8.5 反病毒技术
8.5.1 病毒概述
8.5.2 宏病毒
8.5.3 CIH病毒
8.5.4 常用反病毒技术
第 8章 网络安全
8.5.1 病毒概述
1,病毒定义
计算机病毒 指编制或者在计算机程序中插入的破坏计算机功能或
者毁坏数据, 影响计算机使用, 并能自我复制的一组计算机指令或
者程序代码 。
一般地, 我们所讲的病毒包括 特洛伊木马, 病毒, 细菌和蠕虫等
等 。 特洛伊木马和病毒, 它们不能脱离某些特定的的应用程序, 应
用工具或系统而独立存在;而 细菌和蠕虫 是完整的程序, 操作系统
可以调度和运行它们 。 而且除特洛伊木马外, 其他三种形式的病毒
都有能够复制 。
第 8章 网络安全
8.5.1 病毒概述
2,病毒传染方式
病毒的传染途径 有电磁波、有线电路、军用或民用设备或直接放
毒等。 具体传播介质 有计算机网络、软硬磁盘和光盘等。根据传输过
程中病毒是否被激活,病毒传染分为静态传染和动态传染。
? 静态传染 是指由于用户使用了 COPY,DISKCOPY等拷贝
命令或类似操作,一个病毒连同其载体文件一起从一处被复制
到另一处。而被复制后的病毒不会引起其他文件感染。
? 动态传染 是指一个静态病毒被加载进入内存变为动态病毒
后,当其传染模块被激活所发生的传染操作,这是一种主动传
染方式。与动态传染相伴随的常常是病毒的发作 。
第 8章 网络安全
8.5.1 病毒概述
3,病毒的分类
按病毒感染的途径,病毒分为三类:
? 引导型病毒。 它是是藏匿在磁盘片或硬盘的第一个扇区。
每次启动计算机时,在操作系统还没被加载之前就被加载到内
存中,这个特性使得病毒完全控制 DOS的各类中断,并且拥有
更大的能力进行传染与破坏。
? 文件型病毒 。文件型病毒通常寄生在可执行文件中当这些
文件被执行时,病毒的程序就跟着被执行。根据病毒依传染方
式的不同,它分成非常驻型和常驻型 。
? 复合型病毒 。这类病毒兼具引导型病毒以及文件型病毒的
特性。它们可以传染 *.COM和 *.EXE 文件,也可以传染磁盘的
引导区。
第 8章 网络安全
8.5.1 病毒概述
4,病毒结构
计算机病毒 是一种特殊的程序,它寄生在正常的、合法的程序中,
并以各种方式潜伏下来,伺机进行感染和破坏。在这种情况下,称原
先的那个正常的、合法的程序为病毒的宿主或宿主程序。 病毒程序一
般由以下部份组成:
? 初始化部分 。它指随着病毒宿主程序的执行而进入内存并
使病毒相对独立于宿主程序的部分。
? 传染部分 。它指能使病毒代码连接于宿主程序之上的部分,
由传染的判断条件和完成病毒与宿主程序连接的病毒传染主体
部分组成。
? 破坏部分或表现部分。 主要指破坏被传染系统或者在被传
染系统设备上表现特定的现象。它是病毒程序的主体,在一定
程度上反映了病毒设计者的意图。
第 8章 网络安全
8.5.1 病毒概述
5,病毒感染原理
? 引导型病毒感染原理
引导型病毒 通过执行启动计算机的动作作为感染的途径。 一般正
常软盘启动动作为,开机、执行 BIOS、读入 BOOT程序执行和加载 DOS。
假定某张启动软盘已经了感染病毒,那么该软盘上的 BOOT扇区将
存放着病毒程序,而不是 BOOT 程序。所以,,读入 BOOT程序并执行,
将变成, 读入病毒程序并执行,,等到病毒入侵内存后,等到病毒入
侵内存后,再由病毒程序读入原始 BOOT程序,既然病毒 DOS先一步进
入内存中,自然在 DOS下的所有读写动作将受到病毒控制。所以,当
使用者只要对另一张干净的软盘进行读写,驻在内存中的病毒可以感
染这张软盘。
第 8章 网络安全
8.5.1 病毒概述
若启动盘是硬盘 。 因硬盘多了一个分区表, 分区表位于硬盘的
第 0面第 0道第 1扇区 。 当在, 读入 BOOT程序并执行, 之前是, 读入分
