購物車(0)
計算機反病毒論文模板(10篇)
時間:2023-04-14 17:11:57
導言:作為寫作愛好者,不可錯過為您精心挑選的10篇計算機反病毒論文,它們將為您的寫作提供全新的視角,我們衷心期待您的閱讀,并希望這些內容能為您提供靈感和參考。
篇1
二、計算機病毒的基本類型
計算機的基本病毒包括:
1.蠕蟲病毒,該種病毒不僅會占據大量的系統內存還具有很強的破壞性,用戶一旦被此病毒侵入就會莫名其妙地進入死機狀態。
2.木馬程序,“木馬”這一詞匯源自古希臘,本意是藏于木馬身體內部的士兵。而在網絡上的木馬是指偽裝成惡意代碼的圖片、可執行文件以及網頁等,該種病毒是通過電子郵件對用戶進行傳染,用戶只要稍微大意一些就會感染該種病毒,感染了該種病毒若不及時清除就會導致程序無法正常進行,嚴重的還會導致系統癱瘓。
3.CIH病毒,該病毒的滲透力極強,中招的用戶不但會陷入癱瘓狀態還有可能硬件已經被損壞了一大半,其破壞力相當驚人。
4.宏病毒,這一類的病毒通常會借助office進行迅速的復制并傳播,這種病毒一般會比較隱秘地隱藏在對話框中,一旦被用戶點擊確認,就會一發不可收拾地進行擴散。
三、防范計算機病毒的措施
(一)提高防范計算機病毒的意識
首先不要隨意打開一些不明來歷的郵件以及它的附件,也不要隨意瀏覽一些非法的網頁和網站;從互聯網下載程序的時候,要先采取殺毒方式進行查殺,確定安全之后才可下載;無論是使用U盤或者是其他存儲工具,都要在使用之前進行殺毒。
(二)計算機的各種接口做好防范工作
在很多公共場所的計算機很容易被病毒侵入,比如實施教學的公共機房中,計算機就很容易被帶入病毒,因為學生會經常使用U盤拷貝資料,如果有些U盤本身已經攜帶了病毒而很多學生因為覺得麻煩而忽略病毒掃描工作,就會使計算機很容易感染到病毒。所以,在使用U盤的時候最好先進行病毒掃描,確定無病毒再進行使用才比較安全。
(三)經常升級安全補丁
曾有大量的數據顯示證明網絡病毒大部分是通過安全漏洞進行傳播的,所以用戶需要注意安全補丁的升級工作,養成及時更新和升級殺毒軟件的良好習慣,定期進行病毒的掃描工作,只有這樣,才能防患于未然。
(四)對中病毒的計算機要及時維修
在計算機中病毒之后,第一反應就是立刻掐斷網絡,以防被其他病毒侵入形成交叉感染,及時找專業的維修人員進行維修。如果用戶自己沒有把握能將其修好最好不要隨便動手,以避免對計算機的二次傷害并造成相關數據的丟失。
(五)安裝專業的殺毒軟件
目前計算機的種類越來越多,而且層出不窮。所以,比較理想的防殺方式是使用殺毒軟件。但是殺毒軟件如果不及時更新就會失去它應有的殺毒功能,因此要真正保證計算機的安全就必須經常更新和升級殺毒軟件的病毒庫,打開實時監控等。
(六)設置復雜的計算機密碼
計算機密碼最好選擇數字、字母以及各種符號交叉使用,越復雜的密碼安全性越高,比如可以交叉使用大小寫字母加數字。切忌使用個人的電話號碼或者生日等常用的數字做密碼,用此類的數字做密碼安全性極低。
篇2
①破壞性極大。在網絡環境下,計算機病毒結合其他技術對計算機進行入侵,造成的危害極大;
②傳染性強。對于計算機病毒而言,在網絡環境下,使其傳染的危害進一步擴大,這也是計算機病毒最麻煩的特性。而且,通常情況下,這類計算機病毒的復制能力非常快速,使得其傳播速度更快,感染范圍更廣。
2網絡環境下防范病毒的措施
2.1樹立良好的安全意識
在網絡環境下,要想安全的使用計算機,樹立良好的安全意識是一種最基本的防范要求。
2.2系統
、重要數據及時備份對于操作系統,要將其放置在硬盤的一個單獨分區內,與數據或者其他文件分區存放,并且做好系統和重要數據、文件等的備份,以便電腦在遭受病毒感染后能夠及時的恢復,降低病毒被入侵后的損失。
2.3設置用戶訪問權限
在不影響用戶正常工作的情況下,設置系統文件的訪問權限為最低限度,防止文件型病毒對系統的侵害。對于安裝在系統的程序,設置一定的管理權限才允許用戶查看,而且,對于許多常用軟件,分配一個臨時訪問程序的權限,這樣能大大降低病毒的入侵。
2.4主動修改注冊表
計算機病毒對系統進行攻擊時,一般需要一定的觸發條件。如果能夠成功阻止該條件,就能有效避免病毒程序的啟動。對于這類條件的阻止,最有效的方式就是主動修改注冊表。
篇3
2計算機病毒網絡傳播模型的穩定性及控制研究
計算機網絡的安全技術發展過程非常的清楚明了:計算機防火墻技術計算機病毒入侵檢測技術計算機安全防御技術。可以說,這個過程便是整個計算機病毒網絡控制的主要發展過程。一般來說,計算機病毒網絡防御的技術手段為以下幾種:檢驗病毒技術、行為檢測技術、預先掃描技術、特征代碼技術以及模擬軟件技術,其中應用最為廣泛的技術手段便是特征代碼技術。當前,該種技術是被人們普遍認同的可以用來檢測依然得知的計算機網絡病毒手段,并且操作簡單、成本費用低廉。事實上,生活中大多數人經常使用的計算機防毒軟件中的掃毒模式便是將所有計算機病毒的代碼進行分析歸類,然后依次將其特征全部搜集匯總到計算機病毒代碼的資料庫當中。在計算機病毒掃描軟件開始工作時,便會將計算機內所有的程序與系統和病毒資料庫中的特征一一進行比對,一旦發現相互吻合的內容,便會判定該系統亦或者是程序已然被病毒所入侵。經過上述假定計算機病毒網絡模型的實驗中,也可以發現模型當中的病毒其傳播非常依賴to的取值。在實際情況中,通過主動性的計算及防御以及病毒查殺來提高計算機網絡的安全性能及穩定性能,從而有效的將計算機網絡中的病毒傳播率控制到最低,是最為有效的方式手段。而這一種方式對于計算機網絡管理人員而言,并不是難以實現的事情。
篇4
隨著計算機在社會生活各個領域的廣泛運用,計算機病毒攻擊與防范技術也在不斷拓展。據報道,世界各國遭受計算機病毒感染和攻擊的事件數以億計,嚴重地干擾了正常的人類社會生活,給計算機網絡和系統帶來了巨大的潛在威脅和破壞。與此同時,病毒技術在戰爭領域也曾廣泛的運用,在海灣戰爭、近期的科索沃戰爭中,雙方都曾利用計算機病毒向敵方發起攻擊,破壞對方的計算機網絡和武器控制系統,達到了一定的政治目的與軍事目的。可以預見,隨著計算機、網絡運用的不斷普及、深入,防范計算機病毒將越來越受到各國的高度重視。
一、計算機病毒的內涵、類型及特點
計算機病毒是一組通過復制自身來感染其它軟件的程序。當程序運行時,嵌入的病毒也隨之運行并感染其它程序。一些病毒不帶有惡意攻擊性編碼,但更多的病毒攜帶毒碼,一旦被事先設定好的環境激發,即可感染和破壞。自80年代莫里斯編制的第一個“蠕蟲”病毒程序至今,世界上已出現了多種不同類型的病毒。在最近幾年,又產生了以下幾種主要病毒:
(1)“美麗殺手”(Melissa)病毒。這種病毒是專門針對微軟電子郵件服務器MSExchange和電子郵件收發軟件0ut1ookExpress的Word宏病毒,是一種拒絕服務的攻擊型病毒,能夠影響計算機運行微軟word97、word2000和0utlook。這種病毒是一種Word文檔附件,由E-mall攜帶傳播擴散。由于這種病毒能夠自我復制,一旦用戶打開這個附件,“美麗殺手”病毒就會使用0ut1ook按收件人的0ut1ook地址簿向前50名收件人自動復制發送,從而過載E-mai1服務器或使之損壞。“美麗殺手”病毒的擴散速度之快可達幾何級數,據計算,如果“美麗殺手”病毒能夠按照理論上的速度傳播,只需要繁殖5次就可以讓全世界所有的網絡用戶都都收到一份。“美麗殺手”病毒的最令人恐怖之處還不僅是拒絕電子郵件服務器,而是使用戶的非常敏感和核心的機密信息在不經意間通過電子郵件的反復傳播和擴散而被泄漏出去,連擴散到了什么地方可能都不得而知。據外電報道,在北約對南聯盟發動的戰爭行動中,證實“美麗殺手”病毒己使5萬部電腦主機和幾十萬部電腦陷于癱瘓而無法工作,網絡被空數據包阻塞,迫使許多用戶關機避災。
