第10章 病毒防范技术

第10章病毒防范技术•本章主要介绍了病毒防范技术的技术背景和发展历史。介绍了主要病毒类型：Windows病毒，DOS病毒，蠕虫病毒，木马病毒和其它一些病毒，提出了对病毒现象与软硬件故障关系的辨识方法。介绍了杀毒软件，安全自检和对主要病毒的防治技术。10.1病毒防范技术背景•计算机通信网络在政治、军事、金融、商业、交通、电信、文教等方面的作用日益增大。信息基础设施已经成为反映信息社会特征最重要的基础设施。使得人类社会的一些机密和财富高度集于计算机中。但是这些信息系统都是依靠计算机网络接受和处理信息，实现其相互间的联系和对目标的管理、控制。以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征。随着网络的开放性、共享性及互联程度的扩大，随着网络上各种新业务的兴起，比如电子商务、电子现金、数字货币、网络银行等的兴起，以及各种专用网（比如金融网等）的建设，使得安全问题显得越来越重要，因此对网络安全的研究成了现在计算机和通信界的一个热点。•网络安全面临的主要潜在威胁有以下几方面：•（1）信息泄密。主要表现为网络上的信息被窃听，这种仅窃听而不破坏网络中传输信息的网络侵犯者被称为消极侵犯者。•（2）信息被篡改。这就是纯粹的信息破坏。这样的网络侵犯者被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自己的信息起到信息误导的作用。积极侵犯者的破坏作用最大。•（3）传输非法信息流。用户可能允许自己同其他用户进行某些类型的通信,但禁止其它类型的通信。如允许电子邮件传输而禁止文件传送。•（4）网络资源的错误使用。如果不合理地设定资源访问控制,一些资源有可能被偶然或故意地破坏。•（5）非法使用网络资源。非法用户登录进入系统使用网络资源,造成资源的消耗,损害合法用户的利益。•（6）计算机病毒已经成为威胁网络安全的最大威胁。•网络安全面临的最大问题就是人为的恶意攻击。人为的恶意攻击包括：主动攻击、被动攻击。10.2电脑病毒发展历史•电脑病毒的概念其实源起相当早，在第一部商用电脑出现之前好几年时，电脑的先驱者冯诺伊曼（JohnVonNeumann）在他的一篇论文《复杂自动装置的理论及组识的进行》里，已经勾勒出病毒程序的蓝图。不过在当时，绝大部分的电脑专家都无法想像会有这种能自我繁殖的程序。10.3病毒类型•病毒、蠕虫和特洛伊木马是可导致计算机和计算机上的信息损坏的恶意程序。它们可能使网络和操作系统变慢，危害严重时甚至会完全破坏系统，并且，还可能将它们自己传播给用户朋友、家人、同事以及Web的其他地方，在更大范围内造成危害。这三种东西都是人为编制出的恶意代码，人们往往将它们统称作病毒，但其实这种称法并不准确，它们之间虽然有着共性，但也有着很大的差别。恶意代码类型定义特点计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。潜伏、传染和破坏计算机蠕虫指通过计算机网络自我复制，消耗系统资源和网络资源的程序扫描、攻击和扩散特洛伊木马指一种与远程计算机建立连接，使远程计算机能够通过网络控制本地计算机的程序。欺骗、隐蔽和信息窃取病毒定义•病毒必须满足两个条件:（1）它必须能自行执行。它通常将自己的代码置于另一个程序的执行路径中。（2）它必须能自我复制。例如，它可能用受病毒感染的文件副本替换其他可执行文件。病毒既可以感染桌面计算机也可以感染网络服务器。常见病毒分类•（1）系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般共有的特性是可以感染windows操作系统的*.exe和*.dll文件，并通过这些文件进行传播。•（2）蠕虫病毒蠕虫病毒的前缀是：Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。•（3）脚本病毒脚本病毒的前缀是：Script。脚本病毒的共有特性是使用脚本语言编写，通过网页进行的传播的病毒。•（4）后门病毒后门病毒的前缀是：Backdoor。该类病毒的共有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患•（5）破坏性程序病毒破坏性程序病毒的前缀是：Harm。