系统,磁头定位系统,数据读写抹系统 主轴每分钟300转 适配器:通过34芯电缆将驱动器与主板连接 2 软驱故障的诊治 (1)系统盘引导时不能启动: COMS设置; (2)拷贝过程中错或死机:软驱磁头不干净 (3)读/写时声音异常/报错:清洁部件;软驱故障 3 软驱常见故障及分析 (1)“一般性读A驱错误”:没有格式化;类型设置不当;磁头不干净; 引导扇区(病毒/零磁道坏) (2)“读A盘时扇区没有找到”:病毒;磁头不干净;零磁道坏 4 故障实例分析:详教材第54-55页 5 软驱的使用与维护 盘片的质量;读/写时不要取盘;盘片不要留在软驱中;划盘就不再使用 6 软盘的使用与维护 环境温度和湿度;远离磁场;备份软盘;写保护;防病毒 2.4.9 CD-ROM 光盘及光盘驱动器 优点:●容量大 680MB 相当于470多张1.44MB的软盘 ●密度高,单位成本低 ●可靠性高,易于保存:读取光不接触盘面,不受磁场干扰,没有受潮发霉的问题,正常可用50年左右 ●应用范围广:存数据,文本,数字化的图形,音频,视频
1 CD-ROM盘的物理结构 CD-ROM盘的直径为120mm,中心有直径为15mm的定位孔,厚度为1.2mm,以塑料作基片由三种不同的材料组成,最上面是一层保护层,一般都涂有漆层,并标示了盘的有关信息;中间是以铝膜组成的反光层;底层是聚碳酸脂透明层,这是光盘记录信息的一层。 记录信息时,用1微米左右的强激光在金属层上打出细微小坑,表示“0”,未打坑处表示“1”。 1 0 0 1 1 0 0 0 0 1 0 1 0 0 1 1 1 0 0 1 光盘记录数字信息的方式 2 CD—ROM驱动器 CD—ROM驱动器的主要部件 ●主轴驱动系统:主要是一部可变速电机(200转/分—500转/分) ●光学读出头伺服系统:寻迹控制(找光道),聚焦控制(光盘头发射激光束聚焦到盘片上) ●信号处理电路:读电路与其它处理电路(DAC) 3 CD—ROM物理格式 ①按帧存储的记录格式 这种格式主要是激光唱机(CD—DA,digital audio)使用 帧存588比特(声道) ②按扇区存储的记录格式 两种扇区模式:模式1和模式2 模式1:SYNC HEADER USER DATA EDC SPACE ECC 12B 4B 2048B 4B 8B 276B 模式2:SYNC HEADER USER DATA 12B 4B 2336B SYNC:00(1)FF(10)00(1) HEADER:MIN(1) SEC(1)SECTOR(1) MODE(1)
其中 分:一字节(0 – 73),秒:一字节(0 – 59) • 扇区号:一字节(0 – 74),75扇区/秒 • 两种模式的共同点:●扇区大小相等 2352字节 • ●具有相同的同步区(12字节)和扇头区/标识(3字节/1字节) • (3) 光盘的数据存储容量 • 光盘数据存储量=光盘扇区数×每扇区数据存储量 • CD—ROM光盘的扇区数与CD—DA光盘相同 • 光盘扇区数=光盘存储音乐的时间×单位时间内播放的扇区数 • CD机以75扇区/秒的速度播放音乐,CD—DA光盘可容纳74分钟的音乐。但光盘最外的5μm很难进行压制,而且许多的CD机也难以读到该区域的信息(大约14分钟时间音乐),一般不使用。 • 光盘数据存储量=光盘存储音乐的时间×75扇区/秒×每扇区数据存储量 • 对扇区模式1 CD—ROM光盘,可达容量: • 74分×60秒/分×75扇区/秒×2048字节=680MB • 实际容量: • 60分×60秒/分×75扇区/秒×2048字节=527MB • 对扇区模式2 CD—ROM光盘,可达容量:742MB,实际601MB • 光驱的安装与启动 • (1)安装:一组电源线和40芯的电缆线,三条线接声卡 • (2)安装驱动程序:XXX.SYS, MSCDEX.EXE(DOS/WINDOWS) • 光驱的维护 • 保持水平;防尘;光盘不要留在光驱里;读/写时不要操作 • 光盘的鉴别和维护 • 不要用手接触光盘表面;平放;防高温和挤压;光滑面朝上 • 2.4.10 键盘的使用与维护 • 键盘的分类 • 键盘有83键,101键,102键,104键和105键(104最常见)
(1)按接口分类 键盘按接口可分为AT接口、PS/2接口、USB接口和无线键盘等。 1)AT接口键盘:AT接口键盘俗称“大口”键盘,键盘的插头是一个圆形5芯插头,插头是有方向性的。在5个插头中央正上方有一个凹的缺口,在机器主板的接口上也有一个定位销,安装时键盘插头的缺口应对准主板接口上的定位销,否则安装不上去。一般比较老式的AT主板使用这种键盘,但随着ATX结构主板的日益普及,这种键盘会很快退出市场。 2)PS/2接口键盘:PS/2接口键盘俗称为“小口”键盘,是目前使用最普通的一种键盘。它和AT借口键盘的区别只是在于接口不同,插头是4针,在插头上也有一个定位口,用来防止插错方向。AT接口和PS/2接口之间可用一个转换接头来实现两者间的相互转换,使两者兼容。 3)USB接口键盘:USB接口键盘支持USB接口热拔插功能,可在打开微机以后,带电拔插键盘,或更换键盘。 4)无线键盘:无线键盘与微机间没有直接的物理连线,可以完全脱离主机。用户可以带着键盘远离主机,不必担心键盘信号线和其它电缆缠在一起。无线键盘通过红外线或无线电波将输入信息传送給接收器。接收器放在主机旁,连接在PS/2口、COM口或USB口上。 无线键盘需要使用干电池供电。按照发射的遥控信号,无线键盘可分为红外线型和无线电波型。对于红外线型的无线键盘要求有较严格的方向性,尤其是水平位置,在使用时键盘红外发射头要基本对准接收器,就像使用电视机的遥控器一样;而无线电键盘发射的无线电波是幅射状传播的,它的方向性要灵活得多,但如果附近有多台微机,又可能干扰其它机器的工作,为了避免在近距离内有同类型(同频率)的键盘工作导致互相干扰,一般无线电键盘都备有4个以上的发射频道,如遇干扰可以手动改频。 无线键盘为了配合移动的需要,一般体积较小并集成有轨迹球,键位与笔记本电脑相仿;为了减小体积,省略了右边的数字小键盘,并将常用的功能键融合到键盘的边缘位置,它的有效范围在3米之内,这种键盘价格比较昂贵。