(2)“怕怕”(Papa)病毒。“怕怕”病毒是另一種Excel宏病毒,它能夠繞開網絡管理人員設置的保護措施進入計算機。這種病毒與“美麗殺手”病毒相類似,其區別在于“怕怕”病毒不但能象“美麗殺手”病毒一樣迅速傳播,拒絕服務和阻塞網絡,而且更為嚴重的是它能使整個網絡癱瘓,使被它感染的文件所具有的宏病毒預警功能喪失作用。
(3)“瘋牛”(MadCow)和“怕怕B”病毒。這兩種病毒分別是“美麗殺手”和“怕怕”病毒的新的變型病毒。正當美國緊急動員起來對付3月26日發現的“美麗殺手”和“怕怕”病毒時,在歐洲又出現了它們的新變種“美麗殺手B”(又叫作“瘋牛”)和“怕怕B”,目前正橫掃歐洲大陸,造成大規模破壞,而且還正在向全世界擴散蔓延。雖然這兩種病毒變種的病毒代碼不同,可能不是一個人所編寫,但是,它們同樣也是通過發送Word和Excel文件而傳播。每次被激活后,這種病毒就會向用戶電子郵件簿的前60個地址發送垃圾郵件;它還可以向一個外部網站發送網絡請求,占用大量的帶寬而阻滯網絡的工作,其危害性比原型病毒有過之而無不及。
(4)“幸福1999”宏病毒。這是一種比“美麗殺手”的破壞作用小得多的病毒。“幸福1999”病毒會改變計算機中的微軟公司Windows程序與Internet網工作。這種病毒還發送一個執行文件,激活焰火顯示,使屏幕碎裂。
(5)“咻咻”(Ping)轟擊病毒。“咻咻”轟擊病毒的英文單詞是“分組Internet搜索者”的縮寫,指的是將一個分組信息發送到服務器并等待其響應的過程,這是用戶用以確定一個系統是否在Internet網上運行的一種方法。據外電報道,運用“咻咻”(Ping)轟擊病毒,發送大量的“咻咻”空數據包,使服務器過載,不能對其它用戶作出響應。
歸納起來,計算機病毒有以下特點:一是攻擊隱蔽性強。病毒可以無聲無息地感染計算機系統而不被察覺,待發現時,往往已造成嚴重后果。二是繁殖能力強。電腦一旦染毒,可以很快“發病”。目前的三維病毒還會產生很多變種。三是傳染途徑廣。可通過軟盤、有線和無線網絡、硬件設備等多渠道自動侵入計算機中,并不斷蔓延。四是潛伏期長。病毒可以長期潛伏在計算機系統而不發作,待滿足一定條件后,就激發破壞。五是破壞力大。計算機病毒一旦發作,輕則干擾系統的正常運行,重則破壞磁盤數據、刪除文件,導致整個計算機系統的癱瘓。六是針對性強。計算機病毒的效能可以準確地加以設計,滿足不同環境和時機的要求。
二、計算機病毒的技術分析
長期以來,人們設計計算機的目標主要是追求信息處理功能的提高和生產成本的降低,而對于安全問題則重視不夠。計算機系統的各個組成部分,接口界面,各個層次的相互轉換,都存在著不少漏洞和薄弱環節。硬件設什缺乏整體安全性考慮,軟件方面也更易存在隱患和潛在威脅。對計算機系統的測試,目前尚缺乏自動化檢測工具和系統軟件的完整檢驗手段,計算機系統的脆弱性,為計算機病毒的產生和傳播提供了可乘之機;全球萬維網(www)使“地球一村化”,為計算機病毒創造了實施的空間;新的計算機技術在電子系統中不斷應用,為計算機病毒的實現提供了客觀條件。國外專家認為,分布式數字處理、可重編程嵌入計算機、網絡化通信、計算機標準化、軟件標準化、標準的信息格式、標準的數據鏈路等都使得計算機病毒侵入成為可能。
實施計算機病毒入侵的核心技術是解決病毒的有效注入。其攻擊目標是對方的各種系統,以及從計算機主機到各式各樣的傳感器、網橋等,以使他們的計算機在關鍵時刻受到誘騙或崩潰,無法發揮作用。從國外技術研究現狀來看,病毒注入方法主要有以下幾種:
1.無線電方式。主要是通過無線電把病毒碼發射到對方電子系統中。此方式是計算機病毒注入的最佳方式,同時技術難度也最大。可能的途徑有:①直接向對方電子系統的無線電接收器或設備發射,使接收器對其進行處理并把病毒傳染到目標機上。②冒充合法無線傳輸數據。根據得到的或使用標準的無線電傳輸協議和數據格式,發射病毒碼,使之能夠混在合法傳輸信號中,進入接收器,進而進人信息網絡。③尋找對方信息系統保護最差的地方進行病毒注放。通過對方未保護的數據鏈路,將病毒傳染到被保護的鏈路或目標中。
2.“固化”式方法。即把病毒事先存放在硬件(如芯片)和軟件中,然后把此硬件和軟件直接或間接交付給對方,使病毒直接傳染給對方電子系統,在需要時將其激活,達到攻擊目的。這種攻擊方法十分隱蔽,即使芯片或組件被徹底檢查,也很難保證其沒有其他特殊功能。目前,我國很多計算機組件依賴進口,困此,很容易受到芯片的攻擊。
3.后門攻擊方式。后門,是計算機安全系統中的一個小洞,由軟件設計師或維護人發明,允許知道其存在的人繞過正常安全防護措施進入系統。攻擊后門的形式有許多種,如控制電磁脈沖可將病毒注入目標系統。計算機入侵者就常通過后門進行攻擊,如目前普遍使用的WINDOWS98,就存在這樣的后門。
4.數據控制鏈侵入方式。隨著因特網技術的廣泛應用,使計算機病毒通過計算機系統的數據控制鏈侵入成為可能。使用遠程修改技術,可以很容易地改變數據控制鏈的正常路徑。
除上述方式外,還可通過其他多種方式注入病毒。
三、對計算機病毒攻擊的防范的對策和方法
1.建立有效的計算機病毒防護體系。有效的計算機病毒防護體系應包括多個防護層。一是訪問控制層;二是病毒檢測層;三是病毒遏制層;四是病毒清除層;五是系統恢復層;六是應急計劃層。上述六層計算機防護體系,須有有效的硬件和軟件技術的支持,如安全設計及規范操作。
2.嚴把收硬件安全關。國家的機密信息系統所用設備和系列產品,應建立自己的生產企業,實現計算機的國產化、系列化;對引進的計算機系統要在進行安全性檢查后才能啟用,以預防和限制計算機病毒伺機入侵。
篇5
隨著計算機在社會生活各個領域的廣泛運用,計算機病毒攻擊與防范技術也在不斷拓展。據報道,世界各國遭受計算機病毒感染和攻擊的事件屢屢發生,嚴重地干擾了正常的人類社會生活,給計算機網絡和系統帶來了巨大的潛在威脅和破壞。最近幾年,出現了許多危害極大的郵件型病毒,如“LOVEYOU”病毒、“庫爾尼科娃”病毒、“Homepage”病毒以及“求職信”病毒等,這些病毒主要是利用電子郵件作為傳播途徑,而且一般都是選擇MicrosoftOutlook侵入,利用Outlook的可編程特性完成發作和破壞。因此,防范計算機病毒已經越來越受到世界各國的高度重視。
計算機病毒是人為編制的具有破壞性的計算機程序軟件,它能自我復制并破壞其它軟件的指令,從而擾亂、改變或銷毀用戶存貯在計算機中的信息,造成無法挽回的損失。通過采取技術上和管理上的措施,計算機病毒是完全可以防范的。只要在思想上有反病毒的警惕性,依靠使用反病毒技術和管理措施,新病毒就無法逾越計算機安全保護屏障,從而不能廣泛傳播。
