2009年 7月 25日 6时 9分 计算机网络安全基础第 6章 计算机病毒的防治计算机病毒的防御对网络管理员来说是一个望而生畏的任务。特别是随着病毒的越来越高级,情况就变得更是如此。目前,几千种不同的病毒不时地对计算机和网络的安全构成严重威胁。因此,了解和控制病毒威胁的需要显得格外的重要,任何有关网络数据完整性和安全的讨论都应考虑到病毒。
2009年 7月 25日 6时 9分 计算机网络安全基础第 6章 计算机病毒的防治本章主要内容:
1,计算机病毒
2,计算机病毒的传播
3,计算机病毒的特点及破坏行为
4,宏病毒及网络病毒
5,病毒的预防,检查和清除
6,病毒防御解决方案
2009年 7月 25日 6时 9分 计算机网络安全基础
6.1 什么是计算机病毒计算机病毒是一种,计算机程序,,它不仅能破坏计算机系统,而且还能够传播,感染到其它系统 。 它通常隐藏在其它看起来无害的程序中,能生成自身的复制并将其插入其它的程序中,执行恶意的行动 。
通常,计算机病毒可分为下列几类 。
( 1) 文件病毒 。 该病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上,然后,利用这些指令来调用附在文件中某处的病毒代码 。 当文件执行时,
病毒会调出自己的代码来执行,接着又返回到正常的执行系列 。 通常,这些情况发生得很快,以致于用户并不知道病毒代码已被执行 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.1 什么是计算机病毒
( 2) 引导扇区病毒 。 它会潜伏在软盘的引导扇区,或者是在硬盘的引导扇区,或主引导记录 ( 分区扇区中插入指令 ) 。 此时,如果计算机从被感染的软盘引导时,
病毒就会感染到引导硬盘,并把自己的代码调入内存 。
软盘并不需要一定是可引导的才能传播病毒,病毒可驻留在内存内并感染被访问的软盘 。 触发引导区病毒的典型事件是系统日期和时间 。
( 3) 多裂变病毒 。 多裂变病毒是文件和引导扇区病毒的混合种,它能感染可执行文件,从而能在网上迅速传播蔓延 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.1 什么是计算机病毒
( 4) 秘密病毒 。 这种病毒通过挂接中断把它所进行的修改和自己的真面目隐藏起来,具有很大的欺骗性 。 因此,
当某系统函数被调用时,这些病毒便,伪造,结果,使一切看起来非常正常 。 秘密病毒摧毁文件的方式是伪造文件大小和日期,隐藏对引导区的修改,而且使大多读操作重定向 。
( 5) 异形病毒 。 这是一种能变异的病毒,随着感染时间的不同而改变其不同的形式 。 不同的感染操作会使病毒在文件中以不同的方式出现,使传统的模式匹配法对此显得软弱无力 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.1 什么是计算机病毒
( 6) 宏病毒 。 宏病毒不只是感染可执行文件,它可以感染一般软件文件 。 虽然宏病毒不会有严重的危害,但它仍是令人讨厌的,因为它会影响系统的性能以及用户的工作效率 。 宏病毒是利用宏语言编写的,不面向操作系统,所以,它不受操作平台的约束,可以在 DOS、
Windows,Unix,Mac甚至在 OS/2系统中散播 。 这就是说,宏病毒能被传到任何可运行编写宏病毒的应用程序的机器中 。 宏病毒对病毒而言是一次革命 。 现在通过 E-
mail,3W强大的互联能力及宏语言的进一步强化,极大地增强了它的传播能力 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.2 计算机病毒的传播
6.2.1 计算机病毒的由来计算机病毒是由计算机黑客们编写的,这些人想证明它们能编写出不但可以干扰和摧毁计算机,而且能将破坏传播到其它系统的程序 。
最早被记录在案的病毒之一是 1983年由南加州大学学生 Fred Cohen编写的,当该程序安装在硬盘上后,就可以对自己进行复制扩展,使计算机遭到,自我破坏,。
1985年病毒程序通过电子公告牌向公众提供 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.2 计算机病毒的传播
6.2.2 计算机病毒的传播计算机病毒通过某个入侵点进入系统来感染该系统 。
最明显的也是最常见的入侵点是从工作站传到工作站的软盘 。 在计算机网络系统中,可能的入侵点还包括服务器,E-mail附加部分,BBS上下载的文件,3W站点,
FTP文件下载,共享网络文件及常规的网络通信,盗版软件,示范软件,电脑实验室和其它共享设备 。 此外,
也可以有其它的入侵点 。
病毒一旦进入系统以后,通常用以下两种方式传播:
( 1) 通过磁盘的关键区域;
( 2) 在可执行的文件中 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.2 计算机病毒的传播
6.2.3 计算机病毒的工作方式一般来说,病毒的工作方式与病毒所能表现出来的特性或功能是紧密相关的 。 病毒能表现出的几种特性或功能有:感染,变异,触发,破坏以及高级功能 ( 如隐身和多态 ) 。
1,感染任何计算机病毒的一个重要特性或功能是对计算机系统的感染 。 事实上,感染方法可用来区分两种主要类型的病毒:引导扇区病毒和文件感染病毒 。
( 1) 引导扇区病毒引导扇区病毒的一个非常重要的特点是对软盘和硬盘的引导扇区的攻击 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.2 计算机病毒的传播引导扇区是大部分系统启动或引导指令所保存的地方,而且对所有的磁盘来讲,不管是否可以引导,都有一个引导扇区 。 感染的主要方式就是发生在计算机通过已被感染的引导盘
( 常见的如一个软盘 )
引导时发生的 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.2 计算机病毒的传播
( 2) 文件型病毒文件型病毒与引导扇区病毒最大的不同之处是,
它攻击磁盘上的文件 。 它将自己依附在可执行的文件
( 通常是,com和,exe) 中,并等待程序的运行 。 这种病毒会感染其它的文件,而它自己却驻留在内存中 。 当该病毒完成了它的工作后,其宿主程序才被运行,使人看起来仿佛一切都很正常 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.2 计算机病毒的传播覆盖型文件病毒的一个特点是不改变文件的长度,
使原始文件看起来非常正常 。 即使是这样,一般的病毒扫描程序或病毒检测程序通常都可以检测到覆盖了程序的病毒代码的存在 。
前依附型文件病毒将自己加在可执行文件的开始部分,而后依附型文件病毒将病毒代码附加在可执行文件的末尾 。
伴随型文件病毒为,exe文件建立一个相应的含有病毒代码的,com文件 。 当运行,EXE文件时,控制权就转到隐藏的,com文件,病毒程序就得以运行 。 当执行完之后,控制权又返回到,exe文件 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.2 计算机病毒的传播
2,变异变异又称变种,这是病毒为逃避病毒扫描和其它反病毒软件的检测,以达到逃避检测的一种,功能,。
变异是病毒可以创建类似于自己,但又不同于自身,品种,的一种技术,它使病毒扫描程序难以检测 。 有的变异程序能够将普通的病毒转换成多态的病毒 。
