浅谈ARP病毒的运行原理及防护方法
摘要:防范ARP病毒的常见策略是对主机进行保护,但是连入网络中的计算机非常多,如果对每台计算机进行保护,现实中很难实现。从运行原理对ARP病毒进行分析研究,对网络设备进行设置,从而达到控制ARP病毒的作用。
关键词:网络协议;ARP攻击;防护
随着信息化水平越来越高,对网络的依赖程度日益加深。Internet已经成为人们生活、学习、工作中不可缺少的一部分。网络在给我们提供方便的同时,也对网络安全提出新的挑战,其中ARP病毒是最常见的攻击方法之一。ARP的欺骗技术已经被越来越多的病毒所使用,因此对ARP病毒攻击的防范也变得越来越重要。
1、ARP病毒攻击原理
在Internet中,一台主机要和另一台主机进行通信,必须要知道目标主机的IP地址,但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的,只能识别其硬件地址即MAC地址。MAC地址是48位的,通常表示为12个16进制数,每2个16进制数之间用“-”或者冒号隔开,如:00-0B-2F13-1A-11就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址,网卡之间发送数据,只能根
据对方网卡的MAC地址进行发送,这时就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议,IP地址转换为物理地址是通过ARP协议来完成的。Arp协议是TCP/IP协议组的一个协议,用于进行
又称MAC地址)。通常此类攻击的手段有把网络地址翻译成物理地址(
两种:路由欺骗和网关欺骗。ARP病毒是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。如果伪造IP地址和物理地址,就能实现ARP欺骗,用伪造的物理地址发送响应包,病毒会将该机器的物理地址映射到网关的IP地址上,向局域网内大量发送ARP包,致同一网段地址内的其它机器误将其作为网关,掉线时内网是互通的,计算机却不能上网。攻击者只要不间断发出伪造的ARP包就能更改主机ARP缓存中的IP地址和物理地址,造成网络故障。例如,如果主机向从机发送一个虚假的ARP数据包,主机的IP地址是10.0.0.1,MAC地址是FA-4D3C-25-43-BA,但是主机真实的物理地址是3F-88-63-25-BA-C6,很明显被伪造了。当从机接收到主机伪造的ARP应答,就会更新本地的ARP缓存,当大量的虚假信息向局域网中发送时,就会造成机器ARP缓存崩溃。
ARP攻击是的主要现象有:
1)网上银行、游戏及QQ账号的频繁丢失。一些人为了获取非法利益,利用ARP欺骗程序在网内进行非法活动,此类程序的主要目的在于破解账号登陆时的加密解密算法,通过截取局域网中的数据包,
然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒,就可以获得整个局域网中上网用户账号的详细信息并盗取。
2)网速时快时慢,极其不稳定,但单机进行光纤数据测试时一切正常。当局域内的某台计算机被ARP的欺骗程序非法侵入后,它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包,阻塞网络通道,造成网络设备的承载过重,导致网络的通讯质量不稳定。
3)局域网内频繁性区域或整体掉线,重启计算机或网络设备后恢复正常。当带有ARP欺骗程序的计算机在网内进行通讯时,就会导致频繁掉线,出现此类问题后重启计算机或禁用网卡会暂时解决问题,但掉线情况还会发生。
2、定位ARP攻击源头
第一种是采取主动的寻找方式。一般进行ARP攻击的机器,网卡会处于混杂模式,因此可用专用的查杀工具扫描局域网,如果发现有机器的网卡处于混杂模式,那么这台网卡处于混杂模式的机器有可能就是攻击源。确定攻击源头后,就可用专门的软件进行处理。
其次我们也可以采用被动的方式。
1)检查本机的“ARP欺骗”木马染毒进程,点选“进程”标签。察看其中是否有一个名为“MIRO.dat”的进程。如果有,则说明已经中毒。右键点击此进程后选择“结束进程”。
2)检查网内感染“ARP欺骗”木马染毒的计算机。
?在“开始”“运行”输入cmd后确定。
?在弹出的命令提示符框中输入并执行以下命令ipconfig
?记录网关IP地址,即“Default Gateway”对应的值,例如“10.0.1.1”。
?再输入并执行以下命令:arpa
?在“Internet Address”下找到上步记录的网关IP地址,记录其对应的物理地址,即“Physical Address”值,例如“00-05-e-1f-35-54”。在网络正常时这就是网关的正确物理地址,在网络受“ARP欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
3、ARP攻击的防范方法
1)现在网上有很多ARP病毒定位工具,其中做得较好的是Anti ARPSniffer(现在已更名为ARP防火墙),下面我就演示一下使用Anti ARPSniffer这个工具软件来定位ARP中毒电脑。首先打开Anti ARP
Sniffer软件,输入网关的IP地址之后,再点击红色框内的“枚举MAC”按钮,即可获得正确网关的MAC地址,接着点击“自动保护”按钮,即可保护当前网卡与网关的正常通信。当局域网中存在ARP欺骗时,该数据包会被Anti ARP Sniffer记录,该软件会以气泡的形式报警。
2)使用抓包工具,分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己,有些是发出虚假ARP回应包来混淆网络通信。第一种处理比较容易,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感染病毒的电脑和手工处理病毒,比较困难。
3)静态ARP绑定网关。在能正常上网时,进入MS-DOS窗口,输入命令:arp-a,查看网关的IP对应的正确MAC地址,并将其记录下来。如果计算机已经有网关的正确MAC地址,而不能上网。只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。
参考文献:
[1]张曾科,计算机网络,清华大学出版社,2004
[2]邱雪松,ARP病毒原理与防御,柳钢科技出版社,2006
[3]黄玉春、王自南,浅谈局域网中的嗅探原理和ARP欺骗,大众科技出版社,2006
计算机病毒防护论文计算机病毒防治论文:浅析计算机病毒防治与数据安全
计算机病毒防护论文计算机病毒防治论文:
浅析计算机病毒防治与数据安全
,摘要, 随着计算机在社会生活中各个领域的广泛运用及网络的迅速发展,计算机网络给人们带来了无穷尽的资源,但随之而来的计算机病毒也严重地干扰了人类的社会生活,给计算机系统带来了潜在的威胁和巨大破坏。本文将从计算机病毒的特征、类型、防治以及安全方面进行简单的分析和探讨。
,关键词, 计算机;病毒;防治;安全
计算机网络已经进入了社会的各个角落。文化、经济等各个领域越来越多的依赖于计算机网络。然而,计算机在给人们带来巨大便利的同时,也带来了不可忽视的问题,计算机遭受病毒感染和攻击的事件屡屡发生,给计算机网络和系统带来了巨大的潜在威胁和破坏。同时,也给人类生活带来了很多的不便。因此,计算机病毒的防治与数据安全就显得尤其重要。
1 认识计算机病毒
计算机病毒(Computer Virus) 在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
2 计算机病毒的特征
计算机病毒是一段特殊的程序。除了与其他程序一样,可以存储
和运行外,计算机病毒还有传染性、隐蔽性、潜伏性、破坏性等特征。下面简单就计算机病毒的特性加以介绍:1) 传染性。计算机病毒的传染性是它的一个重要特征。计算机病毒一旦进入计算机系统就会自动寻找可被感染的其他程序或文件,通过修改别的程序并把自身复制进去,使病毒迅速地在一台计算机内,甚至在一组计算机之间进行传染、扩散。2) 隐蔽性。隐蔽性是计算机病毒的基本特征之一。从计算机病毒隐藏的位置来看,不同的病毒隐藏在不同的位置,有的隐藏在扇区中,有的则以隐藏文件的形式出现,让人防不胜防。3) 潜伏性。计算机病毒的潜伏性是指其具有依附于其他媒体而寄生的能力,通过修改其他程序而把自身的复制体嵌入到其他程序或者磁盘的引导区甚至硬盘的主引导区中寄生。4) 破坏性。计算机病毒的破坏性取决于计算机病毒制造者的目的和水平,它可以直接破坏计算机数据信息、盗取个人信息、抢占系统资源、影响计算机运行速度等。
3 计算机病毒的检测与清除
计算机病毒的检测方法主要有人工检测和利用反病毒软件自动检测两种:1) 人工方法检测病毒:主要方法是将引导区的内容读出,再找一个无病毒的引导区(DOS 版本相同) 进行对比,如有变化,证明有病毒感染,或是检查文件建立的时间和长度变化。因为文件型病毒主要是感染可执行文件,使得被感染文件长度增加,建立文件的时间发生变化。清除方法是用未被感染病毒的文件去覆盖有病毒的文件。2) 利用反病毒软件自动检测病毒:常用的计算机病毒检查工具
是反病毒软件,它包括病毒的检测技术和病毒清除技术。检测时必须更新反病毒软件的病毒库,已达到全面检测病毒的目的。病毒检测技术是针对具体病毒特征的检测技术,病毒消除技术是具体病毒传染程序的还原技术。虽然病毒防范软件为清除计算机病毒做出了巨大的贡献,但病毒对抗技术也应运而生,计算机病毒的发展仍然先于反病毒的发展,因此,只依赖于防毒软件是不可靠的,一定要有自我防范意识。
4 计算机病毒的传播途径及防治措施
计算机病毒传播途径是多样的,主要可以分为以下两种:第一,通过存储设备来传播,包括移动硬盘、U盘、光盘等。第二,通过计算机网络进行传播,如浏览网页、下载文件或软件等,目前已成为计算机病毒的主要传播途径。
根据计算机病毒的特点,要从根本上完全杜绝和预防计算机病毒的产生和发展是不可能的。但我们要将计算机病毒的危害降至最低。为此,应从以下几方面来开展工作,以达到防治计算机病毒的最佳效果。1) 加强安全意识和安全知识,让每个计算机使用者明白数据信息安全的重要性,理解保证数据信息安全是所有计算机使用者共同的责任。掌握一定的计算机安全知识。明确病毒的危害,文件共享的时候尽量控制权限和增加密码,对来历不明的文件运行前进行查杀,小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀都可以很好地防止病毒在网络中的传播。这些措施对杜绝病毒,主
观能动性起到很重要的作用。2) 建立严格的用户访问体系:用户的访问控制可分为三个过程:用户名的识别与验证;用户口令的识别与验证;用户账号的识别与验证。在这三个过程中,若其中任何一个不能通过,计算机系统就会将用户视为非法用户,阻止其访问。建立用户名、口令及账号的识别与验证体系,严格控制用户访问,这是防范病毒入侵的第一道防线。3) 安装专业的防病毒软件并开启全面监控。在病毒日益增多的今天,使用杀毒软件进行防杀病毒,是简单有效并且是相对经济的选择。用户在安装了反病毒软件后,应该经常升级至最新版本,并定期查杀计算机。将杀毒软件的各种防病毒监控始终打开,可以很好地保障计算机的安全。当您的计算机发现病毒或异常时应立即中断网络,然后尽快采取有效的查杀病毒措施,以防止计算机受到更多的感染,或者成为传播源感染其他计算机。4) 建立完善的备份和计算机恢复体系:给计算机系统建立完善的备份和恢复体系也是防止病毒入侵,减少病毒破坏的积极有效的措施之一。要建立强大的数据库触发器和恢复重要数据的操作以及更新任务,确保在任何情况下使重要数据均能最大限度地得到恢复,以尽量减小病毒感染所造成的损失。
5 结语
随着网络应用的发展,计算机病毒形式及传播途径日趋多样化,计算机安全问题日益复杂化,因此,合理有效的预防是防治计算机病毒最有效,最经济省力,也是最应该值得重视的问题。我们必须正确
认识、感知、防范计算机病毒的攻击,以保护计算机数据安全,使得计算机网络真正发挥其积极的作用,让计算机成为人类友好的朋友来促进人类工作、生活的健康发展。
,参考文献,
[1] 傅建明,彭国军,张焕国.计算机病毒与对抗[M].武汉大学出版社.2004.
[2] 姬志刚.计算机、网络与信息社会.科技咨询导报.2006.
[3] 韩莜卿.计算机病毒分析与防范大全[M].北京:电子工业出版社,2006.
[4] 陈立新.病毒防治百事通.北京:清华大学出版社,2001.
关于计算机病毒防护论文
关于计算机病毒防护论文
篇一:计算机病毒毕业论文
漳州师范学院 毕业论文(设计)
计算机病毒的研究与防治
RESEARCH AND PREVENTION OF COMPUTER VIRUSES
姓 名: 学 号: 系 别:计算机科学与工程系 专 业: 计算机科学与技术 年 级:09级指导教师:
2012年 11 月 20 日
摘要
自信息时代以来,计算机俨然已成了我们不可或缺的一部分,它慢慢渗入到我们的生活中,与我们形影不离。虽然计算机丰富了我们的生活、方便了我们的工作、提高了工作效率、创造了更高的财富价值,但伴随着计算机的广泛应用,不可避免的也带来了计算机病毒。计算机病毒给我们的日常工作带来了巨大的破坏和潜在的威胁。作为计算机的使用者,我们应了解计算机病毒的入侵和防范方法以维护正常、安全的计算机使用和通信环境。因此为了确保计算机能够安全工作,研究计算机病毒防范的方式方法,已经迫在眉睫。本论文从计算机病毒概述、计算机病毒防范和清除入手,浅谈计算机病毒的特点及相应的一些的解决办法。关键词:计算机病毒;计算机安全;入侵途径;病毒防治
Abstract
Since the information age, the computer has become our
indispensable part, which slowly infiltrates into our lives and never leaves us. Although the computer has eiched our lives, facilitated our work, improved our work efficiency and created greater wealth value, but along with wide application of the computer, it also inevitably brings computer viruses. Computer viruses bring tremendous damage and potential threat to our daily work. As computer users, we should be aware of the invasion and the prevention ways of computer viruses to maintain a normal and safe use and communication environment of computer. Therefore in order to ensure the computer security, studying how to prevent computer viruses is imminent. Starting with the overview, prevention and removal of computer viruses, this paper discusses the characteristics of computer viruses and the corresponding solutions.