計算機網絡中最主要的軟硬件實體就是服務器和工作站,所以防治計算機網絡病毒應該首先考慮這兩個部分,另外加強綜合治理也很重要。下面就從三個方面談談計算機病毒的防范措施:
一、基于工作站的防治技術
工作站就像是計算機網絡的大門。只有把好這道大門,才能有效防止病毒的侵入。工作站防治病毒的方法有三種:一是軟件防治,即定期不定期地用反病毒軟件檢測工作站的病毒感染情況。軟件防治可以不斷提高防治能力,但需人為地經常去啟動軟盤防病毒軟件,因而不僅給工作人員增加了負擔,而且很有可能在病毒發作后才能檢測到。二是在工作站上插防病毒卡。防病毒卡可以達到實時檢測的目的,但防病毒卡的升級不方便,從實際應用的效果看,對工作站的運行速度有一定的影響。三是在網絡接口卡上安裝防病毒芯片。它將工作站存取控制與病毒防護合二為一,可以更加實時有效地保護工作站及通向服務器的橋梁。但這種方法同樣也存在芯片上的軟件版本升級不便的問題,而且對網絡的傳輸速度也會產生一定的影響。
下載防病毒軟件要到知名度高、信譽良好的站點,通常這些站點軟件比較安全。不要過于相信和隨便運行別人給的軟件。要經常檢查自己的系統文件,注冊表、端口等,多注意安全方面的信息,再者就是改掉Windows關于隱藏文件擴展名的默認設置,這樣可以讓我們看清楚文件真正的擴展名。當前許多反病毒軟件都具有查殺“木馬”或“后門”程序的功能,但仍需更新和采用先進的防病毒軟件。如果突然發現自己的計算機硬盤莫名其妙的工作,或者在沒有打開任何連接的情況下Modem還在“眨眼睛”就立刻斷開網絡連接,進行木馬的搜索。
二、基于服務器的防治技術
網絡服務器是計算機網絡的中心,是網絡的支柱。網絡癱瘓的—個重要標志就是網絡服務器癱瘓。網絡服務器—旦被擊垮,造成的損失是災難性的、難以挽回和無法估量。目前基于服務器的防治病毒的方法大都采用防病毒可裝載模塊(NLM),以提供實時掃描病毒的能力。有時也結合利用在服務器上的插防毒卡等技術,目的在于保護服務器不受病毒的攻擊,從而切斷病毒進一步傳播的途徑。
郵件病毒主要是通過電子郵件進行傳染的,而且大多通過附件夾帶,了解了這一點,對于該類病毒的防范就比較明確和容易:
第一,不要輕易打開陌生人來信中的附件,尤其是一些EXE類的可執行文件。
第二,對于比較熟悉的朋友發來的郵件,如果其信中帶有附件卻未在正文中說明,也不要輕易打開附件,因為它的系統也許已經染毒。
第三,不要盲目轉發郵件。給別人發送程序文件甚至電子賀卡時,可先在自己的電腦中試一試,確認沒有問題后再發,以免無意中成為病毒的傳播者。
第四,如果收到主題為“ILOVEYOU”的郵件后立即刪除,更不要打開附件。
第五,隨時注意反病毒警報,及時更新殺毒軟件的病毒代碼庫。從技術手段上,可安裝具有監測郵件系統的反病毒實時監控程序,隨時監測系統行為,如使用最新版本的殺毒實時軟件來查殺該附件中的文件。超級秘書網
三、加強計算機網絡的管理
計算機網絡病毒的防治,單純依靠技術手段是不可能十分有效地杜絕和防止其蔓延的,只有把技術手段和管理機制緊密結合起來,提高人們的防范意識,才有可能從根本上保護網絡系統的安全運行。目前在網絡病毒防治技術方面,基本處于被動防御的地位,但管理上應該積極主動。應從硬件設備及軟件系統的使用、維護、管理、服務等各個環節制定出嚴格的規章制度、對網絡系統的管理員及用戶加強法制教育和職業道德教育,規范工作程序和操作規程,嚴懲從事非法活動的集體和個人。盡可能采用行之有效的新技術、新手段,建立”防殺結合、以防為主、以殺為輔、軟硬互補、標本兼治”的最佳網絡病毒安全模式。必須采取有效的管理措施和技術手段,防止病毒的感染和破壞,力爭將損失降到最小。
計算機病毒在形式上越來越難以辨別,造成的危害也日益嚴重,這就要求網絡防毒產品在技術上更先進,功能上更全面。從目前病毒的演化趨勢來看,網絡防病毒產品的發展趨勢主要體現在以下幾個方面:一是反黑與殺毒相結合;二是從入口攔截病毒;三是提供全面解決方案;四是客戶化定制模式;五是防病毒產品技術由區域化向國際化轉變。
隨著計算機網絡、數字技術及互聯網技術的發展,計算機病毒的危害更是與日俱增。因此,加強計算機病毒的防治、確保計算機信息安全是當前計算機應用過程中的一項重要、迫切的研究課題。我們一方面要掌握對現在的計算機病毒的防范措施,切實抓好病毒防治工作;另一方面要加強對未來病毒發展趨勢的研究,探討新時期科學防治計算機病毒的新策略,真正做到防患于未然。
篇6
?
隨著計算機在社會生活各個領域的廣泛運用,計算機病毒攻擊與防范技術也在不斷拓展。據報道,世界各國遭受計算機病毒感染和攻擊的事件屢屢發生,嚴重地干擾了正常的人類社會生活,給計算機網絡和系統帶來了巨大的潛在威脅和破壞。最近幾年,出現了許多危害極大的郵件型病毒,如“LOVEYOU”病毒、“庫爾尼科娃”病毒、“Homepage”病毒以及“求職信”病毒等,這些病毒主要是利用電子郵件作為傳播途徑,而且一般都是選擇Microsoft Outlook侵入,利用Outlook的可編程特性完成發作和破壞。因此,防范計算機病毒已經越來越受到世界各國的高度重視。?
計算機病毒是人為編制的具有破壞性的計算機程序軟件,它能自我復制并破壞其它軟件的指令,從而擾亂、改變或銷毀用戶存貯在計算機中的信息,造成無法挽回的損失。通過采取技術上和管理上的措施,計算機病毒是完全可以防范的。只要在思想上有反病毒的警惕性,依靠使用反病毒技術和管理措施,新病毒就無法逾越計算機安全保護屏障,從而不能廣泛傳播。?
計算機網絡中最主要的軟硬件實體就是服務器和工作站,所以防治計算機網絡病毒應該首先考慮這兩個部分,另外加強綜合治理也很重要。下面就從三個方面談談計算機病毒的防范措施:?
一、基于工作站的防治技術?
工作站就像是計算機網絡的大門。只有把好這道大門,才能有效防止病毒的侵入。工作站防治病毒的方法有三種:一是軟件防治,即定期不定期地用反病毒軟件檢測工作站的病毒感染情況。軟件防治可以不斷提高防治能力,但需人為地經常去啟動軟盤防病毒軟件,因而不僅給工作人員增加了負擔,而且很有可能在病毒發作后才能檢測到。二是在工作站上插防病毒卡。防病毒卡可以達到實時檢測的目的,但防病毒卡的升級不方便,從實際應用的效果看,對工作站的運行速度有一定的影響。三是在網絡接口卡上安裝防病毒芯片。它將工作站存取控制與病毒防護合二為一,可以更加實時有效地保護工作站及通向服務器的橋梁。但這種方法同樣也存在芯片上的軟件版本升級不便的問題,而且對網絡的傳輸速度也會產生一定的影響。?
下載防病毒軟件要到知名度高、信譽良好的站點,通常這些站點軟件比較安全。不要過于相信和隨便運行別人給的軟件。要經常檢查自己的系統文件,注冊表、端口等,多注意安全方面的信息,再者就是改掉Windows 關于隱藏文件擴展名的默認設置,這樣可以讓我們看清楚文件真正的擴展名。當前許多反病毒軟件都具有查殺“木馬”或“后門”程序的功能,但仍需更新和采用先進的防病毒軟件。如果突然發現自己的計算機硬盤莫名其妙的工作,或者在沒有打開任何連接的情況下Modem 還在“眨眼睛”就立刻斷開網絡連接,進行木馬的搜索。?
二、基于服務器的防治技術?
