第06章网络病毒的防治技术1.

6.3计算机病毒的症状计算机病毒是一段程序代码，虽然可能隐藏得很好，但也会留下许多痕迹。通过对这些痕迹的观察和判别，就能够发现病毒。根据病毒感染和发作的阶段，计算机病毒的症状可以分为3个阶段，即计算机病毒发作前、病毒发作时和病毒发作后。一、计算机病毒的现象:在一般情况下，计算机病毒总是依附某一系统软件或用户程序进行繁殖和扩散，病毒发作时危及计算机的正常工作，破坏数据与程序，侵犯计算机资源。计算机在感染病毒后，总是有一定规律地出现异常现象.从目前发现的病毒来看,主要症状有：（1）由于病毒程序把自己或操作系统的一部分用坏簇隐起来,磁盘坏簇莫名其妙地增多。（2）由于病毒程序附加在可执行程序头尾或插在中间,使可执行程序容量增大。（3）由于病毒程序把自己的某个特殊标志作为标签,使接触到的磁盘出现特别标签。（4）由于病毒本身或其复制品不断侵占系统空间,使可用系统空间变小。（5）由于病毒程序的异常活动,造成异常的磁盘访问。（6）由于病毒程序附加或占用引导部分,使系统导引变慢。（7）丢失数据和程序。（8）中断向量发生变化。6.3计算机病毒的症状（9）打印出现问题。（10）死机现象增多。（11）生成不可见的表格文件或特定文件。（12）系统出现异常动作,例如：突然死机,又在无任何外界介入下,自行起动。（13）出现一些无意义的画面问候语等显示。（14）程序运行出现异常现象或不合理的结果。（15）磁盘的卷标名发生变化。（16）系统不认识磁盘或硬盘不能引导系统等。（17）在系统内装有汉字库且汉字库正常的情况下不能调用汉字库或不能打印汉字。（18）在使用写保护的软盘时屏幕上出现软盘写保护的提示。（19）异常要求用户输入口令6.3计算机病毒的症状如果出现上述现象时，应首先对系统的BOOT区、IO.SYS、MSDOS.SYS、COMMAND.COM、.COM、.EXE文件进行仔细检查，并与正确的文件相比较，如有异常现象则可能感染病毒。然后对其它文件进行检查，有无异常现象，找出异常现象的原因。病毒与故障的区别的关键是，一般故障只是无规律的偶然发生一次，而病毒的发作总是有规律的。6.3计算机病毒的症状说到预防计算机病毒，正如不可能研究出一种像能包治人类百病的灵丹妙药一样，研制出万能的防计算机病毒程序也是不可能的。但针对病毒的特点,利用现有的技术，开发出新的技术，防御病毒软件在与计算机病毒的对抗中会不断得到完善，更好地发挥保护计算机的作用。6.4反病毒技术通过分析病毒的工作原理，我们知道了病毒利用直接读写能进行感染，利用驻留内存、利用截取中断向量等方法能进行传染和破坏。通过分析PC机的系统结构和DOS的组成及工作方式，我们知道了病毒正是利用系统安全存取方面的漏洞进行传染。预防计算机病毒的软件就是要监视、跟踪系统内类似病毒的操作，提供对系统的保护。6.4反病毒技术怎么样预防病毒?现在许多病毒通过电子邮件附件的方式传播，对于来历不明的邮件附件，不要直接打开，先选择存盘方式，用防病毒程序查一下附件是否有病毒后再判断是否打开。安装防病毒软件，最好是有实时监控功能的，还要经常更新、升级。往电脑内拷贝文件时要先用防病毒软件查查是否有病毒，对于从网络下载的文件，也要先查看是否有病毒，再确定是否可用。微软公司会针对windows系统的漏洞发布补丁，请定期运行windowsupdate下载。具体方法是点击“开始”，“所有程序”，“windowsupdate”。不要随便访问非正规网站，这些站点的网页可能含有病毒程序。平常注意关于新病毒的新闻，预先采取防范措施。6.4反病毒技术总之预防计算机病毒主要应从管理和技术两个方面进行。⑴从管理上对病毒的预防首先，机器要有专人管理负责；第二，不要从A盘引导系统；第三，对所有系统软盘、工具软盘、程序软盘要进行写保护；第四，对于外来的机器和软件要进行病毒检测；第五，不使用来历不名的软件，也不要使用非法解密或复制的软件；第六，谨慎地使用公用软件和共享软件；第七，除原始的系统盘外，尽量不用其他软盘去引导系统；第八，对游戏程序要严格控制；第九，定期检测软、硬盘上的系统区和文件并及时消除病毒；第十，系统中的数据盘和系统盘要定期进行备份；第十一，网络上的计算机用户，要遵守网络的使用规定，不能随意在网络上使用外来软件。