畢業(yè)論文-計算機病毒解析與防范論文.doc

本科畢業(yè)論文論文題目： 計算機病毒解析與防范 學生姓名： XXX 學號： XXXXXXXXXXXX 專業(yè)： 計算機科學與技術 指導教師： XXX 學 院： XXX年 X 月 X 日畢業(yè)論文（設計）內(nèi)容介紹論文（設計）題 目計算機病毒解析與防范選題時間完成時間論文（設計）字數(shù)11000關 鍵 詞計算機病毒；解析；防范措施； 論文（設計）題目的來源、理論和實踐意義：隨著計算機在社會生活各個領域的廣泛運用，以及電腦的普及和網(wǎng)絡的迅猛發(fā)展，計算機病毒呈現(xiàn)愈演愈烈的趨勢，嚴重地干擾了正常的人類社會生活，給計算機系統(tǒng)帶來了巨大的潛在威脅和破壞。目前，病毒已成為困擾計算機系統(tǒng)安全和計算機應用的重大問題。為了確保信息的安全與暢通，論文從計算機病毒的概念入手，分析計算機病毒的內(nèi)涵及類型，分析和探討了計算機病毒的產(chǎn)生機理、寄生特點、傳播方式、危害表現(xiàn)以及計算機病毒的預防，檢測和對抗等方面的技術，并對計算機病毒來源進行分析，以便構(gòu)建自己的計算機病毒防范體系。論文（設計）的主要內(nèi)容及創(chuàng)新點：論文首先講述了計算機病毒的定義、病毒的特征、病毒的分類以及計算機病毒的各種癥狀。然后講述了計算機防范病毒的第一道關卡（防火墻）。簡單說明防火墻的定義、結(jié)構(gòu)以及功能工作原理。之后列舉檢測計算機病毒的一些方法如：外觀檢測發(fā)，比較法，分析法等。最后主要講述了對計算機病毒的防范，從日常的操作習慣與計算機病毒防范的關系開始說起，之后具體講述了對于不同病毒所要采取的不同的防范措施。附：論文（設計）本人簽名： 年 月 日計算機病毒解析與防范李靜文（山東師范大學歷山學院計算機科學與技術2008級1班）摘要：計算機病毒被喻為21世紀計算機犯罪的五大手段之一，并排序為第二。計算機病毒的攻擊性，在于它能夠破壞各種程序并蔓延于應用領域。目前世界上上億用戶受著計算機病毒的困擾，有些還陷入極度的恐慌之中。因為計算機病毒不僅破壞文件，刪除有用數(shù)據(jù)，還可導致整個計算機系統(tǒng)癱瘓，給計算機用戶造成了巨大的損失。事實上人們產(chǎn)生上述不安的主要原因，在于對計算機病毒的誤解，廣大計算機用戶有必要對計算機病毒的一些知識有比較明確的認識和全面的科學態(tài)度。關鍵詞：計算機病毒；解析；防范措施。中圖分類號：Analysis and Prevention of Computer VirusesLi Jingwen (School of Li Shan, Shandong Normal University)Abstract: Computer viruses are know as the five ways for computer crimes in the 21st century and always stand at the secong place of the five.The harmfulness of the viruses is the production of various destructive programs and its quick pervasion into other fields.Now millions of users are frequently harassed by the viruses and some are extremely frightened， because computer viruses not only undermine the file, delete the useful data, but also lead to paralysis of the entire computer system to give computer users to cause great losses. At present the computer virus Tn fact,theharassment comes from the misunderstanding of the viruses.So usersof computer ought to have further clear knowledge and all sided scientific view of viruses.Key words: Computer viruses;analyze;measure.1. 