(2). 按键盘开关接触方式分类 • 键盘上的所有按键都是结构相同的按键开关,按照开关的接触方式可分为触点式(机械式)和无触点式(电容式)两大类。 • 1)触点式按键:触点式按键键盘工艺简单,价格低廉,它是借助簧片直接使两个导体接通或断开,有着理想的开关特性。但它的手感较差,击键用力大,响声大,容易使手指疲劳。机械式触点磨损较快,故障率较高,使用寿命短。早期的键盘几乎都是机械式键盘,现在已基本被淘汰。 • 还有一种用于工控机的键盘,也属于触点式按键,它采用完全密封的轻触薄膜按键,适用于特殊场合。 • 2)无触点式按键:电容式开关的特点是手感好,击键声音小,容易控制,结构简单,灵敏度高,成本低,易于小型化和批量生产。可以制造出高质量的键盘,但相应的电路较复杂,维修稍感困难。目前使用的微机键盘多为电容式无触点键盘。 • 键盘常见故障及分析 • (1)键盘无反应:键盘信号没有到系统板 • (2)某写键不正常:键盘信号错;接触不良;弹簧片变形 • (3)锁定在上下档:接触不良;键盘粘连;键盘信号不正确 • (4)输入与显示不符:键盘电路板短路 • (5)个别字符不能输入:按键失效;焊点失效 • (6)光标不停:空格键失效/换行键故障 • 键盘的使用与维护 • 不要随意更换键盘;不带电拔插;保持键盘清洁;按键时间不要过长; • 2.4.11 鼠标的使用与维护 • 鼠标器是微机系统的一种辅助输入设备。它可以在屏幕上快速、 • 准确地移动和定位光标,使操作微机更加轻松自如,提高人们的工作 • 效率。随着WINDOWS操作系统的不断升级和发展,鼠标器在微机中 • 的应用越来越大广泛,已经成为微机的标准输入设备,在某些场合, • 它的重要程度甚至超过了键盘。
1 鼠标器的分类 (1). 按键数分类 按键数鼠标器可以分为双键鼠标器、三键鼠标器和多键鼠标器。微软最早定义的鼠标器只需要左右两个键,IBM认为鼠标器需要三个键才够用,它在两键鼠标器的基础上又加了一个中键。使用中键在某些特殊程序中往往达到事半功倍的作用,例如在Auto CAD软件中就可以利用中键快速启动常用命令,使工作效率成倍提高。 多键鼠标器是在微软发布Microsoft智能鼠标器之后,产生的新一代多功能鼠标器。微软智能鼠标器在原有两键鼠标器的基础上增加了一个滚轮键,只要按一下中间的滚轮,文档自动翻页,使得上下翻页变得极其方便。随着应用的增加,其它厂商生产的新型鼠标器除了有滚轮,还增加了拇指键等快捷按键,进一步简化了操作程序。 (2). 按接口分类 鼠标器按其接口类型可以分为串行口(方口)、PS/2(小圆口)、USB三类。传统的鼠标器是串行口连接的,用的是9针的D形接口,它占用了一个串行通信口。由于丰富的外设不断涌现和主板的频繁升级,人们逐渐开始使用PS/2鼠标器。PS/2鼠标器用的是6针的圆形接口,是目前市场上的主流产品,但随着USB接口的兴起,今后USB接口鼠标器将会逐渐普及,USB鼠标器使用USB接口。 (3). 按内部构造分类 1)机械式鼠标器:机械式鼠标器是最早期的鼠标器类型,它的结构简单,使用环境要求较低,维修方便。但机械式鼠标器精度低,传输速度慢,寿命短。现在机械式鼠标器已基本淘汰,很难在市场上见到。 2)光机式鼠标器:光机式鼠标器的全称是光电机械式鼠标器,是目前最常用的一种鼠标器类型。这种鼠标器的精确度和传输速度比机械式鼠标器要高。由于采用非接触部件使磨损率下降,从而大大地提高了鼠标器的寿命。它的外形与机械式鼠标器没有区别,不打开外壳很难分辨。出于这个原因,虽然现在绝大部分的鼠标器都采用了光机结构,但人们习惯上还称其为机械式鼠标器。
3)光电式鼠标器:光电式鼠标器一般配备一块专用的反光板,鼠标器只有在反光板上才能使用。这种鼠标器精确度高,其定位精度为机械式鼠标器的两倍以上,是专业人员的首选。由于光电式鼠标器中没有橡胶球、传动轴和光栅轮,所以鼠标器内部结构比较简单,光电式鼠标器的接触部件较少,使鼠标器的可靠性大大增强。3)光电式鼠标器:光电式鼠标器一般配备一块专用的反光板,鼠标器只有在反光板上才能使用。这种鼠标器精确度高,其定位精度为机械式鼠标器的两倍以上,是专业人员的首选。由于光电式鼠标器中没有橡胶球、传动轴和光栅轮,所以鼠标器内部结构比较简单,光电式鼠标器的接触部件较少,使鼠标器的可靠性大大增强。 光电式鼠标器的价格较高,而且还必须配有一块光学鼠标器垫,给使用者带来一定的麻烦。 此外,还有轨迹球鼠标器、无线式鼠标器、网络鼠标器等,由于目前不常用,就不再介绍了。 2 鼠标器的工作原理 (1). 机械式鼠标器 机械式鼠标器的结构最为简单,有机械传动部分和电路控制板两部分组成。使用时由鼠标器底部的胶质小球带动X方向滚轴和Y方向滚轴,在每个滚轴的末端都有一个译码轮,译码轮边缘附有多个金属导电片,每一个译码轮与两个固定电刷直接接触。鼠标器的移动带动小球的滚动,再通过摩擦作用使两个滚轴带动译码轮旋转,每个译码轮上的金属导电片与对应的电刷接触或断开,电刷随即产生与鼠标器移动有关的脉冲信号。编码器由此识别鼠标器移动的距离和方向,产生相应的电信号传给微机,确定光标在屏幕上的移动距离和方向。若按下鼠标器按键,则会将按下的次数及间隔传给微机。 但由于电刷直接接触译码轮,电刷和译码轮的磨损较为厉害。直接影响机械式鼠标器的寿命。 (2). 光机式鼠标器 光机式鼠标器底部有一个可以自由滚动的实心橡胶球,有三个滚动轴与该球接触,其中一个是空轴,另外两个互相垂直,分别是X方向滚轴和Y方向滚轴。当鼠标器在桌面上移动时,摩擦力使鼠标器底部的橡胶球也随之滚动,小球再通过摩擦作用带动两个滚轴旋转。 光机式鼠标器在机械式鼠标器的基础上,将磨损最厉害的接触式电刷改进成为非接触式的发光二极管和光敏三极管,将译码轮改为光栅轮,光栅轮边缘等角度地刻着细细的缺口。
发光二极管和光敏三极管放在光栅轮两侧,靠近光栅轮边缘,对着光栅轮缺口,构成光电检测电路。当鼠标器在桌上移动,光栅轮被带动旋转;当光栅轮的缺口旋转到发光二极管和光敏三极管中间,发光二极管发出的光透过缺口照射到光敏三极管上,光敏三极管的阻值减小;当光栅轮没有缺口的地方旋转到发光二极管和光敏三极管中间,发光二极管发出的光被遮挡,光敏三极管阻值增大。这样光栅每遮挡光线一次,接收管就会发送一个信号给处理电路,随着移动方向和速度的不断变化,时断时续的光信号产生了不断变化的脉冲信号。脉冲的个数表示鼠标器的位移量,脉冲的相位表示光栅的转动方向,即鼠标器的移动方向。通过鼠标器的控制芯片转换处理后,再由引线传送给微机,由控制软件来控制屏幕上鼠标器箭头的移动。如果此时按一下左键或右键,按键信号也从引线输出给微机。发光二极管和光敏三极管放在光栅轮两侧,靠近光栅轮边缘,对着光栅轮缺口,构成光电检测电路。当鼠标器在桌上移动,光栅轮被带动旋转;当光栅轮的缺口旋转到发光二极管和光敏三极管中间,发光二极管发出的光透过缺口照射到光敏三极管上,光敏三极管的阻值减小;当光栅轮没有缺口的地方旋转到发光二极管和光敏三极管中间,发光二极管发出的光被遮挡,光敏三极管阻值增大。这样光栅每遮挡光线一次,接收管就会发送一个信号给处理电路,随着移动方向和速度的不断变化,时断时续的光信号产生了不断变化的脉冲信号。