網絡服務器是計算機網絡的中心,是網絡的支柱。網絡癱瘓的—個重要標志就是網絡服務器癱瘓。網絡服務器—旦被擊垮,造成的損失是災難性的、難以挽回和無法估量。目前基于服務器的防治病毒的方法大都采用防病毒可裝載模塊(NLM),以提供實時掃描病毒的能力。有時也結合利用在服務器上的插防毒卡等技術,目的在于保護服務器不受病毒的攻擊,從而切斷病毒進一步傳播的途徑。?
郵件病毒主要是通過電子郵件進行傳染的,而且大多通過附件夾帶,了解了這一點,對于該類病毒的防范就比較明確和容易:?
第一,不要輕易打開陌生人來信中的附件,尤其是一些EXE 類的可執行文件。?
第二,對于比較熟悉的朋友發來的郵件,如果其信中帶有附件卻未在正文中說明,也不要輕易打開附件,因為它的系統也許已經染毒。?
第三,不要盲目轉發郵件。給別人發送程序文件甚至電子賀卡時,可先在自己的電腦中試一試,確認沒有問題后再發,以免無意中成為病毒的傳播者。?
第四,如果收到主題為“I LOVE YOU”的郵件后立即刪除,更不要打開附件。?
第五,隨時注意反病毒警報,及時更新殺毒軟件的病毒代碼庫。從技術手段上,可安裝具有監測郵件系統的反病毒實時監控程序,隨時監測系統行為,如使用最新版本的殺毒實時軟件來查殺該附件中的文件。?
三、加強計算機網絡的管理?
計算機網絡病毒的防治,單純依靠技術手段是不可能十分有效地杜絕和防止其蔓延的,只有把技術手段和管理機制緊密結合起來,提高人們的防范意識,才有可能從根本上保護網絡系統的安全運行。目前在網絡病毒防治技術方面,基本處于被動防御的地位,但管理上應該積極主動。應從硬件設備及軟件系統的使用、維護、管理、服務等各個環節制定出嚴格的規章制度、對網絡系統的管理員及用戶加強法制教育和職業道德教育,規范工作程序和操作規程,嚴懲從事非法活動的集體和個人。盡可能采用行之有效的新技術、新手段,建立”防殺結合、以防為主、以殺為輔、軟硬互補、標本兼治”的最佳網絡病毒安全模式。必須采取有效的管理措施和技術手段,防止病毒的感染和破壞,力爭將損失降到最小。?
計算機病毒在形式上越來越難以辨別,造成的危害也日益嚴重,這就要求網絡防毒產品在技術上更先進,功能上更全面。從目前病毒的演化趨勢來看,網絡防病毒產品的發展趨勢主要體現在以下幾個方面:一是反黑與殺毒相結合;二是從入口攔截病毒;三是提供全面解決方案;四是客戶化定制模式;五是防病毒產品技術由區域化向國際化轉變。?
隨著計算機網絡、數字技術及互聯網技術的發展,計算機病毒的危害更是與日俱增。因此,加強計算機病毒的防治、確保計算機信息安全是當前計算機應用過程中的一項重要、迫切的研究課題。我們一方面要掌握對現在的計算機病毒的防范措施,切實抓好病毒防治工作;另一方面要加強對未來病毒發展趨勢的研究,探討新時期科學防治計算機病毒的新策略,真正做到防患于未然。??
篇7
計算機網絡是信息社會的基礎,已經進入了社會的各個角落,經濟、文化、軍事和社會生活越來越多的依賴計算機網絡。然而,計算機在給人們帶來巨大便利的同時,也帶來了不可忽視的問題,計算機病毒給網絡系統的安全運行帶來了極大的挑戰。2003年1月25日,突如其來的“蠕蟲王”病毒,在互聯網世界制造了類似于“9.11”的恐怖襲擊事件,很多國本論文由整理提供家的互聯網也受到了嚴重影響。同樣,前兩年的“熊貓燒香”病毒再次為計算機網絡安全敲起了警鐘。那么,面對網絡世界的威脅,人類總在試圖尋找各種方面來進行克服和攻關。入侵檢測技術作為解決計算機病毒危害的方法之一,對其進行研究就成為可能。
2計算機病毒的發展趨勢
計算機病毒的花樣不斷翻新,編程手段越來越高,防不勝防。特別是Internet的廣泛應用,促進了病毒的空前活躍,網絡蠕蟲病毒傳播更快更廣,Windows病毒更加復雜,帶有黑客性質的病毒和特洛依木馬等有害代碼大量涌現。據《中華人民共和國工業和信息化部信息安全協調司》計算機病毒檢測周報(2009.3.29—2009.4.4)公布的消息稱:“木馬”及變種、“木馬下載者”及變種、“灰鴿子”及變種、“U盤殺手”及變種、網游大盜“及變種等病毒及變種對計算機安全網絡的安全運行構成了威脅。對計算機病毒及變種的了解可以使我們站在一定的高度上對變種病毒有一個較清楚的認識,以便今后針對其采取強而有效的措施進行診治。變種病毒可以說是病毒發展的趨向,也就是說:病毒主要朝著能對抗反病毒手段和有目的的方向發展。
3計算機病毒檢測的基本技術
3.1計算機病毒入侵檢測技術。計算機病毒檢測技術作為計算機病毒檢測的方法技術之一,它是一種利用入侵者留下的痕跡等信息來有效地發現來自外部或者內部的非法入侵技術。它以探測與控制為技術本質,起著主動防御的作用,是計算機網絡安全中較重要的內容。
3.2智能引擎技術。智能引擎技術發展了特征代碼掃描法的優點,同時也對其弊端進行了改進,對病毒的變形變種有著非常準確本論文由整理提供的智能識別功能,而且病毒掃描速度并不會隨著病毒庫的增大而減慢。
3.3嵌入式殺毒技術。嵌入式殺毒技術是對病毒經常攻擊的應用程序或者對象提供重點保護的技術,它利用操作系統或者應用程序提供的內部接口來實現。它能對使用頻率高、使用范圍廣的主要的應用軟件提供被動式的保護。
3.4未知病毒查殺技術。未知病毒查殺技術是繼虛擬執行技術后的又一大技術突破,它結合了虛擬技術和人工智能技術,實現了對未知病毒的準確查殺。
4計算機病毒檢測技術的發展現狀
目前,國外一些研究機構已經研發出了應用于不同操作系統的幾種典型的計算機病毒檢測技術。這些計算機病毒檢測技術基本上是基于服務器、網絡以及變種病毒的。基于服務器的入侵檢測技術采用服務器操作系統的檢測序列作為主要輸入源來檢測侵入行為,而大多數基于計算機變種病毒的檢測技術則以預防和消除計算機病毒作為終結目標的。早期的計算機病毒檢測技術主要用來預防和消除傳統的計算機病毒;然而,為了更好地應對計算機病毒的花樣不斷翻新,編程手段越來越高的形勢,最新的計算機病毒檢測方法技術更多地集中用于預防和消除計算機變種病毒,打好計算機病毒對抗與反對抗的攻堅戰。
總之,由于計算機病毒的變種更新速度加快,表現形式也更加復雜,那么計算機病毒檢測技術在計算機網絡安全運行防護中所起的作用就顯得至關重要,因此受到了廣泛的重視。相信隨著計算機病毒檢測技術的不斷改進和提高,將會有更加安全可靠的計算機病毒檢測技術問世,更好維護網絡安全,造福于全世界。
5計算機病毒檢測方法技術的作用
計算機病毒檢測技術本論文由整理提供在計算機網絡安全防護中起著至關重要的作用,主要有:①堵塞計算機病毒的傳播途徑,嚴防計算機病毒的侵害;②計算機病毒的可以對計算機數據和文件安全構成威脅,那么計算機病毒檢測技術可以保護計算機數據和文件安全;③可以在一定程度上打擊病毒制造者的猖獗違法行為;④最新病毒檢測方法技術的問世為以后更好應對多變的計算機病毒奠定了方法技術基礎。
雖然,計算機病毒檢測技術的作用很大,但并不能完全防止計算機病毒的攻擊,我們必須提高警惕,充分發揮主觀能動性。因此,加強IT行業從業人員的職業道德教育、加快完善計算機病毒防止方面的法律法規、加強國際交流與合作同樣顯得刻不容緩。也許只有這樣計算機計算機病毒檢測技術才能更好發揮作用,我們才能更好防止日益變化和復雜的計算機病毒的攻擊。超級秘書網
6結語
隨著計算機網絡技術的不斷發展,計算機給人類經濟、文化、軍事和社會活動帶來更多便利的同時,也帶來了相當巨大的安全挑戰。現代信息網絡面臨著各種各樣的安全威脅,有來自網絡外面的攻擊,比如網絡黑客、計算機病毒及變種等。因此合理有效的計算機病毒檢測技術是防治計算機病毒最有效,最經濟省力,也是最應該值得重視本論文由整理提供的問題。研究計算機病毒檢測技術有利于我們更好地防止計算機病毒的攻擊,有利于我們更好地維護計算機網絡世界的安全,使得計算機網絡真正發揮其積極的作用,促進人類經濟、文化、軍事和社會活動的健康。
參考文獻:
[1]卓新建,鄭康鋒,辛陽.《計算機病毒原理與防治》,北京郵電大學出版社,2007年8月第二版.