引 言隨著計算機時代的來領，我們進入了信息社會。計算機雖然給人們的工作和生活帶來了便利和效率，然而計算機系統(tǒng)并不安全。計算機病毒就是最不安全的因素之一，它會造成資源和財富的巨大損失，人們稱計算機病毒為“21世紀最大的禍患”。目前由于計算機軟件的脆弱性與互聯(lián)網(wǎng)的開放性，我們將與病毒長期共存。因此，研究計算機病毒及防范技術具有重要意義。（1）基于“視窗”的計算機病毒越來越多； （2）新病毒層出不窮，感染發(fā)作有增無減； （3）網(wǎng)絡成為計算機病毒傳播的主要媒介；（4）病毒的破壞性不斷增加。近年來，中國計算機病毒的發(fā)病率高達55%。特別是在互聯(lián)網(wǎng)時代，病毒的傳播范圍越來越廣。目前的計算機病毒廠商的消除方面，都是發(fā)現(xiàn)新一個病毒后，立即分析它的運行機制，感染原理，編制程序進行查殺，最后加入到反病毒軟件中，或放在網(wǎng)上供用戶下載。2. 計算機病毒的解析2.1計算機病毒的定義及特征.計算病毒的定義 計算機病毒（Computer Virus）在中華人民共和國計算機信息系統(tǒng)安全保護條例中被明確定義，病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。與醫(yī)學上的“病毒”不同，計算機病毒不是天然存在的，是某些人利用計算機軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。它能通過某種途徑潛伏在計算機的存儲介質(zhì)（或程序）里，當達到某種條件時即被激活，通過修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中，從而感染其他程序，對計算機資源進行破壞，所謂的病毒就是人為造成的，對其他用戶的危害性很大1！圖1 計算機病毒的結(jié)構(gòu).計算機病毒的特征（1）繁殖性計算機病毒可以像生物病毒一樣進行繁殖，當正常程序運行的時候，它也進行運行自身復制，是否具有繁殖、感染的特征是判斷某段程序為計算機病毒的首要條件。 （2）傳染性計算機病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復制或產(chǎn)生變種，其速度之快令人難以預防。傳染性是病毒的基本特征。在生物界，病毒通過傳染從一個生物體擴散到另一個生物體。在適當?shù)臈l件下，它可得到大量繁殖，并使被感染的生物體表現(xiàn)出病癥甚至死亡。同樣，計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是，計算機病毒是一段人為編制的計算機程序代碼，這段程序代碼一旦進入計算機并得以執(zhí)行，它就會搜尋其他符合其傳染條件的程序或存儲介質(zhì)，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。只要一臺計算機染毒，如不及時處理，那么病毒會在這臺電腦上迅速擴散，計算機病毒可通過各種可能的渠道，如軟盤、硬盤、移動硬盤、計算機網(wǎng)絡去傳染其他的計算機。當您在一臺機器上發(fā)現(xiàn)了病毒時，往往曾在這臺計算機上用過的軟盤已感染上了病毒，而與這臺機器相聯(lián)網(wǎng)的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。 （3）潛伏性 有些病毒像定時炸彈一樣，讓它什么時間發(fā)作是預先設計好的。比如黑色星期五病毒，不到預定時間一點都覺察不出來，等到條件具備的時候一下子就爆炸開來，對系統(tǒng)進行破壞。一個編制精巧的計算機病毒程序，進入系統(tǒng)之后一般不會馬上發(fā)作，因此病毒可以靜靜地躲在磁盤或磁帶里呆上幾天，甚至幾年，一旦時機成熟，得到運行機會，就又要四處繁殖、擴散，繼續(xù)危害。潛伏性的第二種表現(xiàn)是指，計算機病毒的內(nèi)部往往有一種觸發(fā)機制，不滿足觸發(fā)條件時，計算機病毒除了傳染外不做什么破壞。觸發(fā)條件一旦得到滿足，有的在屏幕上顯示信息、圖形或特殊標識，有的則執(zhí)行破壞系統(tǒng)的操作，如格式化磁盤、刪除磁盤文件、對數(shù)據(jù)文件做加密、封鎖鍵盤以及使系統(tǒng)死鎖等。 （4）隱蔽性計算機病毒具有很強的隱蔽性，有的可以通過病毒軟件檢查出來，有的根本就查不出來，有的時隱時現(xiàn)、變化無常，這類病毒處理起來通常很困難。 （5）破壞性計算機中毒后，可能會導致正常的程序無法運行，把計算機內(nèi)的文件刪除或受到不同程度的損壞。通常表現(xiàn)為：增、刪、改、移。 （6）可觸發(fā)性病毒因某個事件或數(shù)值的出現(xiàn)，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性。為了隱蔽自己，病毒必須潛伏，少做動作。如果完全不動，一直潛伏的話，病毒既不能感染也不能進行破壞，便失去了殺傷力。病毒既要隱蔽又要維持殺傷力，它必須具有可觸發(fā)性。病毒的觸發(fā)機制就是用來控制感染和破壞動作的頻率的。病毒具有預定的觸發(fā)條件，這些條件可能是時間、日期、文件類型或某些特定數(shù)據(jù)等。病毒運行時，觸發(fā)機制檢查預定條件是否滿足，如果滿足，啟動感染或破壞動作，使病毒進行感染或攻擊；如果不滿足，使病毒繼續(xù)潛伏。2.2計算機病毒的分類 根據(jù)多年對計算機病毒的研究，按照科學的、系統(tǒng)的、嚴密的方法，計算機病毒可分類如下：按照計算機病毒屬性的方法進行分類，計算機病毒可以根據(jù)下面的屬性進行分類：一、按病毒存在的媒體根據(jù)病毒存在的媒體，病毒可以劃分為網(wǎng)絡病毒，文件病毒，引導型病毒。網(wǎng)絡病毒通過計算機網(wǎng)絡傳播感染網(wǎng)絡中的可執(zhí)行文件，文件病毒感染計算機中的文件（如：COM，EXE，DOC等），引導型病毒感染啟動扇區(qū)（Boot）和硬盤的系統(tǒng)引導扇區(qū)（MBR），還有這三種情況的混合型，例如：多型病毒（文件和引導型）感染文件和引導扇區(qū)兩種目標，這樣的病毒通常都具有復雜的算法，它們使用非常規(guī)的辦法侵入系統(tǒng)，同時使用了加密和變形算法。 二、按病毒傳染的方法根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒，駐留型病毒感染計算機后，把自身的內(nèi)存駐留部分放在內(nèi)存（RAM）中，這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去，他處于激活狀態(tài)，一直到關機或重新啟動.非駐留型病毒在得到機會激活時并不感染計算機內(nèi)存，一些病毒在內(nèi)存中留有小部分，但是并不通過這一部分進行傳染，這類病毒也被劃分為非駐留型病毒。 三、按病毒破壞的能力無害型：除了傳染時減少磁盤的可用空間外，對系統(tǒng)沒有其它影響。 無危險型：這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。 危險型：這類病毒在計算機系統(tǒng)操作中造成嚴重的錯誤。 非常危險型：這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。這些病毒對系統(tǒng)造成的危害，并不是本身的算法中存在危險的調(diào)用，而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其它的程序產(chǎn)生的錯誤也會破壞文件和扇區(qū)，這些病毒也按照他們引起的破壞能力劃分。一些現(xiàn)在的無害型病毒也可能會對新版的DOS、Windows和其它操作系統(tǒng)造成破壞。例如：在早期的病毒中，有一個“Denzuk”病毒在360K磁盤上很好的工作，不會造成任何破壞，但是在后來的高密度軟盤上卻能引起大量的數(shù)據(jù)丟失4。 四、按病毒的算法伴隨型病毒，這一類病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴展名（COM），例如：XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM文件并不改變EXE文件，當DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。 “蠕蟲”型病毒，通過計算機網(wǎng)絡傳播，不改變文件和資料信息，利用網(wǎng)絡從一臺機器的內(nèi)存?zhèn)鞑サ狡渌鼨C器的內(nèi)存，計算網(wǎng)絡地址，將自身的病毒通過網(wǎng)絡發(fā)送。