脉冲的个数表示鼠标器的位移量,脉冲的相位表示光栅的转动方向,即鼠标器的移动方向。通过鼠标器的控制芯片转换处理后,再由引线传送给微机,由控制软件来控制屏幕上鼠标器箭头的移动。如果此时按一下左键或右键,按键信号也从引线输出给微机。 (3). 光电式鼠标器 光电式鼠标器通过发光二极管和光敏管协作来测量鼠标器的位移,一般需要一块专用的反光板,将发光二极管发出的光束部分反射到光敏接收管。 鼠标器内部有一个发光元件和两个聚焦透镜,发射光经过透镜聚焦后从底部的小孔射出,照在鼠标器下面的反光板上,再反射到鼠标器内部的光敏管。反光板上有明暗相同的条纹,条纹之间的距离为0.5mm,发射光照到条纹的不同位置,反射光的强弱也不一样。当在光栅板上移动鼠标器时,这些明暗相同的条纹使反射光有了强弱变化。鼠标器内部将检测到光的强弱转变成表示位移的脉冲,对脉冲进行计数即可测出鼠标器移动的距离。 3 鼠标器的使用与维护 滚动球的清洁;反光板的清洁;桌面的平整与清洁 2.4.12 打印机的使用与维护 1 打印机的分类 目前,关于打印机的分类方法比较多,标准不统一。大致可从以下几方面进行分类。
(1). 按字符形成方式分类 1)字模式 所谓字模是指刻有字符的物体,一般一个字模对应一个字符。字模式打印机是把字模安装在载体上,借助机械的作用击打字模,使之与色带、纸相碰撞,在打印纸上印出字符。主要机型有鼓式、链式、菊轮式和球式等。 2)点阵式 点阵式打印机的基本原理是,先将字符或图像分解为一个个的象素,由象素建立点阵,通过打印点阵来获得字符或图像。采用这种打印方式的机型有针式打印机、喷墨打印机以及热转换打印机等。 (2). 按打印方式分类 1)击打式 顾名思义,击打式是利用机械作用击打载体上的字模,使之与色带和纸相撞击而印出字符;或者通过击打钢针撞击色带和纸而打印出由点阵构成的字符或图像。主要机型有鼓式、链式、球式和针式等。 2)非击打式 非击打式打印机是利用各种物理或化学的方法印刷出字符或图像,因此严格地说应称为“印字机”,但在习惯上还是统称为打印机。这种类型的机型有喷墨打印机、激光打印机和热转换打印机等。 (3). 按单位输出量分类 所谓单位输出量是指打印机打印时,是以字为单位,还是以行或页为单位输出。按这种分类方法,打印机可分为串行、行式和页式三种类型。串行打印是在打印字符时,按先后顺序逐字、逐行、逐页地进行,如菊轮式打印机季属于这种打印方式。行式打印则是在打印过程中以行为单位,对出于打印位置的一行字梏过是其中的若干个字符同时打印,链式打印机和热转换打印机均属此列。页式打印机的打印过程是以页为单位,一页一页地打印,激光打印机就属于这种类型。 (4). 按技术分类 根据打印机的基本技术不同可分为:针式打印机、喷墨打印机、激光打印机和热转换打印机等。其中喷墨打印机按墨滴的驱动方式可分为压电式和热喷墨式两种,按墨材料性质又可以分为水质墨、固态油墨和液态墨三类;热转换打印机按其工作方式可大致分为热蜡打印机、
固态喷蜡打印机、热升华打印机和微干处理打印机四种类型。固态喷蜡打印机、热升华打印机和微干处理打印机四种类型。 2 针式打印机 目前最常用的打印机是针式打印机、喷墨打印机和激光打印机。下面分别介绍这三种打印机的工作原理。 (1). 针式打印机的工作原理 针式打印机是一种击打式打印机,它是靠垂直排列的钢针在电磁铁的驱动下完成打印动作的。当钢针向前撞击时,就把色带上的油墨打印到纸上而形成一个色点。针式打印机也称为点阵式打印机。它可以分为打印机械和电路两大部分。机械部分主要包括打印机构、字车机构、色带馈送机构和输纸机构等。电路部分住要包括电源、接口电路、控制面板和控制主板电路。针式打印机的基本工作原理逻辑框图如图所示。 字符 字符 接 缓冲 代码 字符 字符 针数 打印 打 主机 存储 存储 译码 发生 据缓 针驱 印 口 器 器 器 器 冲区 动器 头 控 制 电 路 针式打印机工作原理逻辑框图 针式打印机的整个打印过程是通过微处理机执行固化在ROM中的打印控制程序,并对机械部件实施控制而完成的。接口电路用于完成主机与打印机之间数据、控制信号和状态信号等信息的交换。打印控制程序包括自检程序和控制程序,控制程序又包括控制主程序和若干个子程序,按功能分为四部分。 1)初始化阶段 初始化分为硬件初始化和软件初始化。硬件初始化是在打印机接通电源或接收主机的初始化信号后,由硬件复位电路自动初始化;软件处始化是通过接收主机送来的初始化命令,由软件进行初始化。初始化的主要工作是打印机自测试,驱动字车返回初始位置,对开关状态进行检测并接通控制面板上相应的指示灯;清除打印缓冲区,重新设置接码和打印所需的
数据的初始值及工作单元的处始状态。 2)接码阶段 在脱机状态下,如进行自检,接通自检状态后则进入自检流程,打印出所有自检码,直到按暂停键和进纸/退纸键为止,又自动转到接码入口;若不进行自检,则在开关状态流程中循环,不断地检测开关状态的变化情况。 在联机状态下,接码工作的任务就是接收主机发来的数据。当主机向打印机输出数据时,先检查打印机是否处于“忙”状态,如果打印机“忙”,则主机等待;如果不“忙”主机才输出数据,同时送出选通信号,要求打印机接收数据。打印机接收数据后,先判断是功能码还是字符代码,如果是功能码,则转入相应的处理子程序,以产生相应的打印方式和控制信号;若是字符代码,则CPU按选通信号把字符代码送入字符缓冲存储器,此字符代码经地址译码到字符发生器中找到相应的字符点阵,再存入行缓冲区,然后向主机送一个应答信号,主机接手到应答后,再送下一个数据。 3)打印处理阶段 该阶段工作是把行缓冲区存储的点阵数据按当前打印头所处的列位置,分奇数针和偶数针将24位信息发送到打印机驱动电路。 4)中断处理阶段 控制程序除了以上三部分外,在运行过程中允许插入几个中断处理程序,例如打印中断服务程序和开关状态中断服务程序等。对于24针打印头,由于是24根针双列交错排列,两列针间距6.5个点,所以在打印同一列点时,需分奇数针和偶数针驱动;而打印方向不同,两排针被驱动的次序也不同;若遇到连续空格码,则只需走车,无需打印。要完成上述任务,就需要插入四个互相独立的打印中断服务程序,这些程序是打印奇数针、偶数针、走车延时和连续区间打印子程序。开关状态中断服务程序的功能是接收控制面板的开关信号,完成其指定的功能,判断字车是否运行正常,缺纸否,以及设置相应的标志,去进行处理。 (2) . 针式打印机的使用与维护 通电时不要用旋转手柄;注意纸的厚度;不打印腊纸;不摸针头 3 喷墨打印机 (1)喷墨打印机的工作原理