[2]郝文化.《防黑反毒技術指南》,機械工業出版社,2004年1月第一版.
[3]程勝利,談冉,熊文龍等.《計算機病毒與其防治技術》,清華大學出版社,2004年9月第一版.
[4]張仁斌,李鋼,侯.《計算機病毒與反病毒技術》.清華大學出版社,2006年6月.
[5]傅建明,彭國軍,張煥國.《計算機病毒與對抗》.武漢大學出版社,2004年版.
篇8
計算機病毒一直是計算機用戶和安全專家的心腹大患,雖然計算機反病毒技術不斷更新和發展,但是仍然不能改變被動滯后的局面。計算機病毒一般都具有潛伏傳染激發破壞等多種機制,但其傳染機制反映了病毒程序最本質的特征,離開傳染機制,就不能稱其為病毒。因此,監控和及時發現計算機病毒的傳染行為,是病毒制造者和安全專家的爭奪焦點。目前主流的操作系統是Windows操作系統,利用windows操作系統中存在的漏洞和系統程序接口,病毒可輕易獲取控制權,感染硬盤上的文件,并進行破壞。因此計算機病毒入侵途徑和防治研究顯得尤為重要。
病毒要在Windows操作系統上實現其感染目的是要獲得系統的控制權,而感染可執行文件時取得控制權的最好途徑。在WINDOWS NT/XP/2000/98/95等系統下,可執行文件和動態鏈接庫均采用的是PE文件格式。只有透徹研究了PE的文件格式,才能了解病毒如何寄生在文件中,才能有的放矢的采取對策以檢測和制止病毒的入侵。在各種病毒中,又以PE病毒數目最大,傳播最廣,破壞力最強,分析PE病毒有非常重要的意義。因此本文將重點介紹PE病毒的入侵途徑和防治措施。
一、PE病毒
1.PE病毒的定義
一個正常的程序感染后,當你啟動這個程序的時候,它通常會先執行一段病毒代碼,然后自身運行,這樣病毒就悄無聲息的運行起來,然后再去感染其他PE文件,這就是PE病毒的行為。
2.PE病毒的特征
(1)具有感染性。該類病毒通過感染普通PE.EXE文件并把自己的代碼加到EXE文件的尾部,修改原程序的入口點以指向病毒體,病毒本身沒有什么危害,但是被感染的文件可能被破壞而不能正常運行。
(2)潛伏性。指病毒依附于其他文件而存在,即通過修改其他程序而把自身的復制品嵌入到其他程序中。
(3)可觸發性。即在一定的條件下激活這類病毒的感染機制使之進行感染。
(4)破壞性。病毒一旦感染其他文件,病毒本身沒什么危害,但是會導致被感染的文件丟失數據或被破壞而不能正常運行。
3.PE文件格式
在PE文件格式中有一個重要的概念相對偏移量(RAV),RAV是虛擬空間中某句代碼到參考點的一段距離。例如,如果PE文件裝入虛擬地址(VA)空間的400000h處,且進程從虛擬401000h開始執行,就可以說進程執行起始地址在RVA1000h。PE文件格式用到RVA的原因是為了減少PE裝載器的負擔,因為每個模塊都有可能被重載到任何虛擬地址空間。
PE文件格式被組織為一個線性的數據流,他由一個MS-DOS頭部開始,接著是實模擬程序殘余以及一個PE文件標識,之后緊接著PE文件頭和可選頭部。這些之后是所有的段頭部,斷頭不之后跟隨者所有的段實體。文件的結束處事一些其它的區域,其中是一些混雜的信息,包括重分配信息、符號表信息、行號表信息以及字符串數據。如圖:
(1)MS-DOS頭部、實模式頭部
如上所述,PE文件格式的第一個組成部分是MS-DOS頭部。保留這個相同的結構的最主要原因是:當在WINDOWS3.1一下或MS-DOS2.0以上的系統下裝在一個文件的時候,操作系統能夠讀取這個文件并明白是和當前系統不相兼容的。
它的第一域e_magic,被稱為魔術數字,它被用于表示一個MS-DOS兼容的文件類型。所有MS-DOS兼容的可執行文件都將這個值設為0x5A4D,表示ASCII字符MZ。MS-DOS頭部之所以有的時候被稱為MZ頭部,就是這個緣故。還有許多其它的域對于MS-DOS操作系統來說都有用,但是對于WINDOWS NT來說,PE結構中只有一個有用的域—最后一個域e_lfnew,一個4字節的文件偏移量,PE文件頭部就是由它定位的。對于WINDOWS NT的PE文件來說,PE文件頭部是緊跟在MS-DOS頭部和實模式程序殘余之后的。
(2)實模式殘余程序
實模式殘余程序是一個轉載時能夠被MS-DOS運行的實際程序。對于一個MS-DOS的可執行映像文件,應用程序就是從這里執行的。對于WINDOWS、OS/2、WINDOWS NT這些操作系統來說,MS-DOS殘余程序就代替了主程序的位置被放在這里。這種殘余程序通常什么也不做,而只是輸出一行文本,例如:“This program requires Microsoft Windows v3.1 or greater.”
當為WINDOWS 3.1構建一個應用程序的時候,鏈接器將向你的可執行文件中鏈接一個名為WINSTUB.EXE的默認殘余程序。你可以用于一個基于MS-DOS的有效程序取代WINSTUB,并且用STUB模塊定義語句指示器,這樣就能夠取代鏈接器的默認行為。為WINDOWS NT開發的應用程序可以通過使用-STUB:連接器選項來實現。
(3)PE頭部
該頭部的結構如下:
{
DWORO Signature;
IMAGE_FILE_HEADER FileHeader;
IMAGE_OPTIONAL_HEADER OptionalHeader;
}IMAGE_NT_HEADERS,*PIMAGE_NT_HEADERS;
它包括三個域:第一個域是固定的格式“PE\0\0”,用來標示PE文件;第二個域包括:PE文件頭部、結構體IMAGE_FILE_HEADER,該結構體有20個字節,它具體的定義如下:
Typedef struct_IMAGE_DOS_HEADER
{
USHORT Machine;//指定運行平臺
USHORT NumberOfSections;//文件的節表(Section)數目
ULONG TimeDateStamp;//文件創建日期和時間
ULONG PointerToSymbolTable;//用于調試
ULONG NumberOfSymbols;//用于調試
USHORT SizeOfOptionalHeader;//指示緊隨本結構之后的OtionalHeader 結構大小,必須有效值
USHORT Characteristics;//關于文件信息的標記,比如文件時exe還是dll
}IMAGE_FILE_HEADER,*PIMAGE_FILE_HEADER;
第三個域:PE可選頭部,結構體IMAGE_FILE_HEADER。雖說是可選,但還是必不可少的,它包含了很多信息,如可執行映像的重要信息,例如初始的堆棧大小、程序入口點的位置、首選地址、操作系統版本、段對的信息等等。這個結構體分為兩塊:第一塊是標準域,適合UNIX可執行文件的COFF格式共有的部分。達爾快為Windows NT特定的進程行為提供了裝載器的支持。
二、PE病毒入侵
1.PE病毒入侵的原理分析
Windows PE病毒同時也是所有病毒中數量極多,破壞性極大,技巧性最強的一類病毒。它們一般采用嵌入宿主程序的方式來進行傳染,利用PE文件中的空隙或增加一節方法棲身于PE文件中,并將程序入口點指向病毒代碼,當文件執行時首先執行該病毒,然后執行宿主程序,其原理與DOS下病毒大同小異,但具體實現方法有許多創新。PE病毒入侵文件時用到的基本技術主要有以下幾方面:
(1)病毒的重定位
