《計算機網(wǎng)絡(luò)安全課件》第六章計算機病毒的防治

第六章計算機病毒的防治什么是計算機病毒計算機病毒的傳播計算機病毒的特點及破壞行為宏病毒及網(wǎng)絡(luò)病毒病毒的預(yù)防、檢查和清除病毒防御解決方案本資料由-校園大學(xué)生創(chuàng)業(yè)網(wǎng)-提供http:///在線代理http:///提供部分資料6.1什么是計算機病毒計算機病毒是一種“計算機程序”，它不僅能破壞計算機系統(tǒng)，而且還能傳播、感染到其他系統(tǒng)。它通常隱藏在其他看起來無害的程序中，能生成自身的復(fù)制并將其插入其他的程序中，執(zhí)行惡意的行動。計算機病毒可分為下列幾類：P1341）文件病毒：該病毒在操作系統(tǒng)招待文件時取得控制權(quán)并把自己依附在可執(zhí)行文件上，然后利用這些指令來調(diào)用附在文件中某處的病毒代碼。2）引導(dǎo)扇區(qū)病毒：它潛伏在軟盤的引導(dǎo)扇區(qū)，或在硬盤的引導(dǎo)扇區(qū)，或主引導(dǎo)記錄。3）多裂變病毒：4）秘密病毒；5）異形病毒；6）宏病毒。本資料由-校園大學(xué)生創(chuàng)業(yè)網(wǎng)-提供http:///在線代理http:///提供部分資料6.2

計算機病毒的傳播6.2.1計算機病毒的由來計算機病毒是由計算機黑客們編寫的，這些人想證明他們能編寫出不但可以干擾和摧毀計算機而且能將破壞傳播到其他系統(tǒng)的程序。6.2.2計算機病毒的傳播計算機病毒通過某個入侵點進入系統(tǒng)來感染系統(tǒng)。最明顯的也是最常見的入侵點是從工作站傳到工作站的軟盤。在計算機網(wǎng)絡(luò)系統(tǒng)中，可能的入侵點還包括服務(wù)器、E-mail附加部分、BBS上下載的文件、3W站點、FTP文件下載、共享網(wǎng)絡(luò)文件及常規(guī)的網(wǎng)絡(luò)通信、盜版軟件、示范軟件、電腦實驗和其他共享設(shè)備。病毒進入系統(tǒng)后的傳播方式：1）通過磁盤的關(guān)鍵區(qū)域；2）在可執(zhí)行的文件中。本資料由-校園大學(xué)生創(chuàng)業(yè)網(wǎng)-提供http:///在線代理http:///提供部分資料6.2.3計算機病毒的工作方式病毒的工作方式與病毒所能表現(xiàn)出來的特性或功能是緊密相關(guān)的。病毒所能表現(xiàn)出來的特性或功能有：1）感染引導(dǎo)扇區(qū)病毒：對軟盤和硬盤的引導(dǎo)扇區(qū)攻擊；文件型病毒：攻擊磁盤上的文件。有兩種類型：駐留型、非駐留型。P1382）變異（變異是病毒可以創(chuàng)建類似自己，但又不同于自身“品種”的一種技術(shù)，它使病毒掃描程序難以檢測。）3）觸發(fā)4）破壞（如：修改數(shù)據(jù)、破壞文件系統(tǒng)、刪除系統(tǒng)上的文件、視覺和聽覺效果。）5）高級功能病毒（能逃避檢測，有的甚至被設(shè)計成能夠躲開病毒掃描軟件和反病毒軟件的程序。）6.3

計算機病毒的特點及破壞行為6.3.1計算機病毒的特點1、刻意編寫人為破壞計算機病毒不是偶然自發(fā)產(chǎn)生的，而是人為編寫的有意破壞、嚴謹精巧的程序段，它是嚴格組織的程序代碼，與所在環(huán)境相互適應(yīng)并緊密配合。P1402、自我復(fù)制能力再生機制是判斷是不是計算機病毒的最重要依據(jù)。3、奪取系統(tǒng)控制權(quán)病毒將自身與系統(tǒng)軟件掛起鉤來，取得系統(tǒng)控制權(quán)，系統(tǒng)每執(zhí)行一次操作，病毒就有機會執(zhí)行它預(yù)先設(shè)計的操作，完成病毒代碼的傳播或進行破壞活動。4、隱蔽性不經(jīng)過程序代碼或計算機病毒代碼掃描，病毒程序與正常程序不易區(qū)別開。5、潛伏性大部分病毒在感染系統(tǒng)后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)中，除了傳染外，不表現(xiàn)出破壞性，只有在滿足其特定條件后才啟動其表現(xiàn)模塊，顯示發(fā)作信息或進行系統(tǒng)破壞。6、不可預(yù)見性不同種類病毒的代碼千差萬別，病毒的制作技術(shù)也在不斷地提高，病毒比反病毒軟件永遠是超前的。6.3.2計算機病毒的破壞行為計算機病毒的破壞性表現(xiàn)為病毒的殺傷能力。根據(jù)有關(guān)病毒資料可以把病毒的破壞目標和攻擊部位歸納如下：1、攻擊系統(tǒng)數(shù)據(jù)區(qū)2、攻擊文件3、攻擊內(nèi)存4、干擾系統(tǒng)運行5、干擾鍵盤6、攻擊CMOS7、干擾打印機8、網(wǎng)絡(luò)病毒破壞網(wǎng)絡(luò)系統(tǒng)6.4

