计算机病毒及其防范技术(第2版)第10章 计算机病毒的防范技术
计算机病毒的原理与防范
计算机病毒的原理与防范摘要结合现在这个阶段的实际情况来看,计算机病毒的波及范围是愈发广泛了,而且已经为电脑网络的安全性造成了很大的威胁。
只有知道更加详细、全面的电脑知识,方可以无惧任何的电脑病毒。
故而笔者在这篇文章当中就专门针对电脑病毒的一些情况来展开相应的介绍,从而获得更为理性的了解,并基于此而提出部分更为有效的预防手段,希望可以尽可能的避免由于电脑病毒而造成的各种危害。
所以这也就充分说明了,更为有效的防范措施对于电脑病毒预防来讲,是最为有效的和经济的,也应当被大家所重视。
在这一过程中,应该先对电脑病毒进行充分的了解和感知,进而去对其造成的攻击进行预防,在有效保护电脑相关数据安全的基础上,让互联网的积极作用被充分的发挥出来。
关键词:计算机;病毒;传播途径;预防第1章计算机病毒的概念及危害1.1 计算机病毒的概念这种病毒指的是通过相关研制人员在电脑程序内添加了具有破坏性的功能或数据的相关代码,从而对电脑的应用造成影响,并且可以进行自主复制的一组电脑指令或程序代码。
计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。
计算机病毒的生命周期:开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。
其实这种病毒通常表现为一个程序,当然优势也会表现为一段可执行码,如同生物病毒那般,存在着自我繁衍、彼此感染、激活与重生等这些鲜明特点。
也正是因为电脑病毒存在比较特殊的复制功能,所以说可以迅速的扩散开来,且很难完全清除,它们可以附着于不同类型的文件当中,只要文件使用者在实施复制、或者是传送操作的时候,这些病毒同样会随之转移,并继续扩散。
1.2 计算机病毒的特征1.繁殖性这一病毒与生物病毒有一定的相似度,那就是能够不断的繁殖,它会在正常程序被使用时随之出现自主复制。
因此我们可以通过它的感染以及其繁殖特征来进行判定。
2.破坏性当电脑染上病毒以后,也许就会造成正常程序难以使用,而且也会将电脑里面的部分文件予以删除、或者是直接被损坏,甚至也可能会对其硬件环境造成很大的不利影响。
计算机病毒及其防范策略
大部分 病毒 在激 发 的时候 直接破 坏计 算机 的重 要信息数据 , 所利用的手段有格式化磁盘、 改写文件 分配表和 目录区、 删除重要文件或者用无意义的“ 垃
它的存在。 正是由于隐蔽性 , 计算机病毒得以在用户 没有察觉的情况下扩散到上百万台计算机中。 () 5 破坏性
任何病毒只要侵入系统。都会对系统及应用程 序产生程度不同的影响。轻者会 降低计算机工作效
机。
2 计算机病 毒概 述
21 计算机 病毒 的定 义 .
() 3潜伏性
计算机病毒是一种人为制造的、在计算机运行 中对计算机信息或系统起破坏作用的程序 。这种程 序不是独立存在 的,它隐蔽在其他可执行 的程序之 中, 既有破坏性 , 又有传染性和潜伏性 。轻则影响机
大 部分的病毒感染 系统之后一般不会马上发 作, 它可长期隐藏在系统 中, 只有在满足其特定条件 时才启动其表现( 破坏) 模块 。只有这样它才可进行 广泛的传播 。 如著名的“ 黑色星期五” 在每逢 1 号的 3 星期五发作 ; 还有最难忘的是 2 发作的 CH 6日 I。
害; 同时对计算机病 毒的防范策 略进行 了进一步 的阐述 。 【 关键字 】计算机 ; 毒 ; 病 防范
I 中图分类号】T 33 8 P9. 0
【 文献标识码】B
【 文章编号】10 -74 08 509—4 06 66 ( 0) - 030 2 0
Co u e r s s a d Pr c u i n r t a e is mp t r Viu e n e a to a y S r t g e
然产物 , 是计算机犯罪的一种新的衍化形式 。 自从第
程序性 , 代表 它和其他合法程序一样 。 是一段可 执行程序 , 但它不是一段完整的程序 , 而是寄生在其
计算机病毒的防范及安全策略
考试周刊摘要:随着计算机在社会生活各个领域的广泛运用,计算机病毒攻击与防范技术也在不断拓展。
为了保证计算机的运行安全、系统安全。
从计算机病毒的基本知识入手,着重阐述了计算机病毒的防范、计算机网络安全策略。
关键词:计算机病毒网络安全策略一、引言计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码,就像生物病毒一样,计算机病毒有独特的复制能力。