在正常程序中,變量在編譯時它在內存的位置就都被計算好了,裝入內存后,不用程序員重定位,直接引用就可以了。但病毒程序中,因感染宿主程序的位置不同,各個變量在內存中的位置自然也不同。為了引用這些變量,病毒必須自己重定位。CALL是一條函數調用指令也可以當成是跳轉指令。它可以調到目的地址繼續執行,執行完畢后會返回到主程序繼續執行。當CALL執行時CPU首先把要返回的地址(即嚇一條指令的地址)壓入堆棧然后跳到目的地址執行。可以看出在跳轉之后只要執行一條POP指令或MOV ESP,[ESP]就可以得到嚇一跳指令在內存中的實際位置。
(2)獲取API函數地址
windows PE病毒就無法象普通PE程序那樣直接調用相關API函數,而應該先找出這些API函數在相應動態鏈接庫中的地址。對于這類病毒來說,通常是通過已知API函數序列號或僅知API函數名稱來查找API函數地址。
①已知API函數序列號查找入口地址
a.定位到PE文件頭。
b.從PE文件頭中的可選文件頭中取出數據目錄表的第一個數據目錄,得到導出表的地址。
c.從導出表的Base字段取得起始序號。
d.將需要查找的導出序號減去起始序號,得到函數在入口地址表中的索引。
e.檢查索引值是否大于等于導出表中的函數個數。如果大于的話,說明輸入的序號無效。
f.用該索引值在AddressOfFunctions字段指向的導出函數入口地址表中取出相應的項目,這就是函數的入口地址RVA值,當函數被裝入內存后,這個RVA值加上模塊實際裝入的基址(ImageBase),就得到了函數真正的入口地址。
②從函數名稱查找入口地址
a.定位到PE文件頭。
b.從PE文件頭中的可選文件頭中取出數據目錄表的第一個數據目錄,得到導出表的地址。
c.從導出表的NumberOfNames字段得到以命名函數的總數,并以這個數字做微循環的次數來構造一個循環。
d.從AddressOfNames字段指向的函數名稱地址表的第一項開始,在循環中將每一項定義的函數名與要查找的函數名比較,如果沒有任何一個函數名符合,說明文件中沒有指定名稱的函數。
e.如果某一項定義的函數名與要查找的函數名符合,那么記住這個函數名在字符串地址表中的索引值(如x),然后在AddressOfNameOrdinals指向的數組中以同樣的索引值x去找數組項中的值,假如該值為m。
f.以m值作為索引值,在AddressOfFunctions字段指向的函數入口地址表中獲取的RVA就是函數的入口地址,當函數被裝入內存后,這個RVA值加上模塊實際裝入的基址(ImageBase),就得到了函數真正的入口地址。
(3)文件搜索
文件搜索算法(文件搜索一般采用遞歸算法進行搜索):
FindFile Proc
①指定找到的目錄為當前工作目錄
②開始搜索文件(*.*)
③該目錄搜索完畢?是則返回,否則繼續
④找到文件還是目錄?是目錄則調用自身函數FindFile,否則繼續
⑤是文件,如符合感染條件,則調用感染模塊,否則繼續
⑥搜索下一個文件(FindNextFile),轉到③繼續
FindFile Endp
(4)內存映射文件
在計算機病毒中,使用內存映射文件讀寫文件, 通常采用如下幾個步驟:
①調用CreateFile函數打開想要映射的HOST程序,返回文件句柄hFile。
②調用CreateFileMapping函數生成一個建立基于HOST文件句柄hFile的內存映射對象,返回內存映射對象句柄hMap。
③調用MapViewOfFile函數將整個文件(一般還要加上病毒體的大小)映射到內存中。得到指向映射到內存的第一個字節的指針(pMem)。
④用剛才得到的指針pMem對整個HOST文件進行操作,對HOST程序進行病毒感染。
⑤調用UnmapViewFile函數解除文件映射,傳入參數是pMem
⑥調用CloseHandle來關閉內存映射文件,傳入參數是hMap。
⑦調用CloseHandle來關閉HOST文件,傳入參數是hFile。
2.PE病毒入侵的路徑分析
(1)PE病毒入侵過程
PE病毒常見的感染其他文件的方法是在文件中添加一個新節,然后往該新節中添加病毒代碼和病毒執行后的返回Host程序的代碼,并修改文件頭中代碼開始執行位置(AddressOfEntryPoint)指向新添加的病毒節的代碼入口,以便程序運行后先執行病毒代碼。下面我們具體感染過程如圖所示:
(2)下面以CIH病毒為例具體分析病毒感染過程:
CIH病毒屬于文件型病毒,主要感染Windows PE可執行文件。由于CIH病毒使用了VxD技術使得這種病毒在Windows環境下傳播,其實施性和隱蔽性都特別強,使用一般反病毒軟件很難發現這種病毒在系統中傳播。
感染了CIH病毒的程序被執行時,CIH首先使用了SIDT取得中斷描述符表基地址,然后將INT3的入口地址改為指向CIH病毒自身的INT3程序入口。接著CIH自己產生一條INT3指令,這樣CIH病毒就可以獲得最高級別的CPU使用權限。接下來,CIH將判斷DR0寄存器的值是否為0,如果不是則表明計算機已被CIH病毒感染,自己則正常退出;如果DR0寄存器的值為0,就表明沒有CIH病毒駐留內存,這時CIH病毒首先會將當前EBX寄存器的值賦給DR0寄存器,作上駐留標記,然后調用INT20,使用VxD call page ALLocate系統調用,向系統申請內存空間來駐留,當申請成功后,CIH病毒就從被感染的文件中將其病毒代碼組合起來,放到申請的內存空間中。隨后CIH病毒再次調用INT3進入CIH病毒體的INT3入口程序,接著調用INT20,調用一個IFSMgr_Install File System ApiHook 子程序,目的是借助文件系統處理函數來截取系統文件,調用操作。完成這個工作之后,Windows 98/95默認的IFSMgr_Ringo_ FileI0服務程序的入口地址將被CIH病毒保留,以便它的調用。
這樣CIH病毒就完成了引導工作,駐留在內存中,開始監視系統的文件調用操作。一旦系統出現要求調用文件CIH就首先截獲被調用的文件。然后判斷該文件是否為PE格式的EXE 文件,如果是就將自身拆成幾段,插入到該文件的空域中,然后修改PE格式文件的文件頭中的文件映像執行參數,使其首先指向病毒體;如果不是就將調用轉接給Windows 98/95的IFSMgr_I0服務程序。
(CIH病毒感染流程圖)
三、PE病毒的清除和防治
1.PE病毒的清除
清除PE病毒不光是去除病毒程序,或使病毒程序不能進行,還要盡可能恢復系統或文件本來面目,以將損失減少至最低程度。清除PE病毒的過程其實可以看作病毒感染宿主程序的逆過程,只要搞清楚病毒的感染機理,清除病毒其實是很容易的。事實上每一種病毒,甚至是每一個病毒的變種,它們的清除方式可能都是不一樣的,所有清除病毒時,一定要針對具體的病毒來進行。下面仍以CIH病毒為例分析PE文件病毒手工清除過程。
例:文件感染CIH 病毒的手工消除
(1)準備工作
準備工作主要有兩步,一是獲得對可執行文件瀏覽全部代碼的文本,二是打印一份感染CIH病毒后的完整的文件頭數據樣本。
(2)恢復文件頭數據及清除病毒代碼
①文件感染標志值55H
②EIP相對值
③入口表
④病毒代碼組合表
⑤病毒代碼文件頭部分
⑥病毒代碼各個分塊部分
(3)寫入正常文件代碼
以上工作完成后,一份正常的文件數據已經在內存中生成了,最后用下述指令存盤保存:
W 0100
這樣,EXCHNG32.DAT就是消除CIH感染影響后的正常文件了,再刪除掉原來的可執行文件EXCHNG32.EXE,將EXCHNG32.DAT重命名為EXCHNG32.EXE即可。
盡管每種病毒的清除方法有區別,但是都要遵循病毒清除的基本流程。
(清除病毒的基本流程)
2.PE病毒的防御
(1)PE病毒防御框架的提出