有時它們在系統(tǒng)存在，一般除了內(nèi)存不占用其它資源。 寄生型病毒除了伴隨和“蠕蟲”型，其它病毒均可稱為寄生型病毒，它們依附在系統(tǒng)的引導扇區(qū)或文件中，通過系統(tǒng)的功能進行傳播，按其算法不同可分為：練習型病毒，病毒自身包含錯誤，不能進行很好的傳播，例如一些病毒在調(diào)試階段3。 詭秘型病毒它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過設備技術和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級的技術。利用DOS空閑的數(shù)據(jù)區(qū)進行工作。 變型病毒（又稱幽靈病毒）這一類病毒使用一個復雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長度。它們一般的作法是一段混有無關指令的解碼算法和被變化過的病毒體組成。2.3計算機病毒的癥狀計算機病毒的一般癥狀：1.計算機系統(tǒng)運行速度減慢。 2.計算機系統(tǒng)經(jīng)常無故發(fā)生死機。 3.計算機系統(tǒng)中的文件長度發(fā)生變化。 4.計算機存儲的容量異常減少5。 5.系統(tǒng)引導速度減慢。 6.丟失文件或文件損壞。 7.計算機屏幕上出現(xiàn)異常顯示。 8.計算機系統(tǒng)的蜂鳴器出現(xiàn)異常聲響。 9.磁盤卷標發(fā)生變化。 10.系統(tǒng)不識別硬盤。 11.對存儲系統(tǒng)異常訪問。 12.鍵盤輸入異常。 13.文件的日期、時間、屬性等發(fā)生變化。 14.文件無法正確讀取、復制或打開。15.命令執(zhí)行出現(xiàn)錯誤。 16.虛假報警。 17.換當前盤。有些病毒會將當前盤切換到C盤。 18.時鐘倒轉(zhuǎn)。有些病毒會命名系統(tǒng)時間倒轉(zhuǎn)，逆向計時。 19.WINDOWS操作系統(tǒng)無故頻繁出現(xiàn)錯誤。 20.系統(tǒng)異常重新啟動。 21.一些外部設備工作異常。 22.異常要求用戶輸入密碼。 23.WORD或EXCEL提示執(zhí)行“宏”。 24.使不應駐留內(nèi)存的程序駐留內(nèi)存。3. 防火墻技術3.1 防火墻的定義所謂防火墻指的是一個由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關（Security Gateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關4個部分組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件或硬件。 圖2 防火墻位置示意圖3.2 防火墻的類型（1）網(wǎng)絡層防火墻 網(wǎng)絡層防火墻可視為一種 IP 封包過濾器，運作在底層的 TCP/IP 協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規(guī)則通常可以經(jīng)由管理員定義或修改，不過某些防火墻設備可能只能套用內(nèi)置的規(guī)則。 我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項“否定規(guī)則”就予以放行。現(xiàn)在的操作系統(tǒng)及網(wǎng)絡設備大多已內(nèi)置防火墻功能。 較新的防火墻能利用封包的多樣屬性來進行過濾，例如：來源 IP 地址、來源端口號、目的 IP 地址或端口號、服務類型(如 WWW 或是 FTP)。也能經(jīng)由通信協(xié)議、TTL 值、來源的網(wǎng)域名稱或網(wǎng)段.等屬性來進行過濾。（2）應用層防火墻 應用層防火墻是在 TCP/IP 堆棧的“應用層”上運作，您使用瀏覽器時所產(chǎn)生的數(shù)據(jù)流或是使用 FTP 時的數(shù)據(jù)流都是屬于這一層。應用層防火墻可以攔截進出某應用程序的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進到受保護的機器里。 