《计算机网络安全基础(经典实用)》由会员分享,可在线阅读,更多相关《计算机网络安全基础(经典实用)(42页珍藏版)》请在金锄头文库上搜索。
1、计 算 机病 毒 的 防 治,计算机网络安全基础,计算机病毒的防治,主要内容: 1计算机病毒及分类 2计算机病毒的传播 3计算机病毒的特点及破坏行为 4宏病毒及网络病毒 5 病毒的预防、检查和清除 6 病毒防御解决方案,计算机网络安全基础,一. 计算机病毒及分类,1.什么是计算机病毒? 2.计算机病毒可分为下列几类。 (1)文件病毒。 (2)引导扇区病毒。 (3)多裂变病毒。 (4)秘密病毒。 (5)异形病毒。 (6)宏病毒。,计算机网络安全基础,2 计算机病毒的传播,2.1 计算机病毒的由来 计算机病毒是由计算机黑客们编写的,这些人想证明它们能编写出不但可以干扰和摧毁计算机,而且能将破坏传播
2、到其它系统的程序。 2.2 计算机病毒的传播 2.3 计算机病毒的工作方式 一般来说,病毒的工作方式与病毒所能表现出来的特性或功能是紧密相关的。病毒能表现出的几种特性或功能有:感染、变异、触发、破坏以及高级功能(如隐身和多态)。,计算机网络安全基础,2 计算机病毒的传播,1感染 (1)引导扇区病毒,引导扇区是大部分系统启动或引导指令所保存的地方,而且对所有的磁盘来讲,不管是否可以引导,都有一个引导扇区。感染的主要方式就是发生在计算机通过已被感染的引导盘(常见的如一个软盘)引导时发生的。,计算机网络安全基础,2 计算机病毒的传播,(2)文件型病毒 文件型病毒与引导扇区病毒最大的不同之处是,它攻击
3、磁盘上的文件。它将自己依附在可执行的文件(通常是.com和.exe)中,并等待程序的运行。这种病毒会感染其它的文件,而它自己却驻留在内存中。当该病毒完成了它的工作后,其宿主程序才被运行,使人看起来仿佛一切都很正常。,计算机网络安全基础,2 计算机病毒的传播,2变异 变异又称变种,这是病毒为逃避病毒扫描和其它反病毒软件的检测,以达到逃避检测的一种“功能”。 变异是病毒可以创建类似于自己,但又不同于自身“品种”的一种技术,它使病毒扫描程序难以检测。有的变异程序能够将普通的病毒转换成多态的病毒。 3触发 不少计算机病毒为了能在合适的时候从事它的见不得人的勾当,往往需要预先设置一些触发的条件,并使之先
4、置于未触发状态。如以时间、程序运行了次数和在文件病毒被复制到不同的系统上多少次之后作为触发条件。,计算机网络安全基础,2 计算机病毒的传播,4破坏 破坏,是大多数人所提心吊胆的。破坏的形式是多种多样的,从无害到毁灭性的。破坏的方式总的来说可以归纳如下列几种:修改数据、破坏文件系统、删除系统上的文件、视觉和听觉效果。 5高级功能病毒 计算机病毒经过几代的发展,在功能方面日趋高级,它们尽可能地逃避检测,有的甚至被设计成能够躲开病毒扫描和反病毒软件。隐身病毒和多态病毒就属于这一类。 多态病毒的最大特点能变异成不同的品种,每个新的病毒都与上一代有一些差别,每个新病毒都各不相同。,计算机网络安全基础,3
5、 计算机病毒的特点及破坏行为,3.1 计算机病毒的特点 根据对计算机病毒的产生、传染和破坏行为的分析,总结出病毒有以下几个主要特点。 1刻意编写人为破坏 2自我复制能力 3夺取系统控制权 4隐蔽性 5潜伏性 6不可预见性,计算机网络安全基础,3 计算机病毒的特点及破坏行为,3.2 计算机病毒的破坏行为 (1)攻击系统数据区。 (2)攻击文件。 (3)攻击内存。 (4)干扰系统运行,使运行速度下 (5)干扰键盘、喇叭或屏幕。 (6)攻击CMOS。 (7)干扰打印机。 (8)网络病毒破坏网络系统,非法使用网络资源,破坏电子邮件,发送垃圾信息,占用网络带宽等。,计算机网络安全基础,4 宏病毒及网络病
