網(wǎng)絡(luò)安全技術(shù)第七章

網(wǎng)絡(luò)安全技術(shù)第七章第一頁(yè)，共五十四頁(yè)，2022年，8月28日

第一節(jié)網(wǎng)絡(luò)病毒及特征本章主要內(nèi)容

第二節(jié)網(wǎng)絡(luò)反病毒原則及策略

第三節(jié)網(wǎng)絡(luò)反病毒的實(shí)施第二頁(yè)，共五十四頁(yè)，2022年，8月28日一、網(wǎng)絡(luò)病毒的概念二、網(wǎng)絡(luò)病毒的主要特點(diǎn)三、典型的網(wǎng)絡(luò)病毒介紹第一節(jié)網(wǎng)絡(luò)病毒及特征第三頁(yè)，共五十四頁(yè)，2022年，8月28日一、網(wǎng)絡(luò)病毒的概念

（1）狹義的網(wǎng)絡(luò)病毒:即網(wǎng)絡(luò)病毒應(yīng)該是充分利用網(wǎng)絡(luò)的協(xié)議以及網(wǎng)絡(luò)的體系結(jié)構(gòu)作為其傳播的途徑或機(jī)制，同時(shí)網(wǎng)絡(luò)病毒的破壞對(duì)象也應(yīng)是針對(duì)網(wǎng)絡(luò)的。

（2）廣義的網(wǎng)絡(luò)病毒:只要能夠在網(wǎng)絡(luò)上傳播并能對(duì)網(wǎng)絡(luò)產(chǎn)生破壞的病毒，不論它破壞的是網(wǎng)絡(luò)還是聯(lián)網(wǎng)計(jì)算機(jī)，就可稱為網(wǎng)絡(luò)病毒。第四頁(yè)，共五十四頁(yè)，2022年，8月28日二、網(wǎng)絡(luò)病毒的主要特點(diǎn)1．技術(shù)門坎低，任何人皆可撰寫新病毒2．蠕蟲(chóng)病毒和木馬病毒是最大的威脅3．愈來(lái)愈快的傳播“毒速”4．愈來(lái)愈短的攻擊時(shí)間差5．不斷創(chuàng)新的自我防御技術(shù)6．令人眼花繚亂的龐大變種7．亂“件”齊發(fā)的垃圾郵件8．有洞就鉆9．混合式攻擊

網(wǎng)絡(luò)病毒的特征主要是相對(duì)于單機(jī)病毒來(lái)說(shuō)的，其特點(diǎn)主要表現(xiàn)在以下幾個(gè)方面:第五頁(yè)，共五十四頁(yè)，2022年，8月28日三、網(wǎng)絡(luò)病毒實(shí)例幾種典型的網(wǎng)絡(luò)病毒：2、木馬病毒3、蠕蟲(chóng)病毒4、網(wǎng)頁(yè)腳本病毒1、宏病毒5、即時(shí)通訊病毒第六頁(yè)，共五十四頁(yè)，2022年，8月28日1．宏病毒

宏病毒是使用某個(gè)應(yīng)用程序自帶的宏編程語(yǔ)言編寫的病毒。宏病毒目前主要是針對(duì)應(yīng)用組件，類型分為二類：感染W(wǎng)ord系統(tǒng)的Word宏病毒、感染Excel系統(tǒng)的Exce1宏病毒和感染LotusAmiPro的宏病毒。Word宏病毒具有以下的特征：（1）危害性大。（2）感染數(shù)據(jù)文件。（3）多平臺(tái)交叉感染。（4）容易制作。（5）傳播方便快捷。（6）檢測(cè)、清除比較困難。三、網(wǎng)絡(luò)病毒實(shí)例第七頁(yè)，共五十四頁(yè)，2022年，8月28日

宏病毒舉例三、網(wǎng)絡(luò)病毒實(shí)例簡(jiǎn)單自制宏病毒發(fā)作表象第八頁(yè)，共五十四頁(yè)，2022年，8月28日2．木馬病毒

將自己偽裝成某種應(yīng)用程序來(lái)吸引用戶下載或執(zhí)行，并進(jìn)而破壞用戶計(jì)算機(jī)數(shù)據(jù)、造成用戶不便或竊取重要信息的程序，稱為“特洛伊木馬”或“木馬”病毒。木馬病毒有以下基本特征：（1）隱蔽性（2）自動(dòng)運(yùn)行性（3）欺騙性（4）具備自動(dòng)恢復(fù)功能（5）能自動(dòng)打開(kāi)特別的端口（6）功能的特殊性三、網(wǎng)絡(luò)病毒實(shí)例第九頁(yè)，共五十四頁(yè)，2022年，8月28日