计算机病毒可以很快地蔓延,又常常难以根除。
它们能把自身附着在各种类型的文件上。
当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
目前最为常见的计算机病毒及其表现形式(针对我们用得较多的Window s操作系统):1.系统病毒,前缀为:W in32、PE、Win95、W32、W95等。
这些病毒一般可以感染window s操作系统的*.exe和*.dll文件,并通过这些文件进行传播。
如Bi病毒(Parasite.Bi)。
2.蠕虫病毒,前缀是:Worm。
这种病毒通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。
比如冲击波(阻塞网络)等。
3.木马病毒、黑客病毒。
木马病毒其前缀是:T rojan,黑客病毒前缀名一般为Hack。
木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。
木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。
现在这两种类型都越来越趋向于整合了。
4.脚本病毒,前缀是:Scr ipt。
脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)。
脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fort-night.c.s)等。
计算机网络安全技术(第二版)习题答案
习题一1-1简述计算机网络安全的定义。
计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,即是指计算机、网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,使网络服务不中断。
计算机网络安全是一门涉及计算机科学、网络技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。
1-2计算机网络系统的脆弱性主要表现在哪几个方面?试举例说明。
计算机网络系统的脆弱性主要表现在以下几个方面:1.操作系统的安全脆弱性,操作系统不安全,是计算机不安全的根本原因。
2.网络系统的安全脆弱性(1)网络安全的脆弱性,(2)计算机硬件系统的故障,(3)软件本身的“后门”,(4)软件的漏洞。
3.数据库管理系统的安全脆弱性,DBMS的安全级别是B2级,那么操作系统的安全级别也应该是B2级,但实践中往往不是这样做的。
4.防火墙的局限性5.天灾人祸,如地震、雷击等。
天灾轻则造成业务工作混乱,重则造成系统中断或造成无法估量的损失。
6.其他方面的原因,如环境和灾害的影响,计算机领域中任何重大的技术进步都对安全性构成新的威胁等。
1-3 简述P2DR安全模型的涵义。
P2DR安全模型是指:策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)。
策略,安全策略具有一般性和普遍性,一个恰当的安全策略总会把关注的核心集中到最高决策层认为必须值得注意的那些方面。
防护,防护就是采用一切手段保护计算机网络系统的保密性、完整性、可用性、可控性和不可否认性,预先阻止攻击可以发生的条件产生,让攻击者无法顺利地入侵。
检测,检测是动态响应和加强防护的依据,是强制落实安全策略的工具,通过不断地检测和监控网络及系统,来发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。
响应,响应就是在检测到安全漏洞或一个攻击(入侵)事件之后,及时采取有效的处理措施,避免危害进一步扩大,目的是把系统调整到安全状态,或使系统提供正常的服务。
计算机病毒及其防范
计算机病毒的防范及措施
科 崔
信 息 科l ll 学
计算机病 毒 的防范 及措施
徐 峰 - 徐 一秋 李 晓 杰 -
( 、 龙 江 科技 学 院 , 1黑 黑龙 江 哈 尔滨 10 2 2 牡 丹江 医学 院 , 龙 江 牡 丹 江 17 0 ) 50 7 、 黑 50 9
摘 要: 从第一例计算机病毒 至今 , 这一 串串的代码带给 了z 4 无数 次的崩溃, ,1 -1 其破坏力也得到 了逐年的认 识和 增长。主要介绍计算机病毒的