喷墨打印机是靠喷出的微小墨点在纸上组成字符、图形或图像的,其主要技术环节是墨滴的形成及其充电和偏转。墨滴的控制方式很多,有电荷控制式、静电发射式和脉冲控制式等,这里仅介绍电荷控制式喷墨打印机的工作原理。喷墨打印机是靠喷出的微小墨点在纸上组成字符、图形或图像的,其主要技术环节是墨滴的形成及其充电和偏转。墨滴的控制方式很多,有电荷控制式、静电发射式和脉冲控制式等,这里仅介绍电荷控制式喷墨打印机的工作原理。 电荷控制式喷墨打印机主要由喷墨头、字符发生器、充电电极、偏转电极、墨水供应与回收系统(包括墨水泵、墨水槽、过滤器、收集槽、回收器和管道等)以及相应的控制电路组成。 工作时,导电的墨水在墨水泵的高压力作用下进入喷嘴,通过喷嘴形成一束极细的高速射流。射流通过高频振荡发生器断裂成连续均匀的墨水滴流。在充电电极上,施加一个静电场给墨滴充电,所充电荷的多少随墨滴喷在纸上的位置而变。在充电电极上所加的电压越高,充电电荷就越多。电荷一直保持到墨滴落在纸上为止。带不同电荷的墨滴通过加有恒定高压偏转电极形成的电场后垂直偏转到所需的位置。若垂直线段上某处不需喷墨,则相应的墨滴不充电,这些墨滴在片转电场中不发生偏转而按原方向射入回收器中。 当一列字符印完后,喷墨头以一定速度沿水平方向由左向右移动一列的距离。依次下去,即可印刷出一个字符,并由若干个字符加间隔构成字符行。 (2)喷墨打印机的使用与维护 防止喷嘴堵塞;墨水盒型号与机型一致;专用打印纸;纸装少点; 4 激光打印机 (1) 激光打印机的工作原理 激光打印机是将激光扫描技术和电子照相技术相结合的科技产品,也是近年继喷墨打印机之后发展最快的一种机型,分为黑白和彩色两种,它具有高精度、高速度、噪音低、功能强的优点。 激光打印机由接口、激光扫描和电子照相等三部分组成。 接口部分包含接口部件和字形发生器,由它接收由CPU输入的要打印的信息,经字形发生器变换成不同频率的超声波。 激光扫描部分由激光器、光调制器、光扫描与偏转器、高频驱动器和同步器等几个部件组成。 激光器是激光打印机的光源。激光是某些物质在受激时发出的一种强幅射光,它不仅光强度极高,而且有很好的单色性和方向性,经聚焦透镜可聚焦成极细的激光束,一般采用氦-氖气体激光器。
光调制器有机械、电光和声光调制等多种方式,目前较多的采用声光调制器。声光调制器利用声光效应,不同频率的超声波能使入射的激光束产生“0”级和“1”级衍射光。光调制器有机械、电光和声光调制等多种方式,目前较多的采用声光调制器。声光调制器利用声光效应,不同频率的超声波能使入射的激光束产生“0”级和“1”级衍射光。 光扫描与偏转器控制光路系统,以便在感光体的指定位置上形成扫描光点。 同步器利用“0”级衍射光控制高频驱动器的起停以控制字符或图像间的距离等。 电子照相部分由感光体和电子照相机构组成。感光体是一种无机光敏半导体材料(常用硒-碲合金制成),将它涂抹在一个圆形的鼓面上,则可构成感光鼓,感光鼓本身由铝合金制成。感光体在无光照射时呈现出很高的电阻率,与绝缘体类似;当有光照射时其电阻率大幅度下降,成良导体。正是利用这一特性,在电子照相机构控制下在感光鼓上形成潜像,并转印到打印纸上。 (2) 激光打印机的使用与维护 不要用普通纸打印;硒鼓不要暴露,温度和湿度要适当;自加炭粉 第三章 软件安全技术 3.1 计算机软件安全基本要求 3.1.1 计算机安全保密 1 计算机安全保密的定义 2 计算机软件安全涉及的范围 (1)软件本身的安全保密 (2)数据的安全保密主要是靠软件实现的 (3)系统运行的安全保密 3 计算机软件安全技术措施 3.1.2 软件的本质及特征 工具;资源;知识产品;武器;可存储性,可移植性;寄生性;再生性; 可激发性;破坏性;攻击性 3.2 软件防拷贝技术 3.2.1 软件保护与加密:Shannon加密系统的通信理论——现代密码学 3.2.2 软件加密必要性:知识密集型的产品,成本高,易于复制 3.2.3软件加密和解密过程
硬标记加密:针穿孔(INT 13H 读写该扇区会出错),激光孔(使磁盘的某几个点失去磁性),电磁加密(当磁盘上的信息采用一种奇异的编码格式写入时,正常系统读出的信息会产生随机错,用密钥识别程序能读出这种奇异的数据,从而使加密软件正常运行。),掩膜加密(镀膜方法来制造标记,给磁道/扇区的数据遮盖了) 软标记加密: 磁道软加密(在格式化有意造成一个/多个未格式化的磁道); 扇区间隙软指纹加密(GAP2不同导致重写扇区的CRC码于原扇区的CRC码不同,新的CRC码称为指纹); 异常ID加密(每个扇区有一个ID:磁道号,磁头号,扇区号,格式化写入时是任意,异常ID不能被正确读写,INT 13H 5号格式化磁道功能); 超级扇段加密(用专用设备在软盘上写一些超长的扇区,接近一个磁道的长度,正常的软驱不能写这些扇区,但在程序控制下可成功地读出这些扇区); 乱序排列加密(正常磁道的扇区号是顺序排列的,将某1/多个磁道的扇区号打乱排,就可以防止拷贝) (1)PROLOCK加密程序 激光加密防拷贝; 密文处理:被加密后的程序,其部分代码进行了密文处理,反汇编命令 “U”不能进行静态分析。执行过程中逐块解密,执行后又加密,内存无完整的明文程序。 防动态跟踪:破坏断点中断和单步中断的向量;隐蔽转移(INT0H); 多循环多出口;设置堆栈(设在内存低端,破坏中断向量和跟踪) (2)PROTECT加密保护程序 COPYWRITE出现,激光加密就失效了。 3.3 软件加密口令与限制技术 3.3.1加密软件的工作方式 软件加密技术:密钥技术,反跟踪技术,代码插入技术组成 1。外壳式:特点是不修改源代码,使用简单,易破译 加密软件包加密代码附加到执行程序上,并把程序入口指向附加代码。 2。内含式:特点是要修改源代码,容易被跟踪(软件狗和加密卡) 加密代码以OBJ文件存在,应用程序与加密代码经编译连接后再执行
3。结合式:上述两者的结合。OBJ去检查外壳的可靠性。3。结合式:上述两者的结合。OBJ去检查外壳的可靠性。 • 3.3.2 口令加密技术 • 1 口令:用户身份验证 • 2 口令文件的加密 • 传统的加密方法;单向散列函数方法:Y=F(X),知X推不出Y来, • 且X≠Z,则有F(X)≠F(Z) • 例见教材表3.1(85页) • 3 口令的选择 • (1)选择长口令;6-8字符 • (2)不定期地改变口令:不要告诉他人; • (3)口令不要选择有特定意义的字符串:姓名,生日,电话号; • (4)口令字符的范围要广:数字,字母,特殊字符混用; • (5)使用一次性口令 • 上机实例(略) • 3.3.3. 限制技术 • 限制﹑认证与加密 • 限制:对用户将进行的一系列操作通过某种手段进行确认; • 认证:用户拥有的一些东西(例如智能卡) • 用户知道的一些东西(例如口令) • 用户本身的一些特征(例如指纹、网卡MAC地址) • 用户所做的一些事情(例如手写签名) 2 限制技术中的两种加密方法 口令传输不安全:加密 公共密钥加密:加密与解密的密钥不相同;(不对称加密) 专用密钥加密:加密与解密的密钥相同(DES,IDEA)(对称加密) 共享文件的存取控制:格式缓冲器中设存取控制表: (1)文件主在创建时指明该文件的用户名及其存取权限的清单, 但用户太多时表会很长。不常用。详见教材第90页表2。 (2)将用户分类指定权限 通常是分为3类: 文件主;文件主的同组用户;其他用户(UNIX系统) R W X R W X R W X 1 1 1 1 0 1 0 0 0