木馬病毒舉例（“落雪”）三、網(wǎng)絡(luò)病毒實(shí)例“落雪”病毒在系統(tǒng)文件夾中添加的文件它由VB語(yǔ)言編寫，加的是nSPack3.1的殼，該木馬文件圖標(biāo)一般是紅色的，很像網(wǎng)絡(luò)游戲的登陸器。它可以盜取包括魔獸世界、傳奇世界、征途、夢(mèng)幻西游、邊鋒游戲在內(nèi)的多款網(wǎng)絡(luò)游戲的帳號(hào)和密碼，對(duì)網(wǎng)絡(luò)游戲玩家的游戲裝備構(gòu)成了極大的威脅。它可以把木馬克星和卡巴斯基自動(dòng)禁用，卡巴斯基還可以手工啟用，木馬克星手工已無(wú)法啟用。即便是用戶中毒之后將C盤的病毒殺干凈了，一旦雙擊D盤還會(huì)重新感染落雪木馬。第十頁(yè)，共五十四頁(yè)，2022年，8月28日3．蠕蟲(chóng)病毒

蠕蟲(chóng)（worm）病毒無(wú)論從傳播速度、傳播范圍還是從破壞程度上來(lái)講，都是以往的傳統(tǒng)病毒所無(wú)法比擬的，可以說(shuō)是近年來(lái)最為猖獗、影響最廣泛的一類計(jì)算機(jī)病毒，其傳播主要體現(xiàn)在以下兩方面：（1）利用微軟的系統(tǒng)漏洞攻擊計(jì)算機(jī)網(wǎng)絡(luò)?！凹t色代碼”、“Nimda”、“Sql蠕蟲(chóng)王”等病毒都是屬于這一類病毒。（2）利用Email郵件迅速傳播。如“愛(ài)蟲(chóng)病毒”和“求職信病毒”。

“蠕蟲(chóng)”病毒由兩部分組成：一個(gè)主程序和另一個(gè)是引導(dǎo)程序。

主程序的主要功能是搜索和掃描，這個(gè)程序能夠讀取系統(tǒng)的公共配置文件，獲得與本機(jī)聯(lián)網(wǎng)的客戶端信息，檢測(cè)到網(wǎng)絡(luò)中的哪臺(tái)機(jī)器沒(méi)有被占用，從而通過(guò)系統(tǒng)的漏洞，將引導(dǎo)程序建立到遠(yuǎn)程計(jì)算機(jī)上。

引導(dǎo)程序?qū)嶋H上是蠕蟲(chóng)病毒主程序（或一個(gè)程序段）自身的一個(gè)副本，而主程序和引導(dǎo)程序都有自動(dòng)重新定位的能力。三、網(wǎng)絡(luò)病毒實(shí)例第十一頁(yè)，共五十四頁(yè)，2022年，8月28日

蠕蟲(chóng)病毒舉例（“魔鬼波”蠕蟲(chóng)）三、網(wǎng)絡(luò)病毒實(shí)例魔鬼波病毒發(fā)作時(shí)現(xiàn)象“魔鬼波”（Backdoor/Mocbot.b）蠕蟲(chóng)利用微軟MS06-040漏洞，通過(guò)TCP端口445進(jìn)行傳播。其傳播過(guò)程可以在用戶不知情的情況下主動(dòng)進(jìn)行，可能造成services.exe崩潰等現(xiàn)象。還可通過(guò)AOL等即時(shí)通訊工具自動(dòng)發(fā)送包含惡意鏈接的消息。運(yùn)行成功后，病毒會(huì)連接IRC服務(wù)器接收黑客命令。通過(guò)黑客命令，“魔鬼波”蠕蟲(chóng)可以運(yùn)行下載任意程序，進(jìn)行拒絕服務(wù)攻擊(DDoS)等活動(dòng)，使得用戶計(jì)算機(jī)完全被黑客控制。第十二頁(yè)，共五十四頁(yè)，2022年，8月28日4．網(wǎng)頁(yè)腳本病毒