产 生 、 类 、 点 及 防 范措 施 。 分 特 关键词: 计算机病毒; 分类; 点; 特 防范措施 no s iu ; 什么是计算机病毒?其实计算机病毒就是 毒 则 可 以 感 染 Wid w ,也 可 以感 染 Ln x大 除磁盘文件、 对数据文 件做加密 、 封锁键盘 以及 个程序 ,一段可执行码 ,是某些人利用电脑 部分网络蠕虫病毒也是文件型病毒。 使系统死锁等 ,. 隐蔽性 。 算机病毒具有很 3 4 计 软、 硬件所固有的脆 弱性 , 编制具有特殊功能的 2 . 2按照病毒传染的方法分类。221入侵 强 的隐蔽性 , .. 有的可以通过 病毒软 件检查 出来 , 程序 。其能通过某种途径 潜伏在计算机存储介 型病毒,顾名思义是通过外 部媒 介侵入宿主机 有的根本就查不出来 ,有 的时隐时现 、变化无 质( 或程序) 当达到某种条件时即被激活, 里, 它用 器的。 -2嵌入式病毒, 22 _ 通过嵌 入到某~正常的 常 , 这类病毒处理起 来通常很 困难 。35破坏性 . 然后通 过某一触发机制发作 。223加 计算机 中毒后 , .- 修改 其他程序的方法将 自己的精确拷贝或者可 程序中 , 可能会导致正常的程序无法 运 能演化的形式放入其他程序中 , 而感染它们 , 壳类病毒 ,此类病毒使用特殊算法把 自己压缩 行 ,把计算机内 的文件删除或受到不同程度 的 从 对电脑资源进行破坏的这样一组程序或指令集 到正常文件上 ,这样 当被害者解压时 即执行病 损坏 ; 224病毒生产 机是可以“ 批量生产 “ 出 4计算机 中病毒的一些现象 合。计算机病毒主要通过电子邮件、 文件下载 、 毒程序 。 -_ 网络访问 、 移动介质等形式进行传播 , 当文件被 大量具有同一特征的“ 同族 “ 毒的特殊程序 。 病 系统运行 速度减慢甚至死机 。像“ 新快乐 复制或从一个用户传送到另一个用户时 。它们 这些 病 毒 的代 码 长度 各 不 相 同 , 自我 加 密 、 密 时 光”病 毒 ,会感 染 H 解 TM、 S 、 H H ML A P P P、 T 、 就 随同文件一起蔓延开来 , 既有破坏性 , 又有传 的密钥也不 同, 发作条件和现象不同 , 其主体 V S |r 但 B 、r r等网页文件 ,被感 染 的逻辑 盘的每 染性和潜伏性。 构造和原理基本相同。 个 目录都被生成 d st . if dr t 件 , eko i 、 le. t文 pn o h 病 23按照病毒 自身特征分类 - 毒交叉感染使得操作 系统速度变慢 。而像 冲击 1计算机病毒的历史发展 根据病毒 自身存在 的编码特 征可 以将 计 波等蠕虫病毒 ,由于病毒发作后会开启上百线 2 O世纪 6 o年代初 , 国某著名实验室里 , 美 几个年轻人试图通过复制 自身以摆脱对方控制 算机病毒分为 :.. 231伴随型病毒 :这一类病毒 程扫描 网络 ,或是利用 自带 的发信模块 向外狂 的“ 磁芯大战 “ 电脑游戏 , 定了病毒 的雏形。 奠 并不改变文件本 身 , 它们 根据算法产生 E E文 发带毒 邮件 , X 大量消耗系统资源 , 因此会使操作 .. 这一类病毒使 系统 运 行 得 很 慢 , 重 时 甚 至死 机 。 严 2 O世纪 7 O年代 , 国作家雷 恩在 《 1 美 P 的 件 的伴随文件。232变型病毒 : 青春》 一书中 , 构思 了能够 自我复制的计算机程 用一个复杂的算法 ,使 自己每传播一份都具有 文件型病毒感染 文件后 会增加文件 长度 , 就 序。 并第一次称之为 “ 计算机病毒“ 9 3 , 。1 8 年 美 不同的内容和长度。此类病毒通常是 由一段混 如果发现文 件长度莫名其妙地发 生了变化 。 同时, 病毒 在感染文件过程 国计算机专家首次以病毒程序进行实验,首例 有无关指令的解码算法 和被变化过的病 毒体组 可能是感染了病毒 。 成。 中不断复制 自身。 占用硬盘的存储 空间 , 如果你 计算机病毒诞生 。 发现在没有安装任何文件的情况下 ,硬盘容量 之后 , 伴随着计算机技术尤其是 网络技术 3计 算 机 病 毒 特 点 及其应用的飞速发展 ,计算机病毒更呈快速增 31寄生性。计算机病毒寄生在其他程序 不 断 减 少 。 . 长趋势 , 造成的危害也越来越大 :C H 疯 之中 。 其所 “I “ 当执行这个 程序 时 , 病毒就起破坏作 用 , 5计算机病毒的防治 51建立正确的防毒观念 ,学习有关病毒 . 狂破坏硬件 ,美丽莎“ “ 疯狂席卷欧美 , 造成网络 而在未启动这个程序之前 ,它是不易被人发觉 瘫 痪 , 红色代 码“ 病毒 + 客技术 “ “ “ 黑 的首次 亮 的。32传染性 。 - 传染性是病 毒的基本特征。计 与 反 病 毒 知 识 。 52 及 时 为 WI DO - N WS打 补 丁 ,为 W N I — 相, 以及后来“ 蠕虫王 “ 成的全球数十亿 美元 算机病毒是 一段人 为编制的计算机程序代 码 , 造 的损失 , 到“ 再 冲击 波“ 振荡波“ “ 引发 的网络大 这段程 序代码 一旦进入计算机井得 以执 行 , 它 D WS O 打补丁是很重要 的,因 为许多病毒都是 就会搜寻其他符合其传染条件的程序或存储介 根据 W N OWS的漏洞写出来 的。 I D 地震 , 病毒 发展和破坏的脚 步正在加速。 早 期的 黑客发布病 毒的 目的在于在黑 客 质 , 确定 目标后再将 自身代码插入其 中, 达到 自 53使用反病毒软件。及 时升级反病毒软 - 世界扬名, 现在, 他们的动机已经转 向利用更有 我繁殖 的目的。而被感染的文件又成 了新 的传 件的病毒库 , 开启病毒实时监控。 针对性的恶意软件获取经济利益。比如间谍软 染源 。再与其他机器进行数据交换或 通过 网络 5 不随便下载网上的软件。尤其是不要 . 4 件、 僵尸程 序、 木马趋于流行 。 目的主要是进 接触 , 其 病毒会继续进 行传染 。 病毒程序通过 修改 下载那些来 自无名 网站的免费软件 ,因为这 些 行非法信息获取 。这个 目标也驱使着越来越 多 磁盘 扇区信息或文件内容并把 自身嵌入到其 中 软件无法保证没有被病毒感染。如果在网上下 的人从事组织、 编写 、 扩散 、 控制恶意代码 活动 。 的方 法达到病毒的传染和扩散 。 l 33潜伏性。 有 载了软件 , 下载后和安装软件前一定要杀毒 , 不 2计算机病毒的分类 些病毒像定时炸弹一样 ,让它什么时间发作是 明白那是什么东西不要打开他 。 21按照病毒存在 的载体分类 . 预先设计好 的。一个编制精 巧的计算机病毒程 55重要文档不要放在 系统盘 中,而且要 . 进入系统之后一般不会 马上发作 , 可以在几 备 份 好 。 21 .. 1引导型病毒 :此类病毒存 放在 软盘 序 , 引导 区、 硬盘主引导区和引导区。 由于引导型病 周或 者几个 月内甚 至几年 内隐藏 在合法 文件 56不要随便使用别人 的软盘或光盘。 . 毒在操作 系统启动前就加载到内存 中。具有操 中, 对其他 系统 进行传染 。 而不被人发 现 , 潜伏 57制作应急盘, . 急救盘, 恢复盘。 照反病 按 其在系统中的存在时间就会愈 长, 毒 毒软件的要求 制作应急盘, 病 急救盘, 恢复盘 。 以便 作系统无关性 ,可 以感染所 有的 X 6 8 类电脑 。 性愈好 , 因此 这类病 毒将长期 存在。212文件型病毒: 的传染 范围就会愈大。 潜伏性 的第 一种表 现 恢复系统急用 。在应急盘, .. 急救 盘, 恢复盘上存 此类 病毒 以文件形式存在 ,是病毒流行 的主要 是指 ,病毒程序不用专用检测程序是检查 不出 储有关系统 的重要信息数据 ,如硬盘主引导区 形式 。其 中根据操作 系统不同 , 又分很 多类 , 如 来的 ,因此病毒可以静静地躲在磁盘或磁 带里 信息 、引导 区信息 、 M S的设备 信息等 以及 C O 甚 一 得 S系 统 的 C MMA D.OM 和 两 个 隐 含 文 O N C D S类 病毒 、 no s 病毒 、iu 类 病毒 等 呆 上 几 天 , 至 几年 , 旦 时 机 成 熟 , 到 运 行 DO O Widw 类 Ln x 就 扩散 , 继续为害。 潜伏性 件 。 等。 . 3蠕虫病 毒: 21 - 以网络为载体 , 如
计算机病毒防范技术论文
计算机病毒防范技术论文摘要:随着计算机网络的发展,由于计算机系统的脆弱性与互联网的开发性,计算机病毒对信息安全的威胁日益严重,我们一方面要掌握对当前的计算机病毒的防范措施,另一方面要加强对未来病毒发展趋势的研究,建立主动防御为主、结合现有反病毒技术的综合防范体系,真正做到防患于未然。
我国随着社会经济不断的发展,计算机的应用已经在各种社会领域当中普遍使用,计算机在社会当中,随着人类进步而成为社会发展中一项必不可少的因素之一,人类对于在运用网络计算机的同时,而针对计算机的各种病毒也随着春笋般冒了头,信息安全的威胁在病毒侵袭下日益严重,病毒的传播范围越来越广、扩散速度逐渐加快、破坏方面也越来越强。
而在如此社会网络时代环境下,计算机病毒攻击与防范技术也在不断拓展。