区表并执行,, 比软盘启动多了一道手续 。 所以和感染软盘不同的地
方是病毒不但可以感染硬盘的 BOOT扇区还可以感染硬盘的分区表 。
感染 BOOT扇区 是在, 读入分区表并执行, 之后,, 读入 BOOT
程序并执行, 之前, 读入病毒程序并执行, 。 感染分区表 是在, 读入
病毒程序并执行, 之后,, 读入分区表并执行, 之前, 读入 BOOT程序
并执行, 。
不管是软盘还是硬盘,引导型病毒一定比 DOS早一步进入内存
中,并控制读写动作,伺机感染其他未感染病毒的磁盘。
第 8章 网络安全
8.5.1 病毒概述
? 文件型病毒感染原理
对非常驻型病毒而言,只要一执行中毒的程序文件,病毒便立
即寻找磁盘中尚未感染病毒的文件,若找到了便加以感染。一般而言,
对于,COM型文件,病毒替换它的第一条指令;对于,ExE文件,病毒改
变入口指针。
而 常驻型病毒 必须常驻内存,才能达到感染其他文件的目的。在
每一个程序文件在执行时,都会调用 INT 21H中断命令,所以病毒必
须拦截 INT 21H的调用,使其先通过病毒的程序,再去执行真正的 INT
21H服务程序。这样,每个要被执行的程序文件都要先通过病毒, 检
查, 是否已中毒,若未中毒则病毒感染该文件。
? 复合型病毒感染原理
就启动动作来说,假设以感染复合型病毒的磁盘启动,那么病毒
便先潜入内存中,伺机感染其他未中毒的磁盘,而当 DOS载入内存后,
病毒再拦截 INT 21H已达到感染文件的目的。
第 8章 网络安全
8.5.1 病毒概述
6,病毒的网络威胁
? 工作站受到的威胁。 病毒对网络工作站的攻击途径主要 包
括,利用软盘读写进行传播, 通过网络共享进行攻击, 通过电
子邮件系统进行攻击,通过 FTP下载进行攻击和 通过 WWW浏
览进行攻击。
? 服务器受到的威胁。 网络操作系统一般都采用 Windows
NT/2000 Server和少量 Unix/Linux,而 Unix/Linux本身的计
算机病毒的流行报告几乎很少。但到目前为止感染 Windows
NT系统的病毒已有一定数量。
? Web站点受到的威胁。 一般 Web站点,用户访问量很大,
目前能通过 WEB站点传播的病毒只有脚本蠕虫、一些恶意
Java代码和 ActiveX。
第 8章 网络安全
8.5.2 宏病毒
1,宏病毒的传染原理
每个 Word文本对应一个模板,而且对文本进行操作时,如打开、
关闭文件等,都执行了相应模板中的宏程序,由此可知:
? 当打开一个带病毒模板后,该模板可以通过执行其中的宏
程序,如 AutoOpen,AutoExit等将自身所携带病毒程序拷贝
到 Word系统中的通用模板上,如 Normal.dot中。
? 若使用带病毒模板对文件进行操作时,如存盘 FileSave等,
可以将该文本文件重新存盘为带毒模板文件,即由原来不带宏
程序的纯文本文件转换为带病毒的模板文件。
上述两步循环就构成了病毒的基本传染原理。
第 8章 网络安全
8.5.2 宏病毒
2,宏病毒的危害
Word宏病毒几乎是唯一可跨越不同硬件平台而生存, 传染和流
行的一类病毒 。 与感染普通,EXE或,COM文件的病毒相比, Word宏病毒
具有 隐蔽性强, 传播迅速, 危害严重, 难以防治等特点 。 具体表现为,
? 对 Word的运行破坏 。 不能正常打印, 封闭或改变文件存储
路径, 将文件改名等 。
? 对系统的破坏 。 Word Basic语言能够调用系统命令, 这将
造成破坏 。
第 8章 网络安全
8.5.2 宏病毒
3,宏病毒的预防与清除
为了有效防止 Word系统被感染,可将常用的 Word模板文件改为只
读属性。当文件被感染后,应及时加以清除,以防其进一步扩散和复
制。 通常可采取以下措施:
? 手工杀毒。 以 Word为例,从, 工具, 菜单选取, 宏, 一项,
进入, 管理器,,选取标题为, 宏, 的一页,在, 宏 有效范
围, 下拉列表框中打开要检查的文档。这时在上面的列表框中
就会出现该文档模板中所含的宏,将不明来源的自动执行宏删
除即可。
? 使用专业软件杀毒。 目前杀毒软件公司都具备清除宏病毒
的能力,当然也只能对已知的宏病毒进行检查和清除,对于新
出现的病毒或病毒的变种则可能不能正常地清除,或者将会破
坏文件的完整性,此时还是采取手工清理。
第 8章 网络安全
8.5.3 CIH病毒
1,CIH病毒工作原理
CIH病毒 属于文件型病毒,只感染 Windows9X下可执行文件。当受
感染的,EXE文件执行后,该病毒便驻留内存中,并感染所接触到的其
他 PE格式执行程序。 CIH通过 攻击 BIOS,覆盖硬盘,进入 Windows内
核实现对硬盘的破坏。
? 攻击 BIOS。 当 CIH发作时,它会试图向 BIOS中写入垃圾信息,
BIOS中的内容会被彻底洗去。
? 覆盖硬盘。 CIH发作时,调节器用 IOS-Send Command直接对
硬盘进行存取,将垃圾代码以 208个扇区为单位,循环写入硬盘,
直到所有硬盘上的数据均被破坏为止。
? 进入 Windows内核。 无论是要攻击 BIOS,还是设法驻留内存
来为病毒传播创造条件,对 CIH这类病毒而言,关键是要进入
Windows内核,取得核心级控制权。
第 8章 网络安全
8.5.2 CIH病毒
2,CIH病毒 防范措施
? 修改系统时间,跳过病毒的发作日。
? 有些电脑系统主板具备 BIOS写保护跳线,但一般设臵均为
开,可将其拨至关的位臵,这样可以防止病毒向 BIOS写入信息。
? 检查 CIH病毒的方法可采用压缩并解压缩文件的方式,如果
解压缩出现问题,多半可以肯定有 CIHV 1.2的存在,但用该方
法不能判断 CIHV 1.4病毒。
? 用户不要轻易启动从电子邮件或从网站上下载的未知软件。
? 由于病毒将垃圾码写入硬盘,导致硬盘的数据是不能恢复,
务必将重要数据备份,以免造成损失。
第 8章 网络安全
8.5.4 常用反病毒技术
1,反病毒技术分类
从研究的角度,反病毒技术主要分3类:
? 预防病毒技术。 它通过自身常驻系统内存,优先获得系统
的控制权,监视和判断系统中是否有病毒存在,进而阻止计算
机病毒进入计算机系统和对系统进行破坏。
? 检测病毒技术。 它是通过对计算机病毒的特征来进行判断
的侦测技术,如自身校验、关键字等。
? 消除病毒技术。 它通过对病毒的分析,杀除病毒并恢复原
文件。
第 8章 网络安全
8.5.4 常用反病毒技术
2,常用反病毒技术
从具体实现技术的角度,常用的反病毒技术有:
? 病毒代码扫描法。 将新发现的病毒加以分析后根据其特征
编成病毒代码,加入病毒特征库中。每当执行杀毒程序时,便
立刻扫描程序文件,并与病毒代码比对,便能检测到是否有病
毒。
? 加总比对法 (Check-sum)。 根据每个程序的文件名称、大小、
时间、日期及内容,加总为一个检查码,再将检查码附在程序
后面,或是将所有检查码放在同一个资料库中,再利用 Check-
sum系统,追踪并记录每个程序的检查码是否遭更改,以判断
是否中毒。
第 8章 网络安全
8.5.4 常用反病毒技术
? 人工智能陷阱。 它是一种监测电脑行为的常驻式扫描技术。
它将所有病毒所产生的行为归纳起来,一旦发现内存的程序有
任何不当的行为,系统就会有所警觉,并告知用户。
? 软件模拟扫描法。 它专门用来对付千面人病毒。千面人病
毒在每次传染时,都以不同的随机数加密于每个中毒的文件中,
传统病毒代码比对的方式根本就无法找到这种病毒。 软件模拟
技术则 是成功地模拟 CPU执行,在其设计的 DOS虚拟机器下模拟