在深入了解WINDOWS PE 文件結構與其中的重要數據和重點分析 PE文件病毒傳軟、破壞所使用的各種技術后,可以看出病毒應用各種技術可以輕而易舉的將自己插入到正常的PE 文件中,當觸發條件滿足后,便開始破壞行為。目前,較為流行的各種殺毒軟件,主要是防御病毒的破壞行為,而對病毒的傳播卻重視不足。即使能夠攔截一部分病毒傳播,但是,當病毒使用變形技術后,這種攔截就無能為力了。
設想如果在PE病毒傳播時期就將其拒之于系統之外,那么系統的安全性和穩定性將大大提高。針對PE文件病毒而言,在其感染階段,不讓其插入到正常的PE文件中,使其失去寄存空間,在配合一定的殺毒技術,就能對該類病毒實施防御了。
在此基礎上本論文提出 PE文件病毒的防御框架,如圖:
(2)PE文件型病毒的預防
凡是PE文件型病毒,都要尋找一個可執行文件的宿主,當可執行文件被感染時,其表現癥狀為文件長度增加或文件頭部信息被修改、文件目錄表中信息被修改、文件長度不變而內部信息被修改等。
針對這種癥狀提出一種預防PE文件型的方法。在源程序中增加自檢及清除病毒的功能。這種方法的優點是可執行文件從生成起,就有抗病毒的能力,從而可以保證可執行文件的干凈。自檢清除功能部分和可執行文件的其他部分融為一體,不會和程序的其他功能才沖突,也是病毒制造者無法造出針對性的病毒。可執行文件染不上病毒,PE文件型病毒就無法傳播了。
預防PE文件型病毒方法的核心就是使可執行文件具有自檢功能,在被加載時檢測本身的幾項指標——文件長度、文件頭部信息、文件內部抽樣信息、文件目錄表中有關信息。其實現的過程是在使用匯編語言或其他高級語言時,先把上述有關的信息定義為若干大小固定的幾個變量,給每個變量先賦一個值,待匯編或編譯之后,根據可執行文件中的有關信息,把源程序中的有關變量進行修改,再重新匯編或編譯,就得到了所需的可執行文件。
本文以CIH 病毒為例介紹病毒的防治措施。
①查解壓文件病毒和實時監控病毒的反病毒軟件,并正確使用反病毒軟件的各項功能,特別是實時反病毒功能。
②所有的反病毒軟件都能夠檢查和清除CIH病毒,如果用戶 在Windows環境下清除CIH病毒失敗,可以用干凈的DOS盤引導系統,再用DOS版的反病毒軟件清除CIH病毒。
③算機進行分區,把重要的數據存放在D盤以后的分區中,當計算機被CIH病毒破壞以后,反病毒軟件獨有的修復功能可以修復被CIH病毒破壞的硬盤分區表,找回硬盤上的數據。
④范于未然,對重要的數據進行備份,不使用來歷不明的軟件和光盤,養成使用計算機的良好習慣,同時在每月的26日CIH病毒的發作時間前,提前修改時間。
⑤給計算機進行終身的CIH日病毒免疫。利用CIH病毒傳染前檢查“感染標記”的特征,運用先進的編程技術,可以“克隆”CIH病毒的“感染標記”,這樣一來用戶就可以利用反病毒軟件的這個功能,使計算機永久性的不會被CIH病毒感染。
(3)一種預防PE文件病毒感染的方法
基于上述的分析研究,本文提出一種預防PE文件病毒的感染的方法。本方法主要是利用了TOOLS7.0中的數據監控(Data Monitor)功能。
首先啟動PCTOOLS7.0,選擇運行數據監控功能,根據屏幕顯示,選擇運行寫保護后,在根據屏幕提示,按“L”鍵,選擇運行此功能。然后按“S”鍵選擇“System Areas(系統區域)”,這時系統確認對硬盤的系統區如硬盤分區表、FAT表、和BOOT區等實行寫保護。按“F”鍵,選擇“File Listed Below”。此時系統對屏幕所示的“Include”表中的各類文件實行寫保護。然后可以按“Tab”鍵,分別激活“Include”和“Exclude”表,根據自己實際工作需要,選擇增加對哪些類別的文件實行寫保護,對哪些類別的文件不實行寫保護。系統默認類別是擴展名為.EXE、.COM、.DLL和擴展名前兩位為OV的文件。以上操作完成以后,就可以退出系統,結束操作了。
以上的操作完成了最初的設置,并激活了寫保護功能。在以后的使用中如果要激活本功能,只要在自動批處理文件中加入一條命令:
DATAMON/WRITE+>NUL
這樣,只要我們啟動微機,系統將自動激活數據監控功能,并對硬盤系統區中的各種數據和用戶選擇的各類文件實行寫保護。當我們一旦運行感染病毒的軟件時,由于激活的數據監控功能能監控所有讀寫操作,因此當病毒要對硬盤的系統區進行改寫或對.EXE和.COM文件進行刪除和寫操作是hi,系統將立即發出警報聲,并在屏幕上警告用戶。讓用戶從屏幕中選擇是否中斷操作、繼續執行還是取消報警后繼續執行。從而使我們能夠及時發現病毒,并采取相應的措施。這樣就有效的防止了PE文件病毒的感染、擴散及破壞,做到了真正的“防毒”。
四、總結
PE文件病毒是感染Windows系統可執行文件最基本的病毒,了解其工作原理,對防護計算機病毒的能力具有重要的作用。
本論文分成三個部分,首先分析PE病毒的定義和PE文件格式,了解PE病毒的感染機理是通過嵌入其他文件體,當用戶執行文件的時候,會先執行病毒代碼,然后再去感染其他PE文件,使被感染文件被破壞。其次,本文重點分析了PE病毒的入侵途徑,每一個PE病毒的入侵都離不開病毒的重定位、獲取API函數地址、文件搜索、使用內存映射文件讀寫文件這幾個過程,又以CIH病毒為例具體分析病毒入侵的過程。最后,在了解PE病毒的感染機理的基礎上,提出清除病毒的方法和防御病毒的措施,防御病毒的核心是在病毒感染文件之前將之拒之門外。可以配合一定的殺毒軟件,是病毒徹底失去寄存的空間,達到安全防治的目的。
參考文獻:
[1]卓新建,鄭康鋒,辛陽.計算機病毒原理與防治.北京郵電大學出版社,2007
[2]郝文化防黑反毒技術指南.機械工業出版社,2004
[3]程勝利,談冉,熊文龍.計算機病毒與其防治技術.清華大學出版社,2004
篇9
0引言
辦公自動化系統(oas)是辦公業務中采用intemet/intranet技術,基于工作流的概念,使企業內部人員方便快捷地共享信息,高效地協同工作,實現迅速、全方位的信息采集、信息處理,為企業的管理和決策提供科學的依據。一個企業實現辦公自動化的程度是衡量其現代化管理水平的標準。oas從最初的以大規模采用復印機等辦公設備為標志的初級階段,發展到今天的以運用網絡和計算機為標志的階段,oas對企業辦公方式的改變和效率的提高起到了積極的促進作用。近年來,辦公自動化系統都是架設在網絡之上的,它是一個企業與外界聯系的渠道,企業的imranet最終都會接人internet,這種接人一方面方便了企業信息、共享資源、對外交流和提高辦事效率,另一方面也帶來了來自外部網絡的各種安全威脅。
1辦公自動化系統存在的安全晚息
隨著internet的迅速發展,如何保證信息和網絡的自身安全性問題,尤其是在開放互聯環境中進行商務等機密信息的交換時,如何保證信息存取中不被竊取篡改,已成為企業非常關注的問題。在國際上,計算機犯罪案件正在以幾何級數增長。計算機犯罪是一種高技術型犯罪,由于婦汀日罪的隱蔽侄,因川,寸辦公自動化系統安全構成了很大的威脅。
目前,辦公自動化系統的安全隱患主要存在以下幾個方面:
假冒內網的ip地址登錄內網竊取信息;軟件系統自身的問題:利用網絡傳輸協議或操作系統的漏洞攻擊網絡;獲得網絡的超級管理員權限,竊取信息或破壞系統;在傳輸鏈路上截取信息,或者進人系統進行物理破壞;病毒破壞,計算機病毒是一種人為制造的,在計算機運行中對計算機信息或者系統起破壞作用的程序。它通常隱蔽在其它程序或者文件中,按照病毒設計者設定的條件引發,從而對系統或信息起到破壞作用;黑客人侵;防范技術落后,網絡安全管理不力,管理人員混亂,權限混亂等等。
2系統安全的防范
針對目前系統安全的上述問題,在辦公自動化系統安全上提出下面幾類主要的防范方法。