计算机的应用对社会越来越重要,随之而来的愈来愈多的网络用户遭受计算机病毒与攻击也愈加频频发生,在病毒干扰下,给计算机网络与系统带来了严重的威胁与破坏,严重影响了社会正常的生活和工作。
一、研究网络环境下计算机病毒防治策略的意义计算机病毒是以网络传播为基础的,通过计算机系统的漏洞而被人为创建的能够破坏计算机系统的程序,通常以程序代码的形式出现。
人们通常把能够引起计算机系统故障,或窃取计算机信息数据的代码称为计算机病毒。
二、网络环境下的计算机病毒的特征计算机病毒是一组能够自我复制并能破坏、影响计算机使用、安全的程序代码,这些代码是人为编制或在原来计算机程序中插入的。
这些代码以网络为平台,进而广泛传播,对点击这些程序的计算机带来巨大的隐患和威胁,所以也称之为网络病毒。
1.传播途径多,扩散速度快大多数病毒的传播是以网络为媒介,以系统漏洞、网页、邮件等形式进行,伴随着网络的播散而播散,以极快的速度播散到全世界,譬如最早的由 BBN 技术公司程序员罗伯特·托马斯编写的计算机病毒Creeper出现在1971年,但当时Creeper还尚未被称为病毒。
Creeper 在网络中移动,很快就传播到了很多计算机。
计算机病毒解析与防范
计算机病毒解析与防范一、计算机病毒概述计算机病毒是一种恶意软件,它能够复制自身并且在计算机网络中进行传播,从而破坏数据、干扰计算机操作,甚至危害网络安全。
它们通常由复杂的算法和恶意代码组成,利用各种手段潜入计算机系统,对个人和企业信息安全构成严重威胁。
二、计算机病毒的类型与特性计算机病毒的种类繁多,按照其传播方式和破坏性,大致可以分为蠕虫病毒、木马病毒、宏病毒、文件病毒、启动区病毒等。
它们通常具有以下特性:1、自我复制:病毒会复制自身,并可能传播到其他计算机或网络中。
2、破坏性:病毒可能会破坏文件、删除数据、格式化硬盘,甚至造成系统崩溃。
3、潜伏性:病毒可能会隐藏在系统中,只有在特定条件下才会被激活。
4、传染性:病毒可以通过各种途径,如网络、文件、移动设备等传播。
三、计算机病毒的防范措施1、定期更新操作系统和应用程序,确保补丁及时打上,防止病毒利用漏洞进行攻击。
2、使用可靠的杀毒软件,并定期更新病毒库,以便及时检测和清除病毒。
3、不轻易打开未知来源的邮件和下载不明链接,避免访问不安全的网站,防止病毒通过这些途径入侵。
4、定期备份重要数据,以防万一病毒攻击导致数据丢失。
5、提高用户的安全意识,不轻信陌生人的信息,避免被诱导打开或下载病毒文件。
四、总结计算机病毒已经成为网络安全领域的一个重大问题。
了解计算机病毒的类型和特性,并采取有效的防范措施,对于保护个人和企业信息安全至关重要。
除了使用杀毒软件和定期更新操作系统外,提高用户的安全意识也是防止病毒攻击的重要一环。
只有全面了解并应对计算机病毒的威胁,我们才能更好地保护自己的计算机系统和数据安全。
计算机病毒防范计算机病毒是一种恶意程序,它会利用计算机系统的漏洞和弱点,对计算机系统和数据造成损害。
因此,计算机病毒防范是非常重要的。
一、计算机病毒的类型和特点计算机病毒有很多种类型,例如蠕虫病毒、木马病毒、宏病毒等。
这些病毒都有不同的特点和传播方式。
蠕虫病毒是一种通过网络传播的病毒,它可以通过网络传播到其他计算机系统。
计算机病毒及预防
1计算机病毒的特点
藏在 引导记录 中的这 类病毒清 除掉, 当文件运 行时, 又会重新
例如, 侵入者、 3 5 4 4 幽灵等就属于这类病毒 。 计算机 病毒主要具有 以下几个特点: 一是具有破坏性 , 破 感染引导记录。
坏 程序和数据 , 甚 至瘫痪计算机系 统或网络系统 ; 二是பைடு நூலகம்有传 3 计算机病毒的预防
强, 计算 机病毒会不断地 自我复制来感染其他计算 机;四是具 格 的机 房管理制度 , 计 算机使用制度 , 并严格执行 。 ( 3 ) 安装 正 有 隐蔽性, 计算机 病毒可以在毫无征兆的情况下感染攻击 计算 版 杀毒软件 并经常更新病毒 , 定期查杀病 毒。 因为计算机病毒 机 而不被 人们所觉察 , 等 到人们发现 时, 它已经给你造 成了严 的发展是永不会停止的, 更 新病毒 库才能查杀最新 的病 毒, 并 重 的后果; 五是潜伏 期长, 计 算机病毒可 以长时间潜伏在你 的 不是装了个杀毒软件就万事大吉了, 不更新病毒库 等于 白装。 ( 4 ) 计算机 系统或 网络系统 中而不发作 , 直至激 发条件满足后 , 立 及 时为操作 系统 及有关软件协议打补— r 。因为许多病毒 都是根 即发作并破坏系统 。 据操作系统等软件漏洞而编写出来 的。 ( 5 ) 下载 后和安装软件 前