执行病毒的变体引擎解码程序,将多型体病毒解开,使其显露
原本的面目,再加以扫描。
? VICE先知扫描法。 由于 软件模拟 可以建立一个保护模式下
的 DOS虚拟机器,模拟 CPU动作并模拟执行程序以解开变体引擎
病毒,应用类似的技术也可以用来分析一般程序检查可疑的病
毒代码。因此,VICE将工程师用来判断程序是否有病毒代码存
在的方法,分析归纳成专家系统知识库,再利用软件工程的模
拟技术假执行新的病毒,就可分析出新病毒代码对付以后的病
毒。
第 8章 网络安全
8.5.4 常用反病毒技术
? 实时的 I/O扫描。 通过即时地对信息的输入 /输出动作做病
毒代码比对的动作,希望能够在病毒尚未被执行之前,就能够
将其防堵下来。理论上,这样的实时扫描程序会影响到整体的
信息传输速率,但是使用实时的 I/O扫描,文件传送进来之后,
就等于扫过了一次毒。
? 文件宏病毒陷阱。 它结合了病毒代码比对与人工智慧陷阱
技术,依病毒行为模式来检测已知及未知的宏病毒。其中,配
合对象链接与嵌套技术,可将宏与文件分开,回快扫描,并可
有效地将宏病毒彻底清除。
? 空中抓毒。 在信息传输过程中经过的一个节点即一台电脑
上设计一套防毒软件,把网络中所有可能带有病毒的信息进行
扫描,接收从网络中送来的信息。把我们要扫描的信息在这台
电脑中暂时储存起来,然后扫描储存的信息,并根据管理员的
设定处理中毒的文件,最后把检查过或处理过的信息传送到它
原来要传送的电脑上。
第 8章 网络安全
8.5.4 常用反病毒技术
? 主动内核技术。 它是将已经开发的各种网络防病毒技术从
源程序级嵌入到操作系统或网络系统的内核中,实现网络防病
毒产品与操作系统的无缝连接。这种技术可以保证网络防病毒
模块从系统的底层内核与各种操作系统和应用环境密切协调,
确保防毒操作不会伤及到操作系统内核,同时确保杀灭病毒的
功效。
8.5.1 病毒概述
8.5.2 宏病毒
8.5.3 CIH病毒
8.5.4 常用反病毒技术
第 8章 网络安全
8.5.1 病毒概述
1,病毒定义
计算机病毒 指编制或者在计算机程序中插入的破坏计算机功能或
者毁坏数据, 影响计算机使用, 并能自我复制的一组计算机指令或
者程序代码 。
一般地, 我们所讲的病毒包括 特洛伊木马, 病毒, 细菌和蠕虫等
等 。 特洛伊木马和病毒, 它们不能脱离某些特定的的应用程序, 应
用工具或系统而独立存在;而 细菌和蠕虫 是完整的程序, 操作系统
可以调度和运行它们 。 而且除特洛伊木马外, 其他三种形式的病毒
都有能够复制 。
第 8章 网络安全
8.5.1 病毒概述
2,病毒传染方式
病毒的传染途径 有电磁波、有线电路、军用或民用设备或直接放
毒等。 具体传播介质 有计算机网络、软硬磁盘和光盘等。根据传输过
程中病毒是否被激活,病毒传染分为静态传染和动态传染。
? 静态传染 是指由于用户使用了 COPY,DISKCOPY等拷贝
命令或类似操作,一个病毒连同其载体文件一起从一处被复制
到另一处。而被复制后的病毒不会引起其他文件感染。
? 动态传染 是指一个静态病毒被加载进入内存变为动态病毒
后,当其传染模块被激活所发生的传染操作,这是一种主动传
染方式。与动态传染相伴随的常常是病毒的发作 。
第 8章 网络安全
8.5.1 病毒概述
3,病毒的分类
按病毒感染的途径,病毒分为三类:
? 引导型病毒。 它是是藏匿在磁盘片或硬盘的第一个扇区。
每次启动计算机时,在操作系统还没被加载之前就被加载到内
存中,这个特性使得病毒完全控制 DOS的各类中断,并且拥有
更大的能力进行传染与破坏。
? 文件型病毒 。文件型病毒通常寄生在可执行文件中当这些
文件被执行时,病毒的程序就跟着被执行。根据病毒依传染方
式的不同,它分成非常驻型和常驻型 。