3,触发不少计算机病毒为了能在合适的时候从事它的见不得人的勾当,往往需要预先设置一些触发的条件,并使之先置于未触发状态 。 如以时间,程序运行了次数和在文件病毒被复制到不同的系统上多少次之后作为触发条件 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.2 计算机病毒的传播
4,破坏破坏,是大多数人所提心吊胆的 。 破坏的形式是多种多样的,从无害到毁灭性的 。 破坏的方式总的来说可以归纳如下列几种:修改数据,破坏文件系统,删除系统上的文件,视觉和听觉效果 。
5,高级功能病毒计算机病毒经过几代的发展,在功能方面日趋高级,
它们尽可能地逃避检测,有的甚至被设计成能够躲开病毒扫描和反病毒软件 。 隐身病毒和多态病毒就属于这一类 。
多态病毒的最大特点能变异成不同的品种,每个新的病毒都与上一代有一些差别,每个新病毒都各不相同 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.3 计算机病毒的特点及破坏行为
6.3.1 计算机病毒的特点根据对计算机病毒的产生,传染和破坏行为的分析,
总结出病毒有以下几个主要特点 。
1,刻意编写人为破坏
2,自我复制能力
3,夺取系统控制权
4,隐蔽性
5,潜伏性
6,不可预见性
2009年 7月 25日 6时 9分 计算机网络安全基础
6.3 计算机病毒的特点及破坏行为
6.3.2 计算机病毒的破坏行为
( 1) 攻击系统数据区 。 攻击部位包括硬盘主引导扇区,
Boot扇区,FAT表,文件目录 。 一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复 。
( 2) 攻击文件 。 病毒对文件的攻击方式很多,如删除,
改名,替换内容,丢失簇和对文件加密等 。
( 3) 攻击内存 。 内存是计算机的重要资源,也是病毒攻击的重要目标 。 病毒额外地占用和消耗内存资源,可导致一些大程序运行受阻 。 病毒攻击内存的方式有大量占用,改变内存总量,禁止分配和蚕食内存等 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.3 计算机病毒的特点及破坏行为
( 4) 干扰系统运行,使运行速度下降 。 此类行为也是花样繁多,如不执行命令,干扰内部命令的执行,虚假报警,打不开文件,内部栈溢出,占用特殊数据区,时钟倒转,重启动,死机,强制游戏,扰乱串并接口等等 。
病毒激活时,系统时间延迟程序启动,在时钟中纳入循环计数,迫使计算机空转,运行速度明显下降 。
( 5) 干扰键盘,喇叭或屏幕 。 病毒干扰键盘操作,如响铃,封锁键盘,换字,抹掉缓存区字符,输入紊乱等 。
许多病毒运行时,会使计算机的喇叭发出响声 。 病毒扰乱显示的方式很多,如字符跌落,环绕,倒置,显示前一屏,光标下跌,滚屏,抖动,乱写等 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.3 计算机病毒的特点及破坏行为
( 6) 攻击 CMOS。 在机器的 CMOS中,保存着系统的重要数据,如系统时钟,磁盘类型和内存容量等,并具有校验和 。 有的病毒激活时,能够对 CMOS进行写入动作,
破坏 CMOS中的数据 。 例如 CIH病毒破坏计算机硬件,
乱写某些主板 BIOS芯片,损坏硬盘 。
( 7) 干扰打印机 。 如假报警,间断性打印或更换字符 。
( 8) 网络病毒破坏网络系统,非法使用网络资源,破坏电子邮件,发送垃圾信息,占用网络带宽等 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.4 宏病毒及网络病毒
6.4.1 宏病毒所谓宏,就是软件设计者为了在使用软件工作时,
避免一再的重复相同的动作而设计出来的一种工具 。 它利用简单的语法,把常用的动作写成宏,当再工作时,
就可以直接利用事先写好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作 。 在 Word中对宏定义为,宏就是能组织到一起作为一独立的命令使用的一系列 Word 命令,它能使日常工作变得更容易 。,Word宏是使用 Word Basic语言来编写的 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.4 宏病毒及网络病毒
1,宏病毒的行为和特征所谓,宏病毒,,就是利用软件所支持的宏命令编写成的具有复制,传染能力的宏 。 宏病毒是一种新形态的计算机病毒,也是一种跨平台式计算机病毒,可以在
Windows 9X,Windows NT,OS/2和 Macintosh System 7
等操作系统上执行病毒行为 。
( 1) 宏病毒行为机制
Word模式定义出一种文件格式,将文档资料以及该文档所需要的宏混在一起放在后缀为,doc的文件之中,
这种作法已经不同于以往的软件将资料和宏分开存储的方法 。 这种宏是文档资料,而文档资料的携带性极高,
如果宏随着文档而被分派到不同的工作平台,只要能被执行,它也就类似于计算机病毒的传染过程 。
2009年 7月 25日 6时 9分 计算机网络安全基础
( 2) 宏病毒特征
① 宏病毒会感染,doc文档和,dot模板文件 。
② 宏病毒的传染通常是 Word在打开一个带宏病毒的文档或模板时,激活宏病毒 。 病毒宏将自身复制到 Word
通用 ( Normal) 模板中,以后在打开或关闭文件时宏病毒就会把病毒复制到该文件中 。
③ 多数宏病毒包含 AutoOpen,AutoClose,AutoNew和
AutoExit等自动宏,通过这些自动宏病毒取得文档 ( 模板 ) 操作权 。
④ 宏病毒中总是含有对文档读写操作的宏命令 。
⑤ 宏病毒在,doc文档,,dot模板中以,BFF( Binary File
Format) 格式存放,这是一种加密压缩格式,不同
Word版本格式可能不兼容 。
6.4 宏病毒及网络病毒
2009年 7月 25日 6时 9分 计算机网络安全基础
6.4 宏病毒及网络病毒
2,宏病毒的防治和清除方法
( 1) 使用选项,提示保存 Normal模板,
( 2) 不要通过 Shift键来禁止运行自动宏
( 3) 查看宏代码并删除
( 4) 使用 DisableAutoMacros宏
( 5) 使用 Word 97的报警设置
( 6) 设置 Normal.dot的只读属性
( 7) Normal.dot的密码保护
2009年 7月 25日 6时 9分 计算机网络安全基础
6.4 宏病毒及网络病毒
6.4.2 网络病毒
1,网络病毒的特点计算机网络的主要特点是资源共享 。 一旦共享资源感染病毒,网络各结点间信息的频繁传输会把病毒传染到所共享的机器上,从而形成多种共享资源的交叉感染 。
病毒的迅速传播,再生,发作将造成比单机病毒更大的危害 。 对于金融等系统的敏感数据,一旦遭到破坏,后果就不堪设想 。 因此,网络环境下病毒的防治就显得更加重要了 。
病毒入侵网络的主要途径是通过工作站传播到服务器硬盘,再由服务器的共享目录传播到其它工作站 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.4 宏病毒及网络病毒
2,病毒在网络上的传播与表现大多数公司使用局域网文件服务器,用户直接从文件服务器复制已感染的文件 。 用户在工作站上执行一个带毒操作文件,这种病毒就会感染网络上其它可执行文件 。 用户在工作站上执行带毒内存驻留文件,当访问服务器上的可执行文件时进行感染 。