腳本病毒是指利用.asp、.htm、.html、.vbs、.jsp類型的文件進(jìn)行傳播，基于VBScript和JavaScript腳本語(yǔ)言并由WidowsScriptingHost解釋執(zhí)行的一類病毒。

腳本病毒具有如下特點(diǎn)：（1）隱藏性強(qiáng)。（2）傳播性廣。（3）病毒變種多?？梢圆捎孟旅娴牟襟E來(lái)避免該類病毒的入侵：（1）用regsvr32scrrun.dll/u命令禁止文件系統(tǒng)對(duì)象（2）卸載WindowsScriptingHost項(xiàng)。

（3）刪除VBS、VBE、JS、JSE文件后綴名與應(yīng)用程序的鏈接。（4）更改或者刪除Windows目錄中，WScript.exe（5）將“Internet選項(xiàng)”中所有“ActiveX控件及插件”設(shè)為禁用。（6）將安全級(jí)別設(shè)置至少為“中等”。（7）禁止IE的自動(dòng)收發(fā)郵件功能。（8）安裝殺毒軟件，在安全模式用新版殺毒軟件全面查殺，并及時(shí)更新殺毒軟件三、網(wǎng)絡(luò)病毒實(shí)例第十三頁(yè)，共五十四頁(yè)，2022年，8月28日4．網(wǎng)頁(yè)腳本病毒三、網(wǎng)絡(luò)病毒實(shí)例網(wǎng)頁(yè)腳本病毒對(duì)IE屬性的修改第十四頁(yè)，共五十四頁(yè)，2022年，8月28日5．即時(shí)通訊病毒即時(shí)通訊病毒具有以下幾個(gè)特點(diǎn)：（1）更強(qiáng)的隱蔽性。（2）攻擊更加便利。（3）更快的傳播速度。

目前，襲擊即時(shí)通訊軟件的病毒主要分三類：第一類是只以QQ、MSN等即時(shí)通訊軟件為傳播渠道的病毒

第二類為專門針對(duì)即時(shí)通訊軟件本身的竊取用戶帳號(hào)、密碼的病毒第三類是不斷給用戶發(fā)消息的騷擾型病毒

三、網(wǎng)絡(luò)病毒實(shí)例第十五頁(yè)，共五十四頁(yè)，2022年，8月28日即時(shí)通信病毒舉例（MSN性感雞）三、網(wǎng)絡(luò)病毒實(shí)例“MSN性感雞”病毒在系統(tǒng)盤根目錄下釋放的小雞圖片第十六頁(yè)，共五十四頁(yè)，2022年，8月28日

針對(duì)前面講的內(nèi)容，我們?cè)撛趺醋龊镁W(wǎng)絡(luò)病毒的防范工作呢？思考第十七頁(yè)，共五十四頁(yè)，2022年，8月28日第一節(jié)網(wǎng)絡(luò)病毒及特征第七章網(wǎng)絡(luò)病毒與防范第二節(jié)網(wǎng)絡(luò)反病毒原則及策略第三節(jié)網(wǎng)絡(luò)反病毒的實(shí)施第十八頁(yè)，共五十四頁(yè)，2022年，8月28日

如何有效地在網(wǎng)絡(luò)環(huán)境下防治病毒是一個(gè)比較新的課題，各種方案、技術(shù)很多，我們認(rèn)為最重要的是應(yīng)當(dāng)先研究網(wǎng)絡(luò)防治病毒的基本原則和策略，在這方面業(yè)內(nèi)人士已基本達(dá)成共識(shí)。這些基本原則的策略歸納起來(lái)可以分為以下幾條：

第二節(jié)網(wǎng)絡(luò)反病毒原則與策略一、防重于治防重在管二、綜合防護(hù)三、最佳均衡原則四、管理與技術(shù)并重五、正確選擇網(wǎng)絡(luò)反毒產(chǎn)品六、多層次防御七、注意病毒檢測(cè)的可靠性第十九頁(yè)，共五十四頁(yè)，2022年，8月28日一、防重于治防重在管