6、毒,4.1 宏病毒 所谓宏,就是软件设计者为了在使用软件工作时,避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法,把常用的动作写成宏,当再工作时,就可以直接利用事先写好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作。在Word中对宏定义为“宏就是能组织到一起作为一独立的命令使用的一系列Word命令,它能使日常工作变得更容易。”Word宏是使用Word Basic语言来编写的。,计算机网络安全基础,4 宏病毒及网络病毒,1宏病毒的行为和特征 所谓“宏病毒”,就是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。宏病毒是一种新形态的计算机病毒,也是一种跨平台式计算机病
7、毒,可以在Windows 9X、Windows NT、OS/2和Macintosh System 7等操作系统上执行病毒行为。 (1)宏病毒行为机制 Word模式定义出一种文件格式,将文档资料以及该文档所需要的宏混在一起放在后缀为.doc的文件之中,这种作法已经不同于以往的软件将资料和宏分开存储的方法。这种宏是文档资料,而文档资料的携带性极高,如果宏随着文档而被分派到不同的工作平台,只要能被执行,它也就类似于计算机病毒的传染过程。,计算机网络安全基础,(2)宏病毒特征 宏病毒会感染.doc文档和.dot模板文件。 宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时,激活宏病毒。病毒宏将
8、自身复制到Word通用(Normal)模板中,以后在打开或关闭文件时宏病毒就会把病毒复制到该文件中。 多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏,通过这些自动宏病毒取得文档(模板)操作权。 宏病毒中总是含有对文档读写操作的宏命令。 宏病毒在.doc文档、.dot模板中以.BFF(Binary )格式存放,这是一种加密压缩格式,不同Word版本格式可能不兼容。,4 宏病毒及网络病毒,计算机网络安全基础,4 宏病毒及网络病毒,2宏病毒的防治和清除方法 (1)使用选项“提示保存Normal模板” (2)不要通过Shift键来禁止运行自动宏 (3)查看
9、宏代码并删除 (4)使用DisableAutoMacros宏 (5)使用Word 97的报警设置 (6)设置Normal.dot的只读属性 (7)Normal.dot的密码保护,计算机网络安全基础,4 宏病毒及网络病毒,4.2 网络病毒 1网络病毒的特点 计算机网络的主要特点是资源共享。一旦共享资源感染病毒,网络各结点间信息的频繁传输会把病毒传染到所共享的机器上,从而形成多种共享资源的交叉感染。病毒的迅速传播、再生、发作将造成比单机病毒更大的危害。对于金融等系统的敏感数据,一旦遭到破坏,后果就不堪设想。因此,网络环境下病毒的防治就显得更加重要了。 病毒入侵网络的主要途径是通过工作站传播到服务器
10、硬盘,再由服务器的共享目录传播到其它工作站。,计算机网络安全基础,4 宏病毒及网络病毒,2病毒在网络上的传播与表现 大多数公司使用局域网文件服务器,用户直接从文件服务器复制已感染的文件。用户在工作站上执行一个带毒操作文件,这种病毒就会感染网络上其它可执行文件。用户在工作站上执行带毒内存驻留文件,当访问服务器上的可执行文件时进行感染。 文件病毒可以通过因特网毫无困难地发送,而可执行文件病毒不能通过因特网在远程站点感染文件。此时因特网是文件病毒的载体。 引导病毒在网络服务器上的表现:如果网络服务器计算机是从一块感染的软盘上引导的,那么网络服务器就可能被引导病毒感染。,计算机网络安全基础,4 宏病毒
11、及网络病毒,3专攻网络的GPI病毒 4电子邮件病毒 电子邮件系统的一个特点是不同的邮件系统使用不同的格式存储文件和文档,传统的杀毒软件对检测此类格式的文件无能为力。另外,通常用户并不能访问邮件数据库,因为它们往往在远程服务器上。对电子邮件系统进行病毒防护可从以下几个方面着手。 (1)使用优秀的防毒软件对电子邮件进行专门的保护 (2)使用防毒软件同时保护客户机和服务器 (3)使用特定的SMTP杀毒软件,计算机网络安全基础,5 病毒的预防、检查和清除,5.1 病毒的预防 通过采取技术上和管理上的措施,计算机病毒是完全可以防范的。虽然新出现的病毒可采用更隐蔽的手段,利用现有DOS系统安全防护机制的漏