文件病毒可以通过因特网毫无困难地发送,而可执行文件病毒不能通过因特网在远程站点感染文件 。 此时因特网是文件病毒的载体 。
引导病毒在网络服务器上的表现:如果网络服务器计算机是从一块感染的软盘上引导的,那么网络服务器就可能被引导病毒感染 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.4 宏病毒及网络病毒
3,专攻网络的 GPI病毒
4.电子邮件病毒电子邮件系统的一个特点是不同的邮件系统使用不同的格式存储文件和文档,传统的杀毒软件对检测此类格式的文件无能为力。另外,通常用户并不能访问邮件数据库,因为它们往往在远程服务器上。对电子邮件系统进行病毒防护可从以下几个方面着手。
( 1) 使用优秀的防毒软件对电子邮件进行专门的保护
( 2) 使用防毒软件同时保护客户机和服务器
( 3) 使用特定的 SMTP杀毒软件
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
6.5.1 病毒的预防通过采取技术上和管理上的措施,计算机病毒是完全可以防范的。虽然新出现的病毒可采用更隐蔽的手段,
利用现有 DOS系统安全防护机制的漏洞,以及反病毒防御技术上尚存在的缺陷,使病毒能够一时得以在某一台
PC机上存活并进行某种破坏,但是只要在思想上有反病毒的警惕性,依靠使用反病毒技术和管理措施,这新病毒就无法逾越计算机安全保护屏障,从而不能广泛传播。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
( 1) 对新购置的计算机系统用检测病毒软件检查已知病毒,用人工检测方法检查未知病毒 。
( 2) 新购置的硬盘或出厂时已格式化好的软盘可能有病毒 。 对硬盘可以进行检测或进行低级格式化,因为对硬盘只做 DOS的 Format格式化是不能去除主引导区 ( 分区表扇区 ) 病毒的 。
( 3) 新购置的计算机软件也要进行病毒检测 。
( 4) 在保证硬盘无病毒的情况下,能用硬盘引导启动的,
尽量不要用软盘去启动 。
( 5) 很多 PC机可以通过设置 CMOS参数,使启动时直接从硬盘引导启动 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
( 6) 定期与不定期地进行磁盘文件备份工作 。
( 7) 对于软盘,要尽可能将数据和程序分别存放,装程序的软盘要进行写保护 。
( 8) 在别人的机器上使用过自己的已打开了写保护的软盘,再在自己的机器上使用,就应进行病毒检测 。
( 9) 应保留一张写保护的,无病毒的并带有各种命令文件的系统启动软盘,用于清除病毒和维护系统 。
( 10) 用 Bootsafe等实用程序或用 Debug编程提取分区表等方法做好分区表,DOS引导扇区等的备份工作,在进行系统维护和修复工作时可作为参考 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
( 11) 对于多人共用一台计算机的环境,应建立登记上机制度,做到使问题能尽早发现,有病毒能及时追查,清除,不致扩散 。
( 12) 启动 Novell网或其它网络的服务器时,一定要坚持用硬盘引导启动,否则在受到引导扇区型病毒感染和破坏后,遭受损失的将不是一个人的机器,而会影响到连接整个网络的中枢 。
( 13) 在网络服务器安装生成时,应将整个文件系统划分成多文件卷系统,而不是只划分成不区分系统,应用程序和用户独占的单卷文件系统 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
( 14) 安装服务器时应保证没有病毒存在,即安装环境不能带病毒,而网络操作系统本身不感染病毒 。
( 15) 网络系统管理员应将 SYS系统卷设置成对其它用户为只读状态,屏蔽其它网络用户对系统卷除读取以外的其它所有操作,如修改,改名,删除,创建文件和写文件等操作权限 。
( 16) 在应用程序卷安装共享软件时,应由系统管理员进行,或由系统管理员临时授权进行 。
( 17) 系统管理员对网络内的共享电子邮件系统,共享存储区域和用户卷进行病毒扫描,发现异常情况应及时处理,不使其扩散 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
( 18) 系统管理员的口令应严格管理,为了防止泄漏,要定期或不定期地进行更换,保护网络系统不被非法存取,
感染上病毒或遭受破坏 。
( 19) 在网络工作站上采取必要的抗病毒技术措施,可使网络用户一开机就有一个良好的上机环境,不必再担心来自网络内和网络工作站本身病毒 。
( 20) 在服务器上安装 Lan Protect等防病毒系统 。 实践表明,这些简单易行的措施是非常有效的 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除作为应急措施,网络系统管理员应牢记下列几条 。
( 1) 在因特网中,由于不可能有百分之百的把握来阻止某些未来可能出现的计算机病毒的传染,因此,当出现病毒传染迹象时,应立即隔离被感染的系统和网络并进行处理 。 不应让系统带病毒继续工作下去,要按照特别情况查清整个网络,使病毒无法反复出现来干扰工作 。
( 2) 由于计算机病毒在网络中传播得非常迅速,很多用户不知应如何处理 。 因此,应立即请求专家的帮助
( 3) 注意观察下列现象:
● 文件的大小和日期是否变化;
● 系统启动速度是否比平时慢;
● 不做写操作时出现,磁盘有写保护,信息;
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
● 对贴有写保护的软盘操作时声音很大;
● 系统运行速度异常慢;
● 用 MI检查内存发现不该驻留的程序已驻留;
● 键盘,打印或显示有异常现象;
● 有特殊文件自动生成;
● 磁盘空间自动产生坏簇或磁盘空间减少;
● 文件莫名其妙地丢失;
● 系统异常死机的次数增加 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
6.5.2 病毒的检查计算机病毒要进行传染,必然会留下痕迹 。 检测计算机病毒,就是要到病毒寄生场所去检查,发现异常情况,并进而验明,正身,,确认计算机病毒的存在 。 病毒静态时存储于磁盘中,激活时驻留在内存中,因此对计算机病毒的检测分为对内存的检测和对磁盘的检测 。
1,病毒的检查方法检测的原理主要是基于下列四种方法,比较被检测对象与原始备份的比较法,利用病毒特征代码串的搜索法,病毒体内特定位置的特征字识别法以及运用反汇编技术分析被检测对象,确认是否为病毒的分析法 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
( 1) 比较法比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较 。
( 2) 搜索法搜索法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描 。
( 3) 计算机病毒特征字的识别法计算机病毒特征字的识别法是基于特征串扫描法发展起来的一种新方法 。 它工作起来速度更快,误报警更少 。 特征字识别法只需从病毒体内抽取很少几个关键的特征字来组成特征字库 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