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。•（6）玩笑病毒玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。•（7）宏病毒宏病毒的前缀是：Macro。利用高级语言——宏语言编制的病毒。仅向word、excel、access、ppt、project等办公自动化传染，而不会传给可执行文件。由于这些办公处理程序用户广泛，所以这种病毒传播的相当广泛。•（8）特洛伊木马病毒。特洛伊木马病毒的前缀是：Trojan。该病毒分成服务器端和客户端两部分，例如计算器中服务器端杯此程序感染，别人可通过网络中其他计算器任意控制此计算机，并获得重要文件。10.4软硬件故障现象与病毒现象的辨识•在清除计算机病毒的过程中，有些类似计算机病毒的现象纯属由计算机硬件或软件故障引起，同时有些病毒发作现象又与硬件或软件的故障现象相类似，如引导型病毒等。这给用户造成了很大的麻烦，许多用户往往在用各种查杀病毒软件查不出病毒时就去格式化硬盘，不仅影响了硬盘的寿命，而且还不能从根本上解决问题。所以，正确区分计算机的病毒与故障是保障计算机系统安全运行的关键。10.4.1计算机病毒的现象•在一般情况下，计算机病毒总是依附某一系统软件或用户程序进行繁殖和扩散，病毒发作时危及计算机的正常工作，破坏数据与程序，侵犯计算机资源。计算机在感染病毒后，总是有一定规律地出现异常现象:•（1）屏幕显示异常，屏幕显示出不是由正常程序产生的画面或字符串，屏幕显示混乱;•（2）程序装入时间增长，文件运行速度下降;•（3）用户没有访问的设备出现工作信号;•（4）磁盘出现莫名其妙的文件和坏块，卷标发生变化;•（5）系统自行引导;•（6）丢失数据或程序，文件字节数发生变化;•（7）内存空间、磁盘空间减小;•（8）异常死机;•（9）磁盘访问时间比平时增长;•（10）系统引导时间增长。10.4.2与病毒现象类似的硬件故障•硬件的故障范围不太广泛，但是很容易被确认。在处理计算机的异常现象时很容易被忽略，只有先排除硬件故障，才是解决问题的根本。•（1）系统的硬件配置•（2）电源电压不稳定•（3）插件接触不良•（4）软驱故障•（5）关于CMOS的问题10.4.3与病毒现象类似的软件故障•软件故障的范围比较广泛，问题出现也比较多。对软件故障的辨认和解决也是一件很难的事情，它需要用户有相当的软件知识和丰富的上机经验。这里介绍一些常见的症状。•1.出现“Invaliddrivespecification”(非法驱动器号)•2.软件程序已被破坏(非病毒)•3.引导过程故障•4.用不同的编辑软件程序10.5U盘病毒的查杀技术•U盘病毒是一种新病毒主要通过U盘、移动硬盘传播。目前几乎所有这类的病毒的最大特征都是利用autorun.inf来侵入的，而事实上autorun.inf相当于一个传染途径，经过这个途径入侵的病毒，理论上是“任何”病毒。•autorun.Inf个嫩那个及U盘病毒影藏方式•Ravmone.exe病毒解决方法•杀掉U盘中的病毒的方法10.6病毒木马的查杀技术•检查电脑是否被安装木马的命令•一些基本的命令往往可以在保护网络安全上起到很大的作用，下面几条命令的作用就非常突出。•（1）检测网络连接•（2）禁用不明服务•（3）克隆的账户10.7杀毒软件•网络安全管理员需要审时度势，灵活地依据企业自身的特点来不断调整安全策略，加强与反病毒厂商的密切合作，才能长期确保信息安全。很多网管都在为病毒犯愁，为什么安装了杀毒软件还不能防毒？企业网络的管理员应该选择网络版杀毒软件构建自己的网络安全防御系统。目前的网络版杀毒软件针对不同类型、不同规模的企业产品，在功能上进行了细分。管理员要针对本企业的特性来选择对应的产品才能达到事半功倍的效果。10.8系统安全自检手册•近来黑客攻击事件频频发生，QQ、E-mail和游戏账号被盗事件不断发生。黑客技术有朝着大众化方向发展的趋势，能够掌握攻击他人系统技术的人越来越多了，只要电脑稍微有点系统Bug或者安装了有问题的应用程序，就有可能成为他人的肉鸡。如何给一台上网的机器查漏洞并做出相应的处理呢？要求有与时俱更新内容的系统安全自检手册。•（1）自检端口•（2）自检进程•（3）远程管理软件•（4）“专业人士”免费检测•（5）用户使用安全检测工具