Key words:computer viruses; computer security; invasion ways; virus prevention
I
目 录
中英文摘
要??????????????????????????? (I) 1
计算机病毒的概述???????????????????????? (1)
1.1计算机病毒的定义??????????????????????? (1)
1.2 计算机病毒的产生与发展 ?????????????????? (2)
1.3计算机病毒的特性??????????????????????? (5)
1.4 计算机病毒的分类???????????????????????(6)
1.5计算机病毒的传播途径 ???????????????????? (10) 2 计算机
病毒的防范和清除???????????????????(11)
2.1计算机病毒防范的概念和原则 ????????????????? (11)
2.2计算机病毒防范基本技术 ??????????????????? (11)
2.3清除计算机病毒的基本方法 ?????????????????? (21) 3 典型
计算机病毒???????????????????????(22)
3.1引导区计算机病毒 ?????????????????????? (22)
3.2文件型的计算机病毒 ????????????????????? (23)
3.3脚本型计算机病毒 ?????????????????????? (23)
3.4特洛伊木马病毒 ??????????????????????? (24)
3.5 蠕虫病毒?????????????????????????? (24) 4 计算机病毒的
发展趋势????????????????????? (25) 参考文
献???????????????????????????? (26) 致
谢??????????????????????????????(27)
1计算机病毒的概述 有计算机的地方就会伴随着计算机病毒。
说起计算机病毒,想必计算机的使用者都不会陌生了,因为我们
时刻都在与它斗争着。很多人对计算机病毒憎恶但又充满了好奇,
对病毒的制造者既痛恨又敬畏。
计算机病毒当然不值得崇拜,它给个人和国家带来了太多的损
失了,每年因为计算机病毒造成的直接、间接经济损失都超过百亿美元,而且还以逐年递增的趋势增长。但与此同时,它也促进了信息安全产业的发展,比如反病毒软件、防火墙、入侵检测系统、网络隔离、数据恢复技术等等??这一根根救命稻草,使很多企业和个人用户免遭侵害,在很大程度上缓解了计算机病毒造成的巨大破坏力,同时,越来越多的个人和企业加入到信息安全领域,同层出不穷的黑客和病毒制造者做着顽强的斗争。
但稻草毕竟是稻草,救得了一时不一定救得了一世。目前市场上主流厂商的信息安全产品经过多年的积累和精心的研发,无论从产品线还是从技术角度来讲,都已经达到了相当完善的程度。但是,再好的产品,如果不懂得如何去使用,发挥不了产品真正的优势,又与稻草有什么区别呢,很多用户在被病毒感染以后才想起购买杀毒软件,查杀以后就再也不管,没有定期的升级和维护,更没有根据自己的使用环境的特点,制定相应的防范策略,可以说把产品的使用效率降到了最低,这样的状态,怎能应付日新月异的病毒攻击呢,
那么,如何将手中的稻草变成强大的武器,当危险临近时,能够主动出击,防患于未然呢,笔者认为,关键的问题在于对“对手”的了解。我们要能未雨绸缪,配合手中的工具,防患于未然。
1.1计算机病毒的定义
计算机病毒与医学上的“病毒”不同,它不是天然存在的,而是某些人利用计算机软、硬件所固有的脆弱性,编制的具有特殊
功能的程序。由于它与医学上的“病毒”同样具有传染和破坏的特性,例如,具有自我复制能力、很强的感染力、一定的潜伏性、特定的触发性和很大的破坏性等等,因此由生物医学上的“病毒”概念引申出“计算机病毒”这一名词。
从广义上来说,凡是能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。依据此定义,诸如逻辑炸弹,蠕虫等都可称为计算机病毒。1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在条例第二十八条明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。[1]
1.2计算机病毒的产生与发展
人类创造了电子计算机之后,也制造了计算机病毒。自从1983年发现了全世界首例计算机病毒以来,病毒的数量已达三十多万种,并且这个数字还在高速增长。计算机病毒的危害及造成的损失是众所周知的,发明计算机病毒的人同样也受到社会和公众舆论的谴责。也许有人会问:“计算机病毒是哪位先生发明的?”这个问题至今还没有一个确切的说法,下面是其中有代表性的几种:
(1)科学幻想起源说
1977年,美国科普作家托马斯.丁.雷恩推出轰动一时的《P-1的青春》一书。作者构思了一种能自我复制,利用信息通道传播的计算机程序,并称之为计算机病毒。这是世界上第一个幻想出来
的计算机病毒。我们的很多科学技术都是先幻想之后才产生的,因此,这种科学幻想起源说也是有理有据的。
(2)恶作剧起源说
这种说法是认为计算机病毒是那些对计算机知识和技术均有兴趣的人,他们或是要显示自己在计算机方面的天赋,或是报复他人或单位从而编制一些程序来显示自己的才能且满足自己的虚荣心,他们的出发点多少有些恶意的成分在内,世界上流行的许多计算机病毒都是恶作剧者的产物。
(3)游戏程序起源说
据说20世纪70年代,美国贝尔实验室的计算机程序员为了娱乐,在自己的实验室的计算机上编制吃掉对方程序的程序,看谁先把对方的程序吃光,有人猜测这是世界上第一个计算机病毒。
篇二:计算机病毒与防范论文
计算机病毒与防范论文
【摘要】病毒已成为当今网络业发展的最大危害,本文分析了当前计算机病毒的产生及特点,并提出了相应的检测防范措施。着重阐述了计算机病毒的防范、计算机网络安全策略。
【关键词】病毒;特点;检测;防范
近年来,因特网引入了新的病毒传送机制,通过电子邮件这个传播途径,病毒已成为当今网络业发展的最大危害。今年以来,在中国大规模爆发的多种病毒,全部都是通过互联网传播的。随着互联网日益成为全球性工具,病毒也正在成为全球性杀手。而通
过网络特别是电子邮件传播的病毒与传统病毒相比,表现出了更快的传播速度以及更强有力的杀伤力。 以下我们在分析网络时代计算机病毒特点的基础上探讨一下如何有效地防范病毒,以“把好网络时代的大门”。
1、计算机病毒的产生
计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是:
(1)计算机病毒是计算机犯罪的一种新的衍化形式。
计算机病毒是高技术犯罪,具有瞬时性、动态性和随机性。不易取证,风险小破坏大, 从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现;
(2)计算机软硬件产品的脆弱性是根本的技术原因。
计算机是电子产品。数据从输入、存储、处理、输出等环节, 易误入、篡改、丢失、作假和破坏;程序易被删除、改写;计算机软件设计的手工方式, 效率低下且生产周期长;人们至今没有办法事先了解一个程序有没有错误, 只能在运行中发现、修改错误, 并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便;
(3)微机的普及应用是计算机病毒产生的必要环境。
1983年11月3日美国计算机专家首次提出了计算机病毒的概念并进行了验证。几年前计算机病毒就迅速蔓延,到我国才是近年来的事。而这几年正是我国微型计算机普及应用热潮。微机的广
泛普及,操作系统简单明了,软、硬件透明度高,基本上没有什么安全措施, 能够透彻了解它内部结构的用户日益增多,对其存在的缺点和易攻击处也了解的越来越清楚,不同的目的可以做出截然不同的选择。
2.计算机病毒的特点
计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。广义的计算机病毒还包括逻辑炸弹、特洛伊木马和系统陷阱入口等等。计算机病毒虽是一个小小程序,但它和通的计算机程序不同,具有以下特点。
1 寄生性:
计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。
2传染性:
计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,
其速度之快令人难以预防。传染性是病毒的基本特征。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,井使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是,计算机病毒是一段人为编
制的计算机程序代码,这段程序代码一旦进入计算机井得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。
正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,如软盘、U盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时,往往曾在这台计算机上用过的U盘等载体已感染上了病毒,而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫做宿主程序。
3潜伏性:
有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在
几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。
潜伏性的第一种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘等载体里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。
潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等
4隐蔽性:
计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。
5破坏性:
计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏。
6可触发性:
病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己,病毒必须潜伏,少做动作。
如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。
3、目前最为常见的计算机病毒及其表现形式(针对我们用得较多的Windows操作系统):
1.系统病毒,前缀为:Win32、PE、Win95、W32、W95等。这些病毒一般可以感染windows操作系统的*.exe和*.dll文件,并通过这些文件进行传播。如Bi病毒(Parasite.Bi)。
2.蠕虫病毒,前缀是:Worm。这种病毒通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络)等。
3.木马病毒、黑客病毒。木马病毒其前缀是:Trojan,黑客病毒前缀名一般为Hack。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。
4.脚本病毒,前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码
(Script.Redlof)。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)
等。
5.宏病毒,其实宏病毒是也是脚本病毒的一种,前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97等其中之一。通常是以97作为分界点,若只感染WORD97及以前版本WORD文档的病毒采用Word97作为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word作为第二前缀,格式是:Macro.Word;依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6.后门病毒,前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如很多朋友遇到过的IRC后门Backdoor.IRCBot。
7.病毒种植程序病毒,这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破坏性程序病毒,前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病
毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9.玩笑病毒,前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10.捆绑机病毒,前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。
基于以上如此名目繁多的病毒,我们必须做好安全防范,以保证计算机及网络安全。
4、计算机病毒的防范
1.计算机网络病毒的防治方法:
计算机网络中最主要的软硬件实体就是服务器和工作站,所以防治计算机网络病毒应
该首先考虑这两个部分,另外加强综合治理也很重要。
(1)基于工作站的防治技术。工作站就像是计算机网络的大门,只有把好这道大门,才能有效防止病毒的侵入。工作站防治病毒的方法有三种:一是软件防治,即定期不定期地用反病毒软件检
测工作站的病毒感染情况。二是在工作站上插防病毒卡。三是在网络接口卡上
安装防病病毒芯片。
(2)基于服务器的防治技术。网络服务器是计算机网络的中心,是网络的支柱。网络瘫痪的一个重要标志就是网络服务器瘫痪。网络服务器一旦被击垮,造成的损失是灾难性的、难以挽回和无法估量的。目前基于服务器的防治病毒的方法大都采用防病毒可装载模块(NLM),以提供实时扫描病毒的能力。有时也结合利用在服务器上的插防毒卡等技术,目的在于保护服务器不受病毒的攻击,从而切断病毒进一步传播的途径。
2.局域网病毒的防范 局域网中的计算机数量较多,使用者的防毒水平参差不齐,病毒防范成为局域网日常管理中的一项非常重要的内容。因此,防范计算机病毒要做好以下几方面的工作。
(1)选择适用的防病毒软件,及时更新病毒库是非常重要的;
(2)及时安装各种补丁程序,及时安装各种补丁程序也非 常重要;
(3)规范电子信箱的使用;
(4)做好各种应急准备工作和数据文件备份,对于计算机而言,最重要的应该是硬盘中存储的数据;
(5)隔离被感染的计算机。
3.个人用户的防范
(1)留心邮件的附件,对于邮件附件尽可能小心,安装一套杀毒
软件,在你打开邮件之前对附件进行预扫描。
(2)注意文件扩展名,因为Windows允许用户在文件命名时使用多个扩展名,而许多电子邮件程序只显示第一个扩展名,有时会造成一些假象。
(3)不要轻易运行程序。
(4)不要盲目转发信件,收到自认为有趣的邮件时,不要盲目转发。
(5)堵住系统漏洞,现在很多网络病毒都是利用了微软的IE和Outlook的漏洞进行传播的。
(6)禁止WindowsScriptingHost,对于通过脚本“工作”的病毒,可以采用在浏览器中禁止JAVA或ActiveX运行的方法来阻止病毒的发作。
(7)不要随便接受文件,尽量不要从在线聊天系统的陌生人那里接受文件,比如ICQ或QQ中传来的东西。
(8)多做自动病毒检查,确保你的计算机对插入的软盘、光盘和其他的可插拔介质,以及对电子邮件和互联网文件都会做自动的病毒检查。
5、计算机网络安全策略
1.物理安全策略:
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统
有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
2.访问权限控制
安装在WindowsXP操作系统中的许多程序,都要求用户具有一定的管理权限才能让用户使用程序,因此为了能够使用好程序,我们有时需要为自己临时分配一个访问程序的管理权限。在分配管理权限时,我们可以先普通用户身份登录到WindowsXP的系统中,然后用鼠标右键单击程序安装文件,同时按住键盘上的Shift键,从随后出现的快捷菜单中点击“运行方式”,最后在弹出的窗口中输入具有相应管理权限的用户名和密码就可以了。
3.信息加密策略 信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的
数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
4.防火墙安全策略 防火墙是一个控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。目前的防火墙主要有以下三种类型:
(1)包过滤防火墙:包过滤防火墙设置在网络层,可以在路由器
上实现包过滤。
(2)代理防火墙:代理防火墙又称应用层网关级防火墙,它由代理服务器和过滤路由器组成,是目前较流行的一种防火墙。
(3)双穴主机防火墙:该防火墙是用主机来执行安全控制功能。
5.管理策略
在网络安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。 网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
结论
总之,虽然计算机病毒可怕,只要我们从计算机病毒的防范及安全策略做好各项工作,还是完全可以避免传染上计算机病毒的,保证计算机及网络安全。当然仅仅依靠目前的反病毒技术还是不够的,详细、周到的安全策略地制定,也是防范病毒扩散,减少破坏灾害的有效手段。安全策略的目的,不仅要能很好地起到保护作用,更重要是为了能保证用户顺利完成各项操作和网络系统的安全运行。 我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学
科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
参考文献:
,1,顾巧论,高铁红,贾春福等编著.计算机网络安全.北京:清华大学出版社,2004—9—1. ,2,韩筱卿等编著.计算机病毒分析与防范大全.电子工业出版社,2006年3月.