( 4) 分析法本方法由专业反病毒技术人员使用 。
分析法的目的在于:
① 确认被观察的磁盘引导区和程序中是否含有病毒;
② 确认病毒的类型和种类,判定其是否是一种新病毒;
③ 搞清楚病毒体的大致结构,提取特征识别用的字节串或特征字,用于增添到病毒代码库供病毒扫描和识别程序用;
④ 详细分析病毒代码,为制定相应的反病毒措施制定方案 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
2,病毒扫描程序这种程序找到病毒的主要办法之一就是寻找扫描串,
也被称为病毒特征 。 这些病毒特征能唯一地识别某种类型的病毒,扫描程序能在程序中寻找这种病毒特征 。
3,完整性检查程序另一类反病毒程序,它是通过识别文件和系统的改变来发现病毒,或病毒的影响 。
4,行为封锁软件该软件的目的是防止病毒的破坏 。 通常,这种软件试图在病毒马上就要开始工作时阻止它 。 每当某一反常的事情将要发生时,行为封锁软件就会检测到病毒并警告用户 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
6.5.3 计算机病毒的免疫计算机病毒的免疫,就是通过一定的方法,
使计算机自身具有防御计算机病毒感染的能力 。
1,建立程序的特征值档案
2,严格内存管理
3,中断向量管理
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
6.5.4 计算机感染病毒后的恢复
1,防止和修复引导记录病毒防止软引导记录,主引导记录和分区引导记录病毒的较好方法是改变计算机的磁盘引导顺序,避免从软盘引导 。 必须从软盘引导时,应该确认该软盘无毒 。
( 1) 修复感染的软盘
( 2) 修复感染的主引导记录
( 3) 利用反病毒软件修复
2,防止和修复可执行文件病毒
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
6.5.5 计算机病毒的清除
1,使用 DOS命令处理病毒
2,引导型病毒的处理与引导型病毒有关的扇区大概有下面三个部分 。
( 1) 硬盘的物理第一扇区,即 0柱面,0磁头,1扇区是开机之后存放的数据和程序是被最先访问和执行的 。 这个扇区成为,硬盘主引导扇区,。 在该扇区的前半部分,
称为,主引导记录,( Master Boot Record),简称
MBR。
( 2) 第二部分不是程序,而是非执行的数据,记录硬盘分区的信息,即人们常说的,硬盘分区表,( Partition
Table),从偏移量 1BEH开始,到 1FDH结束 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
( 3) 硬盘活动分区,大多是第一个分区的第一个扇区 。
一般位于 0柱面,1磁头,1扇区,这个扇区称为,活动分区的引导记录,,它是开机后继 MBR后运行的第二段代码的运行所在 。 其它分区也具有一个引导记录
( BOOT),但是其中的代码不会被执行 。
运行下面的程序来完成:
,Fdisk/ MBR”用于重写一个无毒的 MBR。
“Fdisk”用于读取或重写硬盘分区表 。
,Format C,/S”或,SYS C:,会重写一个无毒的
,活动分区的引导记录,。 对于可以更改活动分区的情况,需要另外特殊对待 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
3,宏病毒清除方法对于宏病毒最简单的清除步骤为:
( 1) 关闭 Word中的所有文档 。
( 2) 选择,工具 /模板 /管理器 /宏,选项 。
( 3) 删除左右两个列表框中所有的宏 ( 除了自己定义的 )
( 一般病毒宏为 AutoOpen,AutoNew或 AutoClose) 。
( 4) 关闭对话框 。
( 5) 选择,工具 /宏,选项 。 若有 AutoOpen,AutoNew或
AutoClose等宏,删除之 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
4,杀毒程序杀毒程序是许多反病毒程序中的一员,但它在处理病毒时,必须知道某种特别的病毒的信息,然后才能按需要对磁盘进行杀毒 。
对于文件型病毒,杀毒程序需要知道病毒的操作过程,
如它将病毒代码依附在文件头部还是尾部 。 一旦病毒被从文件中清除,文件便恢复到原先的状态,原先保存病毒的扇区被覆盖,从而消除了病毒被重新使用的可能性 。
对于引导扇区病毒,在使用杀毒程序时需格外的小心谨慎,因为在重新建立引导扇区和 MBR( 主引导记录)
时,如果出现错误,其后果是灾难性的,不但会导致磁盘分区的丢失,甚至丢失硬盘上的所有文件,使系统再也无法引导了。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.6 病毒防御解决方案
6.6.1 Intel多层次病毒防御方案
Intel LANDesk Virus Protect是一个易于管理的多层次病毒防御解决方案,它把病毒的检测,数据的保护,
以及集中式的全域控制组织在一起,从而保证了病毒
,治疗,并不比疾病本身更差 。
1,功能
Intel LANDesk Virus Protect 有下列三层保护的功能:
后台实时扫描,完整性保护和完整性检验 。
2.集中式管理
3.服务器 /客户机病毒防御的灵活选择
2009年 7月 25日 6时 9分 计算机网络安全基础
6.6 病毒防御解决方案
6.6.2 KV3000杀病毒软件简介
1,功能简介
KV3000是一套系列杀毒软件,可分为 DOS版和
Windows 95/98/ME/2000/NT4版,该软件保存在两张磁盘和一张光盘上 。 KV3000具有预防,浏览和消除病毒的功能,并具有独特的开放式系统 。
2,KV3000的功能和使用格式
3,保存和恢复正确的硬盘主引导信息
4,清除所有引导区型病毒
5.恢复当前硬盘的主引导信息
2009年 7月 25日 6时 9分 计算机网络安全基础
6.6 病毒防御解决方案
6.安装和使用实时监测病毒程序 KVW3000.EXE
2009年 7月 25日 6时 9分 计算机网络安全基础
6.6 病毒防御解决方案
6.6.3 瑞星 RISING99杀病毒软件简介
1,简介
“瑞星杀毒软件”世纪版、标准版和 OEM版,均包括 DOS版,Windows 95/98/NT版两个杀毒程序。但提供的功能不同,其中世纪版还包括实时监控程序(防火墙)。
2,DOS版菜单工作方式及使用方法
3.命令行工作方式的使用方法
4.引导型病毒提取程序
5,Windows 95/98/NT版的使用方法
6.实时监控“防火墙”
2009年 7月 25日 6时 9分 计算机网络安全基础小 结
1,计算机病毒
2,计算机病毒的传播
3,计算机病毒的特点及破坏行为
4,宏病毒及网络病毒
5,病毒的预防,检查和清除
2009年 7月 25日 6时 9分 计算机网络安全基础习题与思考题
1,什么是计算机病毒?
2,计算病毒的基本特征是什么?
3,简述计算机病毒攻击的对象及所造成的危害 。
4,病毒按寄生方式分为哪几类?
5,计算机病毒一般由哪几部分构成,各部分的作用是什么? 计算机病毒的预防有哪几方面?
6,简述检测计算机病毒的常用方法 。
7,简述宏病毒的特征及其清除方法 。
8,什么是计算机病毒免疫?