防火墻借由監(jiān)測所有的封包并找出不符規(guī)則的內(nèi)容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實現(xiàn)而言，這個方法既煩且雜(軟件有千千百百種啊)，所以大部分的防火墻都不會考慮以這種方法設計。 XML 防火墻是一種新型態(tài)的應用層防火墻。3.3 防火墻的基本特性內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必須經(jīng)過防火墻 這是防火墻所處網(wǎng)絡位置特性，同時也是一個前提。因為只有當防火墻是內(nèi)、外部網(wǎng)絡之間通信的唯一通道，才可以全面、有效地保護企業(yè)網(wǎng)內(nèi)部網(wǎng)絡不受侵害。 根據(jù)美國國家安全局制定的信息保障技術框架，防火墻適用于用戶網(wǎng)絡系統(tǒng)的邊界，屬于用戶網(wǎng)絡邊界的安全保護設備。所謂網(wǎng)絡邊界即是采用不同安全策略的兩個網(wǎng)絡連接處，比如用戶網(wǎng)絡和互聯(lián)網(wǎng)之間連接、和其它業(yè)務往來單位的網(wǎng)絡連接、用戶內(nèi)部網(wǎng)絡不同部門之間的連接等。防火墻的目的就是在網(wǎng)絡連接之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡的服務和訪問的審計和控制。 典型的防火墻體系網(wǎng)絡結(jié)構(gòu)如下圖所示。從圖中可以看出，防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng)，而另一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外部網(wǎng)絡之間的通信都要經(jīng)過防火墻。 只有符合安全策略的數(shù)據(jù)流才能通過防火墻 防火墻最基本的功能是確保網(wǎng)絡流量的合法性，并在此前提下將網(wǎng)絡的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。從最早的防火墻模型開始談起，原始的防火墻是一臺“雙穴主機”，即具備兩個網(wǎng)絡接口，同時擁有兩個網(wǎng)絡層地址。防火墻將網(wǎng)絡上的流量通過相應的網(wǎng)絡接口接收上來，按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當?shù)膮f(xié)議層進行訪問規(guī)則和安全審查，然后將符合通過條件的報文從相應的網(wǎng)絡接口送出，而對于那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火墻是一個類似于橋接或路由器的、多端口的（網(wǎng)絡接口=2）轉(zhuǎn)發(fā)設備，它跨接于多個分離的物理網(wǎng)段之間，并在報文轉(zhuǎn)發(fā)過程之中完成對報文的審查工作。如下圖2圖3 防火墻自身應具有非常強的抗攻擊免疫力 這是防火墻之所以能擔當企業(yè)內(nèi)部網(wǎng)絡安全防護重任的先決條件。防火墻處于網(wǎng)絡邊緣，它就像一個邊界衛(wèi)士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火墻操作系統(tǒng)本身是關鍵，只有自身具有完整信任關系的操作系統(tǒng)才可以談論系統(tǒng)的安全性。其次就是防火墻自身具有非常低的服務功能，除了專門的防火墻嵌入系統(tǒng)外，再沒有其它應用程序在防火墻上運行。當然這些安全性也只能說是相對的。 目前國內(nèi)的防火墻幾乎被國外的品牌占據(jù)了一半的市場，國外品牌的優(yōu)勢主要是在技術和知名度上比國內(nèi)產(chǎn)品高。而國內(nèi)防火墻廠商對國內(nèi)用戶了解更加透徹，價格上也更具有優(yōu)勢。防火墻產(chǎn)品中，國外主流廠商為思科（Cisco）、CheckPoint、NetScreen等，國內(nèi)主流廠商為東軟、天融信、山石網(wǎng)科、網(wǎng)御神州、聯(lián)想、方正等，它們都提供不同級別的防火墻產(chǎn)品。防火墻的優(yōu)點（1）防火墻能強化安全策略。 （2）防火墻能有效地記錄Internet上的活動。 （3）防火墻限制暴露用戶點。