,3,沈国土著.病毒与数据安全.上海科学技术出版社,2006年3月.
,4,程胜利著.计算机病毒及其防治技术.清华大学出版社,2004年8月.
注:
篇三:毕业论文-计算机病毒解析与防范论文
本科毕业论
论文题目: 计算机病毒解析与防范
学生姓名:XXX
学号:XXXXXXXXXXXX
专业: 计算机科学与技术
指导教师:XXX
学 院:
XXX年 X 月 X 日
毕业论文(设计)内容介绍 文
计算机病毒解析与防范
李静文
(山东师范大学历山学院计算机科学与技术2008级1班)
摘要:计算机病毒被喻为21世纪计算机犯罪的五大手段之一,
并排序为第二。计算机病毒的攻击性,在于它能够破坏各种程序
并蔓延于应用领域。目前世界上上亿用户受着计算机病毒的困扰,
有些还陷入极度的恐慌之中。因为计算机病毒不仅破坏文件,删
除有用数据,还可导致整个计算机系统瘫痪,给计算机用户造成
了巨大的损失。事实上人们产生上述不安的主要原因,在于对计
算机病毒的误解,广大计算机用户有必要对计算机病毒的一些知
识有比较明确的认识和全面的科学态度。
关键词:计算机病毒;解析;防范措施。
中图分类号:
Analysis and Prevention of Computer Viruses
Li Jingwen
(School of Li Shan, Shandong Normal University)
Abstract: Computer viruses are know as the five ways for computer crimes in the 21st century and always stand at the secong place of the five.The harmfulness of the viruses is the production of various destructive programs and its quick pervasion into other fields.Now millions of users are frequently harassed by the viruses
and some are extremely frightened, because computer viruses not
only undermine the file, delete the useful data, but also lead to paralysis of the entire computer system to give computer users to cause great losses. At present the computer virus Tn fact,theharassment comes from the misunderstanding of the viruses.So usersof computer ought to have further clear knowledge and all sided scientific view of viruses.
Key words: Computer viruses;analyze;measure.
1. 引 言
随着计算机时代的来领,我们进入了信息社会。计算机虽然给
人们的工作和生活带来了便利和效率,然而计算机系统并不安全。
计算机病毒就是最不安全的因素之一,它会造成资源和财富的巨
大损失,人们称计算机病毒为“21世纪最大的祸患”。目前由于
计算机软件的脆弱性与互联网的开放性,我们将与病毒长期共存。
因此,研究计算机病毒及防范技术具有重要意义。(1)基于“视
窗”的计算机病毒越来越多; (2)新病毒层出不穷,感染发作
有增无减; (3)网络成为计算机病毒传播的主要媒介;
(4)病毒的破坏性不断增加。近年来,中国计算机病毒的发病
率高达55%。特别是在互联网时代,病毒的传播范围越来越广。
目前的计算机病毒厂商的消除方面,都是发现新一个病毒后,立
即分析它的运行机制,感染原理,编制程序进行查杀,最后加入
到反病毒软件中,或放在网上供用户下载。
2. 计算机病毒的解析
2.1计算机病毒的定义及特征
.计算病毒的定义
计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。与医学上的“病毒”不同,计算机病毒不是天然存在的,是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质(或程序)里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏,所谓的病毒就是人为造成的,对其他用户的危害性很大[1]~
计算机病毒及防护论文
计算机病毒及防护论文
院系:计算机学院
班级:网络工程
年级:2012级
姓名:赵会敏
学号:201204150137
计算机病毒及防护
摘要
自信息时代以来,计算机俨然已成了我们不可或缺的一部分,它慢慢渗入到我们的生活中,与我们形影不离。但伴随着计算机的广泛应用,不可避免的也带来了计算机病毒。因此为了确保计算机能够安全工作,研究计算机病毒防范的方式方法,我们应了解计算机病毒的入侵和防范方法以维护正常、安全的计算机使用和通信环境。
关键字:计算机病毒,病毒的传播途径,病毒的防护措施
目 录
一 计算机病毒的概述………………………………………………………………(3) 1.1计算机病毒的定义………………………………………………………………(3) 1.2 计算机病毒的特征………………………………………………………………(3) 1.3计算机病毒的分类………………………………………………………………(3) 二 计算机病毒的传播………………………………………………………………(4) 2.1计算机病毒的传播途径…………………………………………………………(4) 2.2 计算机病毒的危害………………………………………………………………(4) 三 计算机病毒的防护………………………………………………………………(5) 3.1计算机病毒的检测………………………………………………………………(6 3.2计算机病毒的清除………………………………………………………………(6)
2
3.3 计算机病毒的预防………………………………………………………………(7) 参考文献………………………………………………………………(8)
一 计算机病毒的概述
说起计算机病毒,想必计算机的使用者都不会陌生了,因为我们时刻都在与它斗争着。 每年因为计算机病毒造成的直接、间接经济损失都超过百亿美元。但与此同时,它也促进了信息安全产业的发展,比如反病毒软件、防火墙、入侵检测系统、网络隔离、数据恢复技术等等??
1.1计算机病毒的定义
从广义上来说,凡是能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在条例第二十八条明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并
[1]能自我复制的一组计算机指令或者程序代码。
1.2 计算机病毒的特征
(1)寄生性。计算机病毒会寄生在其他程序之中,当执行这个程序时,病毒就会发挥作用,而在未启动这个程序之前,它是不易被人发觉的。 隐蔽性。计算机病毒是一种隐藏性很高的可执行程序,如不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序是不容易区别开来的。病毒想方设法隐藏自身,就是为了防止用户察觉。
(2)潜伏性。依靠病毒的寄生能力,病毒传染合法的程序和系统后,不立即发作,而是悄悄隐藏起来,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系
[2]统中的存在时间就会愈长,病毒的传染范围就会愈大。
3
(3)可触发性。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。满足其触发条件或者激活病毒的传染机制,使之进行传染;这个条件可以是敲入特定字符,使用特定文件,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。
(4)传染性。传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。
除了上述特点以外,计算机病毒还具有不可预见性、衍生性、针对性、欺骗性、持久性等特点。
1.3 病毒的分类
(1)计算机病毒按破坏性分,可分为:?良性病毒?恶性病毒?极恶性病毒?灾难性病毒
(2)按传染方式分
? 引导区型病毒,引导区型病毒主要通过软盘在操作系统中传播,感染引导区,蔓延到硬盘,并能感染到硬盘中的"主引导记录"。
? 文件型病毒,文件型病毒是文件感染者,也称为寄生病毒。它运行在计算机存储器中,通常感染扩展名为COM、EXE、SYS等类型的文件。
? 混合型病毒,混合型病毒具有引导区型病毒和文件型病毒两者的特点。 ? 宏病毒,宏病毒是指用BASIC语言编写的病毒程序寄存在Office文档上的宏代码。宏病毒影响对文档的各种操作。
(3)按连接方式分
?源码型病毒,它攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件。
?入侵型病毒,入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序,针对性强。
4
?操作系统型病毒,操作系统型病毒可用其自身部分加入或替代操作系统的部分功能。
?外壳型病毒,外壳型病毒通常将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳。
二 计算机病毒的传播
计算机病毒的传染分两种。一种是在一定条件下方可进行传染, 即条件传染。另一种是对一种传染对象的反复传染即无条件传染。
从目前蔓延传播病毒来看所谓条件传染, 是指一些病毒在传染过程中, 在被传染的系统中的特定位置上打上自己特有的示志。这一病毒在再次攻击这一系统时, 发现有自己的标志则不再进行传染。另一种情况, 有的病毒通过对文件的类型来判断是否进行传染, 如黑色星期五病毒只感染.COM或.EXE文件等等;还有一种情况有的病毒是以计算机系统的某些设备为判断条件来决定是否感染。有的病毒对传染对象反复传染。例如黑色星期五病毒只要发现.EXE文件就进行一次传染, 再运行再进行传染反复进行下去。
2.1计算机病毒的传播途径
计算机病毒之所以称之为病毒是因为其具有传染性的本质。传统渠道通常有以下几种:
(1)通过软盘:通过使用外界被感染的软盘, 例如, 不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的软盘, 使机器感染病毒发病, 并传染给未被感染的“干净”的软盘。大量的软盘交换, 合法或非法的程序拷贝, 不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。
(2)通过硬盘:通过硬盘传染也是重要的渠道, 由于带有病毒机器移到其它地方使用、维修等, 将干净的软盘传染并再扩散。
(3)通过网络:这种传染扩散极快, 能在很短时间内传遍网络上的机器。
5
目前在我国现阶段计算机普及程度低, 还没有形成大的网络, 基本上是单机运行, 所以网络传染还没构成大的危害, 因此主要传播途径是通过软盘。 2.2 计算机病毒的危害
(1)病毒激发对计算机数据信息的直接破坏作用
大部分病毒在激发的时候直接破坏计算机的重要信息数据,所利用的手段有格式化磁盘、改写文件分配表和目录 区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。
(2)占用磁盘空间和对信息的破坏
寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区,而把原来的引导区转移到其他扇区,也就是引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失,无法恢复。文件型病毒利用一些DOS功能进行传染,这些DOS功能能够检测出磁盘的未用空间,把病毒的传染部分写到磁盘的未用部位去。一些文件型病毒传染速度很快,在短时间内感染大量文件,每个文件都不同程度地加长了,就造成磁盘空间的严重浪费。
(3)抢占系统资源
除VIENNA、CASPER等少数病毒外,其他大多数病毒在动态下都是常驻内存的,这就必然抢占一部分系统资源,导致内存减少,一部分软件不能运行。除占用内存外,病毒还抢占中断,从而干扰了系统的正常运行。 (4)计算机病毒的兼容性对系统运行的影响
兼容性是计算机软件的一项重要指标,兼容性好的软件可以在各种计算机环境下运行,反之兼容性差的软件则对 运行条件“挑肥拣瘦”,要求机型和操作系统版本等。
(5)计算机病毒给用户造成严重的心理压力
据有关计算机销售部门统计,计算机售后用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量的60,以上。 经检测确实存在病毒的约占70,,另有30,情况只是用户怀疑,而实际上计算机并没有病毒。大多数用户对病毒采取宁可信其有的态度,在一些大型网络系统中也难免为甄别 病毒而停机。 三 计算机病毒的防护
6
计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒入侵,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影
[3]响的计算机系统和数据。特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫痪状态,从而造成巨大的损失,因此,防治计算机病毒应以预防为主。
3.1计算机病毒的检测
(1)从上面介绍的计算机病毒的特性中,我们可以看出计算机病毒具有很强隐蔽性和极大的破坏性。因此在日常中如何判断病毒是否存在于系统中是非常关键的工作。一般用户可以根据下列情况来判断系统是否感染病毒。 ?计算机的启动速度较慢且无故自动重启;
?工作中机器出现无故死机现象;
?桌面上的图标发生了变化;
?桌面上出现了异常现象:
?奇怪的提示信息,特殊的字符等;
?在运行某一正常的应用软件时,系统经常报告内存不足;
?文件中的数据被篡改或丢失;
?系统不能识别存在的硬盘;
?你的邮箱中发现了大量的不明来历的邮件;
(2)反病毒软件的扫描法
这恐怕是我们绝大数朋友首选,现在病毒种类是越来越多,隐蔽的手段也越来越高明,但随着计算机程序开发语言的技术性提高、计算机网络越来越普及,反病毒软件也是越来越多了,如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、诺顿等。
3.2计算机病毒的清除
(1)简单的工具治疗
简单工具治疗是指使用Debug等简单的工具,借助检测者对某种计算机病毒的具体知识,从感染计算机病毒的软件中摘除计算机代码。
(2)专用工具治疗
7
专用计算机治疗工具,根据对计算机病毒特征的记录,自动清除感染程序中的计算机病毒代码,使之得以恢复,治疗操作简单、高效。 3.3 计算机病毒的预防
(1)建立良好的安全习惯。
(2)关闭或删除系统中不需要的服务。
(3)经常升级操作系统的安全补丁。
(4)使用复杂的密码。
(5)安装专业的防病毒软件进行全面监控
(6)及时安装防火墙。
尽管病毒和黑客程序的种类繁多,发展和传播迅速,感染形式多样,危害极大,但是只要我们在办理劳动保障业务过程中增强计算机和计算机网络的安全意识,采取有效的防杀措施,随时注意工作中计算机的运行情况,发现异常及时处理,就可以大大减少病毒和黑客的危害。
参考文献,
[1] 秦志光.计算机病毒原理与防范[M],北京:人民邮电出版社,2007,1 [2] 韩兰胜.计算机病毒原理与防治技术[M],武汉:华中科技大学出版社,2010:13-15 [3] 秦志光.计算机病毒原理与防范[M],北京:人民邮电出版社,2007,93
文 - 汉语汉字 编辑词条
文,wen,从玄从爻。天地万物的信息产生出来的现象、纹路、轨迹,描绘出了阴阳二气在事物中的运行轨迹和原理。
8
故文即为符。上古之时,符文一体。
古者伏羲氏之王天下也,始画八卦,造书契,以代结绳(爻)之政,由是文籍生焉。--《尚书序》
依类象形,故谓之文。其后形声相益,即谓之字。--《说文》序》