2.1加強機房管理
對目前大多數辦公自動化系統來說,存在的一個很大的不安全因素是網絡管理員的權力太大,據有關資料報道,80%的計算機犯罪來自內部,所以對機房工作人員要做好選擇和日常考察,妾采取一定的手段來限制或者削弱網絡管理員的權力,對機房工作人員,要結合機房、硬件、軟件、數據和網絡等各個方面的安全問題,進行安全教育,提高工作人員的保密觀念和責任心;要加強業務、技術等方面的定期培訓,提高管理人員的技術水平。
2.2設里訪問控制
訪問控制是保證網絡安全最重要的策略之一。訪問控制策略包括人網訪問控制策略、操作權限控制策略等幾個方面的內容。首先,網絡管理員應該對用戶賬戶的使用、用戶訪問網絡的時間和方式進行控制和限制。用戶賬戶應只有網絡管理員才能建立,用戶口令是用戶訪問網絡所必須提交的準人證。針對用戶登錄時多次輸人口令不正確的情況,系統應按照非法用戶人人口令的次數給予給出報警信息,同時應該能夠對允許用戶輸其次,用戶名和口令通過驗證之后,系統需要進一步對用戶賬戶的默認權限進行檢查。最后,針對用戶和用戶組賦予一定的操作權限。網絡管理員能夠通過設置,指定用戶和用戶組可以訪問網絡中的哪些資源,可以在服務器上進行何種類型的操作。網絡管理員要根據訪問權限將用戶分為特殊用戶、普通用戶和審計用戶等等。
2.3數據加密
主要針對辦公自動化系統中的數據進行加密。它是通過網絡中的加密系統,把各種原始的數據信息(明文)按照某種特定的加密算法變換成與明文完全不同的數據信息(密文)的過程。目前常用的數據加密技術主要分為數據傳輸加密和數據存儲加密。數據傳輸加密主要是對傳輸中的數據流進行加密,常用的有鏈路加密、節點加密和端到端加密三種方式。鏈路加密對用戶來說比較容易實現,使用的密鑰較少,而端到端加密比較靈活,對用戶可見,在對鏈路加密中各節點安全狀況不放心的情況下也可使用端到端加密方式。數據存儲加密主要就是針對系統數據庫中存儲的數據本身進行加密,這樣即使數據不幸泄露或者丟失,也難以被人破譯。數據存儲加密的關鍵是選擇一個好的加密算法。
2.4建立工作日志
對所有合法登錄用戶的操作情況進行跟蹤記錄;對非法用戶,要求系統能夠自動記錄其登錄次數,時間,ip地址等信息,以便網絡管理員能夠根據日志信息監控系統使用狀態,并針對惡意行為采取相應的措施。
2.5加強郵件安全
在眾多的通信工具中,電子郵件以其方便、快捷的特點已成了廣大網絡用戶的首選。然而這也給網絡安全帶來了很大的隱患,目前垃圾郵件數量巨大、郵件病毒防不勝防,而關于郵件泄密的報道更是層出不窮。面對電子郵件存在的巨大安全隱患,可以采取如下的防御措施:
1)加強防御,一般用戶會經常忽略使用電郵安全的基本常識,因此教育用戶一些常識是非常有必須的。例如,勿開啟來自未知寄件者的附件;勿點選不熟悉來源的任何內容;封鎖陌生人的實時訊息等。
2)對郵件進行加密,由于越來越多的人通過電子郵件進行重要的商務活動和發送機密信息,因此保證郵件的真實性和不被其他人截取和偷閱也變得日趨重要。據調查,74%郵件泄密是因為郵件中的機密信息未做任何加密措施引起的。因此,郵件加密是一種比較有效的、針對郵件內容的安全防范措施,采取先進的加密算法可以有效地保障數據的安全。
3)反垃圾郵件,垃圾郵件經常與病毒有關,因此用戶需要反垃圾郵件和反病毒保護。垃圾郵件中的鏈接經常指向包含惡意軟件的網站,而且病毒經常通過電子郵件傳播。大大減輕郵件病毒肆虐的方法是使用反病毒軟件,例如只使用提供自動病毒保護功能的電子郵箱,只打開來源可信的電子郵件,或在打開郵件附件之前用反病毒軟件進行掃描等等。
2.6設置網絡防火墻
通過安裝并啟用網絡防火墻,可以有效地建立起計算機與外界不安全因素的第一道屏障,做到實時監控網路中的數據流,保護本地計算機不被病毒或者黑客人侵。
2.7保護傳輸線路安全
篇10
(一)按傳染方式分類。按傳染方式分類可分為引導型病毒、文件型病毒和混合型病毒3種。引導型病毒主要是感染磁盤的引導區,系統從包含了病毒的磁盤啟動時傳播,它一般不對磁盤文件進行感染;文件型病毒一般只傳染磁盤上可以執行文件(COM、EXE),其特點是附著于正常程序文件,成為程序文件的一個外殼或部件;混合型病毒則兼有以上兩種病毒的特點,既感染引導區又感染文件,因此擴大了這種病毒的傳染途徑。
(二)按連接方式分類。接連接方式分類可分為源碼型病毒、入侵型病毒和操作系統型病毒等3種。其中源碼型病毒主要攻擊高級語言編寫的源程序,它會將自己插入到系統源程序中,并隨源程序一起編譯,連接成可執行文件,從而導致剛剛生成的可執行文件直接帶毒;入侵型病毒用自身代替部分加入或替代操作系統的部門功能,危害性較大。
(三)按程序運行平臺分類。病毒按程序運行平臺可分為DOS病毒,Windows病毒,WindowsNT病毒,OS/2病毒等,它們分別是發作于DOS,Windows9X,WindowsNT,OS/2等操作系統平臺上的病毒。
(四)新型病毒。部分新型病毒由于其獨特性而暫時無法按照前面的類型進行分類,如宏病毒(使用某個應用程序自帶的宏編程語言編寫的病毒)、黑客軟件、電子郵件病毒等。
二、計算機病毒的危害
我們勞動保障部門正常辦公用的計算機里都保存大量的文檔、業務資料、公文、檔案等重要數據和信息資料,如果被病毒破壞,被黑客盜取或篡改,就會造成數據信息丟失,甚至泄密,嚴懲影響正常辦公的順利進行。計算機感染病毒以后,輕則運行速度明顯變慢,頻繁死機,重則文件被刪除,硬盤分區表被破壞,甚至硬盤被非法格式化,更甚者還會造成計算機硬件損壞,很難修復。有很多的網頁上含有惡意代碼病毒,用誘人的網頁名稱吸引人們訪問他們的網頁,然后修改訪問者計算機IE瀏覽器的主頁設置為他們的網頁,較為惡劣的還會放置木馬程序到訪問者計算機的系統文件里,隨系統的啟動一起加載,造成主頁很難修改回來,更為惡劣的是修改操作系統注冊表并注銷造成注冊表無法修改。還有病毒智能化程序相當高,感染以后殺掉防殺病毒程序的進程,造成殺毒軟件失效,感染的方式也由早期的被動感染到今天的主動感染。
三、計算機病毒的防護
在我們正常的工作中,怎樣才能減少和避免計算機病毒的感染與危害呢?在平時的計算機使用中只要注意做到以下幾個方面,就會大大減少病毒感染的機會。
(一)建立良好的安全習慣。例如:對一些來歷不明的郵件及附件不要打開,并盡快刪除,不要上一些不太了解的網站,尤其是那些誘人名稱的網頁,更不要輕易打開,不要執行從Internet下載后未經殺毒處理的軟件等,這些必要的習慣會使您的計算機更安全。
(二)關閉或刪除系統中不需要的服務。默認情況下,許多操作系統會安裝一些輔助服務,如FTP客戶端、Telner和Web服務器。這些服務為攻擊者提供了方便,而又對用戶沒有太大用處,如果刪除他們,就能大大減少被攻擊的可能性。
(三)經常升級操作系統的安全補丁。據統計,有80%的網絡病毒是通過系統安全漏洞進行傳播的,像紅色代碼、尼姆達、沖擊波等病毒,所以應該定期到微軟網站去下載最新的安全補丁,以防患于未然。
(四)使用復雜的密碼。有許多網絡病毒就是通過猜測簡單密碼的方式攻擊系統的。因此使用復雜的密碼,將會大大提高計算機的安全系數。
(五)迅速隔離受感染的計算機。當您的計算機發現病毒或異常時應立即中斷網絡,然后盡快采取有效的查殺病毒措施,以防止計算機受到更多的感染,或者成為傳播源感染其他計算機。
(六)安裝專業的防病毒軟件進行全面監控。在病毒日益增多的今天,使用殺毒軟件進行防殺病毒,是簡單有效并且是越來越經濟的選擇。用戶在安裝了反病毒軟件后,應該經常升級至最新版本,并定期查殺計算機。將殺毒軟件的各種防病毒監控始終打開(如郵件監控和網頁監控等),可以很好地保障計算機的安全。