一般來(lái)講，計(jì)算機(jī)病毒的防治在于完善操作系統(tǒng)和應(yīng)用軟件的安全機(jī)制。在網(wǎng)絡(luò)環(huán)境下，可相應(yīng)采取新的防范手段，網(wǎng)絡(luò)防病毒最大的優(yōu)勢(shì)在于網(wǎng)絡(luò)的管理功能。所謂網(wǎng)絡(luò)管理就是管理全部的網(wǎng)絡(luò)設(shè)備中所有病毒能夠進(jìn)來(lái)的部位，可以從兩方面著手解決：一是嚴(yán)格管理制度，對(duì)網(wǎng)絡(luò)系統(tǒng)啟動(dòng)盤、用戶數(shù)據(jù)盤等從嚴(yán)管理與檢測(cè)，嚴(yán)禁在網(wǎng)絡(luò)工作站上運(yùn)行與本部門業(yè)務(wù)無(wú)關(guān)的軟件；二是充分利用網(wǎng)絡(luò)系統(tǒng)安全管理方面的功能。第二節(jié)網(wǎng)絡(luò)反病毒原則與策略網(wǎng)絡(luò)本身提供了4級(jí)安全保護(hù)措施：①注冊(cè)安全，網(wǎng)絡(luò)管理員通過(guò)用戶名、入網(wǎng)口令來(lái)保證注冊(cè)安全；②權(quán)限安全，通過(guò)指定授權(quán)和屏蔽繼承權(quán)限來(lái)實(shí)現(xiàn)；③屬性安全，由系統(tǒng)對(duì)各目錄和文件讀、寫等的性質(zhì)進(jìn)行規(guī)定；④可通過(guò)封鎖控制臺(tái)鍵盤等來(lái)保護(hù)文件服務(wù)器安全。第二十頁(yè)，共五十四頁(yè)，2022年，8月28日二、綜合防護(hù)

網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)能力，取決于系統(tǒng)中安全防護(hù)能力最薄弱的環(huán)節(jié)，在某一特定狀態(tài)下整個(gè)網(wǎng)絡(luò)系統(tǒng)對(duì)病毒的防御能力只能取決于網(wǎng)絡(luò)中病毒防護(hù)能力最薄弱的一個(gè)節(jié)點(diǎn)或?qū)哟?。網(wǎng)絡(luò)的安全體系應(yīng)從防病毒、防黑客、災(zāi)難恢復(fù)等幾方面綜合考慮，形成一整套的安全機(jī)制，這才是最有效的網(wǎng)絡(luò)安全手段。防病毒軟件、防火墻產(chǎn)品通過(guò)設(shè)置、調(diào)整參數(shù)，能夠相互通信，協(xié)同發(fā)揮作用。這也是區(qū)別單機(jī)防病毒技術(shù)與網(wǎng)絡(luò)防病毒技術(shù)的重要標(biāo)志。第二節(jié)網(wǎng)絡(luò)反病毒原則與策略第二十一頁(yè)，共五十四頁(yè)，2022年，8月28日三、最佳均衡原則

要采取網(wǎng)絡(luò)防病毒措施，肯定會(huì)導(dǎo)致網(wǎng)絡(luò)系統(tǒng)資源開(kāi)銷的增加，如增加系統(tǒng)負(fù)荷，占用CPU時(shí)間、占用網(wǎng)絡(luò)服務(wù)器內(nèi)存等。針對(duì)這一問(wèn)題，有業(yè)內(nèi)人士對(duì)網(wǎng)絡(luò)防病毒技術(shù)提出了“最小占用原則”，以保證網(wǎng)絡(luò)防病毒技術(shù)在發(fā)揮其正常功能的前提下，占用最小網(wǎng)絡(luò)資源。第二節(jié)網(wǎng)絡(luò)反病毒原則與策略第二十二頁(yè)，共五十四頁(yè)，2022年，8月28日四、管理與技術(shù)并重

解決網(wǎng)絡(luò)病毒問(wèn)題應(yīng)從加強(qiáng)管理和采取技術(shù)措施兩方面著手，在管理方面要形成制度，加強(qiáng)網(wǎng)管人員的防病毒觀念，在內(nèi)部網(wǎng)與外界交換數(shù)據(jù)等業(yè)務(wù)活動(dòng)中進(jìn)行有效控制和管理，同時(shí)抵制盜版軟件或來(lái)路不明軟件的使用。同時(shí)輔以技術(shù)措施，選擇和安裝網(wǎng)絡(luò)防病毒產(chǎn)品，這是以圍繞商品化的網(wǎng)絡(luò)防殺病毒軟件及其供應(yīng)商向用戶提供的技術(shù)支持、產(chǎn)品使用、售后服務(wù)、緊急情況下的突發(fā)響應(yīng)等專業(yè)化反病毒工作展開(kāi)的。第二節(jié)網(wǎng)絡(luò)反病毒原則與策略第二十三頁(yè)，共五十四頁(yè)，2022年，8月28日五、正確選擇網(wǎng)絡(luò)反毒產(chǎn)品