防火墻能夠用來隔開網(wǎng)絡中一個網(wǎng)段與另一個網(wǎng)段。這樣，能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡傳播。 （4）防火墻是一個安全策略的檢查站。所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。3.4 防火墻的功能防火墻最基本的功能就是控制在計算機網(wǎng)絡中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。例如互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡是高度信任的區(qū)域。以避免安全策略中禁止的一些通信，與建筑中的防火墻功能相似。它有控制信息基本的任務在不同信任的區(qū)域。 典型信任的區(qū)域包括互聯(lián)網(wǎng)(一個沒有信任的區(qū)域) 和一個內(nèi)部網(wǎng)絡(一個高信任的區(qū)域) 。 最終目標是提供受控連通性在不同水平的信任區(qū)域通過安全政策的運行和連通性模型之間根據(jù)最少特權(quán)原則。 防火墻對流經(jīng)它的網(wǎng)絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。網(wǎng)絡安全的屏障一個防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。 強化網(wǎng)絡安全策略通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網(wǎng)絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完可以不必分散在各個主機上，而集中在防火墻一身上。 監(jiān)控網(wǎng)絡存取和訪問如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶⑻峁┚W(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網(wǎng)絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡使用統(tǒng)計對網(wǎng)絡需求分析和威脅分析等而言也是非常重要的。 防止內(nèi)部信息的外泄通過利用防火墻對內(nèi)部網(wǎng)絡的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。再者，隱私是內(nèi)部網(wǎng)絡非常關心的問題，一個內(nèi)部nger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內(nèi)部網(wǎng)絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。4. 計算病毒的檢測4.1外觀檢測法 病毒侵入計算機系統(tǒng)后, 會使計算機系統(tǒng)的某些部分發(fā)生變化, 引起一些異常現(xiàn)網(wǎng)絡中不引人注意的細節(jié)可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如Fi象,如屏幕顯示的異?，F(xiàn)象、系統(tǒng)運行速度的異常、打印機并行端口的異常、通信串行口的異常等等。我們可以根據(jù)這些異?，F(xiàn)象來判斷病毒的存在, 盡早地發(fā)現(xiàn)病毒, 并作適當處理。外觀檢測法是病毒防治過程中起著重要輔助作用的一個環(huán)節(jié)6。 （1）屏幕顯示異常（2）聲音異常（3）鍵盤工作異常（4）打印機、軟驅(qū)等外部設備異常（5）系統(tǒng)工作異常（6）文件異常4.2比較法主比較法是用原始備份與被檢測的引導扇區(qū)或被檢測的文件進行比較。比較時可以靠打印的代碼清單（比如DEBUG的D命令輸出格式）進行比較，或用程序來進行比較（如DOS的DISKCOMP、FC或PCTOOLS等其它軟件）。這種比較法不需要專用的查計算機病毒程序，只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進行。