3.4 防动态跟踪技术 3.4.1跟踪工具及其实现 1 DEBUG调试程序的启动 (1)直接启动:DEBUG(不带参数) (2)带参数的启动:DEBUG/参数 2 DEBUG调试程序的命令 A(汇编);D(显示内容);G(执行);T(跟踪);Q(退出) 3.4.2 软件运行中的反跟踪技术 1 抑制跟踪命令:使T和G命令不能正常执行 2 改变CRT显示特性 3 定时技术:设程序中正常两点的执行时间是一定值,超时可能被跟踪 3.5保证软件质量的安全体系 3.5.1概述 软件不可靠的原因:人工制造的复杂产品;研制过程带来错误;程序的正确性无法证明。 3.5.2 软件故障的分类 1 按错误的起因分:设计错;数据错;硬件恶化引起的元器件失效 2 按错误持续时间分:瞬时性;永久性 3 按开发阶段分:要求;系统设计;编码;测试;维护 4 特殊的错误类型 逻辑错误;算法错误;操作错误;I/O错误;用户接口错误 3.5.3 软件测试工具 1 测试支持系统检测软件中的错误:自动生成测试数据等 2 用双份比较检测软件中的错误 3 自锁故障的处理:用错了命令/按错键,显示不动了。 同时按下[BREAK][RESET]/冷启动 3.6 系统软件安全技术 3.6.1 计算机软故障的分类 1 操作系统版本不兼容:IBMBIO.COM,IBMDOS.COM,COMMAND.COM
2 系统配置错误: CONFIG.SYS 3 硬盘设置不当: “找不道硬盘”错误 4 使用操作不当:I(Ignore)安装的软件回不能正常运行 5 感染计算机病毒 6 安装新设备时的资源冲突 7 硬件配置不兼容:控制卡不能使用 3.6.2 计算机系统软故障的分析 1 系统故障:系统文件?系统配置文件?内存是否够用? 2 程序故障:运行环境?装入方法?操作步骤?有无其它软件干扰? 3 病毒的影响:硬盘不启动;键盘不响应;同一程序运行时间不同结果也不同;打印机不打印(表面是硬故障,实是病毒导致) 3.6.3 基于DOS操作系统的安全技术 1 DOS系统安全命令 COPY,XCOPY,BACKUP;ATTRIB;RENAME;FDISK;FC 2 计算机启动加密 设密码;CMOS不设硬盘;CMOS不设键盘;CMOS不设软驱 3 使用各类实用软件的密码功能 WPS自身密码功能;WORD自身密码功能;EXCEL文件:读/写控制 4 用PCTOOLS工具软件修改扇区加密 修改文件位置代码为“20”;将文件名的大写字母改为小写;将文件名的首位十六进制代码改为“00” 5 在文件名上加密 用半个汉字作文件名;用不可见字符作文件名(区位码的空区位:双字节编码例1695;假空格做文件名:[ALT][2、5、5][松手成空格]) 6 加密批处理文件 将0DH、OAH、1AH(文件结束)改为返回标志“00” 7 逻辑盘加密 不允许用A盘启动;不允许看到整个盘,使其看到的是某个子目录 8 用DOS的ASSIGN.COM命令: 将ABC盘都设为D盘 9 使目录操作失效 DOSKEY DIR/RD/CD/DELTRREE=INVALID DIRECTORY
软盘假死加密 • 破坏文件分配表(FAT)的特征字节(第一个字节): “读故障” • 反弹加密法 • DOS将磁盘分成512字节为单位的逻辑扇区,0扇区为引导扇区,其中 • 有目录项数,文件是以目录项和数据的形式存在磁盘上。一个目录项占 • 32个字节 (FCB),有两个字节(第26-27/27-28)存的是文件开始簇号 • (占用的最初两个逻辑扇区号),将开始簇号存在保留字节(12-21), • 再将原开始簇号的内容设为0FF7H(坏簇),就可达到加密。 • 12 子目录加密 • 用DEBUG/PCTOOLS:目录用小写代替;目录项首位设成E5H;改属性 • 3.6.4 基于Windows操作系统的安全技术 • 备份系统的初始化文件 • WIN.INI, SYSTEM.INI, PROGRAM.INI三个最重要 • 2 备份程序组文件:XXX..GRP • 3 给WIN.INI和SYSTEM.INI注释:以便消除垃圾 • 3.6.5 基于Windows NT操作系统的安全技术 • 1 登录:用户名(ID)和口令 • 2 设置登录安全:限制站点;限制时间;设失效日期;限制次数 • 3 存取控制:系统审计;允许访问;禁止访问 • 4 用户权限:系统管理员指定用户/组的权限 • 5 许可权:NTFS有文件和目录的安全性,控制文件系统的访问 • 6 所有权:创建对象的用户拥有的对象许可权,可转让别的用户 • 7 访问许可权:共享一个对象(激光打印机) • 8 共享许可权:共享网络资源 • 9 审计:对危害进行评估(状态审计和时间审计) • 第四章 计算机病毒防治 • 4.1 计算机病毒概述 • 4.1.1 计算机病毒的定义:破坏,自我复制 • 4.1.2 计算机病毒的历史:1983年11月3日 第一例(Fred Cohen) • 1 DOS引导阶段:引导型,小球,石头,石头2 • 2 DOS可执行文件阶段:.COM,.EXE,耶路撒冷,星期天 • 3 混合型阶段:感染文件又感染引导记录,Flip, Ghost