仓颉造书,形立谓之文,声具谓之字。--《古今通论》
(1) 象形。甲骨文此字象纹理纵横交错形。"文"是汉字的一个部首。本义:花纹;纹理。
(2) 同本义 [figure;veins]
文,英语念为:text、article等,从字面意思上就可以理解为文章、文字,与古今中外的各个文学著作中出现的各种文字字形密不可分。古有甲骨文、金文、小篆等,今有宋体、楷体等,都在这一方面突出了"文"的重要性。古今中外,人们对于"文"都有自己不同的认知,从大的方面来讲,它可以用于表示一个民族的文化历史,从小的方面来说它可用于用于表示单独的一个"文"字,可用于表示一段话,也可用于人物的姓氏。
折叠编辑本段基本字义
1(事物错综所造成的纹理或形象:灿若,锦。
2.刺画花纹:,身。
3(记录语言的符号:,字。,盲。以,害辞。
9
4(用文字记下来以及与之有关的:,凭。,艺。,体。,典。,苑。,献(指有历史
价值和参考价值的图书资料)。,采(a(文辞、文艺方面的才华;b(错杂艳丽的色彩)。
5(人类劳动成果的总结:,化。,物。
6(自然界的某些现象:天,。水,。
7(旧时指礼节仪式:虚,。繁,缛节(过多的礼节仪式)。
8(文华辞采,与“质”、“情”相对:,质彬彬。
9(温和:,火。,静。,雅。
10(指非军事的:,职。,治武功(指礼乐教化和军事功绩)。
11(指以古汉语为基础的书面语:552,言。,白间杂。
12(专指社会科学:,科。
13(掩饰:,过饰非。
14(量词,指旧时小铜钱:一,不名。
15(姓。
10
16( 皇帝谥号,经纬天地曰文;道德博闻曰文;慈惠爱民曰文;愍民惠礼曰文;赐民爵位曰文;勤学好问曰文;博闻多见曰文;忠信接礼曰文;能定典礼曰文;经邦定誉曰文;敏而好学曰文;施而中礼曰文;修德来远曰文;刚柔相济曰文;修治班制曰文;德美才秀曰文;万邦为宪、帝德运广曰文;坚强不暴曰文;徽柔懿恭曰文;圣谟丕显曰文;化成天下曰文;纯穆不已曰文;克嗣徽音曰文;敬直慈惠曰文;与贤同升曰文;绍修圣绪曰文;声教四讫曰文。如汉文帝。
折叠编辑本段字源字形
字源演变与字形比较
折叠编辑本段详细字义
〈名〉
1(右图是
“文”字的甲骨文图片,资料来源:徐无闻主编:《甲金篆隶大字典》,四川辞书出版社。1991年7月第一版。
“文”字的甲骨文字绘画的像一个正面的“大人”,寓意“大象有形”、“象形”;特别放大了胸部,并在胸部画了“心”,含义是“外界客体在心里面的整体影像、整体写真、整体素描、整体速写”。
许慎《说文解字》把“文”解释为“错画也”,意思是“对事物形象进行整体素描,笔画交错,相联相络,不可解构”,这与他说的独体为文、合体为字的话的意思是一致的。
11
“说文解字”这个书名就表示了“文”只能“说”,而“字”则可“解”的意思。“文”是客观事物外在形象的速写,是人类进一步了解事物内在性质的基础,所以它是“字”的父母,“字”是“文”的孩子。“文”生“字”举例(以“哲”为例):先对人手摩画,其文为“手”;又对斧子摩画,其文为“斤”。以手、斤为父母,结合、生子,其子就是“折”(手和斤各代表父母的基因)。这个“折”就是许慎所谓的“字”。“字”从宀从子,“宀”表示“独立的房子”,子在其中,有“自立门户”的意思。故“字”还能与“文”或其他“字”结合,生出新“字”来。在本例,作为字的“折”与作为文的“口”结合,就生出了新的字“哲”。
2(
同本义 [figure;veins]
文,错画也。象交文。今字作纹。——东汉?许慎《说文》
五章以奉五色。——春秋?左丘明《左传?昭公二十五年》。注:“青与赤谓之文,赤与白谓之章,白与黑谓之黼,黑与青谓之黻。”
美于黼黼文章。——《荀子?非相》
茵席雕文。——《韩非子?十过》
织文鸟章,白旆央央。——《诗?小雅?六月》
斑文小鱼。——明? 刘基《诚意伯刘文成公文集》
3(又如:文驾(彩车);文斑(杂色的斑纹);文旆(有文彩的旗帜);文绣(绣有彩色花纹的丝织品;刺花图案);文织(有彩色花纹的丝织品);文鳞(鱼鳞形花纹)。
12
4(字,文字(“文”,在先秦时期就有文字的意思,“字”,到了秦朝才有此意。分别讲,“文”指独体字;“字”指合体字。笼统地说,都泛指文字。) [character]
饰以篆文。——南朝宋?范晔《后汉书?张衡传》
分文析字。——东汉?班固《汉书?刘歆传》
夫文,止戈为武。——《左传?宣公十二年》
距洞数百步,有碑仆道,其文漫灭。——王安石《游褒禅山记》
文曰“天启壬戌秋日”。——明? 魏学洢《核舟记》
文曰“初平山尺”。
5(又如:甲骨文;金文;汉文;英文;文迹(文字所记载的事迹);文书爻(有关文字、文凭之类的卦象);文异(文字相异);文轨(文字和车轨);文狱(文字狱);文钱(钱。因钱有文字,故称);文状(字据,军令状);文引(通行证;路凭);文定(定婚)。
6(文章(遣造的词句叫做“文”,结构段落叫做 “章”。) [literary composition]
故说诗者不以文害辞。——《孟子?万章上》
好古文。——唐? 韩愈《师说》
13
属予作文以记之。——宋? 范仲淹《岳阳楼记》
能述以文。——宋? 欧阳修《醉翁亭记》
摘其诗文。——清? 纪昀《阅微草堂笔记》
7(又如:文价(文章的声誉);文魔(书呆子);文会(旧时读书人为了准备应试,在一起写文章、互相观摩的集会);文移(旧时官府文书的代称);文雄(擅长写文章的大作家);文意(文章的旨趣);文义(文章的义理);文情(文章的词句和情思);本文(所指的这篇文章);作文(写文章;学习练习所写的文章);文魁(文章魁首);文价(文章的声价);文什(文章与诗篇)。
8(美德;文德 [virtue]
圣云继之神,神乃用文治。——杜牧《感怀诗一首》
9(又如:文丈(对才高德韶的老者的敬称);文母(文德之母);文武(文德与武功);文命(文德教命);文惠(文德恩惠);文德(写文章的道德);文薄(谓文德浅薄);文昭(文德昭著)。
10.文才;才华。亦谓有文才,有才华 [literary talent]
而文采不表于后世也。——汉? 司马迁《报任安书》
11(又如:文业(才学);文英(文才出众的人);文采风流(横溢的才华与潇洒的风度);文郎(有才华的青少年);文彦(有文才德行的人);文通残锦(比喻剩下不多的才华)。
14
12(文献,经典;韵文 [document;classics;verse]
儒以文乱法。——《韩非子?五蠹》
言必遵修旧文而不穿凿。——《说文解字?叙》
13(辞词句。亦指文字记载 [writings;record]。如:文几(旧时书信中开头常用的套语。意为将书信呈献于几前);文倒(文句颠倒);文过其实(文辞浮夸,不切实际);文义(文辞);文辞(言词动听的辞令);文绣(辞藻华丽)。
14(自然界的某些现象 [natural phenomenon]
经纬天地曰文。——《左传?昭公二十八年》
15(又如:天文;地文;水文;文象(日月星辰变化的迹象);文曜(指日月星辰;文星);文昌(星座名)。
16(文治;文事;文职。与“武”相对。 [achievements in culture and education;civilian post]
文能取胜。——《史记?平原君虞卿列传》
文不能取胜。
文武并用。——唐? 魏征《谏太宗十思疏》
15
精神折冲于千里,文武为宪于万邦。――明《袁可立晋秩兵部右侍郎诰》
17(又如:文臣,文吏(文职官吏);文席(教书先生的几席);文品(文官的品阶);文帅(文职官员出任或兼领统帅);文烈(文治显赫);文员(文职吏员);文阶(文职官阶);文道(文治之道);文业(文事);文僚(文职官吏)。
18(法令条文 [articles of decree]
而刀笔吏专深文巧诋,陷人于罪。——《史记?汲黯列传》
19(又如:文劾(根据律令弹劾);文法吏(通晓法令、执法严峻的官吏);文丈(规矩;制度);文移(官府文书);文牓(布告;文告);文宪(礼法;法制)。
20(文言。古代散文文体之一;别于白话的古汉语书面语 [literary language]。如:半文半白;文语;文白(文言文和白话文)。
21(文教;礼节仪式 [rites]
则修文德。——《论语?季氏》
22(又如:文丈(崇尚礼文仪节);文俗(拘守礼法而安于习俗);文致(指礼乐);文貌(礼文仪节);文绪(文教礼乐之事);文仪(礼节仪式)
23(指表现形式;外表 [form;appearance]。如:文服(表面服从);文榜(告示、布告之类);文诰(诰令)
16
24(指鼓乐,泛指曲调 [music;tune]。如:文曲(指乐曲);文始(舞乐名)
25(谥号,谥法:勤学好问叫文 [study deligently]
何以谓之文。——《论语》
是以谓之文。
26(姓
〈动〉
1(在肌肤上刺画花纹或图案 [tatto (the skin)]
被发文身。——《礼记?王制》。注:“谓其肌,以丹青涅之。”
文绣有恒。——《礼记?月令》
2(又如:文笔匠(在人身上刺花的艺人);文身断发(古代荆楚、南越一带的习俗。身刺花纹,截短头发,以为可避水中蛟龙的伤害。后常以指落后地区的民俗);文木(刻镂以文采之木)
3(修饰;文饰 [cover up]
身将隐,焉用文之?——《左传?僖公二十三年》
17
饰邪说,文奸言,以枭乱天下。——《荀子?非十二子》
4(又如:文过饰非;文致(粉饰;掩饰);文冢(埋葬文稿之处)
5(装饰 [decorate]
舍其文轩。——《墨子?公输》
此犹文奸。
文车二驷。——明? 归有光《项脊轩志》
文马四百匹。——《史记?宋世家》
若将比予文木邪。——《庄子?人间世》
6(又如:文巧(文饰巧辩);文竿(以翠羽为饰之竿);文舫(装饰华丽的游艇);文饰(彩饰);文榭(饰以彩画的台榭);文舟,文艘(装饰华丽的船);文剑(装饰华丽的剑);文舆(饰以彩绘的车)
7(撰写文章 [write]。如:文匠(写文章的大家);文祸(因写文章而招来的灾祸);文雄,文杰(指文豪)
〈形〉
1(有文采,华丽。与“质”或“野”相对 [magnificent;gorgeous]
18
其旨远,其辞文。——《易?系辞下》
晋公子广而俭,文而有礼。——《左传?僖公二十三年》
2(又如:文巧(华丽奇巧);文朴(文华与质朴);文服(华美的衣服);文砌(华美的石阶);文背(不文雅,粗俗);文轩(华美的车子);文质(文华与质朴)
3.柔和,不猛烈 [mild;gentle]。如:文烈(指火候温猛)
4(美,善 [fine;good]。如:文徽(华美);文鸳(即鸳鸯。以其羽毛华美,故称);文衣(华美的服装)
5(通“紊”。紊乱的 [disordered]
惇宗将礼,称秩元祀,咸秩无文。——《书?洛诰》
天子祭天下名山大川,怀柔百神,咸秩无文。——《汉书?郊祀志上》
王者报功,以次秩之,无有文也。——庆劭《风俗通义?山泽》
〈量〉
1(用于旧时的铜钱。如:一文钱
2(用于计算纺织物
19
五扶为一首,五首成一文。——《后汉书》
20
论文计算机病毒原理与防护
青岛恒星职业技术学院毕业论文(设计)
青岛恒星职业技术学院高等职业教育专科
_____计算机网络技术___专业毕业论文(设计)
青岛恒星职业技术学院
毕业论文(设计)
题目:,,,计算机病毒原理与防范,,,, 姓名:,,,,,,张锴,,,,_________,, 学号:,,,,,,0800327,,,,_________ 指导教师及职称:,,,,,,,,,,,, 所在学院; 信息学院
2010年 10 月 18 日
青岛恒星职业技术学院毕业论文(设计)
目录
第一章 计算机病毒的特点及其典型型症状 ..................... 5 第二章 病毒的判别方法及病毒的命名规则 ..................... 7
病毒的命名解释 .......................................... 8 第三章 病毒的预防技术及预防措施 .......................... 10
单机的防范 ............................................. 10
小型局域网的防范 ....................................... 12
3.2.1型局域网的特点................................11
3.2.2 简单对等网络的防范 ........................... 12
3.2.3 Windows NT网络的防毒 ......................... 13
3.2.4 NetWare网络的防毒 ............................ 14
3.2.5 Unix/Linux网络的防毒 ......................... 15
大型网络的防范 ......................................... 15
3.3.1 大型复杂企业网络的特点 ....................... 15
3.3.2 参考案例1:熊猫卫士防计算机病毒方案的设计和实现
.................................................... 16
3.3.3 参考案例2:赛门铁克防计算机病毒方案的设计和实现
.................................................... 19
3.3.4 参考案例3:KILL防计算机病毒方案的设计和实现 . 21
青岛恒星职业技术学院毕业论文(设计)
3.3.5 参考案例4:北信源防计算机病毒方案的设计和实现 25
第四章 病毒主动防御的可行性............................... 27 五、结束语 ................................................ 28
青岛恒星职业技术学院毕业论文(设计)
摘 要
随着计算机在社会生活各个领域的广泛运用,计算机病毒攻击与防范技术也在不
断拓展。据报道,世界各国遭受计算机病毒感染和攻击的事件数以亿计,严重地
干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破
坏。与此同时,病毒技术在战争领域也曾广泛的运用,在海湾战争、近期的科索
沃战争中,双方都曾利用计算机病毒向敌方发起攻击,破坏对方的计算机网络和
武器控制系统,达到了一定的政治目的与军事目的。可以预见,随着计算机、网
络运用的不断普及、深入,防范计算机病毒将越来越受到各国的高度重视。。
关键词 :计算机病毒 预防 防火墙 漏洞 安全扫描
Abstract
Abstract: With the computer in all areas of social life, the extensive use of computer virus attacks and prevention techniques are expanding. According to reports, the world suffer from computer virus infections and attacks of hundreds of millions of events, which seriously interferes with the normal life of human society, to the computer networks and systems have brought tremendous potential threats and destruction. At the same time, the virus also in the field of war, widely used in the Gulf War, the recent Kosovo war, both sides have used computer viruses to attack enemy, destroy the opponent's computer networks and weapons control systems, to a certain political objectives and military objectives. Can be expected, with the computer, the growing popularity of Internet use, in-depth to prevent computer viruses will be more and more national attention.