12、洞,以及反病毒防御技术上尚存在的缺陷,使病毒能够一时得以在某一台PC机上存活并进行某种破坏,但是只要在思想上有反病毒的警惕性,依靠使用反病毒技术和管理措施,这新病毒就无法逾越计算机安全保护屏障,从而不能广泛传播。,计算机网络安全基础,5 病毒的预防、检查和清除,(1)对新购置的计算机系统用检测病毒软件检查已知病毒,用人工检测方法检查未知病毒。 (2)新购置的硬盘或出厂时已格式化好的软盘可能有病毒。对硬盘可以进行检测或进行低级格式化,因为对硬盘只做DOS的Format格式化是不能去除主引导区(分区表扇区)病毒的。 (3)新购置的计算机软件也要进行病毒检测。 (4)在保证硬盘无病毒的情况下,能用硬
13、盘引导启动的,尽量不要用软盘去启动。 (5)很多PC机可以通过设置CMOS参数,使启动时直接从硬盘引导启动 。,计算机网络安全基础,5 病毒的预防、检查和清除,(6)定期与不定期地进行磁盘文件备份工作。 (7)对于软盘,要尽可能将数据和程序分别存放,装程序的软盘要进行写保护。 (8)在别人的机器上使用过自己的已打开了写保护的软盘,再在自己的机器上使用,就应进行病毒检测。 (9)应保留一张写保护的、无病毒的并带有各种命令文件的系统启动软盘,用于清除病毒和维护系统。 (10)用Bootsafe等实用程序或用Debug编程提取分区表等方法做好分区表、DOS引导扇区等的备份工作,在进行系统维护和修复工
14、作时可作为参考。,计算机网络安全基础,5 病毒的预防、检查和清除,(11)对于多人共用一台计算机的环境,应建立登记上机制度,做到使问题能尽早发现,有病毒能及时追查、清除,不致扩散。 (12)启动Novell网或其它网络的服务器时,一定要坚持用硬盘引导启动,否则在受到引导扇区型病毒感染和破坏后,遭受损失的将不是一个人的机器,而会影响到连接整个网络的中枢。 (13)在网络服务器安装生成时,应将整个文件系统划分成多文件卷系统,而不是只划分成不区分系统、应用程序和用户独占的单卷文件系统。,计算机网络安全基础,5 病毒的预防、检查和清除,(14)安装服务器时应保证没有病毒存在,即安装环境不能带病毒,而网
15、络操作系统本身不感染病毒。 (15)网络系统管理员应将SYS系统卷设置成对其它用户为只读状态,屏蔽其它网络用户对系统卷除读取以外的其它所有操作,如修改、改名、删除、创建文件和写文件等操作权限。 (16)在应用程序卷安装共享软件时,应由系统管理员进行,或由系统管理员临时授权进行。 (17)系统管理员对网络内的共享电子邮件系统、共享存储区域和用户卷进行病毒扫描,发现异常情况应及时处理,不使其扩散。,计算机网络安全基础,5 病毒的预防、检查和清除,(18)系统管理员的口令应严格管理,为了防止泄漏,要定期或不定期地进行更换,保护网络系统不被非法存取、感染上病毒或遭受破坏。 (19)在网络工作站上采取必
16、要的抗病毒技术措施,可使网络用户一开机就有一个良好的上机环境,不必再担心来自网络内和网络工作站本身病毒。 (20)在服务器上安装Lan Protect等防病毒系统。实践表明,这些简单易行的措施是非常有效的。,计算机网络安全基础,5 病毒的预防、检查和清除,作为应急措施,网络系统管理员应牢记下列几条。 (1)在因特网中,由于不可能有百分之百的把握来阻止某些未来可能出现的计算机病毒的传染,因此,当出现病毒传染迹象时,应立即隔离被感染的系统和网络并进行处理。不应让系统带病毒继续工作下去,要按照特别情况查清整个网络,使病毒无法反复出现来干扰工作。 (2)由于计算机病毒在网络中传播得非常迅速,很多用户不知应如何处理。因此,应立即请求专家的帮助 (3)注意观察下列现象: 文件的大小和日期是否变化; 系统启动速度是否比平时慢; 不做写操作时出现“磁盘有写保护”信息;,计算机网络安全基础,5 病毒的预防、检查和清除,对贴有写保护的软盘操作时声音很大; 系统运行速度异常慢; 用MI检查内存发现不该驻留的程序已驻留; 键盘、打印或显示有异常现象; 有特殊文件自动生成; 磁盘空间自动产生坏簇或磁盘空间减少;