伴随、批次型阶段 • 1992,“金蝉”病毒(感染EXE时又生成与EXE同名的COM文件;感染 • COM时又将COM改为同名的EXE文件,再生成一个原名的伴随体。) • 非DOS中的“海盗旗”病毒(问用户名和口令,返回出错信息,删除自 • 身。批次病毒是在DOS下和“海盗旗”病毒类似的一类病毒。 • 多形型阶段 • 1994,看似随机的代码产生相同的结果。“幽灵”病毒,每感染一次就 • 产生不同的代码。既能感染引导区又能感染程序区。 • 生成器、变体机阶段 • 1995,一些数据的运算在不同的通用寄存器中,可得出同样结果, • 随机插入一些无关指令不影响结果。 • VCL(病毒制造机),就不能用特征识别法,必须分析指令。 • 变体机就是增加解码复杂程度的指令生成机。 • 网络、蠕虫阶段 • 非DOS中“蠕虫”,只占内存,计算网络地址,将自身病毒通过网络传 • 播,有时也在网络服务器和启动文件中存在。 • 视窗阶段 • 1996,利用视窗传播的病毒,DS.3873是一种感染视窗文件,在视窗 • 运行驻留内存,程序被感染后长度增加3873字节,文件日期加100年。 • CIH也是一例,破坏硬盘数据,和Flash ROM芯片存储的BIOS程序。 • 9 宏病毒阶段:Word文档文件的病毒 • 10 互联网阶段:“冰冷世界”网络病毒破坏MS CONFIG.exe和 • REGEDIT .exe两工具,查OUTLOOK中电邮地址,发送E-mail(拉登被炸死,新华社图片,Worm.vbs(3132字节)) • 4.1.3 计算机病毒的特点 • 1 人为编写:恶性病毒;良性病毒 • 2 自我复制 • 3 夺取系统控制权 • 4 隐蔽性 • 5 潜伏性:满足触发条件才发作 • 6 不可预见性 • 4.1.4 计算机病毒的破坏行为
1 攻击系统数据区:主引导扇区,FAT表,文件目录 • 2 攻击文件:删除,改名,修改内容,对文件加密等 • 3 攻击内存:大量占用,改变内存总量,禁止分配内存,蚕食内存 • 4 干扰系统运行,使速度下降:打不开文件,重启动,死机等 • 5 干扰键盘,喇叭或屏幕: • 6 攻击CMOS: • 7 干扰打印机:间隙性打印,假报警,更换字符 • 8 破坏网络:电子邮件,网络带宽,发送垃圾信息 • 4.1.5 计算机病毒的命名与分类 • 命名:按产生的地点;按发作的时间;按特征;按病毒代码的长度 • 1 按传染方式:引导型,文件型,混合型 • 2 按连接方式:源码型,入侵型,操作系统型,外壳型 • 3 按破坏性分:良性病毒,恶性病毒 • 4 宏病毒:属于文件型病毒 • 5 网络病毒:在网上运行和传染 • 4.1.6 计算机病毒的结构 • 1 引导部分:它随宿主程序的执行而进入内存,为传染部分做准备 • 2 传染部分:将病毒代码复制到目标上 • 表现部分:千差万别 • 4.2 DOS环境下的病毒 • 4.2.1 DOS基本知识介绍 • 1 DOS的基本结构:四个模块 • (1)引导记录模块:盘I/O参数表,盘基数表,引导记录块 • (2)基本I/O模块:系统初始化程序;标准字符和块设备驱动程序 • (3)核心模块:文件管理;系统调用模块 • (4)SHELL模块:用户和操作系统的接口。COMMAND.com • DOS启动过程 • (1)硬件自检:13项 • (2)自举程序:装入引导记录并执行 • (3)系统初始化程序第一阶段:建磁盘基数表;设中断向量,确定内存容量 • (4)内核初始化程序:驱动程序初始化;建立扇区缓冲区等
(5)建立系统运行环境 • 执行CONFIG。SYS的每一条命令; • (6)COMMAND初始化程序:执行AOTUEXEC。BAT的每一条命令 • DOS引导记录 • (1)磁盘I/O参数表:19字节(详教材128页) • (2)磁盘基数表:11字节 • (3)引导记录块:检查根目录下是否存在两个系统文件。存在则加载到内存指定区,并把控制权交给BIOS模块。 • DOS文件系统 • (1)文件目录表FDT:文件名,扩展名,属性,文件长度等 • (2)文件分配表FAT:记录文件分配到的物理位置(簇:1/多个扇区) • DOS的程序加载过程 • (1)COMMAND。COM命令处理程序:内部命令,外部命令,批处理文件 • (2)EXE文件的加载:PSP,文件头 • (3)COM文件的加载:100H,64KB • DOS的中断系统 • 病毒大多数是通过修改中断向量来进行传染 • (1)常见的中断原因:外中断,内中断,软中断 • (2)中断向量表: • 中断向量:中断服务程序的入口地址(段地址:偏移量) • 中断向量表:中断类型号与中断向量之间的连接表 • (3)中断响应过程 • (4)计算机病毒用到的中断 • INT 13H:对磁盘扇区读/写操作,格式化,状态,检验等 • INT 25H/26H:对磁盘扇区进行绝对读/写操作 • INT 1CH:定时中断(55ms),只有一条IRET指令 • INT 8H:定时中断(55ms),计数值加1(秒,分,时) • INT 10H:屏幕显示 • INT 21H:35H功能取中断向量,25H功能设中断向量 • 4.2.2 常见DOS病毒分析
引导记录病毒 • (1)软引导记录病毒:格式化建立引导记录程序,查盘上有IO.SYS • DOS.SYS时就引导.若BIOS装入的是病毒感染的自举例程,病毒就会留 • 在内存,判硬盘是否有毒,无则将病毒写入主引导记录,将原引导记录存 • 到某1扇区;病毒INT 13H:若软盘在读/写时,判该盘有毒吗?无,对其感染. • 若病毒保留了内存为己所用,可用内存总量会减少(640KB). • (2)主引导记录病毒 • 它驻留在逻辑硬盘分区的引导记录中。与引导记录病毒的作用类似。 • (3)火炬病毒:发作时屏幕上有5个火炬。对硬盘的主引导记录直接 • 覆盖,而对软盘引导记录进行迁移(标记:内存1BCH) • 2 文件病毒 • (1)COM文件的感染 • 修改COM文件的前3条指令,病毒加在COM文件的尾部; • 病毒插入在COM文件的前部; • (2)EXE文件的感染 • 在EXE文件头中有一个入口点变量(CS,IP),病毒将该信息保存, • 改写入口点指向病毒程序(通常在EXE的尾部) • (3)SYS文件的感染 • 有两个入口点:Strategy,Interrupt,病毒只要改一个入口点就行。 • 3 伴随型病毒 • 不会在原程序文件上依附,而是创建一个新文件,执行时进行传染。 • 4.3 宏病毒 • 4.3.1 宏病毒的行为和特征 • 宏病毒行为机制 • Word范本文档(Normal.dot),它包含了宏(Word Basic编写) • Word宏病毒通过DOC文档和DOT模板进行自我复制和传染。 • 宏病毒特征 • (1)感染DOC文档和DOT模板文件。染毒的文档属性是模板的。 • (2)打开一个带宏病毒的文档/模板时就激活宏病毒,感染通用模板。 • (3)多数宏病毒包含AutoOpen,AutoClose,AutoNew,AutoExit