9,简述计算机病毒的防治措施 。
10,什么是网络病毒,防治网络病毒的要点是什么?
2009年 7月 25日 6时 9分 计算机网络安全基础第 6章 计算机病毒的防治本章主要内容:
1,计算机病毒
2,计算机病毒的传播
3,计算机病毒的特点及破坏行为
4,宏病毒及网络病毒
5,病毒的预防,检查和清除
6,病毒防御解决方案
2009年 7月 25日 6时 9分 计算机网络安全基础
6.1 什么是计算机病毒计算机病毒是一种,计算机程序,,它不仅能破坏计算机系统,而且还能够传播,感染到其它系统 。 它通常隐藏在其它看起来无害的程序中,能生成自身的复制并将其插入其它的程序中,执行恶意的行动 。
通常,计算机病毒可分为下列几类 。
( 1) 文件病毒 。 该病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上,然后,利用这些指令来调用附在文件中某处的病毒代码 。 当文件执行时,
病毒会调出自己的代码来执行,接着又返回到正常的执行系列 。 通常,这些情况发生得很快,以致于用户并不知道病毒代码已被执行 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.1 什么是计算机病毒
( 2) 引导扇区病毒 。 它会潜伏在软盘的引导扇区,或者是在硬盘的引导扇区,或主引导记录 ( 分区扇区中插入指令 ) 。 此时,如果计算机从被感染的软盘引导时,
病毒就会感染到引导硬盘,并把自己的代码调入内存 。
软盘并不需要一定是可引导的才能传播病毒,病毒可驻留在内存内并感染被访问的软盘 。 触发引导区病毒的典型事件是系统日期和时间 。
( 3) 多裂变病毒 。 多裂变病毒是文件和引导扇区病毒的混合种,它能感染可执行文件,从而能在网上迅速传播蔓延 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.1 什么是计算机病毒
( 4) 秘密病毒 。 这种病毒通过挂接中断把它所进行的修改和自己的真面目隐藏起来,具有很大的欺骗性 。 因此,
当某系统函数被调用时,这些病毒便,伪造,结果,使一切看起来非常正常 。 秘密病毒摧毁文件的方式是伪造文件大小和日期,隐藏对引导区的修改,而且使大多读操作重定向 。
( 5) 异形病毒 。 这是一种能变异的病毒,随着感染时间的不同而改变其不同的形式 。 不同的感染操作会使病毒在文件中以不同的方式出现,使传统的模式匹配法对此显得软弱无力 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.1 什么是计算机病毒
( 6) 宏病毒 。 宏病毒不只是感染可执行文件,它可以感染一般软件文件 。 虽然宏病毒不会有严重的危害,但它仍是令人讨厌的,因为它会影响系统的性能以及用户的工作效率 。 宏病毒是利用宏语言编写的,不面向操作系统,所以,它不受操作平台的约束,可以在 DOS、
Windows,Unix,Mac甚至在 OS/2系统中散播 。 这就是说,宏病毒能被传到任何可运行编写宏病毒的应用程序的机器中 。 宏病毒对病毒而言是一次革命 。 现在通过 E-
mail,3W强大的互联能力及宏语言的进一步强化,极大地增强了它的传播能力 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.2 计算机病毒的传播
6.2.1 计算机病毒的由来计算机病毒是由计算机黑客们编写的,这些人想证明它们能编写出不但可以干扰和摧毁计算机,而且能将破坏传播到其它系统的程序 。
最早被记录在案的病毒之一是 1983年由南加州大学学生 Fred Cohen编写的,当该程序安装在硬盘上后,就可以对自己进行复制扩展,使计算机遭到,自我破坏,。
1985年病毒程序通过电子公告牌向公众提供 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.2 计算机病毒的传播
6.2.2 计算机病毒的传播计算机病毒通过某个入侵点进入系统来感染该系统 。
最明显的也是最常见的入侵点是从工作站传到工作站的软盘 。 在计算机网络系统中,可能的入侵点还包括服务器,E-mail附加部分,BBS上下载的文件,3W站点,
FTP文件下载,共享网络文件及常规的网络通信,盗版软件,示范软件,电脑实验室和其它共享设备 。 此外,
也可以有其它的入侵点 。
病毒一旦进入系统以后,通常用以下两种方式传播:
( 1) 通过磁盘的关键区域;
( 2) 在可执行的文件中 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.2 计算机病毒的传播
6.2.3 计算机病毒的工作方式一般来说,病毒的工作方式与病毒所能表现出来的特性或功能是紧密相关的 。 病毒能表现出的几种特性或功能有:感染,变异,触发,破坏以及高级功能 ( 如隐身和多态 ) 。
1,感染任何计算机病毒的一个重要特性或功能是对计算机系统的感染 。 事实上,感染方法可用来区分两种主要类型的病毒:引导扇区病毒和文件感染病毒 。
( 1) 引导扇区病毒引导扇区病毒的一个非常重要的特点是对软盘和硬盘的引导扇区的攻击 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.2 计算机病毒的传播引导扇区是大部分系统启动或引导指令所保存的地方,而且对所有的磁盘来讲,不管是否可以引导,都有一个引导扇区 。 感染的主要方式就是发生在计算机通过已被感染的引导盘
( 常见的如一个软盘 )
引导时发生的 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.2 计算机病毒的传播
( 2) 文件型病毒文件型病毒与引导扇区病毒最大的不同之处是,
它攻击磁盘上的文件 。 它将自己依附在可执行的文件
( 通常是,com和,exe) 中,并等待程序的运行 。 这种病毒会感染其它的文件,而它自己却驻留在内存中 。 当该病毒完成了它的工作后,其宿主程序才被运行,使人看起来仿佛一切都很正常 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.2 计算机病毒的传播覆盖型文件病毒的一个特点是不改变文件的长度,
使原始文件看起来非常正常 。 即使是这样,一般的病毒扫描程序或病毒检测程序通常都可以检测到覆盖了程序的病毒代码的存在 。
前依附型文件病毒将自己加在可执行文件的开始部分,而后依附型文件病毒将病毒代码附加在可执行文件的末尾 。
伴随型文件病毒为,exe文件建立一个相应的含有病毒代码的,com文件 。 当运行,EXE文件时,控制权就转到隐藏的,com文件,病毒程序就得以运行 。 当执行完之后,控制权又返回到,exe文件 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.2 计算机病毒的传播
2,变异变异又称变种,这是病毒为逃避病毒扫描和其它反病毒软件的检测,以达到逃避检测的一种,功能,。
变异是病毒可以创建类似于自己,但又不同于自身,品种,的一种技术,它使病毒扫描程序难以检测 。 有的变异程序能够将普通的病毒转换成多态的病毒 。
3,触发不少计算机病毒为了能在合适的时候从事它的见不得人的勾当,往往需要预先设置一些触发的条件,并使之先置于未触发状态 。 如以时间,程序运行了次数和在文件病毒被复制到不同的系统上多少次之后作为触发条件 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.2 计算机病毒的传播