? 复合型病毒 。这类病毒兼具引导型病毒以及文件型病毒的
特性。它们可以传染 *.COM和 *.EXE 文件,也可以传染磁盘的
引导区。
第 8章 网络安全
8.5.1 病毒概述
4,病毒结构
计算机病毒 是一种特殊的程序,它寄生在正常的、合法的程序中,
并以各种方式潜伏下来,伺机进行感染和破坏。在这种情况下,称原
先的那个正常的、合法的程序为病毒的宿主或宿主程序。 病毒程序一
般由以下部份组成:
? 初始化部分 。它指随着病毒宿主程序的执行而进入内存并
使病毒相对独立于宿主程序的部分。
? 传染部分 。它指能使病毒代码连接于宿主程序之上的部分,
由传染的判断条件和完成病毒与宿主程序连接的病毒传染主体
部分组成。
? 破坏部分或表现部分。 主要指破坏被传染系统或者在被传
染系统设备上表现特定的现象。它是病毒程序的主体,在一定
程度上反映了病毒设计者的意图。
第 8章 网络安全
8.5.1 病毒概述
5,病毒感染原理
? 引导型病毒感染原理
引导型病毒 通过执行启动计算机的动作作为感染的途径。 一般正
常软盘启动动作为,开机、执行 BIOS、读入 BOOT程序执行和加载 DOS。
假定某张启动软盘已经了感染病毒,那么该软盘上的 BOOT扇区将
存放着病毒程序,而不是 BOOT 程序。所以,,读入 BOOT程序并执行,
将变成, 读入病毒程序并执行,,等到病毒入侵内存后,等到病毒入
侵内存后,再由病毒程序读入原始 BOOT程序,既然病毒 DOS先一步进
入内存中,自然在 DOS下的所有读写动作将受到病毒控制。所以,当
使用者只要对另一张干净的软盘进行读写,驻在内存中的病毒可以感
染这张软盘。
第 8章 网络安全
8.5.1 病毒概述
若启动盘是硬盘 。 因硬盘多了一个分区表, 分区表位于硬盘的
第 0面第 0道第 1扇区 。 当在, 读入 BOOT程序并执行, 之前是, 读入分
区表并执行,, 比软盘启动多了一道手续 。 所以和感染软盘不同的地
方是病毒不但可以感染硬盘的 BOOT扇区还可以感染硬盘的分区表 。
感染 BOOT扇区 是在, 读入分区表并执行, 之后,, 读入 BOOT
程序并执行, 之前, 读入病毒程序并执行, 。 感染分区表 是在, 读入
病毒程序并执行, 之后,, 读入分区表并执行, 之前, 读入 BOOT程序
并执行, 。
不管是软盘还是硬盘,引导型病毒一定比 DOS早一步进入内存
中,并控制读写动作,伺机感染其他未感染病毒的磁盘。
第 8章 网络安全
8.5.1 病毒概述
? 文件型病毒感染原理
对非常驻型病毒而言,只要一执行中毒的程序文件,病毒便立
即寻找磁盘中尚未感染病毒的文件,若找到了便加以感染。一般而言,
对于,COM型文件,病毒替换它的第一条指令;对于,ExE文件,病毒改
变入口指针。
而 常驻型病毒 必须常驻内存,才能达到感染其他文件的目的。在
每一个程序文件在执行时,都会调用 INT 21H中断命令,所以病毒必
须拦截 INT 21H的调用,使其先通过病毒的程序,再去执行真正的 INT
21H服务程序。这样,每个要被执行的程序文件都要先通过病毒, 检
查, 是否已中毒,若未中毒则病毒感染该文件。
? 复合型病毒感染原理
就启动动作来说,假设以感染复合型病毒的磁盘启动,那么病毒
便先潜入内存中,伺机感染其他未中毒的磁盘,而当 DOS载入内存后,
病毒再拦截 INT 21H已达到感染文件的目的。
第 8章 网络安全
8.5.1 病毒概述
6,病毒的网络威胁
? 工作站受到的威胁。 病毒对网络工作站的攻击途径主要 包
括,利用软盘读写进行传播, 通过网络共享进行攻击, 通过电
子邮件系统进行攻击,通过 FTP下载进行攻击和 通过 WWW浏
览进行攻击。
? 服务器受到的威胁。 网络操作系统一般都采用 Windows