由于網(wǎng)絡(luò)環(huán)境的操作系統(tǒng)種類繁多，目前世界上各種網(wǎng)絡(luò)反病毒產(chǎn)品中還沒(méi)有一種能以同一主程序跨越多種網(wǎng)絡(luò)系統(tǒng)平臺(tái)，所以用戶要根據(jù)自己的網(wǎng)絡(luò)平臺(tái)有針對(duì)性地選擇網(wǎng)絡(luò)反病毒產(chǎn)品。第二節(jié)網(wǎng)絡(luò)反病毒原則與策略第二十四頁(yè)，共五十四頁(yè)，2022年，8月28日六、多層次防御

多層次防御病毒的解決方案應(yīng)該既具有穩(wěn)健的病毒檢測(cè)功能，又有客戶機(jī)／服務(wù)器數(shù)據(jù)保護(hù)功能。在個(gè)人計(jì)算機(jī)的硬件和軟件、LAN服務(wù)器、服務(wù)器網(wǎng)關(guān)、Internet及Intranet站點(diǎn)上，層層設(shè)防，對(duì)每種病毒都實(shí)行隔離、過(guò)濾。在后臺(tái)進(jìn)行實(shí)時(shí)監(jiān)控，發(fā)現(xiàn)病毒隨時(shí)清除，實(shí)施覆蓋全網(wǎng)的多層次防護(hù)。第二節(jié)網(wǎng)絡(luò)反病毒原則與策略

新的網(wǎng)絡(luò)防毒策略是把病毒檢測(cè)、多層數(shù)據(jù)保護(hù)和集中式管理功能集成起來(lái)，形成多層次的防御體系，它易于使用和管理，也不會(huì)對(duì)管理員帶來(lái)額外的負(fù)擔(dān)，極大地降低了病毒的威脅，同時(shí)也使病毒防治任務(wù)變得更經(jīng)濟(jì)、更簡(jiǎn)單、更可靠。第二十五頁(yè)，共五十四頁(yè)，2022年，8月28日多層次防御病毒軟件主要采取了三層保護(hù)功能：1．后臺(tái)實(shí)時(shí)掃描2．完整性保護(hù)3．完整性檢驗(yàn)病毒掃驅(qū)動(dòng)器能對(duì)未知病毒包括變形病毒和加密病毒進(jìn)行連續(xù)的檢測(cè)

該措施用于阻止病毒從一個(gè)受感染的工作站傳染到網(wǎng)絡(luò)服務(wù)器。

完整性檢驗(yàn)使系統(tǒng)無(wú)需冗余的掃描過(guò)程，能提高檢驗(yàn)的實(shí)時(shí)性

六、多層次防御第二節(jié)網(wǎng)絡(luò)反病毒原則與策略第二十六頁(yè)，共五十四頁(yè)，2022年，8月28日七、注意病毒檢測(cè)的可靠性

要定期對(duì)網(wǎng)絡(luò)上的共享文件卷進(jìn)行病毒檢測(cè)。但要注意的是，檢測(cè)結(jié)果沒(méi)有發(fā)現(xiàn)病毒并不等于就真的沒(méi)有病毒。最好使用兩種以上的反毒軟件對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢測(cè)，這樣可以有效地增加檢查結(jié)果的可靠性。第二節(jié)網(wǎng)絡(luò)反病毒原則與策略第二十七頁(yè)，共五十四頁(yè)，2022年，8月28日第一節(jié)網(wǎng)絡(luò)病毒及特征第七章網(wǎng)絡(luò)病毒與防范第二節(jié)網(wǎng)絡(luò)反病毒原則及策略第三節(jié)網(wǎng)絡(luò)反病毒的實(shí)施第二十八頁(yè)，共五十四頁(yè)，2022年，8月28日一、病毒診斷技術(shù)原理二、網(wǎng)絡(luò)反病毒的基本技術(shù)措施三、網(wǎng)絡(luò)反病毒技術(shù)與方案介紹四、主流反病毒產(chǎn)品特點(diǎn)介紹第三節(jié)網(wǎng)絡(luò)反病毒的實(shí)施第二十九頁(yè)，共五十四頁(yè)，2022年，8月28日一、病毒診斷技術(shù)原理1、病毒比較法診斷的原理