4,破坏破坏,是大多数人所提心吊胆的 。 破坏的形式是多种多样的,从无害到毁灭性的 。 破坏的方式总的来说可以归纳如下列几种:修改数据,破坏文件系统,删除系统上的文件,视觉和听觉效果 。
5,高级功能病毒计算机病毒经过几代的发展,在功能方面日趋高级,
它们尽可能地逃避检测,有的甚至被设计成能够躲开病毒扫描和反病毒软件 。 隐身病毒和多态病毒就属于这一类 。
多态病毒的最大特点能变异成不同的品种,每个新的病毒都与上一代有一些差别,每个新病毒都各不相同 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.3 计算机病毒的特点及破坏行为
6.3.1 计算机病毒的特点根据对计算机病毒的产生,传染和破坏行为的分析,
总结出病毒有以下几个主要特点 。
1,刻意编写人为破坏
2,自我复制能力
3,夺取系统控制权
4,隐蔽性
5,潜伏性
6,不可预见性
2009年 7月 25日 6时 9分 计算机网络安全基础
6.3 计算机病毒的特点及破坏行为
6.3.2 计算机病毒的破坏行为
( 1) 攻击系统数据区 。 攻击部位包括硬盘主引导扇区,
Boot扇区,FAT表,文件目录 。 一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复 。
( 2) 攻击文件 。 病毒对文件的攻击方式很多,如删除,
改名,替换内容,丢失簇和对文件加密等 。
( 3) 攻击内存 。 内存是计算机的重要资源,也是病毒攻击的重要目标 。 病毒额外地占用和消耗内存资源,可导致一些大程序运行受阻 。 病毒攻击内存的方式有大量占用,改变内存总量,禁止分配和蚕食内存等 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.3 计算机病毒的特点及破坏行为
( 4) 干扰系统运行,使运行速度下降 。 此类行为也是花样繁多,如不执行命令,干扰内部命令的执行,虚假报警,打不开文件,内部栈溢出,占用特殊数据区,时钟倒转,重启动,死机,强制游戏,扰乱串并接口等等 。
病毒激活时,系统时间延迟程序启动,在时钟中纳入循环计数,迫使计算机空转,运行速度明显下降 。
( 5) 干扰键盘,喇叭或屏幕 。 病毒干扰键盘操作,如响铃,封锁键盘,换字,抹掉缓存区字符,输入紊乱等 。
许多病毒运行时,会使计算机的喇叭发出响声 。 病毒扰乱显示的方式很多,如字符跌落,环绕,倒置,显示前一屏,光标下跌,滚屏,抖动,乱写等 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.3 计算机病毒的特点及破坏行为
( 6) 攻击 CMOS。 在机器的 CMOS中,保存着系统的重要数据,如系统时钟,磁盘类型和内存容量等,并具有校验和 。 有的病毒激活时,能够对 CMOS进行写入动作,
破坏 CMOS中的数据 。 例如 CIH病毒破坏计算机硬件,
乱写某些主板 BIOS芯片,损坏硬盘 。
( 7) 干扰打印机 。 如假报警,间断性打印或更换字符 。
( 8) 网络病毒破坏网络系统,非法使用网络资源,破坏电子邮件,发送垃圾信息,占用网络带宽等 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.4 宏病毒及网络病毒
6.4.1 宏病毒所谓宏,就是软件设计者为了在使用软件工作时,
避免一再的重复相同的动作而设计出来的一种工具 。 它利用简单的语法,把常用的动作写成宏,当再工作时,
就可以直接利用事先写好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作 。 在 Word中对宏定义为,宏就是能组织到一起作为一独立的命令使用的一系列 Word 命令,它能使日常工作变得更容易 。,Word宏是使用 Word Basic语言来编写的 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.4 宏病毒及网络病毒
1,宏病毒的行为和特征所谓,宏病毒,,就是利用软件所支持的宏命令编写成的具有复制,传染能力的宏 。 宏病毒是一种新形态的计算机病毒,也是一种跨平台式计算机病毒,可以在
Windows 9X,Windows NT,OS/2和 Macintosh System 7
等操作系统上执行病毒行为 。
( 1) 宏病毒行为机制
Word模式定义出一种文件格式,将文档资料以及该文档所需要的宏混在一起放在后缀为,doc的文件之中,
这种作法已经不同于以往的软件将资料和宏分开存储的方法 。 这种宏是文档资料,而文档资料的携带性极高,
如果宏随着文档而被分派到不同的工作平台,只要能被执行,它也就类似于计算机病毒的传染过程 。
2009年 7月 25日 6时 9分 计算机网络安全基础
( 2) 宏病毒特征
① 宏病毒会感染,doc文档和,dot模板文件 。
② 宏病毒的传染通常是 Word在打开一个带宏病毒的文档或模板时,激活宏病毒 。 病毒宏将自身复制到 Word
通用 ( Normal) 模板中,以后在打开或关闭文件时宏病毒就会把病毒复制到该文件中 。
③ 多数宏病毒包含 AutoOpen,AutoClose,AutoNew和
AutoExit等自动宏,通过这些自动宏病毒取得文档 ( 模板 ) 操作权 。
④ 宏病毒中总是含有对文档读写操作的宏命令 。
⑤ 宏病毒在,doc文档,,dot模板中以,BFF( Binary File
Format) 格式存放,这是一种加密压缩格式,不同
Word版本格式可能不兼容 。
6.4 宏病毒及网络病毒
2009年 7月 25日 6时 9分 计算机网络安全基础
6.4 宏病毒及网络病毒
2,宏病毒的防治和清除方法
( 1) 使用选项,提示保存 Normal模板,
( 2) 不要通过 Shift键来禁止运行自动宏
( 3) 查看宏代码并删除
( 4) 使用 DisableAutoMacros宏
( 5) 使用 Word 97的报警设置
( 6) 设置 Normal.dot的只读属性
( 7) Normal.dot的密码保护
2009年 7月 25日 6时 9分 计算机网络安全基础
6.4 宏病毒及网络病毒
6.4.2 网络病毒
1,网络病毒的特点计算机网络的主要特点是资源共享 。 一旦共享资源感染病毒,网络各结点间信息的频繁传输会把病毒传染到所共享的机器上,从而形成多种共享资源的交叉感染 。
病毒的迅速传播,再生,发作将造成比单机病毒更大的危害 。 对于金融等系统的敏感数据,一旦遭到破坏,后果就不堪设想 。 因此,网络环境下病毒的防治就显得更加重要了 。
病毒入侵网络的主要途径是通过工作站传播到服务器硬盘,再由服务器的共享目录传播到其它工作站 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.4 宏病毒及网络病毒
2,病毒在网络上的传播与表现大多数公司使用局域网文件服务器,用户直接从文件服务器复制已感染的文件 。 用户在工作站上执行一个带毒操作文件,这种病毒就会感染网络上其它可执行文件 。 用户在工作站上执行带毒内存驻留文件,当访问服务器上的可执行文件时进行感染 。
文件病毒可以通过因特网毫无困难地发送,而可执行文件病毒不能通过因特网在远程站点感染文件 。 此时因特网是文件病毒的载体 。