NT/2000 Server和少量 Unix/Linux,而 Unix/Linux本身的计
算机病毒的流行报告几乎很少。但到目前为止感染 Windows
NT系统的病毒已有一定数量。
? Web站点受到的威胁。 一般 Web站点,用户访问量很大,
目前能通过 WEB站点传播的病毒只有脚本蠕虫、一些恶意
Java代码和 ActiveX。
第 8章 网络安全
8.5.2 宏病毒
1,宏病毒的传染原理
每个 Word文本对应一个模板,而且对文本进行操作时,如打开、
关闭文件等,都执行了相应模板中的宏程序,由此可知:
? 当打开一个带病毒模板后,该模板可以通过执行其中的宏
程序,如 AutoOpen,AutoExit等将自身所携带病毒程序拷贝
到 Word系统中的通用模板上,如 Normal.dot中。
? 若使用带病毒模板对文件进行操作时,如存盘 FileSave等,
可以将该文本文件重新存盘为带毒模板文件,即由原来不带宏
程序的纯文本文件转换为带病毒的模板文件。
上述两步循环就构成了病毒的基本传染原理。
第 8章 网络安全
8.5.2 宏病毒
2,宏病毒的危害
Word宏病毒几乎是唯一可跨越不同硬件平台而生存, 传染和流
行的一类病毒 。 与感染普通,EXE或,COM文件的病毒相比, Word宏病毒
具有 隐蔽性强, 传播迅速, 危害严重, 难以防治等特点 。 具体表现为,
? 对 Word的运行破坏 。 不能正常打印, 封闭或改变文件存储
路径, 将文件改名等 。
? 对系统的破坏 。 Word Basic语言能够调用系统命令, 这将
造成破坏 。
第 8章 网络安全
8.5.2 宏病毒
3,宏病毒的预防与清除
为了有效防止 Word系统被感染,可将常用的 Word模板文件改为只
读属性。当文件被感染后,应及时加以清除,以防其进一步扩散和复
制。 通常可采取以下措施:
? 手工杀毒。 以 Word为例,从, 工具, 菜单选取, 宏, 一项,
进入, 管理器,,选取标题为, 宏, 的一页,在, 宏 有效范
围, 下拉列表框中打开要检查的文档。这时在上面的列表框中
就会出现该文档模板中所含的宏,将不明来源的自动执行宏删
除即可。
? 使用专业软件杀毒。 目前杀毒软件公司都具备清除宏病毒
的能力,当然也只能对已知的宏病毒进行检查和清除,对于新
出现的病毒或病毒的变种则可能不能正常地清除,或者将会破
坏文件的完整性,此时还是采取手工清理。
第 8章 网络安全
8.5.3 CIH病毒
1,CIH病毒工作原理
CIH病毒 属于文件型病毒,只感染 Windows9X下可执行文件。当受
感染的,EXE文件执行后,该病毒便驻留内存中,并感染所接触到的其
他 PE格式执行程序。 CIH通过 攻击 BIOS,覆盖硬盘,进入 Windows内
核实现对硬盘的破坏。
? 攻击 BIOS。 当 CIH发作时,它会试图向 BIOS中写入垃圾信息,
BIOS中的内容会被彻底洗去。
? 覆盖硬盘。 CIH发作时,调节器用 IOS-Send Command直接对
硬盘进行存取,将垃圾代码以 208个扇区为单位,循环写入硬盘,
直到所有硬盘上的数据均被破坏为止。
? 进入 Windows内核。 无论是要攻击 BIOS,还是设法驻留内存
来为病毒传播创造条件,对 CIH这类病毒而言,关键是要进入
Windows内核,取得核心级控制权。
第 8章 网络安全
8.5.2 CIH病毒
2,CIH病毒 防范措施
? 修改系统时间,跳过病毒的发作日。
? 有些电脑系统主板具备 BIOS写保护跳线,但一般设臵均为
开,可将其拨至关的位臵,这样可以防止病毒向 BIOS写入信息。
? 检查 CIH病毒的方法可采用压缩并解压缩文件的方式,如果
解压缩出现问题,多半可以肯定有 CIHV 1.2的存在,但用该方