比較法是用原始的或正常的與被檢測(cè)的進(jìn)行比較，包括長(zhǎng)度比較法、內(nèi)容比較法、內(nèi)存比較法、中斷比較法等。比較時(shí)可以對(duì)打印的代碼清單進(jìn)行比較，也可以用程序來(lái)進(jìn)行比較。

第三十頁(yè)，共五十四頁(yè)，2022年，8月28日一、病毒診斷技術(shù)原理2、病毒校驗(yàn)和法診斷的原理

計(jì)算正常文件的內(nèi)容的校驗(yàn)和，并將該校驗(yàn)和寫入文件中或?qū)懭肫湮募斜４?。在文件使用過(guò)程中，定期地或每次使用文件前檢查文件當(dāng)前的校驗(yàn)和與原來(lái)保存的校驗(yàn)和是否一致可以發(fā)現(xiàn)文件是否被感染，這種方法叫校驗(yàn)和法。第三十一頁(yè)，共五十四頁(yè)，2022年，8月28日一、病毒診斷技術(shù)原理3、病毒掃描法診斷的原理

掃描法是用每一種病毒體還有的特定字符串對(duì)被檢測(cè)的對(duì)象進(jìn)行掃描。如果在被檢測(cè)對(duì)象內(nèi)部發(fā)現(xiàn)了某一種特定字符串，就表明發(fā)現(xiàn)了該字符串所代表的病毒。掃描法包括特征代碼掃描法和特征字掃描法。

掃描法的優(yōu)點(diǎn)是可以識(shí)別病毒的名稱、誤報(bào)警率低、依據(jù)檢測(cè)結(jié)果可以做殺毒處理。第三十二頁(yè)，共五十四頁(yè)，2022年，8月28日一、病毒診斷技術(shù)原理4、病毒行為檢測(cè)法診斷的原理

利用病毒的特有行為特性監(jiān)測(cè)病毒的方法稱做行為監(jiān)測(cè)法。

行為監(jiān)測(cè)法的長(zhǎng)處在于不僅可以發(fā)現(xiàn)已知病毒，而且可以相當(dāng)準(zhǔn)確地預(yù)報(bào)多數(shù)未知病毒。但行為監(jiān)測(cè)法也有短處，即可能誤報(bào)警和不能識(shí)別病毒名稱，而且實(shí)現(xiàn)起來(lái)有一定難度。監(jiān)測(cè)病毒的行為特征可列舉如下：（1）占用INT13H：所有的引導(dǎo)型病毒都攻擊BOOT扇區(qū)或主引導(dǎo)扇區(qū)。（2）修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量：病毒常駐內(nèi)存后，為了防止DOS系統(tǒng)將其覆蓋，必須修改內(nèi)存總量。（3）對(duì)COM和EXE文件做寫入操作：病毒要進(jìn)行感染，必須寫COM和EXE文件。（4）病毒程序與宿主程序的切換染毒程序運(yùn)行時(shí)，先運(yùn)行病毒，而后執(zhí)行宿主程序。在兩者切換時(shí)，有許多特征行為。第三十三頁(yè)，共五十四頁(yè)，2022年，8月28日一、病毒診斷技術(shù)原理5、病毒行為感染實(shí)驗(yàn)法診斷的原理

感染實(shí)驗(yàn)是一種簡(jiǎn)單實(shí)用的病毒檢測(cè)方法，采用感染實(shí)驗(yàn)法可以檢測(cè)出病毒檢測(cè)工具不認(rèn)識(shí)的新病毒，從而擺脫對(duì)病毒檢測(cè)工具的依賴，自主地檢測(cè)可疑的新病毒。這種方法的原理就是利用了病毒的最重要的特征——感染特性。