引导病毒在网络服务器上的表现:如果网络服务器计算机是从一块感染的软盘上引导的,那么网络服务器就可能被引导病毒感染 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.4 宏病毒及网络病毒
3,专攻网络的 GPI病毒
4.电子邮件病毒电子邮件系统的一个特点是不同的邮件系统使用不同的格式存储文件和文档,传统的杀毒软件对检测此类格式的文件无能为力。另外,通常用户并不能访问邮件数据库,因为它们往往在远程服务器上。对电子邮件系统进行病毒防护可从以下几个方面着手。
( 1) 使用优秀的防毒软件对电子邮件进行专门的保护
( 2) 使用防毒软件同时保护客户机和服务器
( 3) 使用特定的 SMTP杀毒软件
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
6.5.1 病毒的预防通过采取技术上和管理上的措施,计算机病毒是完全可以防范的。虽然新出现的病毒可采用更隐蔽的手段,
利用现有 DOS系统安全防护机制的漏洞,以及反病毒防御技术上尚存在的缺陷,使病毒能够一时得以在某一台
PC机上存活并进行某种破坏,但是只要在思想上有反病毒的警惕性,依靠使用反病毒技术和管理措施,这新病毒就无法逾越计算机安全保护屏障,从而不能广泛传播。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
( 1) 对新购置的计算机系统用检测病毒软件检查已知病毒,用人工检测方法检查未知病毒 。
( 2) 新购置的硬盘或出厂时已格式化好的软盘可能有病毒 。 对硬盘可以进行检测或进行低级格式化,因为对硬盘只做 DOS的 Format格式化是不能去除主引导区 ( 分区表扇区 ) 病毒的 。
( 3) 新购置的计算机软件也要进行病毒检测 。
( 4) 在保证硬盘无病毒的情况下,能用硬盘引导启动的,
尽量不要用软盘去启动 。
( 5) 很多 PC机可以通过设置 CMOS参数,使启动时直接从硬盘引导启动 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
( 6) 定期与不定期地进行磁盘文件备份工作 。
( 7) 对于软盘,要尽可能将数据和程序分别存放,装程序的软盘要进行写保护 。
( 8) 在别人的机器上使用过自己的已打开了写保护的软盘,再在自己的机器上使用,就应进行病毒检测 。
( 9) 应保留一张写保护的,无病毒的并带有各种命令文件的系统启动软盘,用于清除病毒和维护系统 。
( 10) 用 Bootsafe等实用程序或用 Debug编程提取分区表等方法做好分区表,DOS引导扇区等的备份工作,在进行系统维护和修复工作时可作为参考 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
( 11) 对于多人共用一台计算机的环境,应建立登记上机制度,做到使问题能尽早发现,有病毒能及时追查,清除,不致扩散 。
( 12) 启动 Novell网或其它网络的服务器时,一定要坚持用硬盘引导启动,否则在受到引导扇区型病毒感染和破坏后,遭受损失的将不是一个人的机器,而会影响到连接整个网络的中枢 。
( 13) 在网络服务器安装生成时,应将整个文件系统划分成多文件卷系统,而不是只划分成不区分系统,应用程序和用户独占的单卷文件系统 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
( 14) 安装服务器时应保证没有病毒存在,即安装环境不能带病毒,而网络操作系统本身不感染病毒 。
( 15) 网络系统管理员应将 SYS系统卷设置成对其它用户为只读状态,屏蔽其它网络用户对系统卷除读取以外的其它所有操作,如修改,改名,删除,创建文件和写文件等操作权限 。
( 16) 在应用程序卷安装共享软件时,应由系统管理员进行,或由系统管理员临时授权进行 。
( 17) 系统管理员对网络内的共享电子邮件系统,共享存储区域和用户卷进行病毒扫描,发现异常情况应及时处理,不使其扩散 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
( 18) 系统管理员的口令应严格管理,为了防止泄漏,要定期或不定期地进行更换,保护网络系统不被非法存取,
感染上病毒或遭受破坏 。
( 19) 在网络工作站上采取必要的抗病毒技术措施,可使网络用户一开机就有一个良好的上机环境,不必再担心来自网络内和网络工作站本身病毒 。
( 20) 在服务器上安装 Lan Protect等防病毒系统 。 实践表明,这些简单易行的措施是非常有效的 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除作为应急措施,网络系统管理员应牢记下列几条 。
( 1) 在因特网中,由于不可能有百分之百的把握来阻止某些未来可能出现的计算机病毒的传染,因此,当出现病毒传染迹象时,应立即隔离被感染的系统和网络并进行处理 。 不应让系统带病毒继续工作下去,要按照特别情况查清整个网络,使病毒无法反复出现来干扰工作 。
( 2) 由于计算机病毒在网络中传播得非常迅速,很多用户不知应如何处理 。 因此,应立即请求专家的帮助
( 3) 注意观察下列现象:
● 文件的大小和日期是否变化;
● 系统启动速度是否比平时慢;
● 不做写操作时出现,磁盘有写保护,信息;
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
● 对贴有写保护的软盘操作时声音很大;
● 系统运行速度异常慢;
● 用 MI检查内存发现不该驻留的程序已驻留;
● 键盘,打印或显示有异常现象;
● 有特殊文件自动生成;
● 磁盘空间自动产生坏簇或磁盘空间减少;
● 文件莫名其妙地丢失;
● 系统异常死机的次数增加 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
6.5.2 病毒的检查计算机病毒要进行传染,必然会留下痕迹 。 检测计算机病毒,就是要到病毒寄生场所去检查,发现异常情况,并进而验明,正身,,确认计算机病毒的存在 。 病毒静态时存储于磁盘中,激活时驻留在内存中,因此对计算机病毒的检测分为对内存的检测和对磁盘的检测 。
1,病毒的检查方法检测的原理主要是基于下列四种方法,比较被检测对象与原始备份的比较法,利用病毒特征代码串的搜索法,病毒体内特定位置的特征字识别法以及运用反汇编技术分析被检测对象,确认是否为病毒的分析法 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
( 1) 比较法比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较 。
( 2) 搜索法搜索法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描 。
( 3) 计算机病毒特征字的识别法计算机病毒特征字的识别法是基于特征串扫描法发展起来的一种新方法 。 它工作起来速度更快,误报警更少 。 特征字识别法只需从病毒体内抽取很少几个关键的特征字来组成特征字库 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