(4)含有对文档进行读/写操作的宏命令 • (5)以BFF(二进制文件格式)存储,加密压缩格式,可能不兼容 • 4.3.2 宏病毒的防治和清除 • 1 宏病毒的识别 • (1)在Word中从“工具”栏打开“宏”菜单,选中Normal.dot模板,若有上述自动宏以及FileSave,FileSaveAs,FileExit等文件操作宏,或一些怪名字的宏,可能有宏病毒了。 • (2)在Word中从“工具”栏打开菜单时看不到“宏”/光标移到“宏”处点击鼠标无反应,肯定有宏病毒。 • (3)打开一个文档,不进行任何操作,退出在Word时,若提示存盘,可能Normal.dot模板有宏病毒。 • (4)打开以DOC为扩展名的文档文件,在另存菜单中只能以模板方式存盘,也可能带有宏病毒。 • (5)在运行Word时,经常出现内寸不够,打印不正常,也可能有宏病毒。 • (6)在运行Word时,打开DOC文档出现是否启动“宏”提示,该文档可能有宏病毒。 • 宏病毒的清除 • (1)用防杀病毒的软件查杀 • (2)手工查杀:前提是Word本身没有被传染 • 4.4 网络病毒 • 4.4.1 网络病毒的特点 • 多种共享资源的交叉感染;新病毒(Java/ActiveX)不需要宿主程序, • 与操作平台无关;传染范围广;入侵途径:工作站-服务器-工作站 • 4.4.2 病毒在网上的传播与表现 • 局域网文件服务器带毒文件复制到工作站;工作站运行带毒内存驻留 • 文件可传染访问的EXE文件(服务器);文件服务器是EXE文件病毒 • 的载体;对等网络最不安全;Internet是文件病毒的载体;引导病毒不 • 能通过Internet传播 • 4.4.3 专攻网络的GPI病毒
Get Password I.一种Novell网,自上而下传播。病毒驻留在内存,等常驻程序被启动时,才利用INT 21H进行感染(先取得最高权限)。 • 4.4.4 电子邮件病毒 • 就是以电子邮件作为传播途径的病毒(文件型,宏病毒)。例如: • Melissa,HAPPY99,Papa等。 • 1 电子邮件病毒特点 • (1)邮件本身无毒,但它的内容中有ANSI字符时,用UNIX终端上网查看时,就有被入侵的可能。 • (2)邮件可以带任何类型的文件作为附件,附件文件可能有毒。 • (3)利用某些电子邮件的扩充功能(Outlook/Outlook Express能执行VBA指令写的宏等),在邮件中夹带有针对性的代码进行传染和扩散。 • (4)利用某些操作系统的特有功能(Windows 98 的Windows Scripting Host, 利用*.SHS文件)进行破坏。 • (5)超大的电子邮件,电子邮件炸弹 • 电子邮件病毒的防范 • (1)对地址不详和来路不明的邮件拒收; • (2)不要轻易打开附件中的文档文件。(先存在硬盘上,查毒); • (3)不要轻易执行附件中的EXE和COM文件 • (4)千万不要直接打开文件扩展名很怪的附件和带有脚本文件的附件(*。VBS,*。SHS) • (5)最好不使用Outlook/Outlook Express收发电子邮件 • 4.5 现代计算机病毒流行的特征 • 4.5.1 攻击对象趋于混合型 • 4.5.2 反跟踪技术 • 4.5.3 增强了隐蔽性 • 1 避开修改中断向量 • 2 请求在内存中的合法身份 • 3 维持宿主程序的外部特性 • 4 不使用明显的感染标志:一系列相关运算
4.5.4 加密技术处理 1 对程序段动态加密:病毒边执行边解密,使DEBUG失效 2 对显示信息加密:现世纪病毒,显示的是加密的书信 3 对宿主程序段加密:入口的几个字节加密后存在病毒体内 4.5.5 病毒体繁衍不同变种 自我变形,自我保护,自我恢复;分散潜伏到各种宿主程序中;多态病毒感染一个新的EXE文件时,同时产生一个新的解密程序。使特征码的检测失效。 4.6 杀毒软件技术 4.6.1 病毒扫描程序 简单的串扫描算法:查找病毒的字节序列;易误判,检测时间长。 通配符串扫描算法:只检查文件的开头和结尾,改进了字符串的特征标记:XX ** YY ZZ BB UU ** YY(加密的键值在变) 入口点扫描算法:基于入口点既可能直接指向病毒,也有可能指向把控制传送给病毒的一些机器代码。 类属解密算法(GD):基于两点假设(1)多态病毒的相邻两代至少包含一小段机器代码是一致的,密文也是一样的;(2)若多态病毒执行,病毒的解密程序能正确地解密,并把控制传送给静态的病毒代码 4.6.2 内存扫描程序:内存驻留文件和引导记录病毒 1 对新的内存驻留病毒分析产生特征标记; 2 几乎所有内存驻留病毒都会被检测出来; 3 设计正确的扫描程序,误检率,漏检率都必须很低; 4 内存扫描是一个很快的过程; 5 内存扫描程序必须定期更新 4.6.3 完整性检查器 正常时保存每个可执行文件和引导记录的信息指纹(CRC,入口的前几条指令,长度,日期和时间等)。几乎所有的病毒都会修改可执行文件和引导记录。 4.6.4 行为监视器 是一种内存驻留程序,防止新的/未知的病毒的传播。其特点是:
1 不需要进行頻繁的更新以保持有效; • 2 无法检测出慢性病毒(它不会主动调用系统服务) • 3 所截取的系统活动对可以检测到病毒的类型有关 • 4 可能会要求用户决定一项活动的合法性 • 5 只有病毒发作时才能检测到病毒 • 4.6.5 计算机病毒防治 • 1 新购置的计算机中是可能带有病毒的(杀毒软件) • 2 新购置的硬盘/软盘是可能带有病毒的(杀毒软件) • 3 新购置的计算机软件也要进行病毒检测。 • 4 在保证硬盘无毒时,最好用硬盘引导启动。 • 5 定期或不定期地进行磁盘文件备份 • 6 对于软盘要将数据和程序分别存放,程序盘有写保护 • 7 对重点保护的机器做到专机,专人,专盘,专用。 • 8 任何情况下,应总保留一张不开写口的无毒的系统启动盘 • 9 用BOOTSAFE等实用程序做好分区表和引导记录等的备份。 • 10 在网络服务器生成安装时,应将文件系统划分成多文件卷系统(系统卷,应用程序卷,用户独占的单卷文件系统) • 11 安装服务器时应保证无毒,网络操作系统本身不感染病毒 • 12 应将系统卷设为对其他用户是只读状态 • 网络工作站上采取必要的防毒措施: • 基于硬件支持的ROM BIOS存取控制和防毒卡; • 基于软件的病毒防御程序:VSAFE,VSHI ELD • 14 在服务器上安装LAN PROTECT等防毒系统 • 4.6.6 计算机病毒的免疫 • 1 建立程序的特征值档案: 无毒前就计算出特征值存在表中 • 2 严格内存管理 • 系统内存大小(KB)存在0040:0013H单元。调用INT 12H读内容 • 中断向量管理 • 保存ROM BIOS和DOS引导后设的中断向量表的备份。 • 4.6.7 计算机感染病毒后的恢复 • 1 防止和修复引导记录病毒