宏病毒及網(wǎng)絡(luò)病毒6.4.1宏病毒宏----就是軟件設(shè)計者為了在使用軟件工作時，避免一再的重復(fù)相同的動作而設(shè)計出來的一種工具。它利用簡單的語法，把常用的動作寫成宏，當(dāng)再工作時，就可以直接利用事先寫好的宏自動運行，去完成某項特定的任務(wù)，而不必再重復(fù)相同的動作。1、宏病毒的行為和特征宏病毒----就是利用軟件所支持的宏命令編寫成的具有復(fù)制、傳染能力的宏。宏病毒是一種新形態(tài)的計算機病毒，也是一種跨平臺式計算機病毒，可以在Windows9x、WindowsNT、OS/2和MacintoshSystem7等操作系統(tǒng)上執(zhí)行病毒。1）宏病毒行為機制（P142）2）宏病毒特征（P143）2、宏病毒的防治和清除方法1）使用選項“提示保存Normal”；2）通過Shift鍵來禁止運行自動宏；3）查看宏代碼；4）使用DisableAutoMacros宏；5）使用Word97的報警設(shè)置；6）設(shè)置Normal.dot的只讀屬性；7）Normal.dot的保護。6.4.2網(wǎng)絡(luò)病毒1、網(wǎng)絡(luò)病毒的特點計算機網(wǎng)絡(luò)的主要特點是資源共享。一旦共享資源感染病毒，網(wǎng)絡(luò)各結(jié)點間信息的頻繁傳輸會把病毒傳染到所共享的機器上，從而形成多種共享資源的交叉感染。因此，網(wǎng)絡(luò)環(huán)境下病毒的防治就顯得更加重要。2、病毒在網(wǎng)絡(luò)上的傳播與表現(xiàn)用戶在工作站上執(zhí)行一個帶毒操作文件，這種病毒就會感染網(wǎng)絡(luò)上其他可執(zhí)行文件。3、專攻網(wǎng)絡(luò)的GPI病毒（P146）GPI是“耶路撒冷”病毒的變種，并且被特別改寫成專門突破Novell網(wǎng)絡(luò)系統(tǒng)安全結(jié)構(gòu)的病毒。它的威力在于“自上而下”的傳播。4、電子郵件病毒郵件系統(tǒng)使用不同的格式存儲文件和文檔，傳統(tǒng)的殺毒軟件對檢測此類格式的文件無能為力。防毒方法：P146/（1）~（3）6.5病毒的預(yù)防、檢查和清除6.5.1