、
Key words: computer virus prevention firewall security vulnerability scanning
青岛恒星职业技术学院毕业论文(设计)
引言
计算机病毒一直是计算机用户和安全专家的心腹大患,虽然计算机反病毒技术不断更新和发展,但是仍然不能改变被动滞后的局面,计算机用户必须不断应付计算机新病毒的出现。
互联网的普及,更加剧了计算机病毒的泛滥。 从上世纪90年代中后期开始,随着国际互联网的发展壮大,依赖互联网络传播的邮件病毒、宏病毒和蠕虫病毒等大量涌现,病毒传播速度加快、隐蔽性增强、破坏性变大。最近这几年新病毒层出不穷,出现了“红色代码”、“尼姆达”、“爱虫”、 “SQL蠕虫” 、“求职信”、“冲击波”、“恶邮差”等等许多影响广、破坏大的病毒,众多病毒中蠕虫病毒的发展的特别快。最新发现的"震荡波"病毒来势汹汹,该病毒通过微软的最新高危漏洞—LSASS 漏洞(微软MS04-011 公告)进行传播,危害性极大,目前 WINDOWS 2000/XP/Server
2003 等操作系统的用户都存在该漏洞,这些操作系统的用户只要一上网,就有可能受到该
病毒的攻击。
计算机病毒的产生和迅速蔓延,使计算机系统的安全受到了极大的威胁,人们意识到计算机安全的重要性,也因此产生了对计算机反病毒技术的需求。随着计算机病毒采用的新技术不断出现,计算机反病毒技术也不断更新和发展,产生了实时反病毒技术、启发式代码
扫描技术等许多优秀的反病毒技术。
日新月异的计算机技术给计算机病毒提供了存在和发展的空间,尤其是网络技术的发展大大加快了计算机病毒的传播速度,日益普及的计算机网络给人们带来了许多的方便的同时也给计算机病毒技术的传播和发展提供了便利。随着计算机病毒的传播和攻击方式不断发展变化,我们必须不断调整防范计算机病毒的策略,提升和完善计算机反病毒技术,以对
抗计算机病毒的危害。计算机病毒的防范是一项长期且艰巨的任务。 第一章 计算机病毒的特点及其典型型症状 计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
青岛恒星职业技术学院毕业论文(设计)
除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。 例如,某些病毒会大量释放垃圾文件,占用硬盘资源。还有的病毒会运行多个进程,使中毒电脑运行变得非常慢。
可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散 ,能“传染” 其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序 ,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时 ,它会自生复制并传播 ,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念 ,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络 ,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏 ,同时能够自我复制 , 具有传染性。
要防治计算机病毒须做到“三打三防
“三打” 就是安装新的计算机系统时,要注意打系统补丁,震荡波一类的恶性蠕虫病毒一般都是通过系统漏洞传播的,打好补丁就可以防止此类病毒感染;用户上网的时候要打开杀毒软件实时监控,以免病毒通过网络进入自己的电脑;玩网络游戏时要打开个人防火墙,防火墙可以隔绝病毒跟外界的联系,防止木马病毒盗窃资料。
“三防” 就是防邮件病毒,用户收到邮件时首先要进行病毒扫描,不要随意打开电子邮件里携带的附件;防木马病毒,木马病毒一般是通过恶意网站散播,用户从网上下载任何文件后,一定要先进行病毒扫描再运行;防恶意“好友”,现在很多木马病毒可以通过 MSN、 QQ等即时通信软件或电子邮件传播,一旦你的在线好友感染病毒,那么所有好友将会遭到病毒的入侵。
计算机病毒的典型症状:计算机病毒和人体中和病毒一样,它的发作也有自己的典型症状,主要有: (a) 屏幕异常滚动,和行同步无关。 (b) 系统文件长度发生变化。 (c) 出现异常信息、异常图形。 (d) 运行速度减慢,系统引导、打印速度变慢。 (e) 存储容量异常减少。 (f) 系统不能由硬盘引导。 (g) 系统出现异常死机。 (h) 数据丢失。
青岛恒星职业技术学院毕业论文(设计)
第二章 病毒的判别方法及病毒的命名规则
我的电脑经常出现死机、运行速度慢等异常情况,使用了多种杀毒软件也不见效,如何判断电脑异常是否是病毒在作怪,
这样的例子并不少见,特别是对于一些初级电脑用户。下面我就结合个人电脑使用及企业网络维护方面的防毒经验从以下几个方面给大家介绍介绍如何判断是否中了病毒,希望对帮助识别"真毒"有一定帮助~
电脑出故障不只是因为感染病毒才会有的,个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的,网络上的多是由于权限设置所致。我们只有充分地了解两者的区别与联系,才能作出正确的判断,在真正病毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。 经常死机:病毒打开了许多文件或占用了大量内存;不稳定(如内存质量差,硬件超频性能差等);运行了大容量的软件占用了大量的内存和磁盘空间;使用了一些测试软件(有许多BUG);硬盘空间不够等等;运行网络上的软件时经常死机也许是由于网络速度太慢,所运行的程序太大,或者自己的工作站硬件配置太低。
系统无法启动:病毒修改了硬盘的引导信息,或删除了某些启动文件。如引导型病毒引导文件损坏;硬盘损坏或参数设置不正确;系统文件人为地误删除等。
文件打不开:病毒修改了文件格式;病毒修改了文件链接位置。文件损坏;硬盘损坏;文件快捷方式对应的链接位置发生了变化;原来编辑文件的软件删除了;如果是在局域网中多表现为服务器中文件存放位置发生了变化,而工作站没有及时涮新服器的内容(长时间打开了资源管理器)。
经常报告内存不够:病毒非法占用了大量内存;打开了大量的软件;运行了需内存资源的软件;系统配置不正确;内存本就不够(目前基本内存要求为128M)等。
提示硬盘空间不够:病毒复制了大量的病毒文件(这个遇到过好几例,有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了,一安装软件就提示硬盘空间不够。硬盘每个分区容量太小;安装了大量的大容量软件;所有软件都集中安装在一个分区之中;硬盘本身就小;如果是在局域网中系统管理员为每个用户设置了工作站用户的"私人盘"使用空间限制,因查看的是整个网络盘的大小,其实"私人盘"上容量已用完了。
软盘等设备未访问时出读写信号:病毒感染;软盘取走了还在打开曾经在软盘中打开过的文件。
出现大量来历不明的文件:病毒复制文件;可能是一些软件安装中产生的临时文件;也或许是一些软件的配置信息及运行记录。
启动黑屏:病毒感染;显示器故障;显示卡故障;主板故障;超频过度;CPU损坏等等
青岛恒星职业技术学院毕业论文(设计)
数据丢失:病毒删除了文件;硬盘扇区损坏;因恢复文件而覆盖原文件;如果是在网络上的文件,也可能是由于其它用户误删除了。
病毒的命名规则:病毒的命名并没有一个统一的规定,每个反病毒公司的命名规则都不太一样,但基本都是采用前、后缀法来进行命名的,可以是多个前缀、后缀组合,中间以小数点分隔,一般格式为:〔前缀〕(〔病毒名〕(〔后缀〕
1(病毒前缀
病毒前缀是指一个病毒的种类,我们常见的木马病毒的前缀是“trojan”,蠕虫病毒的前缀是“worm”,其他前缀还有如“macro”、“backdoor”、“script”等。 2(病毒名
病毒名是指一个病毒名称,如以前很有名的cih病毒,它和它的一些变种都是统一的“cih”,还有振荡波蠕虫病毒,它的病毒名则是“sasser”。
3(病毒后缀
病毒后缀是指一个病毒的变种特征,一般是采用英文中的26个字母来表示的,如 “worm.sasser.c”是指振荡波蠕虫病毒的变种c。如果病毒的变种太多了,那也可以采用数字和字母混合的方法来表示病毒的变种。
病毒的命名解释
1(木马病毒
木马病毒的前缀是:trojan。木马病毒的特点就是通过网络或者系统漏洞进入用户的系统并隐藏,然后再向外界泄露用户的信息。一般的木马如qq消息尾巴trojan.qqpsw.r,网络游戏木马病毒trojan.startpage.fh等。病毒名中有psw或者什么pwd之类的是表示这个病毒有盗取密码的功能,所有这类病毒特别需要注意。
2(脚本病毒
脚本病毒的前缀是:script。脚本病毒是用脚本语言编写,通过网页进行的传播的病毒,如红色代码script.redlof等。有些脚本病毒还会有 vbs、html之类的前缀,是表示用何种脚本编写的,如欢乐时光vbs.happytime、html.reality.d等。
青岛恒星职业技术学院毕业论文(设计)
3(系统病毒
系统病毒的前缀为:win32、pe、win95、w32、w95等。这些病毒的特点是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播,如以前有名的cih病毒就属于系统病毒。
4(宏病毒
宏病毒也可以算是脚本病毒的一种,由于它的特殊性,因此就单独算成一类。宏病毒的前缀是:macro,第二前缀有word、word97、excel、 excel97等,根据感染的文档类型来选择相应的第二前缀。该类病毒的特点就是能感染office系列的文档,然后通过office通用模板进行传播,如以前著名的美丽莎病毒macro.melissa。
5(蠕虫病毒
蠕虫病毒的前缀是:worm。这种病毒的特点是可以通过网络或者系统漏洞来进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性,大家比较熟悉的这类病毒有冲击波、震荡波等。
6(捆绑机病毒
捆绑机病毒的前缀是:binder。病毒作者会使用特定的捆绑程序把病毒与一些应用程序(如qq等大家常用的软件)捆绑起来,表面上看去是个正常的文件,但当用户运行这些应用程序时,也同时运行了被捆绑在一起的病毒文件,从而给用户造成危害。如系统杀手binder.killsys。
7(后门病毒
后门病毒的前缀是:backdoor。该类病毒的特点就是通过网络传播来给中毒系统开后门,给用户电脑带来安全隐患。如爱情后门病毒worm.lovgate.a/b/c。
青岛恒星职业技术学院毕业论文(设计)
第三章 病毒的预防技术及预防措施 单机的防范
与以往的平台相比,Windows 95/98/NT/2000/XP引入了很多非常有用的特性,充分利用这些特性将能大大地增强软件的能力和便利。应该提醒的是,尽管windows 95/98/NT/2000/XP平台具备了某些抵御计算机病毒的天然特性,但还是未能摆脱计算机病毒的威胁。单机防范计算机病毒,一是要在在思想重视、管理上到位,二是依靠防杀计算机病毒软件。
3.1.1、选择一个功能完善的单机版防杀计算机病毒软件
一个功能较好的单机防杀计算机病毒软件应能满足下面的要求:
(1)拥有计算机病毒检测扫描器。
检测计算机病毒有两种方式,对磁盘文件的扫描和对系统进行动态的实时监控。同时提供这两种功能是必要的,实时监控保护更不可少。
1)DOS平台的计算机病毒扫描器:由于系统引导过程中,Windows 95/98未能提供任何保护。因此,在Windows 95/98启动之前,有必要通过autoexec.bat或config.sys载入DOS平台的计算机病毒扫描器,对引导扇区、内存或主要的系统文件进行扫描,确保无毒后才继续系统的启动。同时,在系统由于感染计算机病毒而崩溃或在内存发现计算机病毒时,通过“干净的”系统引导软盘启动,DOS扫描器便成为主要的杀毒工具。
不过,在Windows 95/98下“重新引导并切换到MS,DOS方式”对大多数防杀计算机病毒软件来说存在漏洞。此时针对Windows 95/98的监视已失效,只有少数软件在Windows 95/98目录下的dosstart.bat里加入了DOS指令扫描器。我们自己可以将DOS指令扫描器添加到dosstart.bat去,增加DOS下的保护。
2)32位计算机病毒扫描器:供用户对本地硬盘或网络进行扫描。它是专门为Windows 95/98/NT/2000而设计的32位软件,从而支持长文件名及确保发挥最高的性能。
(2)实时监控程序:通过动态实时监控来进行防毒。一般是通过虚拟设备程序(VxD)或系统设备程序(Windows NT/2000下的SYS)形式而不是传统的驻留内存方式(TSR)进行实时监控。实时监控程序在磁盘读取等动作中实行动态的计算机病毒扫描,并对计算机病毒和一些类似计算机病毒的活动发出警告。