第三十四頁(yè)，共五十四頁(yè)，2022年，8月28日一、病毒診斷技術(shù)原理6、病毒行為軟件模擬法診斷的原理軟件模擬法是一種軟件分析器，用軟件方法來(lái)模擬和分析程序的運(yùn)行。新型檢測(cè)工具納入軟件模擬法，該類工具開(kāi)始運(yùn)行時(shí)使用特征代碼法檢測(cè)病毒，如果發(fā)現(xiàn)有隱性病毒或多態(tài)性病毒嫌疑時(shí)，啟動(dòng)軟件模擬模塊監(jiān)視病毒的運(yùn)行，代病毒自身的密碼譯碼后，再運(yùn)用特征代碼法來(lái)識(shí)別病毒的種類。第三十五頁(yè)，共五十四頁(yè)，2022年，8月28日一、病毒診斷技術(shù)原理7、病毒分析法診斷的原理

通常使用分析法的人不是普通用戶，而是反病毒技術(shù)人員。使用的目的在于：（1）確認(rèn)被觀察的磁盤引導(dǎo)區(qū)和程序中是否含有病毒。（2）確認(rèn)病毒的類型和種類，判定其是否為一種新病毒。（3）搞清楚病毒體的大致結(jié)構(gòu)，提取特征識(shí)別用的字符串或特征字，用于增添到病毒代碼庫(kù)供病毒掃描和識(shí)別程序使用。（4）詳細(xì)分析病毒代碼，為制訂相應(yīng)的反病毒措施制訂方案。第三十六頁(yè)，共五十四頁(yè)，2022年，8月28日二、網(wǎng)絡(luò)反病毒的基本技術(shù)措施1．針對(duì)網(wǎng)絡(luò)硬件的措施

網(wǎng)絡(luò)反病毒在硬件方面采取的措施主要是：（1）基于工作站的DOS系統(tǒng)防范病毒。工作站防病毒的方法，一是使用病毒防殺軟件；二是在網(wǎng)絡(luò)工作站上安裝防毒芯片，隨時(shí)保護(hù)工作站及其通往服務(wù)器的路徑。（2）服務(wù)器NLM防病毒技術(shù)。目前基于服務(wù)器的反病毒技術(shù)都以可裝載模塊技術(shù)NLM（netwareloadablemodu1e）進(jìn)行程序設(shè)計(jì)，提供實(shí)時(shí)掃描病毒能力。第三十七頁(yè)，共五十四頁(yè)，2022年，8月28日二、網(wǎng)絡(luò)反病毒的基本技術(shù)措施2．安裝網(wǎng)絡(luò)反毒軟件（1）在網(wǎng)關(guān)和防火墻安裝反毒軟件（2）在工作站上安裝反毒軟件（3）在電子郵件服務(wù)器安裝反毒軟件（4）在所有文件服務(wù)器安裝反毒軟件第三十八頁(yè)，共五十四頁(yè)，2022年，8月28日二、網(wǎng)絡(luò)反病毒的基本技術(shù)措施3．清除網(wǎng)絡(luò)中的病毒一旦發(fā)現(xiàn)或懷疑網(wǎng)絡(luò)中存在病毒，應(yīng)及早檢測(cè)、清除。主要步驟是：（1）立即在網(wǎng)上用命令通知包括系統(tǒng)管理員在內(nèi)的所有用戶退網(wǎng)，也可以在控制臺(tái)刪除當(dāng)前所有注冊(cè)用戶，然后關(guān)閉文件服務(wù)器。（2）用系統(tǒng)盤啟動(dòng)系統(tǒng)管理員工作站，檢查有無(wú)病毒感染，如有應(yīng)先行清除。（3）用系統(tǒng)盤啟動(dòng)文件服務(wù)器，在系統(tǒng)管理員登錄后，使用系統(tǒng)命令禁止其他用戶登錄上網(wǎng)。（4）為防止在殺毒過(guò)程中出現(xiàn)意外，先將文件服務(wù)器硬盤中的重要文件、數(shù)據(jù)備份到干凈的軟盤上，并且注意此時(shí)千萬(wàn)不要執(zhí)行硬盤中的程序，也不要進(jìn)行向硬盤中拷貝文件等操作，以免破壞可能已被病毒弄亂的硬盤文件、數(shù)據(jù)的結(jié)構(gòu)。（5）用網(wǎng)絡(luò)殺毒軟件掃描各種服務(wù)器上所有卷的文件，恢復(fù)或刪除被病毒感染的文件，重新安裝被刪文件。（6）為防止病毒漏網(wǎng)，再使用殺毒軟件對(duì)所有可能染上病毒的軟盤和備份文件的軟盤檢測(cè)一遍。