病毒的預(yù)防通過采取技術(shù)上和管理上的措施，計算機病毒是完全可以防范的。措施如下：（1）對新購置的計算機系統(tǒng)用檢測病毒軟件檢查已知病毒，用人工檢測方法檢查未知病毒，并經(jīng)過實驗，證實沒有病毒傳染和破壞跡象再使用。（2）新購置的硬盤或出廠時已格式化好的軟盤可能有病毒。對硬盤可以進行檢測或進行低級格式化。（3）新購置的計算機軟件也要進行病毒檢測。（4）在保證硬盤無病毒的情況下，盡量用硬盤引導(dǎo)啟動，不要用軟盤啟動。（5）很多計算機可以通過設(shè)置CMOS參數(shù)，直接從硬盤引導(dǎo)啟動，而根本不去讀A盤。（6）~（20）P148另外，作為應(yīng)急措施，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)牢記下列幾點：1）當(dāng)出現(xiàn)病毒傳染跡象時，應(yīng)立即隔離被感染的系統(tǒng)和網(wǎng)絡(luò)并進行處理。2）及時發(fā)現(xiàn)異常情況，可防止病毒傳染到整個磁盤和傳染到相鄰的計算機。3）注意觀察下列現(xiàn)象：P149/1~116.5.2病毒的檢查計算機病毒要進行傳染，必然會留下痕跡。檢測計算機病毒，就是要到病毒寄生場所去檢查，發(fā)現(xiàn)異常情況，并進而驗明計算機病毒的存在。1、病毒的檢查方法1）比較法：用原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測的文件進行比較。（優(yōu)點：簡單、方便、無需專用軟件。）2）利用病毒特征代碼串的搜索法：用每一種病毒體內(nèi)含有的特定字符串對被檢測的對象進行掃描。3）計算機病毒特征字的識別法：只需從病毒體內(nèi)抽取很少幾個關(guān)鍵的特征字來組成特征字庫，由于需要處理的字節(jié)很少，又不必進行串匹配，大大加快了識別速度。4）分析法：運用反匯編技術(shù)分析被檢測對象，確認是否為病毒代碼。（使用分析法要求具有比較全面的有關(guān)PC機、DOS結(jié)構(gòu)和功能調(diào)用及關(guān)于病毒方面的各種知識。P152）2、病毒掃描程序病毒掃描程序能在程序中尋找病毒特征。判別病毒掃描程序好壞的一個重要標志就是“誤診”率一定要低。3、完整性檢查程序它通過識別文件和系統(tǒng)的改變來發(fā)現(xiàn)病毒，或病毒的影響。缺點：只有當(dāng)病毒正在工作并做些什么事情時，它才能起作用。4、行為封鎖軟件行為封鎖軟件的目的是防止病毒的破壞。這種軟件試圖在病毒馬上就要開始工作時阻止它。6.5.3計算機病毒的防治計算機病毒的防治，就是通過一定的方法，使計算機自身具有防御計算機病毒感染的能力。措施如下：1、建立程序的特征值檔案（P153）這是對付病毒的最有效方法。2、嚴格內(nèi)存管理（P154）3、中斷向量管理病毒駐留內(nèi)存時常會修改一些中斷向量，因此，中斷向量的檢查和恢復(fù)是必要的。6.5.4計算機感染病毒后的恢復(fù)1、防止和修復(fù)引導(dǎo)記錄病毒防止軟引導(dǎo)記錄、主引導(dǎo)記錄和分區(qū)引導(dǎo)記錄病毒的較好方法是改變計算機的磁盤引導(dǎo)順序，避免從軟盤引導(dǎo)。必須從軟盤引導(dǎo)時，應(yīng)該確認該軟盤無毒。1）修復(fù)感染的軟盤；2）修復(fù)感染的主引導(dǎo)記錄；3）利用反病毒軟件修復(fù)。2、防止和修復(fù)可執(zhí)行文件病毒修復(fù)感染的程序文件最有效的途徑是用未感染的備份代替它。6.5.5計算機病毒的清除（P155）1、使用DOS命令處理病毒依附在可執(zhí)行文件上的病毒的一個辦法是將其從磁盤上刪除，然后復(fù)制一個“干凈”的文件到磁盤上。2、引導(dǎo)型病毒的處理一般清理辦法是用格式化磁盤的方法。3、宏病毒清除方法步驟：P1574、殺毒程序它在處理病毒時，必須知道某種特別的病毒的信息，然后才能按需要對磁盤進行殺毒。6.6病毒防御解決方案病毒檢測一直是病毒防護的支柱，但是，病毒檢測本身并不阻止病毒傳播，也不保護數(shù)據(jù)，使之不受破壞。常規(guī)反病毒技術(shù)把注意力集中在已經(jīng)感染了病毒的文件上，已經(jīng)遠遠不能滿足網(wǎng)絡(luò)時代的要求。因此，任何一種反病毒的解決方案都應(yīng)該具有穩(wěn)健的病毒檢測功能，又具有服務(wù)器/客戶機數(shù)據(jù)保護的能力，即具有覆蓋全網(wǎng)的多層次方法。6.6.1多層次病毒防御的意義（P158）6.6.2Intel多層次病毒防御方案IntelLANDdsk

VrusProtect是一個易于管理的多層次病毒防御解決方案，它把病毒的檢測、數(shù)據(jù)的保護及集中式的全域控制組織在一起，從而保證了病毒的有效防御。1、功能：1）后臺實時掃描；P1582）完整性保護；P1593）完整性檢驗。P1592、集中式管理計算機病毒防御解決方案的一個重要的原則是，病毒防御給計算機網(wǎng)絡(luò)系統(tǒng)所帶來的負擔(dān)不應(yīng)該超過病毒所造成的危害，否則病毒的防御便失去意義。網(wǎng)絡(luò)病毒防御的集中式的管理是一種最經(jīng)濟、最可靠的防病毒的方式，它易于升級、幾乎不需要人工干預(yù)就能保護桌面系統(tǒng)和服務(wù)器。3、服務(wù)器/客戶機病毒防御的靈活選擇Intel多層的病毒防御方案能提供只適用于服務(wù)器或只適用于客戶機的許可方式，從而可以滿足任何一個部門或機構(gòu)的需要。本資料由-校園大學(xué)生創(chuàng)業(yè)網(wǎng)-提供http:///在線代理http:///提供部分資料6.6.3KV3000殺病毒軟件簡介（P160~164）1、功能簡介2、KV3000的功能和使用格式3、保存和恢復(fù)正確的硬盤主引導(dǎo)信息4、清除所有引導(dǎo)區(qū)型病毒5、恢復(fù)當(dāng)前硬盤的主引導(dǎo)信息6、安裝和使用實時監(jiān)測病毒程序KVW3000