(1)修复感染的软盘:SYS A:命令;FORMAT A:/U • (2)修复感染的主引导记录:FDISK/MBR命令 • (3)利用杀毒软件修复 • 防止和修复可执行文件病毒 • 判别可执行文件病毒的方法: • (1)无毒的软件引导后,对同一目录列目录后,文件的总长度与 • 通过硬盘引导后的不一样。(带毒时文件长度不真实); • (2)有些文件型病毒(ONE-HALF,3783,FLIP等),在感染文 • 件的同时,也感染系统的引导扇区。若引导扇区被破坏了,则磁盘 • 上也有可能有文件型病毒。 • (3)系统文件的长度发生变化,则这写系统文件很有可能有病毒。 • 应记住常见系统文件的长度。 • (4)系统运行时经常死机,或系统无法正常启动,可能有病毒。 • 修复的方法: • (1)使用杀毒软件; • (2)删除有毒的软件,重新安装 • (3)用备份覆盖有毒文件 • 4.7 典型病毒介绍 • 4.7.1 CIH病毒 • 不仅破坏硬盘的主引导记录和分区表,而且破坏Flash BIOS芯片中 • 的系统程序。只感染Windows95/98的*.EXE的PE格式可执行文件。 • 染毒的文件长度不变。 • (占用被毒文件的头部184字节,其余的病毒写在文件内部的空闲 • 区,例如文件尾部) • CIH病毒采用是VXD技术,病毒驻留内存。 • 1998年从台湾传入大陆。有三个版本:4月26日/6月26日/每月26日 • 瑞星杀毒软件最先实现可以查杀该病毒的功能,清除后不破坏文件。 • 4.7.2 Win32/Klez.worm.91978病毒 • 蠕虫病毒,Windows文件型,单月13日进行破坏文件。 • 与原型的邮件主题相同,但其附件文件长度与原型文件长度不同,
变成了90KB(91978字节)。 该病毒运行时,系统文件夹上生成WinSvc.exe文件。其他变形病毒运行时也生成KRN132.exe文件。另外,在本地驱动器和网络驱动器路径上生成许多*.EXE扩展名的蠕虫文件(*.TXT.EXE,*.JPE.EXE)。 还在系统文件夹上生成WQK.EXE(11722字节)。 被破坏的文件长度与原文件长度相同,但内容被清除了。 4.7.3 Win32.Kriz(圣诞杀手)病毒 一个感染PE格式EXE文件的Windows95/98/NT病毒,而且多形性。 当帮助文件运行时,该病毒驻留内存直到系统重新启动。该病毒将自身代码进行加密,只留下很少的注释。它会感染被应用软件打开的文件,甚至当用户浏览文件时也可进行感染。 病毒在12月25日发作,会删除CMOS内的信息,直接删除磁盘扇区,用垃圾码刷写BIOS。同时也感染KERNEL32.DLL。 当该病毒在机器上运行时,首先检查KERNEL32.DLL是否被感染,如已被感染则自动退出,否则将KERNEL32.DLL拷贝成KRIZED.TT6并感染它。然后创建Wininit.ini: [rename] C:\WINDOWS\SYSTEM\ KERNEL32.DLL= C:\WINDOWS\SYSTEM\ KRIZED.TT6 被感染的文件中有下列功能: CopyFileA, CopyFileW, CreateFileA, CreateFileW, MoveFileA, MoveFileW, DeleteFileA, DeleteFileW, GetFileAttributesA等, 这使得任何PE格式的EXE文件在运行,拷贝,移动和浏览时被病毒感染。 7.4.4 Melissa(梅丽莎)病毒 是一种WORD宏病毒,当打开了该病毒的WORD文档时,首先感染通用模板文件(Normal.dot),并修改Windows注册表项HKEY-CURRENT-USER\Software\Microsotf\Office,将其增加表项Melissa?,并给其赋值“…by Kwyjibo“。在Outlook启动的情况下,将自动给地址薄的前50名发送信件,信件的主题是:Important Message From,内容是:Here is that document you asked for …don’t show anyone else;-),附件:list.doc(带毒)
该病毒有5种变种:PaPa病毒,“疯牛”病毒,“辛迪加”病毒等。该病毒有5种变种:PaPa病毒,“疯牛”病毒,“辛迪加”病毒等。 7.4.5 “求职信”病毒(W32.Klez.A@mm) 该病毒通过电子邮件传播,邮件的主题从下列种随机选取: Hi; Hello; How are you?; Can you help me?; We want peace; Where will you go?; Congratulations!!!; Don’t Cry; Lok at the pretty; Some advice on your shortcoming; Free XXX Pictures; A free hot porn site: Why don’t you reply to me?; How about have dinner with me together? Never kiss stranger 信件的内容如下: I’m sorry to do so, but it’s helpless to say sorry. I want a good job,I must support my parents. Now you have seen my technical capabilities. How much my year-salary now? NO more than $5,500. What do you think of this fact? Don’t call my names,I have no hostility. Can you help me? 附件的名称也是随机的:如Nxrj.exe,Uruo.exe,Vws.exe等 如果用户使用Outlook收发电子邮件,那么在预览含有该病毒的邮件时,病毒已经执行,也就是说只有打开邮件就自动下载这个附件。病毒一旦运行,将在C:\WINDOWS\SYSTEM下生成两个隐含文件Krnl32.exe和Wqk.exe,同时修改注册表,增加如下键值: H_L_M\Software\Microsoft\Windows\CurrentVersion\Run\Krnl32=C: \WINDOWS\SYSTEM\Krnl32.exe H_L_M\Software\Microsoft\Windows\CurrentVersion\Run\WQK=C: \WINDOWS\SYSTEM\Wqk.exe 并感染PE文件和.SCR文件。 一旦感染此病毒,系统将变得非常缓慢,可以通多取Outlook中的邮件地址,自动传播给其他用户。在某些月份的13日会破坏系统文件,导致系统瘫痪。 该病毒的特点: (1)利用MS的Ifram ExecCommand漏洞 使IE没有打补丁的用户会自动运行该病毒,即使没有点击,浏览,