染性, 传播途径 可通过移动存储 设备、 计算 机网络等 多种渠 ( 1 ) 制定并完善有关计算 机安全 、 反病毒方面 的法律法规 , 道 入侵其他计算机 , 传播迅速 , 几乎是无孔不入; 三是繁殖能力 做 到有 法可依 , 违法 必究, 威慑计算 机高科 技犯罪 。 ( 2 ) 制定严
关键词: 计算机病毒; 传播途径; 预防 计算机 病毒 ( V i r u s ) 是指具有破坏性的程序, 是人为编制 可执行文件, 即以. c o m  ̄ I . e x e 为扩展名的程序 , 它们寄存在可执 的。 它是…个程 序, 它具有 生物病毒 的许 多特 征, 如破坏性、 传 行文件的首部或尾部 。 将病毒 的代码加载到可执行 程序 中, 只
计算机病毒防治考试重点
第一章计算机病毒概述1.※计算机病毒定义计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
2.※计算机病毒的特性破坏性传染性寄生性隐蔽性触发(潜伏)性3.※计算机病毒的发展趋势是什么?哪些病毒代表了这些趋势?病毒发展趋势:网络化专业化简单化多样化自动化犯罪化代表病毒:蠕虫、木马4. ※计算机病毒的主要危害直接危害:(1)病毒激发对计算机数据信息的直接破坏作用(2)占用磁盘空间和对信息的破坏(3)抢占系统资源(4)影响计算机运行速度(5)计算机病毒错误与不可预见的危害(6)计算机病毒的兼容性对系统运行的影响间接危害:(1)计算机病毒给用户造成严重的心理压力(2)造成业务上的损失(3)法律上的问题5. ※计算机病毒和医学上的病毒相似之处是什么?区别又是什么?相似之处:与生物医学上的病毒同样有寄生、传染和破坏的特性,因此这一名词是由生物医学上的“病毒”概念引申而来区别:不是天然存在,是某些人利用计算机软、硬件所固有的脆弱性,编制的具有特殊功能的程序。
6.(了解)木马病毒(闪盘窃密者、证券大盗、外挂陷阱、我的照片我正向外闪)7.※计算机病毒的命名规则1991年计算机反病毒组织(CARO)提出了一套命名规则,病毒的命名包括五个部分:•家族名•组名•大变种•小变种•修改者CARO规则的一些附加规则包括:•不用地点命名•不用公司或商标命名•如果已经有了名字就不再另起别名•变种病毒是原病毒的子类举例说明:精灵(Cunning)是瀑布(Cascade)的变种,它在发作时能奏乐,因此被命名为Cascade.1701.A。
Cascade是家族名,1701是组名。
因为Cascade病毒的变种的大小不一(1701, 1704, 1621等),所以用大小来表示组名。
A 表示该病毒是某个组中的第一个变种。
业界补充:反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒类型。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全工程学院
其优点包括: (1)当特征串选择得很好时,病毒检测软件 让计算机用户使用起来方便快速,对病毒了解不 多的人也能用它来发现病毒。 (2)不用专门软件,用编辑软件也能用特征 串扫描法去检测特定病毒。 (3)可识别病毒的名称。 (4)误报警率低。 (5)依据检测结果,可做杀毒处理。
信息安全工程学院
木马一般都会在注册表中设置一些键值以便以后在系统每 次重新启动时能够自动运行。从Regsnp1-Regsnp2.htm中 可以看到哪些注册表项发生了变化,此时若看到:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\co mmand\@ Old value: String: ″″%1″ %*″
信息安全工程学院
1.检测未知引导型病毒的感染实验法 a.先用一张软盘,做一个清洁无毒的系统盘,用DEBUG程序,读该 盘的BOOT扇区进入内存,计算其校验和,并记住此值。同时把正常 的BOOT扇区保存到一个文件中。上述操作必须保证系统环境是清洁 无毒的 b.在这张实验盘上拷贝一些无毒的系统应用程序。 c.启动可疑系统,将实验盘插入可疑系统,运行实验盘上的程序,重 复一定次数。 d.再在干净无毒机器上,检查实验盘的BOOT扇区,可与原BOOT扇 区内容比较,如果实验盘BOOT扇区内容已改变,可以断定可疑系统 中有引导型病毒。
⑤ 为找出木马的驻留位置以及在注册表中的启动项,看Regsnp1Regsnp2.htm,若显示如下信息:
Summary info: Deleted keys: 0 Modified keys: 15 New keys : 1 File list in C:\WINNT\System32\*.* Summary info: Deleted files: 0 Modified files: 0 New files : 1 New files diagcfg.exe Size: 97 792 , Date/Time: 2001年07月01日 23:00:12 … Total positions: 1
计算机病毒的防范技术
上海交通大学信息安全工程学院
本章学习目标
掌握计算机病毒诊断知识
掌握计算机病毒防范思路 理解计算机病毒清除知识 掌握数据备份和数据恢复
信息安全工程学院
一、计算机病毒防治技术的现状
技术反思
• 一次一次的大面积发生
缺陷
• 永无止境的服务 • 库、培训、指导等 • 未知病毒发现 • 有限未知 • 病毒清除的准确性 • 从恢复的角度来考虑
836 inetinfo -> 443 TCP C:\WINNT\System32\inetsrv\inetinfo.exe 8System -> 445 TCP 464 msdtc -> 1025 TCP C:\WINNT\System32\msdtc.exe 684 MSTask -> 1026 TCP C:\WINNT\system32\MSTask.exe 584 tcpsvcs -> 1028 TCP C:\WINNT\System32\tcpsvcs.exe 836 inetinfo -> 1029 TCP C:\WINNT\System32\inetsrv\inetinfo.exe 8System -> 1030 TCP 464 msdtc -> 3372 TCP C:\WINNT\System32\msdtc.exe
③ 重新打开RegSnap,从file菜单选new,然后单击OK按钮,把这次的 snap结果存为Regsnp2.rgs。 ④ 从RegSnap的file菜单选择Compare,在First snapshot中选择打开 Regsnp1.rgs,在Second snapshot中选择打开Regsnp2.rgs,并在下面 的单选框中选中Show modified key names and key values,然后单击 OK按钮。这样RegSnap就开始比较两次记录有什么区别了,当比较完 成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。
C:\tool\fport>fport
FPort v1.33 TCP/IP Process to Port Mapper Copyright 2000 by Foundstone, Inc. Pid ProcessPort Proto Path 584 tcpsvcs-> 7TCP C:\WINNT\System32\tcpsvcs.exe 584 tcpsvcs -> 9 584 tcpsvcs -> 13 584 tcpsvcs -> 17 TCP C:\WINNT\System32\tcpsvcs.exe TCP C:\WINNT\System32\tcpsvcs.exe TCP C:\WINNT\System32\tcpsvcs.exe
信息安全工程学院
2.检测未知文件型病毒的感染实验法
• a.在干净系统中制作一张实验盘,上面存放一些应用程序,这些 程序应保证无毒,应选择长度不同,类型不同的文件(既有 COM型又有EXE型)。记住这些文件正常状态的长度和校验和。 • b.在实验盘上制作一个批处理文件,使盘中程序在循环中轮流被 执行数次 • c.将实验盘插入可疑系统,执行批处理文件,多次执行盘中程序。 • d.将实验盘放人干净系统,检查盘中文件的长度和校验和,如果 文件长度增加,或者校验和变化,则可断定系统中有病毒。
扫描器由两部分组成:
• 特征串(nature)和扫描算法(Scanner)
信息安全工程学院
选择代码串的规则是:
• 代码串不应含有病毒的数据区,数据区是会经常变化的。 • 在保持唯一性的前提下,应尽量使特征代码长度短些,以减少时 间和空间开销。 • 代码串一定要在仔细分析了程序之后才能选出最具代表性的,足 以将该病毒区别于其他病毒和该病毒的其他变种的代码串。 • 特征串必须能将病毒与正常的非病毒程序区分开。 • 例如:给定特征串为“E9 7C 00 10 ? 37 CB”,则 “E9 7C 00 10 27 37 CB”和“E9 7C 00 10 9C 37 CB”都能被识 别出来.