(3)未知计算机病毒的检测:
新的计算机病毒平均以每天4,5个的速度出现,而计算机病毒特征代码库的升级一般每月一次,这是不够的。理想的防杀计算机病毒软件除了使用特征代码来检测已知计算机
青岛恒星职业技术学院毕业论文(设计)
病毒外,还可用如启发性分析(Heuristic Analysis)或系统完整性检验(Integrity Check)等方法来检测未知计算机病毒的存在。然而,要100%地区分正常程序和计算机病毒是不大可能的。在检测未知计算机病毒时,最后的判断工作常常要靠用户的经验。
(4)压缩文件内部检测:
从网络上下载的免费软件或共享软件大部分都是压缩文件,防杀计算机病毒软件应能检测压缩文件内部的原始文件是否带有计算机病毒。
(5)文件下载监视:
相当一部分计算机病毒的来源是在下载文件中,因此有必要对下载文件,尤其是下载可执行程序时进行动态扫描。
(6)计算机病毒清除能力:
仅仅检测计算机病毒还不够,软件还应该有很好的清除计算机病毒能力。
(7)计算机病毒特征代码库升级:
定时升级计算机病毒特征代码库非常重要。当前通过因特网进行升级已成为潮流,理想的是按一下按钮便可直接连线进行升级。
(8)重要数据备份:
对用户系统中重要的数据进行备份,以便在系统受计算机病毒攻击而崩溃时进行恢复。通常数据备份在可启动的软盘上,并包含有防杀计算机病毒软件的DOS平台计算机病毒扫描器。
(9)定时扫描设定:
对个人用户来说,这一功能并不重要,但对网络管理员来说,它可以避开高峰时间进行扫描而不影响工作。
(10)支持FAT32和NTFS等多种分区格式:
Windows 95 OSR2以后版本中增加了FAT32分区格式的支持,从而增加了硬盘的利用率,但同时也禁止了某些低级存取方式,而传统的软件大多使用低级存取方式检测或消除计算机病毒。如果软件不支持FAT32,便很难充分发挥其功能甚至误报。对于运行Windows NT/2000的计算机来说,支持NTFS也是防杀计算机病毒软件必须支持的。
(11)关机时检查软盘:
这一功能便是利用了关机的漫长时间,再次对A盘的引导区进行检测,以防止下次引导时的计算机病毒入侵。
(12)还必须注重计算机病毒检测率:
检测率是衡量防杀计算机病毒软件最重要的指标。
这里只能引用一个间接参考标准:美国ICSA(国际计算机安全协会,原名国家计算机安全协会NCSA)定期对其AVPD会员产品进行测试,要求对流行计算机病毒检测率为100%,(参照JoeWell的流行计算机病毒名单WildList)对随机抽取的非流行计算机病毒检测率为90%以上。
青岛恒星职业技术学院毕业论文(设计)
3.1.2、 主要的防护工作
(1) 检查BIOS设置,将引导次序改为硬盘先启动(C:A:)。
(2) 关闭BIOS中的软件升级支持,如果是底板上有跳线的,应该将跳线跳接到不允许更新BIOS。
(3) 用DOS平台防杀计算机病毒软件检查系统,确保没有计算机病毒存在。
(4) 安装较新的正式版本的防杀计算机病毒软件,并经常升级。
(5) 经常更新计算机病毒特征代码库。
(6) 备份系统中重要的数据和文件。
(7) 在Word中将“宏病毒防护”选项打开,并打开“提示保存Normal模板”,退出Word,然后将Normal.dot文件的属性改成只读。
(8) 在Excel和PowerPoint中将“宏病毒防护”选项打开。
(9) 若要使用Outlook/Outlook express收发电子函件,应关闭信件预览功能。
(10) 在IE或Netscape等浏览器中设置合适的因特网安全级别,防范来自ActiveX和Java Applet的恶意代码。
(11) 对外来的软盘、光盘和网上下载的软件等都应该先进行查杀计算机病毒,然后在使用。
(12) 经常备份用户数据。
(13) 启用防杀计算机病毒软件的实时监控功能。
小型局域网的防范
3.2.1小型局域网的特点
小型局域网大多以一台服务器和多台工作站组成,服务器主要提供简单的文件共享服务、打印服务和小规模的数据库访问服务。对等网络、Window NT网、NetWare网及Unix/Linux网为局域网的典型代表。计算机病毒一旦感染了其中的一台计算机,将会很快的蔓延到整个网络,而且不容易一下子将网络中传播的计算机病毒彻底清除。所以对于小型局域网的计算机病毒防范必须要全面预防计算机病毒在网络中的传播、扩散和破坏,客户端和服务器端必须要同时考虑。
3.2.2 简单对等网络的防范
简单对等网络,就是将一些计算机简单地通过集线器(Hub)连接在一起的方式。这类网络的特点是架构简单,没有明确的服务器,大多采用文件共享的方式进行数据交换。
由于这种网络相对封闭,或者某些主机通过拨号接入的方式联接到因特网,计算机病毒只能通过某台主机的软盘、光盘等侵入整个网络。对这类网络的防毒主要还是基于单机
青岛恒星职业技术学院毕业论文(设计)
计算机病毒防范,同时对每台计算机安装计算机病毒实时监控程序,可以防止计算机病毒通过文件共享等方式在网络内传播。
3.2.3 Windows NT网络的防毒
大多数的中小企业的局域网都是Windows NT网络。Windows NT网络一般是由一台Windows NT主域控制器作为中心服务器,管理用户信息和访问权限控制。而工作站大多是采用有硬盘的PC计算机,操作系统以Windows 95/98、Windows 2000专业版、Windows NT Workstation或NT独立服务器为主,主要做文件共享和打印共享。网络相对封闭,或通过在中心服务器上安装访问代理程序(Proxy)来接入因特网。
除了对每台工作站进行单机的防护外,针对Windows NT网络的特点,Windows NT网络的防毒还应采取如下措施:
1。Windows NT服务器必须全部为NTFS分区格式。有的用户在安装系统时,一部分为FAT16分区格式,一部分为NTFS分区格式。这样就会把基于DOS的计算机病毒感染到Windows NT服务器的FAT16分区中,严重时计算机病毒破坏FAT16分区而导致Windows NT无法正常启动。
2。Windows NT服务器很容易把光盘作为共享给用户调用,因此要严格控制不知名的外来光盘的使用,以免传染上计算机病毒。
3。用户的权限和文件的读写属性要加以控制。用户权限越大,在工作站上能看到的共享目录和文件就越多。那么一旦工作站感染上计算机病毒,所能传染的范围就越大,破坏性就越强。若公用文件属性为只读形式,则计算机病毒无法传播,系统就更安全。
4。由于登录Windows NT网络的工作站基本上为有盘工作站,这样为计算机病毒进入网络创造了更多的机会。必须在工作站上选择优秀的具有实时检查、实时杀毒功能的杀毒软件,则能阻止计算机病毒从工作站进入网络系统。
5。在服务器端安装基于Windows NT服务器上开发的32位的实时检查、实时杀毒的服务器杀毒软件,可消除计算机病毒在网上的传播。
6。利用登录Windows NT网络后执行脚本的功能,实现工作站防杀计算机病毒软件的升级和更新。
7。尽量不要直接在Windows NT服务器上运行如各类应用程序,包括Office之类的办公自动化软件。因为有很多计算机病毒发作是恶性的,一旦遇到发作为格式化硬盘、删除重要文件等现象,那后果就非常严重。
8。安装Windows NT的服务器必须物理上绝对安全,不能有任何非法用户能够接触到该服务器,并且设置成只从硬盘启动。因为目前有些工具可以在DOS下直接读写NTFS分区。
综上所述,Windows NT网络防范计算机病毒应先从工作站入口开始,采取切实有效的措施,防止工作站感染计算机病毒,同时也在服务器端安装可靠、有效的网络杀毒软件,
青岛恒星职业技术学院毕业论文(设计)
实时阻止计算机病毒在网络中的转播、扩散。另外还必须要对网络服务器重要的数据时刻进行备份,这样一旦网络出了意外,也能随时恢复正常。
3.2.4 NetWare网络的防毒
在金融、证券等行业的局域网中,NetWare网络还是具有一定的生命力的。NetWare网络的系统漏洞相对来说比较少,而且可以支持无盘工作站。大多数的NetWare网络以一台NetWare文件服务器为中心,用同轴电缆或双绞线联接许多工作站。这些工作站大多是无盘工作站,没有软驱、硬盘和光驱。各个工作站利用映射(map)网络驱动器的方式共享文件服务器上的应用程序和用户数据区。
NetWare网络的计算机病毒防范主要采取如下措施:
1、保护NetWare文件服务器
在NetWare网络,文件服务器可以说是局域网上的核心,所以加强对文件服务器的保护是一项重要的工作。
首先,从安全的盘上引导机器,如果文件服务器有DOS分区,那么最好是从硬盘启动系统;一般来说,文件服务器上并不需要DOS分区。在没有DOS分区的文件服务器上,如果有不带计算机病毒的正版可启动光盘,就不要用软盘启动系统。
其次,必须经常备份文件服务器上的重要数据。
2、保护网络文件的管理对策
Novell在NetWare LAN中为网络管理提供了一些十分有用的功能,可以有效地消除计算机病毒的威胁。
将“.exe”与“.com”文件置为只读属性和只可执行的属性。其次,对sys:\public与sys:\login和应用程序目录以及所有常规用户授予Only Read and SCAN权限。并且不要经常使用Supervisor或与之等效的用户注册网络。
计算机病毒总是会有意无意的被带入网络,对工作造成一些不同程度的破坏。这就必须进行网络杀毒与数据恢复,据最新的调查报告,NetWare网络的专有的计算机病毒数量很少,而在我国现有NetWare LAN上流行的计算机病毒主要还是DOS计算机病毒。DOS计算机病毒在NetWare网上传播主要是通过带毒客户机对网络文件的调用而进行传播。目前对付DOS计算机病毒的杀毒软件随处可见,所以可以利用现有的DOS杀毒软件来对付NetWare网上的计算机病毒。但必须按照严格的步骤来进行:
(1) 逐一用无毒软盘启动工作站,用杀毒软件杀除工作站本地硬盘上计算机病毒(如果有的话);
(2) 使某一工作站登录到文件服务器,并保证网上不得有其它的工作站连接到服务器上,利用杀毒软件将目录sys:\login下的计算机病毒扫描杀除;
(3) 用login /s:x登录,必须加参数/s:x,以使登录时不执行脚本logintext与usetext;
青岛恒星职业技术学院毕业论文(设计)
(4) 扫描文件服务器上的所有目录(重点为用户数据区)。
3、控制有盘工作站的使用
多用无盘站,少用有盘站。使用无盘站后,用户只能执行服务器上的文件,这样就减少了计算机病毒从工作站侵入网络的机会。
4、控制用户的权限
对普通用户,不允许具有对其他的用户目录的浏览和访问权力,以防止用户通过拷贝他人已被计算机病毒感染的文件,将网络中的计算机病毒传至自己目录中的文件上。超级用户越少,具有访问整个服务器全部目录的使用者则越少,这就能增大整个网络的工作安全性。对重要的网络文件进行权限保护。
对公用目录中的系统文件和工具软件,要设置为只读和执行属性;对系统程序所在的目录不授予修改和管理权。这样,计算机病毒就无法对系统程序实施感染和寄生,其他用户也不会受到计算机病毒感染。工作站是网络的入口,只要将入口管理好,就能有效地防止计算机病毒的入侵。
在NetWare网络中,安装NLM模块方式设计、以服务器为基础、具有实时监控能力的杀毒软件,从而使服务器不被感染,消除计算机病毒在网上的传播。
3.2.5 Unix/Linux网络的防毒
对于Unix网络来说,其安全性和用户权限的控制可以说是很强大的,但并不是说就没有计算机病毒的危害存在。大多数的Unix/Linux网络主要是由一台或多台安装Unix/Linux操作系统的服务器做Web Server或FTP Server,通常也有Mail Server。而工作站端大多是安装Windows 95/98/2000/NT操作系统的计算机。对这种网络的计算机病毒防护主要还是基于工作站的单机防护。可以在Unix/Linux服务器上安装Samba服务,从某个安全的工作站定期对服务器磁盘上的文件进行扫描。
大型网络的防范
3.3.1 大型复杂企业网络的特点
这是目前比较流行的企业组网方式。整个网络分为内网(Intranet)和外网(Extranet)。内网和外网之间基本上是处于隔离状态,一般通过防火墙设备在内、外网之间建立一条受控的通路,从内网访问因特网一般采用代理的方式,外网通过路由器或直接与因特网相联。内网大多采用Windows NT网络组建,分配虚拟地址,并安装有内部办公自动化信息系统,如Lotus Domino或Microsoft Exchange server等;而外网一般多为Unix/Linux网络,也有采用NetWare网络或Windows NT网络的,分配实地址,并对外提供服务。外网一般安装有Web 服务器、FTP服务器、电子函件服务器、域名服务器,以及其他一些服务器等。
青岛恒星职业技术学院毕业论文(设计)