( 4) 分析法本方法由专业反病毒技术人员使用 。
分析法的目的在于:
① 确认被观察的磁盘引导区和程序中是否含有病毒;
② 确认病毒的类型和种类,判定其是否是一种新病毒;
③ 搞清楚病毒体的大致结构,提取特征识别用的字节串或特征字,用于增添到病毒代码库供病毒扫描和识别程序用;
④ 详细分析病毒代码,为制定相应的反病毒措施制定方案 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
2,病毒扫描程序这种程序找到病毒的主要办法之一就是寻找扫描串,
也被称为病毒特征 。 这些病毒特征能唯一地识别某种类型的病毒,扫描程序能在程序中寻找这种病毒特征 。
3,完整性检查程序另一类反病毒程序,它是通过识别文件和系统的改变来发现病毒,或病毒的影响 。
4,行为封锁软件该软件的目的是防止病毒的破坏 。 通常,这种软件试图在病毒马上就要开始工作时阻止它 。 每当某一反常的事情将要发生时,行为封锁软件就会检测到病毒并警告用户 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
6.5.3 计算机病毒的免疫计算机病毒的免疫,就是通过一定的方法,
使计算机自身具有防御计算机病毒感染的能力 。
1,建立程序的特征值档案
2,严格内存管理
3,中断向量管理
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
6.5.4 计算机感染病毒后的恢复
1,防止和修复引导记录病毒防止软引导记录,主引导记录和分区引导记录病毒的较好方法是改变计算机的磁盘引导顺序,避免从软盘引导 。 必须从软盘引导时,应该确认该软盘无毒 。
( 1) 修复感染的软盘
( 2) 修复感染的主引导记录
( 3) 利用反病毒软件修复
2,防止和修复可执行文件病毒
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
6.5.5 计算机病毒的清除
1,使用 DOS命令处理病毒
2,引导型病毒的处理与引导型病毒有关的扇区大概有下面三个部分 。
( 1) 硬盘的物理第一扇区,即 0柱面,0磁头,1扇区是开机之后存放的数据和程序是被最先访问和执行的 。 这个扇区成为,硬盘主引导扇区,。 在该扇区的前半部分,
称为,主引导记录,( Master Boot Record),简称
MBR。
( 2) 第二部分不是程序,而是非执行的数据,记录硬盘分区的信息,即人们常说的,硬盘分区表,( Partition
Table),从偏移量 1BEH开始,到 1FDH结束 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
( 3) 硬盘活动分区,大多是第一个分区的第一个扇区 。
一般位于 0柱面,1磁头,1扇区,这个扇区称为,活动分区的引导记录,,它是开机后继 MBR后运行的第二段代码的运行所在 。 其它分区也具有一个引导记录
( BOOT),但是其中的代码不会被执行 。
运行下面的程序来完成:
,Fdisk/ MBR”用于重写一个无毒的 MBR。
“Fdisk”用于读取或重写硬盘分区表 。
,Format C,/S”或,SYS C:,会重写一个无毒的
,活动分区的引导记录,。 对于可以更改活动分区的情况,需要另外特殊对待 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
3,宏病毒清除方法对于宏病毒最简单的清除步骤为:
( 1) 关闭 Word中的所有文档 。
( 2) 选择,工具 /模板 /管理器 /宏,选项 。
( 3) 删除左右两个列表框中所有的宏 ( 除了自己定义的 )
( 一般病毒宏为 AutoOpen,AutoNew或 AutoClose) 。
( 4) 关闭对话框 。
( 5) 选择,工具 /宏,选项 。 若有 AutoOpen,AutoNew或
AutoClose等宏,删除之 。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.5 病毒的预防、检查和清除
4,杀毒程序杀毒程序是许多反病毒程序中的一员,但它在处理病毒时,必须知道某种特别的病毒的信息,然后才能按需要对磁盘进行杀毒 。
对于文件型病毒,杀毒程序需要知道病毒的操作过程,
如它将病毒代码依附在文件头部还是尾部 。 一旦病毒被从文件中清除,文件便恢复到原先的状态,原先保存病毒的扇区被覆盖,从而消除了病毒被重新使用的可能性 。
对于引导扇区病毒,在使用杀毒程序时需格外的小心谨慎,因为在重新建立引导扇区和 MBR( 主引导记录)
时,如果出现错误,其后果是灾难性的,不但会导致磁盘分区的丢失,甚至丢失硬盘上的所有文件,使系统再也无法引导了。
2009年 7月 25日 6时 9分 计算机网络安全基础
6.6 病毒防御解决方案
6.6.1 Intel多层次病毒防御方案
Intel LANDesk Virus Protect是一个易于管理的多层次病毒防御解决方案,它把病毒的检测,数据的保护,
以及集中式的全域控制组织在一起,从而保证了病毒
,治疗,并不比疾病本身更差 。
1,功能
Intel LANDesk Virus Protect 有下列三层保护的功能:
后台实时扫描,完整性保护和完整性检验 。
2.集中式管理
3.服务器 /客户机病毒防御的灵活选择
2009年 7月 25日 6时 9分 计算机网络安全基础
6.6 病毒防御解决方案
6.6.2 KV3000杀病毒软件简介
1,功能简介
KV3000是一套系列杀毒软件,可分为 DOS版和
Windows 95/98/ME/2000/NT4版,该软件保存在两张磁盘和一张光盘上 。 KV3000具有预防,浏览和消除病毒的功能,并具有独特的开放式系统 。
2,KV3000的功能和使用格式
3,保存和恢复正确的硬盘主引导信息
4,清除所有引导区型病毒
5.恢复当前硬盘的主引导信息
2009年 7月 25日 6时 9分 计算机网络安全基础
6.6 病毒防御解决方案
6.安装和使用实时监测病毒程序 KVW3000.EXE
2009年 7月 25日 6时 9分 计算机网络安全基础
6.6 病毒防御解决方案
6.6.3 瑞星 RISING99杀病毒软件简介
1,简介
“瑞星杀毒软件”世纪版、标准版和 OEM版,均包括 DOS版,Windows 95/98/NT版两个杀毒程序。但提供的功能不同,其中世纪版还包括实时监控程序(防火墙)。
2,DOS版菜单工作方式及使用方法
3.命令行工作方式的使用方法
4.引导型病毒提取程序
5,Windows 95/98/NT版的使用方法
6.实时监控“防火墙”
2009年 7月 25日 6时 9分 计算机网络安全基础小 结
1,计算机病毒
2,计算机病毒的传播
3,计算机病毒的特点及破坏行为
4,宏病毒及网络病毒
5,病毒的预防,检查和清除
2009年 7月 25日 6时 9分 计算机网络安全基础习题与思考题
1,什么是计算机病毒?
2,计算病毒的基本特征是什么?
3,简述计算机病毒攻击的对象及所造成的危害 。
4,病毒按寄生方式分为哪几类?
5,计算机病毒一般由哪几部分构成,各部分的作用是什么? 计算机病毒的预防有哪几方面?
6,简述检测计算机病毒的常用方法 。
7,简述宏病毒的特征及其清除方法 。
8,什么是计算机病毒免疫?
9,简述计算机病毒的防治措施 。
10,什么是网络病毒,防治网络病毒的要点是什么?