584 tcpsvcs -> 19
836 inetinfo -> 80
TCP C:\WINNT\System32\tcpsvcs.exe
TCP C:\WINNT\System32\inetsrv\inetinfo.exe
408 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
信息安全工程学院
行为监测法
利用病毒的特有行为特性来监测病毒的方法称为行为监 测法。 常用行为:
• • • • • 占用INT 13H 修改DOS系统数据区的内存总量 对COM和EXE文件做写入动作 写注册表 自动联网请求
优点:发现未知病毒 缺点:难度大、误报警
信息安全工程学院
感染实验法
这种方法的原理是利用了病毒的最重要的基本特 征:感染特性。观察正常程序和可疑程序的表现 是非不同。
比较法的好处:简单 比较法的缺点:无法确认病毒,依赖备份
信息安全工程学院
校验和法
首先,计算正常文件内容的校验和并且将该校验 和写入某个位置保存。然后,在每次使用文件前 或文件使用过程中,定期地检查文件现在内容算 出的校验和与原来保存的校验和是否一致,从而 可以发现文件是否感染,这种方法叫校验和法, 它既可发现已知病毒又可发现未知病毒。
信息安全工程学院
优点:
• 方法简单 • 能发现未知病毒 • 被查文件的细微变化也能发现
缺点:
• • • • • 必须预先记录正常态的校验和 会误报警 不能识别病毒名称 程序执行附加延迟 不对付隐蔽性病毒。
信息安全工程学院
扫描法
扫描法是用每一种病毒体含有的特定字符串 (Signature)对被检测的对象进行扫描。如果在 被检测对象内部发现了某一种特定字符串,就表 明发现了该字符串所代表的病毒。
缺点: (1)当被扫描的文件很长时,扫描所花时间也较多。 (2)不容易选出合适的特征串,有时会发出假警报。 (3)新病毒的特征串未加入病毒代码库时,老版本的扫毒程序无 法识别出新病毒。 (4)怀有恶意的计算机病毒制造者得到代码库后,会很容易地改 变病毒体内的代码,生成一个新的变种,使扫描程序失去检测它的 能力。 (5)容易产生误警报。只要正常程序内带有某种病毒的特征串, 即使该代码段已不可能被执行,而只是被杀死的病毒体残余,扫描 程序仍会报警。 (6)不易识别变异类病毒。 (7)搜集已知病毒的特征代码,费用开销大。 (8)在网络上使用效率低。
New value: String: ″C:\WINNT\System32\diagcfg.exe ″%1″ %*″
则说明这个键值由原来的″%1″ %*被修改成了 C:\WINNT\System32\DIAGCFG.EXE ″%1″ %*,这就使得以后每次运 行任何可执行文件时都要先运行C:\WINNT\System32\ diagcfg.exe这个 程序。 ⑥ 找出木马监听的端口。使用fport可以轻松的实现这一点。在命令行 中运行fport.exe,可以看到:
计算机病毒的诊断原理
用什么来判断? 染毒后的特征 常用方法:
• • • • • • • • • 比较法 校验和 扫描法 行为监测法 行为感染试验法 虚拟执行法 陷阱技术 先知扫描 分析法等等
信息安全工程学院
比较法
比较法是用原始或正常的对象与被检测的对象进行比较。 手工比较法是发现新病毒的必要方法。 比较法又包括:
信息安全工程学院
二、计算机病毒的防范思路
防治技术概括成五个方面:
• 检测 • 清除 • 预防 • 被动防治 • 免疫 • 主动防治 • 数据备份及恢复 • 计算机病毒防范策略