从整个网络来看,可能有多个内网和一个外网构成,也有在外网中再划分子网的情况,网络内存移动工作站(存在便携机接入的情况)。
对于这种网络的计算机病毒防护,除了要对各个内网严加防范,更重要的是要建立多层次的网络防范架构,并同网管结合起来。主要的防范点有:因特网接入口、外网上的服务器、各内网的中心服务器等。
可以采用以下一些主要手段:
(1) 在因特网接入口处安装防火墙式防杀计算机病毒产品。
(2) 在外网单独设立一台服务器,安装服务器版的网络防杀计算机病毒软件,并对整个网络进行实时监控。
(3) 如果外网的服务器是基于Windows NT操作系统的,那么需要在外网的各个服务器上安装相应的计算机病毒防护软件,比如电子函件服务器使用的是Microsoft Exchange
Server,那么就需要在该服务器上安装专为Microsoft Exchange Server设计的防杀计算机病毒软件。
(4) 外网上如果有工作站,需要进行单机防范布防,并适当参考小型局域网的防范要点进行有选择地增加。
(5) 在每个内网参照小型局域网的防范要点布防。
(6) 内网中的工作站参考单机防范的重点,适当参考小型局域网的防范要点进行布防。
(7) 建立严格的规章制度和操作规范,定期检查各防范点的工作状态。
3.3.2 参考案例1:熊猫卫士防计算机病毒方案的设计和实现
中国海运集团(中海集团)1997年7月1日在中国最大的口岸城市——上海成立,是一家跨地区、跨行业、跨所有制和跨国经营的国有大型航运企业,并拥有劳务、船务、货代、工业、电信、供贸、国贸、投资、仓储等多家陆上专业公司及二十余家境外企业。由于中海集团每天都有大量的数据交流和对Internet的访问,所以受计算机病毒感染的机率是比较高的,尤其是邮件附件中的宏病毒,虽然没有造成严重的后果,但还是存在极大的潜在危害,所以中海集团在计算机病毒防护方面的需求是甚为迫切的。
1、方案提供
在了解了中海集团对网络防计算机病毒的需求之后,熊猫卫士公司决定为中海集团提供三个月的试用。在勘查了中海的网络环境之后,提供了多种实施方案。中海集团的网络架构非常严谨,所有分支机构局域网内的计算机都可以通过专线联入位于上海的中心网络,通过Microsoft的Terminal Server登陆到NT主域服务器上接受身份验证。根据中海的网络拓扑结构,在提供的安装/管理方案中,包含了集中式和分布式两种安装和管理方案。
(1)集中式安装 / 管理
该种方案中,整个集团网络系统可以只使用一套管理工具就可以对整个网络(本地和外地)实施杀毒软件的安装/管理/升级。网络管理员只需要在一台本地计算机就可以随时
青岛恒星职业技术学院毕业论文(设计)
对整个网络的防计算机病毒事件了然于胸。此种安装方式的一个最大特色就是实际的安装过程仅需在一台计算机上即可完成,不需要到客户端或外地分支机构进行任何操作。整个集团内部只要一台计算机上因特网更新过计算机病毒代码库了,通过软件内嵌的机制可以实现其它所有用户同时升级(包括服务器和用户)。网络管理员可以在本地管理集团内部的任何一台服务器,而当地用户的管理则由这些当地服务器进行。但是此种方式最大的一个缺点就是首次安装时网络流量非常大,每安装一台需要管理当地用户的服务器需在网络上传送100M的文件,即便是通过专线连接,安装速度也较慢。
(2)布式安装 / 管理
该种方案将外地的分支机构的局域网都看作是一个个独立分割的网络,在每个局域网内分别安装一套管理工具,由当地的网络管理员具体负责防计算机病毒事务。而通过软件提供的丰富的报警功能,可以将计算机病毒事件全部报告给本地网络管理员和总部的网络管理人员。对于软件的更新则可以选择上因特网或总部特定服务器实现自动更新。此种安装方式的优点是解决了集中式安装造成的网络流量大和速度慢的缺点,同时也达到了分级防护的功能。但是缺点也是显而易见的,必须由专人到这些网络实施安装或者通过某些远程控制软件实现远程安装,速度慢效率低而且需要培训专门的网络管理员。
中海集团的技术人员根据情况选择了分布式的方案。
2、安装过程
下面是整个安装过程:
(1)安装熊猫管理员
在GVI多平台计算机病毒解决方案中,包含了允许网络管理员从一个单独的工作站上管理整个网络的熊猫卫士计算机病毒保护程序。该工具名为熊猫管理员。通过这一工具,可进行安装、卸载、设置、扫描及更新工作站或服务器上的任何杀毒软件。如果没有熊猫管理员,必须在每台计算机上重复所有这些工作。众所周知,大部分应用程序安装之后要求计算机重新启动,所以选定一台作为工作站的独立服务器,安装熊猫管理员,之后对网络中其它的服务器进行安装管理。
(2)为服务器安装熊猫卫士防计算机病毒软件
在对服务器安装之前,对中海集团网络的网段划分,IP地址分配,路由器设置等等都进行了详细了解,对安装有熊猫管理员的工作站进行重新设置,保证其能和网络中所有的服务器进行通讯。然后打开熊猫管理员,自动地搜索到网络中的Netware 服务器,NT主域服务器,NT 备份域服务器,NT独立服务器,Exchange Server邮件服务器,Proxy服务器和Web服务器,接着为这些服务器分别安装熊猫卫士防计算机病毒软件,这个过程很快就完成了。
(3)为工作站自动安装熊猫卫士防计算机病毒软件
中海集团的网络中,有基于域用户登录的网络,也有只是物理上连通的对等网式的多个组,针对不同的连网方式,熊猫卫士采用了不同的方案,实现对工作站防计算机病毒软
青岛恒星职业技术学院毕业论文(设计)
件地自动分发。熊猫卫士软件在对用户的安装方式中有服务器向用户“推”式的强迫安装,还有由用户主动向服务器“拉”的安装方式。不管使用何种安装方式,由于熊猫软件能自动识别工作站使用的是何种操作系统,并且能自动安装相应的防计算机病毒软件模块,所以在对中海集团网络计算机病毒解决方案的整个实施过程中,不须实施人员指定计算机的操作系统,真正实现了工作站的自动安装。
(4)服务器和工作站的配置
无论在服务器端,还是在工作站上,熊猫卫士防计算机病毒软件都能保护通过内部网络、磁盘、调制解调器连接、笔记本接入所收发的文件和邮件服务器所收发的电子邮件,而对于中海集团特别强调的Internet系统防护,通过设置熊猫卫士防计算机病毒软件,对通过Internet进入或传送的文档,熊猫卫士提供了全面地防护,包含SMTP、FTP、HTTP、HTML和POP3等协议,同时设置了对某些特定IP地址的屏蔽。
3、广域网的安装管理
中海集团的网络是一个广域网,其中心是在上海,同时通过DDN,Frame Relay连接国内、外各地区的网络,熊猫卫士的全球计算机病毒解决方案确实能实现远程的安装,但是100M多的文件量在有限的Frame Relay带宽下进行传输,会对网络速度有一定的影响,因此通过和中海集团的商讨,决定对外地的局域网,由经过培训的网络管理员在本地自己安装,而由中海集团上海中心的技术人员通过熊猫管理员对下属公司安装的防计算机病毒软件进行集中管理。
这套实施方案的特点还在于,一旦中海集团的网络进行了扩容,如增加了新的服务器,或者是新的Exchange Server,即使是增加了新的域,都不需要重新安装熊猫管理员,只须在熊猫管理员中刷新一下视图,熊猫管理员就能自动搜索到所有新增加的服务器,网络管理员了解情况,只要在安装有熊猫管理员的这台计算机上为新增的服务器远程安装熊猫卫士的防计算机病毒模块即可。
中海集团在试用熊猫卫士网络版杀毒软件期间,熊猫软件的技术工程师定时拜访客户,及时了解中海集团在使用杀毒软件中的问题。一天,熊猫卫士技术部接到中海集团电脑部的电话,被告知中海集团内部正发生一些问题,怀疑是电脑计算机病毒所致。通过电话,熊猫卫士的技术工程师了解到,中海集团内部的某些计算机硬盘正无缘无故在减小,而且每查看一次硬盘空间,该空间都会减少几十兆,而且受染的计算机正逐步扩大。中海集团电脑部的人员已经使用了包括熊猫卫士、Norton、KV300和瑞星在内的市场上常见的杀毒软件都没有能查出是何种计算机病毒所致。但是从某些状况和经验上判断,这应当是一次未知电脑计算机病毒事件。
事后,中海集团电脑部负责人高度赞扬了熊猫卫士所提供的SOS紧急计算机病毒救助服务,称这项服务带给用户最大的安全保障,本次计算机病毒救助服务给中海集团电脑部的技术人员留下了很深的印象,在最后该集团选用防计算机病毒软件时,熊猫卫士所提供的这项服务以及成功实施的事实成为选型时非常重要的一条参考标准。
青岛恒星职业技术学院毕业论文(设计)
3.3.3 参考案例2:赛门铁克防计算机病毒方案的设计和实现
1、 计算机病毒防范需求分析
某大型企业的计算机网络有如下特点
(1)企业及其辖内单位均通过相应的通讯线路进行着数据交换工作;
(2)内部所有的计算机设备均通过局域网连接,工作站对服务器、工作站之间只要授权允许,即可互相访问资源。只要其中一台通过软盘、光驱、电子函件或外部数据接收而感染计算机病毒,就会非常容易地传给其他工作站和服务器。并通过内部网络迅速扩散到整个网络中的服务器和工作站。
显然,这样的网络环境具有多重感染途径,受计算机病毒感染的可能性相当大,一旦感染象CIH、“美丽莎”等恶性计算机病毒或者是遭受一些不明的类似BO等的黑客程序的恶意攻击,系统将面临崩溃的危险。也将影响到整个分行系统信息的安全;
如果选用一些普通的杀毒软件,不能自动预防计算机病毒,只能在感染计算机病毒后去扫描。一方面不能查到全部计算机病毒,另一方面难以忍受的扫描时间和网上众多的计算机也给系统管理员带来繁重的工作,耗费大量人力时间。
对于这样一种网络环境的防计算机病毒方案,应该从以下几个方面考虑:
(1) 必须具备24小时自动防护功能。
(2) 必须能够在各条可能感染途径上防止计算机病毒。
(3) 必须能够扫描预防电子函件附带的计算机病毒和未知宏病毒。
(4) 必须具备最先进的检测清除计算机病毒的功能。
(5) 对已感染计算机病毒的文件,能够通过先进的修复工具保证文件免受损害。
(6) 对服务器系统性能的影响应该非常小。
(7) 扫描计算机病毒引擎的更新必须快速方便。
(8) 必须能够实现集中管理、网上分发功能。
2、Norton AntiVirus 防杀计算机病毒企业级方案
赛门铁克公司建议选择Norton AntiVirus企业级的防杀计算机病毒的解决方案来构建强有力的防计算机病毒体系。
在Norton AntiVirus企业级的解决方案中,包含工作站级、服务器和网关级的全部防计算机病毒软件。支持的平台有Dos/Win3.X、Macintosh、Windows 95/98、Windows NT、Novell NetWare、MS Exchange、 LotusNotes和Firewall。
(1)建立分级计算机病毒隔离中心
赛门铁克的防计算机病毒解决方案的先进技术同时能够保证当侦测到未知计算机病毒时提供有效的反应手段,即对可疑文件进行隔离,不让它发作和传播。可以在每个单位局域网络中同时建立隔离服务器的机制来实现隔离服务器的技术,并且系统管理员应该在有可以文件被隔离时,及时通过赛门铁克防毒方案中的向导功能发送该文件到赛门铁克的公司去,以便得到及时的解毒支持。
青岛恒星职业技术学院毕业论文(设计)
(2)建立计算机病毒管理报警中心
用户可以利用一台Windows NT服务器,通过使用Norton“系统管理中心”建立一个计算机病毒集中管理报警中心,并且随时记录活动日志,以简化企业的安全管理。所有工作站和服务器的报警都可以被发送过来,并可以电子函件等方式提醒管理员。管理员可以同时利用建立在这台Windows NT服务器上 Norton“系统管理中心”来完成对网络上的计算机防计算机病毒软件安装、配置、计算机病毒定义码更新及引擎更新等管理功能,并能监控网络上的防计算机病毒安全状态。
(3)在作为管理中心的Windows NT服务器上安装:
Network Distribution Tools:
Network Manager for Windows 95/NT
Norton System Center (NSC3.0)
LiveUpdate Administration Utility
NSC Packages(NAV)
然后,通过诺顿系统中心(NSC)网络分发功能为每一台用户工作站分发中文或英文版本的Norton AntiVirus,并为每一台用户工作站创建配置文件,设定自动保护、自动更新计算机病毒定义和定时扫描功能。对一些重要的防计算机病毒功能设置口令,避免任何无意获恶意的操作取消某台计算机的自动防毒功能,给计算机病毒造成可乘之机。
为所有的Windows NT服务器分发Norton AntiVirus for NT和配置文件,设定自动保护、自动更新计算机病毒定义和定时扫描功能。对一些重要的防计算机病毒功能设置口令。
在Lotus Notes服务器上安装Norton AntiVirus for Lotus Notes软件,对电子函件及数据库提供实时性扫描,如果发现邮件被感染,可隔离含毒的邮件附件。