而且用這種比較法還可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的查計算機病毒程序發(fā)現(xiàn)的計算機病毒。因為計算機病毒傳播得很快，新的計算機病毒層出不窮，由于目前還沒有做出通用的能查出一切計算機病毒，或通過代碼分析，可以判定某個程序中是否含有計算機病毒的查毒程序，發(fā)現(xiàn)新計算機病毒就只有靠比較法和分析法，有時必須結(jié)合這兩者來一同工作7。使用比較法能發(fā)現(xiàn)異常，如文件的長度有變化，或雖然文件長度未發(fā)生變化，但文件內(nèi)的程序代碼發(fā)生了變化。對硬盤主引導扇區(qū)或?qū)OS的引導扇區(qū)做檢查，比較法能發(fā)現(xiàn)其中的程序代碼是否發(fā)生了變化。由于要進行比較，保留好原始備份是非常重要的，制作備份時必須在無計算機病毒的環(huán)境里進行，制作好的備份必須妥善保管，寫好標簽，并加上寫保護。比較法的好處是簡單、方便，不需專用軟件。缺點是無法確認計算機病毒的種類名稱。另外，造成被檢測程序與原始備份之間差別的原因尚需進一步驗證，以查明是由于計算機病毒造成的，或是由于DOS數(shù)據(jù)被偶然原因，如突然停電、程序失控、惡意程序等破壞的。這些要用到以后講的分析法，查看變化部分代碼的性質(zhì)，以此來確證是否存在計算機病毒。另外，當找不到原始備份時，用比較法就不能馬上得到結(jié)論。從這里可以看到制作和保留原始主引導扇區(qū)和其它數(shù)據(jù)備份的重要性。4.3加總對比法根據(jù)每個程序的檔案名稱、大小、時間、日期及內(nèi)容，加總為一個檢查碼，再將檢查碼附于程序的后面，或是將所有檢查碼放在同一個數(shù)據(jù)庫中，再利用此加總對比系統(tǒng)，追蹤并記錄每個程序的檢查碼是否遭更改，以判斷是否感染了計算機病毒。一個很簡單的例子就是當您把車停下來之后，將里程表的數(shù)字記下來。那么下次您再開車時，只要比對一下里程表的數(shù)字，那么您就可以斷定是否有人偷開了您的車子。這種技術可偵測到各式的計算機病毒，但最大的缺點就是誤判斷高，且無法確認是哪種計算機病毒感染的。對于隱形計算機病毒也無法偵測到8。4.4分析法一般使用分析法的人不是普通用戶，而是防殺計算機病毒技術人員。使用分析法的目的在于：1. 確認被觀察的磁盤引導扇區(qū)和程序中是否含有計算機病毒；2. 確認計算機病毒的類型和種類，判定其是否是一種新的計算機病毒；3. 搞清楚計算機病毒體的大致結(jié)構(gòu)，提取特征識別用的字節(jié)串或特征字，用于增添到計算機病毒代碼庫供計算機病毒掃描和識別程序用；4. 詳細分析計算機病毒代碼，為制定相應的防殺計算機病毒措施制定方案。上述四個目的按順序排列起來，正好是使用分析法的工作順序。使用分析法要求具有比較全面的有關計算機、DOS、Windows、網(wǎng)絡等的結(jié)構(gòu)和功能調(diào)用以及關于計算機病毒方面的各種知識，這是與其他檢測計算機病毒方法不一樣的地方9。5. 計算機病毒的防范5.1 日常簡單的防范措施計算機病毒感染的傳播感染是需要借助各種載體實現(xiàn)的，所以日常良好的使用計算機的習慣往往能很好的防范計算機病毒的入侵。(1)使用新軟件時, 先用殺毒程序檢查, 可減少中毒機會。(2)不要在互聯(lián)網(wǎng)上隨意下載軟件。病毒的一大傳播途徑, 就是Internet 。(3)不要輕易打開來歷不明的郵件或軟件。(4)重要的系統(tǒng)和文件應備份, 以便在遭到病毒入侵后, 可檢查、比對, 并可幫助及時清除病毒、恢復系統(tǒng); 重要資料, 必須備份8。(5)重要的文件盤和重要的帶后綴.COM 和.EXE 的文件賦予只讀功能, 避免病毒寫到磁盤上或可執(zhí)行文件中。(6)選擇一款留駐型殺毒軟件，并及時更新病毒庫。(7)及時更新系統(tǒng)漏洞，許多病毒可以通過系統(tǒng)漏洞攻擊計算機。5.2 引導性病毒的預防引導型病毒一般在啟動計算機時, 優(yōu)先取得控制權(quán), 強占內(nèi)存。通常情況下, 只要盡量不用軟盤或用干凈的軟盤啟動系統(tǒng), 是不會染上引導型病毒的。對軟盤進行寫保護, 可以很好的保護軟盤不被非法寫入, 從而不感染上引導型病毒。預防引導型計算機病毒，通常采用以下一些方法：（1）堅持從不帶計算機病毒的硬盤引導系統(tǒng)。