6.4反病毒技术⑵从技术上对病毒的预防在技术手段上对病毒的预防有硬件保护和软件预防两种方法。防病毒的另一种方法是使用计算机病毒疫苗进行软件预防。计算机病毒疫苗是一种能够监视系统的运行、可以发现某些病毒入侵时防止或禁止病毒入侵、当发现非法操作时及时警告用户或直接拒绝这种操作的不具备传染性的可执行程序。⑶病毒的清除通常用人工处理或反病毒软件两种方式进行清除。人工处理的方法有：用正常的文件覆盖被病毒感染的文件或删除被病毒感染的文件，还可以重新格式化磁盘，但这种方法有一定的危险性，容易造成对文件数据的破坏。用反病毒软件对病毒进行清除是一种较好的方法。常用的反病毒软件有KVW3000、瑞星等。6.4反病毒技术6.4反病毒技术网络反病毒技术包括预防病毒、检测病毒和杀毒等3种技术。预防病毒技术，它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。检测病毒技术，它是通过病毒的特征来判断病毒行为、类型等的技术。杀毒技术，它通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件。计算机病毒的检测通常采用手工检测和自动检测两种方法.手工检测:指通过一些软件工具（DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE）等提供的功能进行病毒的检测。这种方法比较复杂，需要检测者熟悉机器指令和操作系统，因而无法普及。自动检测:指通过一些诊断软件来识别一个系统或一个软盘是否含有病毒的方法。自动检测相对比较简单，一般用户都可以进行，但需要有较好的诊断软件。6.4反病毒技术杀毒软件的病毒检测技术主要有几种方法：特征码检测、校验和计算、行为检测、启发式扫描以及虚拟机技术。特征码检测，这是现今杀毒软件用得最多也最广的杀毒检测方式，通过分析受感染文件，可以总结出病毒特征，并记录所得病毒的特征码，保存在病毒库中。这些特征码通常是从一种病毒代码中提取的连续的不含空格的字符串，并依次作为次类病毒的特征记录。6.4反病毒技术校验和计算，根据正常文件的信息（包括文件名称、大小、时间、日期及内容），计算其校验和，将校验和写入文件中或写入其他文件中保存。文件使用过程中，定期地或每次使用文件前，检查文件现有信息算出的校验和与原来保存的文件校验和是否一致，因而可以发现文件是否已被感染。校验和法既能发现已知病毒又能发现未知病毒，但是它不能识别病毒种类，而且对隐蔽性的病毒无效。另外病毒并非文件内容改变的唯一特征，所以校验检检测常常误报，而且此法会影响文件的运行速度。6.4反病毒技术行为检测，行为检测最近在国内外都大量的宣传，其实行为检测并不是什么新的技术。行为检测是利用病毒的特有行为特征检测病毒的方法，也称为人工智能陷阱。通过对病毒多年的观察、研究，研究者发现病毒有一些行为，是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了特征行为，理解报警或阻塞可疑程序。用于检测病毒的行为特征主要有以下几点：盗用截流系统中断、修改内存总量和内存控制块、对可执行文件做写入操作、写引导扇区或执行格式化磁盘等可疑动作、病毒程序与宿主程序切换、搜索API函数地址。6.4反病毒技术启发式扫描，源于人工智能技术，是基于给定的判断规则和定义的扫描技术，若发现被扫描程序中存在可疑的程序功能指令，则作出存在病毒的预警或判断。启发式代码分析扫描技术是传统的特征码扫描技术的改进。在特征码扫描技术的基础上，利用对病毒代码的分析，获得一些统计的、静态的启发知识，形成一种静态的启发式扫描分析技术。在具体实现上，启发式扫描技术是相当复杂的。