（7）通知各聯(lián)網(wǎng)用戶對(duì)所有的有盤工作站進(jìn)行殺毒處理。（8）只有當(dāng)確認(rèn)病毒己被徹底清除后，方可重新開(kāi)啟網(wǎng)絡(luò)服務(wù)器。（9）最好再檢查一下病毒的來(lái)源或病毒是從何處進(jìn)入網(wǎng)絡(luò)的，以堵住漏洞。第三十九頁(yè)，共五十四頁(yè)，2022年，8月28日二、網(wǎng)絡(luò)反病毒的基本技術(shù)措施4．網(wǎng)絡(luò)反毒技術(shù)的新特征

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，反毒技術(shù)也在不斷發(fā)展，其主要特征是：（1）配合緊密，層次更深（2）實(shí)時(shí)化反毒（3）檢測(cè)壓縮文件中的病毒第四十頁(yè)，共五十四頁(yè)，2022年，8月28日三、網(wǎng)絡(luò)反病毒技術(shù)與方案介紹1．局域網(wǎng)反毒技術(shù)體系2．病毒防火墻3．NAF多層病毒防御體系第四十一頁(yè)，共五十四頁(yè)，2022年，8月28日三、網(wǎng)絡(luò)反病毒技術(shù)與方案介紹1．局域網(wǎng)反毒技術(shù)體系

（1）病毒在局域網(wǎng)中的傳播途徑最常見(jiàn)的一種感染方法是病毒傳染工作站后進(jìn)而感染網(wǎng)絡(luò)服務(wù)器。

第四十二頁(yè)，共五十四頁(yè)，2022年，8月28日三、網(wǎng)絡(luò)反病毒技術(shù)與方案介紹1．局域網(wǎng)反毒技術(shù)體系

（2）局域網(wǎng)反毒體系的構(gòu)成

根據(jù)病毒在局域網(wǎng)中的活動(dòng)特點(diǎn)，局域網(wǎng)反毒體系可由兩個(gè)模塊構(gòu)成，即工作于網(wǎng)絡(luò)服務(wù)器上的網(wǎng)絡(luò)反毒模塊和運(yùn)行在工作站的單機(jī)反毒模塊。

主要作用是負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的病毒防御

將固化有防殺病毒軟件的卡或芯片安裝在工作站上，用來(lái)間斷地保護(hù)工作站及其通往服務(wù)器的路徑，攔截病毒對(duì)網(wǎng)絡(luò)的入侵。第四十三頁(yè)，共五十四頁(yè)，2022年，8月28日三、網(wǎng)絡(luò)反病毒技術(shù)與方案介紹1．局域網(wǎng)反毒技術(shù)體系

（3）局域網(wǎng)預(yù)防病毒措施①加強(qiáng)網(wǎng)絡(luò)系統(tǒng)管理②盡量減少有盤工作站③網(wǎng)絡(luò)服務(wù)器必須使用專門的機(jī)器④使用防病毒卡或防病毒軟件第四十四頁(yè)，共五十四頁(yè)，2022年，8月28日三、網(wǎng)絡(luò)反病毒技術(shù)與方案介紹2．病毒防火墻

（1）病毒防火墻的基本功能病毒防火墻的基本功能是實(shí)時(shí)“過(guò)濾”（screen）。這種技術(shù)一是保護(hù)計(jì)算機(jī)系統(tǒng)不受任何來(lái)自本地的或遠(yuǎn)程的病毒的危害；二是向計(jì)算機(jī)系統(tǒng)提供雙向的保護(hù)，防止本地系統(tǒng)內(nèi)的病毒向網(wǎng)絡(luò)擴(kuò)散。第四十五頁(yè)，共五十四頁(yè)，2022年，8月28日三、網(wǎng)絡(luò)反病毒技術(shù)與方案介紹2．病毒防火墻

（2）病毒防火墻的關(guān)鍵技術(shù)①操作系統(tǒng)底層接口技術(shù)②網(wǎng)絡(luò)底層接口技術(shù)③應(yīng)用程序底層接口技術(shù)④充分利用操作系統(tǒng)多任務(wù)、多線程機(jī)制的技術(shù)⑤算法優(yōu)化技術(shù)第四十六頁(yè)，共五十四頁(yè)，2022年，8月28日三、網(wǎng)絡(luò)反病毒技術(shù)與方案介紹

3．NAF多層病毒防御體系

多層病毒防御體系，是指在每個(gè)臺(tái)式機(jī)上要