（2）安裝能夠?qū)崟r監(jiān)控引導扇區(qū)的防殺計算機病毒軟件，或經(jīng)常用能夠查殺引導型計算機病毒的防殺計算機病毒軟件進行檢查。（3）經(jīng)常備份系統(tǒng)引導扇區(qū)。（4）某些底板上提供引導扇區(qū)計算機病毒保護功能（Virus Protect），啟用它對系統(tǒng)引導扇區(qū)也有一定的保護作用。不過要注意的是啟用這功能可能會造成一些需要改寫引導扇區(qū)的軟件（如Windows 95/98，Windows NT以及多系統(tǒng)啟動軟件等）安裝失敗?？紤]對硬盤進行寫保護, 它運行以后駐留內(nèi)存,當有對硬盤的寫操作時, 將暫停程序執(zhí)行, 在屏幕上顯示當前將要操作的硬盤物理位置, 即磁頭號、磁盤號和扇區(qū)號, 等待用戶進行選擇。在對硬盤的寫操作很少的情況下, 最好把此程序放在主批處理的首部。程序清單：code segment assume cscode ,dscode org 100hbe :j mp i nttpopp macro pop dspop espop dipop sipop dxpop cxpop bxpop axpopfend mbuff db 0dat db CH:ch1 db 0ch2 db 0 db CL :c11 db 0c12 db 0 db DH:dh1 db 0dh2 db 0mseg db 請選擇 w/ r/ 空格ol dint13 dd 0code endsend be5.3文件型病毒的預防 凡是文件型病毒, 都要尋找一個宿主, 寄生在宿主“體內(nèi)”, 然后隨著宿主的活動到處傳播。這些宿主基本都是可執(zhí)行文件?？蓤?zhí)行文件被感染, 其表現(xiàn)癥狀為文件長度增加或文件頭部信息被修改、文件目錄表中信息被修改、文件長度不變而內(nèi)部信息被修改等10。 預防文件型病毒方法的核心就是使可執(zhí)行文件具有自檢功能, 在被加載時檢測本身的幾項指標文件長度、文件頭部信息、文件內(nèi)部抽樣信息、文件目錄表中有關信息。其實現(xiàn)的過程是在使用匯編語言或其他高級語言時, 先把上述有關的信息定義為若干大小固定的幾個變量, 給每個變量先賦一個值, 待匯編或編譯之后, 根據(jù)可執(zhí)行文件中的有關信息, 把源程序中的有關變量進行修改, 再重新匯編或編譯, 就得到了所需的可執(zhí)行文件。對于文件型計算機病毒的防范，一般采用以下一些方法：（1) 安裝最新版本的、有實時監(jiān)控文件系統(tǒng)功能的防殺計算機病毒軟件。（2) 及時更新查殺計算機病毒引擎，一般要保證每月至少更新一次，有條件的可以每周更新一次，并在有計算機病毒突發(fā)事件的時候及時更新。（3）經(jīng)常使用防殺計算機病毒軟件對系統(tǒng)進行計算機病毒檢查。（4）對關鍵文件，如系統(tǒng)文件、保密的數(shù)據(jù)等等，在沒有計算機病毒的環(huán)境下經(jīng)常備份。（5）在不影響系統(tǒng)正常工作的情況下對系統(tǒng)文件設置最低的訪問權(quán)限，以防止計算機病毒的侵害。（6）當使用Windows 95/98/2000/NT操作系統(tǒng)時，修改文件夾窗口中的確省屬性。具體操作為：鼠標左鍵雙擊打開“我的電腦”，選擇“查看”菜單中的“選項”命令。然后在“查看”中選擇“顯示所有文件”以及不選中”隱藏已知文件類型的文件擴展名”，按“確定”按鈕。注意不同的操作系統(tǒng)平臺可能顯示的文字有所不同。5.4宏病毒的預防宏病毒（Macro Virus）傳播依賴于包括Word、Excel和PowerPoint等應用程序在內(nèi)的Office套裝軟件，只要使用這些應用程序的計算機就都有可能傳染上宏病毒，并且大多數(shù)宏病毒都有發(fā)作日期。輕則影響正常工作，重則破壞硬盤信息，甚至格式化硬盤，危害極大。目前宏病毒在國內(nèi)流行甚廣，已成為計算機病毒的主流，因此用戶應時刻加以防范。通過以下方法可以判別宏病毒：（1） 在使用的Word中從“工具”欄處打開“宏”菜單，選中Normal.dot模板，若發(fā)現(xiàn)有AutoOpen、AutoNew、AutoClose等自動宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏，如AAAZAO、PayLoad等，就極可能是感染了宏病毒了，因為Norma