法不能判断 CIHV 1.4病毒。
? 用户不要轻易启动从电子邮件或从网站上下载的未知软件。
? 由于病毒将垃圾码写入硬盘,导致硬盘的数据是不能恢复,
务必将重要数据备份,以免造成损失。
第 8章 网络安全
8.5.4 常用反病毒技术
1,反病毒技术分类
从研究的角度,反病毒技术主要分3类:
? 预防病毒技术。 它通过自身常驻系统内存,优先获得系统
的控制权,监视和判断系统中是否有病毒存在,进而阻止计算
机病毒进入计算机系统和对系统进行破坏。
? 检测病毒技术。 它是通过对计算机病毒的特征来进行判断
的侦测技术,如自身校验、关键字等。
? 消除病毒技术。 它通过对病毒的分析,杀除病毒并恢复原
文件。
第 8章 网络安全
8.5.4 常用反病毒技术
2,常用反病毒技术
从具体实现技术的角度,常用的反病毒技术有:
? 病毒代码扫描法。 将新发现的病毒加以分析后根据其特征
编成病毒代码,加入病毒特征库中。每当执行杀毒程序时,便
立刻扫描程序文件,并与病毒代码比对,便能检测到是否有病
毒。
? 加总比对法 (Check-sum)。 根据每个程序的文件名称、大小、
时间、日期及内容,加总为一个检查码,再将检查码附在程序
后面,或是将所有检查码放在同一个资料库中,再利用 Check-
sum系统,追踪并记录每个程序的检查码是否遭更改,以判断
是否中毒。
第 8章 网络安全
8.5.4 常用反病毒技术
? 人工智能陷阱。 它是一种监测电脑行为的常驻式扫描技术。
它将所有病毒所产生的行为归纳起来,一旦发现内存的程序有
任何不当的行为,系统就会有所警觉,并告知用户。
? 软件模拟扫描法。 它专门用来对付千面人病毒。千面人病
毒在每次传染时,都以不同的随机数加密于每个中毒的文件中,
传统病毒代码比对的方式根本就无法找到这种病毒。 软件模拟
技术则 是成功地模拟 CPU执行,在其设计的 DOS虚拟机器下模拟
执行病毒的变体引擎解码程序,将多型体病毒解开,使其显露
原本的面目,再加以扫描。
? VICE先知扫描法。 由于 软件模拟 可以建立一个保护模式下
的 DOS虚拟机器,模拟 CPU动作并模拟执行程序以解开变体引擎
病毒,应用类似的技术也可以用来分析一般程序检查可疑的病
毒代码。因此,VICE将工程师用来判断程序是否有病毒代码存
在的方法,分析归纳成专家系统知识库,再利用软件工程的模
拟技术假执行新的病毒,就可分析出新病毒代码对付以后的病
毒。
第 8章 网络安全
8.5.4 常用反病毒技术
? 实时的 I/O扫描。 通过即时地对信息的输入 /输出动作做病
毒代码比对的动作,希望能够在病毒尚未被执行之前,就能够
将其防堵下来。理论上,这样的实时扫描程序会影响到整体的
信息传输速率,但是使用实时的 I/O扫描,文件传送进来之后,
就等于扫过了一次毒。
? 文件宏病毒陷阱。 它结合了病毒代码比对与人工智慧陷阱
技术,依病毒行为模式来检测已知及未知的宏病毒。其中,配
合对象链接与嵌套技术,可将宏与文件分开,回快扫描,并可
有效地将宏病毒彻底清除。
? 空中抓毒。 在信息传输过程中经过的一个节点即一台电脑
上设计一套防毒软件,把网络中所有可能带有病毒的信息进行
扫描,接收从网络中送来的信息。把我们要扫描的信息在这台
电脑中暂时储存起来,然后扫描储存的信息,并根据管理员的
设定处理中毒的文件,最后把检查过或处理过的信息传送到它
原来要传送的电脑上。
第 8章 网络安全
8.5.4 常用反病毒技术
? 主动内核技术。 它是将已经开发的各种网络防病毒技术从
源程序级嵌入到操作系统或网络系统的内核中,实现网络防病
毒产品与操作系统的无缝连接。这种技术可以保证网络防病毒
模块从系统的底层内核与各种操作系统和应用环境密切协调,
确保防毒操作不会伤及到操作系统内核,同时确保杀灭病毒的
功效。