通常这类病毒检测软件要能够识别并探测许多可疑程序代码指令序列，并按照安全和可疑的等级进行排序，根据病毒可能使用和具备的特点而授以不同的加权值。如果一个程序的加权值的总和超过一个事先定义的阀值，那么病毒检测程序就可以成称发现病毒。为了避免“狼来了”的误报行为，病毒检测程序常把多种可疑操作同时并发的情况定为发现病毒的报警标准。因此启发式扫描技术是一种概率方法。6.4反病毒技术虚拟机技术，是动态特征码扫描技术的关键，在与多态病毒进行对抗中发挥了巨大的作用。虚拟机（VirtualMachine）是一种软件仿真器或软件分析器，通过软件虚拟化、硬件虚拟化，让程序在一个虚拟/仿真环境中运行。当然现实杀毒软件引擎技术在处理病毒分析病毒的时候，并不仅仅是这几种方法，但是总得来说，如今杀毒软件仍然是以特征检测杀毒为主，行为启发式扫描检测技术为辅。6.4反病毒技术6.5计算机病毒发展的新技术计算机病毒的新特征计算机病毒将呈现新的发展趋势：在给我们带来很多方便和帮助的同时，互联网、局域网已经成为计算机病毒传播的主要途径；在与反病毒技术的斗争中，计算机病毒的变形速度和破坏力不断地提高；混合型病毒的出现令以前对计算机病毒的分类和定义逐步失去意义，也使反病毒工作更困难了；病毒的隐蔽性更强了，不知不觉中毒带来的后果更严重,人们使用最多的一些软件将成为计算机病毒的主要攻击对象。计算机病毒的广泛传播，推动了反病毒技术的发展。新的反病毒技术的出现，又迫使计算机病毒技术再次更新。两者相互激励，呈螺旋式上升，不断地提高各自的水平，在此过程中出现了许多计算机病毒新技术，其主要目的是为了使计算机病毒能够广泛地进行传播。一、计算机网络（互联网、局域网）成为计算机病毒的主要传播途径，使用计算机网络逐渐成为计算机病毒发作条件的共同点计算机病毒最早只通过文件拷贝传播，当时最常见的传播媒介是软盘和盗版光碟。随着计算机网络的发展，目前计算机病毒可通过计算机网络利用多种方式（电子邮件、网页、即时通讯软件等）进行传播。计算机网络的发展有助于计算机病毒的传播速度大大提高，感染的范围也越来越广。6.5计算机病毒发展的新技术二、计算机病毒变形（变种）的速度极快并向混合型、多样化发展三、运行方式和传播方式的隐蔽性四、利用操作系统漏洞传播操作系统是联系计算机用户和计算机系统的桥梁，也是计算机系统的核心，目前应用最为广泛的是WINDOWS系列的操作系统。五、计算机病毒技术与黑客技术将日益融合因为它们的最终目的是一样的：破坏。严格来说，木马和后门程序并不是计算机病毒，因为它们不能自我复制和扩散。但随着计算机病毒技术与黑客技术的发展，病毒编写者最终将会把这两种技术进行了融合。6.5计算机病毒发展的新技术六、物质利益将成为推动计算机病毒发展的最大动力从计算机病毒的发展史来看，对技术的兴趣和爱好是计算机病毒发展的源动力。但越来越多的迹象表明，物质利益将成为推动计算机病毒发展的最大动力。6.5计算机病毒发展的新技术6.6防杀网络病毒的软件随着网络的发展，网络病毒得以迅速传播，并且会不断有新的网络病毒出现。作为普通的计算机用户来说，最有效的防杀网络病毒的方法，就是使用防杀网络病毒软件。没有绝对完美的杀毒软件,杀毒性能上是国外的梢好些!稳定上国内的好!最近经常有网友发消息问我，到底哪个哪个杀毒软件最厉害，哪个杀毒软件售价最高？呵呵，诸如此类的问题老实说我也无法做出肯定的答复。我就随便谈一些我个人的见解。世界上公认的比较著名的杀毒软件有卡巴斯基，诺顿，趋势科技，熊猫，等等。其中卡巴，诺顿又被誉为世界三大杀毒软件！每个杀毒软件都有自身的优势，当然也有不足之处！卡巴斯基(Kaspersky)杀毒软件来源于俄罗斯，是世界上优秀的网络杀毒软件，查杀病毒性能较高。卡巴斯基杀毒软件具有较强的中心管理和杀毒能力；提供了各种类型的抗病毒防护解决方案：抗病毒扫描仪，监控器、行为阻段和完全检验。它支持几乎是所有的操作系统、E-mail通路和防火墙。卡巴斯基控制所有可能的病毒进入端口，它强大的功能和局部的灵活性