(4)对于笔记本电脑的用户或没有连接到网络的用户,采用以下方法:
1) 单机安装;
2) 利用赛门铁克公司的远程遥控软件pcAnyWhere,安装在管理中心和不在网络上的计算机上,利用pcAnyWhere的远程控制存取功能,通过pcAnyWhere的远程遥控线或调制解调,实现远程安装分发。
3) 更新计算机病毒定义码和引擎
为服务器建立一条因特网连接,在调度选项里增加每周自动执行LiveUpdate以获取最新计算机病毒定义和扫描引擎,并将这台服务器设为内部FTP服务器,使网络上的所有计算机可以通过它执行LiveUpdate,而不必每台计算机每周去因特网执行。
(5)为确保用户端的防计算机病毒功能,建议计算机病毒定义码的更新由系统管理员从赛门铁克公司的防计算机病毒研究中心网站上下载,通过Norton“系统管理中心”来分发。系统管理员还应该通过手动或进程调度自动进行定期的用户端防计算机病毒状态的审核以及计算机病毒扫描。
(6)对于没有连接在局域网的工作站用户如有调制解调器,能够连接因特网,可以定
青岛恒星职业技术学院毕业论文(设计)
时自己完成LiveUpdate。不能连接到因特网的用户,可以由管理员定期制作更新软盘分发给他们。
(7)总控管中心
安装诺顿系统中心(NSC)及pcAnyWhere主控端。通过NSC实现对总部下辖客户端进行防计算机病毒产品分发安装、配置、监控和更新。在总部建立企业防计算机病毒FTP服务器,可用于总部及所有分部服务器和客户端进行主动的计算机病毒定义码下载(可越过路由器)。并通过pcAnyWhere主控端监测和管理所有一级控管中心。统一扫描或单机主动防护所侦测到的计算机病毒,统一总控管中心。
1)一级控管中心
安装诺顿系统中心(NSC)及pcAnyWhere主、被控端。通过NSC实现对分部下辖客户端进行防计算机病毒产品分发安装、配置、监控和更新。并通过pcAnyWhere主控端监测和管理下辖二级控管中心;通过pcAnyWhere被控端接受总控管中心的监测和管理。统一扫描或单机主动防护所侦测到的计算机病毒,统一本地控管中心、总控管中心或某指定控管中心。
2)二级控管中心
安装诺顿系统中心(NSC)及pcAnyWhere被控端。通过NSC实现对分部下辖客户端进行防计算机病毒产品分发安装、配置、监控和更新。并通过pcAnyWhere被控端接受一级控管中心的监测和管理。统一扫描或单机主动防护所侦测到的计算机病毒统一本地控管中心、总控管中心或某指定控管中心。
由于对服务器和工作站的扫描结果每一次都将输入到本网络的系统中心的事件管理器中,而产生数据库文件,利用pcAnyWhere可定期将每一级控管中心每一次的扫描数据库文件传输到总控管中心,以产生内部的总体报告。
总部或每一个分部的系统管理人员应在每一周利用更新过的Norton AntiVirus重新创建三张紧急修复磁盘,用于特殊情况的处理。
3.3.4 参考案例3:KILL防计算机病毒方案的设计和实现
1、 基本需求
北京市政工程设计研究总院是市政工程设计工作的主要单位。由于设计工作量大、任务艰巨、工作质量要求高,因此,设计院很早就引入微机进行图形设计,其后建设的局域网络体系进一步实现了全院的数字化管理,实现了内部文件共享、设计数据网络化查询、财务管理的纵向联网,极大的提高了工作效率,也很好地解决了设计图纸的保存问题。但是,随着企业局域网及互联网络的深入就用,企业网络中用户数量不断增多,企业内外文件数据交换量增大,数据交换渠道根本无法控制,在这种情况下,仅通过单机防毒软件实现网络防毒,对整个网络体系的安全构成了极大的威胁。再加上计算机病毒技术的发展造成通过各种渠道传播的计算机病毒数量及破坏剧增、传播速度大大加快,甚至还出现了直
青岛恒星职业技术学院毕业论文(设计)
接攻击服务器的计算机病毒,企业数据安全管理工作的难度日益加剧。因此,从网络防毒实际情况分析,设计院的企业网络安全和计算机病毒防范工作必须要渗透到服务器和客户端的各个角落才能实现真正的安全防护。
该院局域网络主要划分为两大部分:4个业务设计所为一部分,党政团组成的职能部门是另一部分。
在这两部分中,终端用计算机有:
财务用计算机;
内部办公用计算机;
400-500台图纸设计业务用计算机;
服务器有7台;主要包括一台主域控制器使用NT Server操作系统,平时承担内部数据的数据库服务和用户的身份验证;一台备份域控制器,操作系统也为NT Server,其中还安装了用于内部公文办公的Exchange办公群件系统,平时承担用户数据备份、邮件服务;一台单独服务器合用NT Server操作系统,主要用于内部普通文件的存放和软件共享;另外4台为4个业务设计所公别单独使用,主要用于存放图纸资料和数据,并提供打印服务,操作系统均使用NT Server;同时其上还安装了ARCServer IT备份软份,每周定时将数据备份到DLT磁带。网关服务由NUIX服务器提供,其上安装Netscape Proxy Server代理服务软件以提供Internet网络访问代理服务。计算机内部以100M以太网络连接,再通过网关与Internet网络连接。
根据市政工程设计院的实际情况,选择网络计算机病毒防范软件有以下几种依据:
(1) 计算机病毒防范软件必须具备很高的系统稳定性,能够克服传统防病毒软件无法在操作系统特别是Windows NT这种现代操作系统环境下稳定运行的缺陷。也就是说,计算机病毒防范软件能够与操作系统紧密结合,不存在兼容性、可靠性、运行效率问题。
(2) 计算机病毒防范产品也需要具备优秀的病毒发现能力和病毒清除能力,也就是说,必须能够迅速捕获并查杀世界范围内的所有流行计算机病毒。
(3) 计算机病毒防范产品必须具有实时监控功能、对压缩文件内部计算机病毒的检测能力和良好的自我校验功能,以及良好的易用性,能够支持软件分发及自动更新计算机病毒特征文件的能力,做到简易安装、集中控制管理,对企业内部网络系统资源和网络资源的占用率要求要很低。
(4) 计算机病毒防范软件的质量要有可靠的保障,对于查杀病数量、查杀计算机病毒安全性、与软硬平台的兼容性、运行效率等问题,有权威性的机构对此进行评测,提供质量保障。
(5) 安全性和投资问题。设计院内部许多图纸设计数据不仅要求精确而且很多属于机密数据,从安全角度出发,选择计算机病毒防范软件时,在反毒能力、管理能力、杀毒数量满足设计院总体需求的前提下,优先考虑国内开发的软件产品。另外,由于网络存在不断扩展的需要,网络版计算机病毒防范软件也需要是无限用户产品,才能保证设计院在安
青岛恒星职业技术学院毕业论文(设计)
全方面的投资不会有损失。
(6) 计算机病毒防范软件必须具备多平台、多方位的计算机病毒防范体系,可以为设计院企业局域网构筑一个立体的网络防毒体系,能够确保每一点的安全。
(7) 能够与备份系统紧密结合、协同工作,以确保系统在发现计算机病毒后能够自动清除计算机病毒而不会打断备份工作,使计算机病毒清除工作与备份工作都能够不间断进行。
(8) 在国内拥有高水平的研发中心,具备快速计算机病毒反应能力并提供及时的升级服务。为了彻底杜绝计算机病毒可能对设计院网络系统系统构成威胁,市政工程设计院对整个企业结构进行分析,根据以上需求选择了最为合适的KILL网络版计算机病毒防范软件。
2、KILL计算机病毒防护系统部署方案:
(1)服务器病防护
KILL系列计算机病毒防范软件采用服务器/客户端构架。服务器端能够对Windows NT、NetWare、Domino/Notes等操作平台进行计算机病毒防护。根据服务器端系统平台的实际情况,设计院选择了相应的KILL网络版软件,分别在装有Windows NT Server系统的主域控制器、备份域控制器、成员服务器和单独服务器上装备了KILL for Windows NT 网络版,并在装有Domino/Notes的备份域控制器中安装了KILL for Exchange群件,从而实现了多平台服务器的全面防护。KILL服务器端软件的安装可以从本地服务器进行,也可以从一台服务器或工作站向远程服务器进行安装,由此实现了一点对多点的自动简易安装。
(2)客户端计算机病毒防护
根据工作站平台实际情况,设计院网络终端分别先用了相应的KILL客户端软件:DOS工作站安装KILL for DOS 客户端;Windows。X工作站安装KILL for Windows客户端软件;Windows95/98工作站上安装KILL for Windows95/98客户端软件;Windows NT WorkStation
工作站安装KILL for WorkStation客户端件。客户端软件安装完成后,相应的KILL客户端软件对本地工作站实现计算机病毒防护功能,由此,客户端与服务器相配合的网络构架完成。
(3)电子邮件防毒
设计院内部网络采用Exchange邮件服务系统,因此,对于这个极易传播计算机病毒的邮件系统,采用KILL for Exchange实现邮件病毒防护。KILL for Lotus Notes选件具有实时扫描功能,当企业网络中用户使用Exchange读取和发送电子邮件时,KILL都会对计算机病毒进行检测,这样可以防止系统将感染文件附加在Exchange上或从Exchange上剥离受感染文件的情况。另外,KILL for Exchange选件的布告选项可以设置代理程序,将感染公告发送给收到和发送染毒文件的用户,或者直接给包含计算机病毒的Exchange发送消息。
(4)Internet网关病毒防护方案
青岛恒星职业技术学院毕业论文(设计)
KILL解决方案所采用的主要方式是通过对计算机病毒源进行控制,实现全面的计算机病毒防护。因此,设计院网络体系病毒防护方式是,在网关处安装Internet Protect选件从而解决网关病毒防护问题。
(5)计算机病毒防范网络管理能力实施现状
设计院防毒网络管理工作主要由KILL软件自动完成,系统管理员只要按照不同部门或地域的实际情况分组设置好域,整个网络的管理工作变得极度为简单。因为,KILL域管理功能可以自动统一KILL域中所有机器,能够避免同一组内的手工重复操作,根据实际需要,还可灵活设置某台机器的扫描作业及选项(包括实时扫描设置)、同时通过设置域扫描作业中的远程扫描选项可以实现对整个设计院网络系统的本地化统一管理。另外,对于系统中的重要服务器和工作站,利用KILL点对点扫描主式将能够重点保护重要信息。
(6)报警功能的实现
设计院KILL反毒网络建设完毕后,整个企业网便具有了相互间的通讯能力和报警能力,即通过KILL提供的网络广播、故障打印、MS Mail、邮件等多种报名方式对计算机病毒情况进行通报。与此相配合的是日志纪录,它包括了从服务器到客户端所有出现问题的计算机名称、用户名、使用时间、染毒情况、处理情况信息纪录。因此,从报警和日志信息,系统管理员便能够全面掌握整个网络的病毒情况,使网络管理更加简单、明了且有针对性。
(7)升级及维护功能的实现
升级问题是计算机病毒防范软件的一个重要考核标准,因此,KILL所提供的自动简单升级方法也是设计院选择KILL系列产品的一个重要原因。KILL主动邮件服务功能,能够直接将最新升级版本用电子邮件的方式发送到设计院指定电子邮箱中。同时,企业内部网通过简单配置,在一台服务器上下载升级文件便能够自动完成全域内所有计算机升级工作。即在TEST域中,系统管理员可以将S2作为下载升级文件服务器,当S2T升级文件下载成功后,KILL会自动将升级文件分发给其他服务器和NT工作站;在终端用户登录到升级后的服务器时,客户端会自动运行升级程序,从而完成客户端升级工作。
通过KILL所部署的整体设计院网络安全体系,不仅可以通过详细的日志管理,能够及时发现内闻传播计算机病毒的主要源泉,及时做出有效处理,实现更为规范的计算机安全管理,也为设计院信息化、现代化网络体系的进一步完善提供了安全保障。
3、服务器配置:
任意选择一台作为KILL域的主服务器。在主域服务器中启动KILL服务,它会自动寻找设计院企业网中其他NT、NetWare服务器和工作站,并显示KILL服务运行情况,对网络中所有服务器和工作站进行任务分配、自动下载和分发、扫描设置等日常安全维护工作,充分为网络每点给予保护。
4、客户端配置:
通过对KILL客户端的配置实现客户端自动安装和自动升级,客户端的安装可以从自身
青岛恒星职业技术学院毕业论文(设计)
机器进行安装,也可以从服务器自动远程安装,只要配置好网络用户的登录设置后,即被登录服务器需要配置相应的用户登录脚本并将相应KILL客户端软件的安装文件放置在相应目录,设置为共享后,系统管理员便可以从设计院企业网中任意一台未安装KILL客户端的工作站登录到此服务器,完成自动远程安装工作站所需客户端软件的工作,当这台工作站下次登录时,KILL服务器会检查工作站是否已安装了KILL客户端软件,如已安装,则跳过自动安装过程,通过这种方式,能够确保每一台工作站都处于KILL的计算机病毒软件的保护之中。
5、客户支持:
计算机病毒的发展速度很快,因此计算机病毒防范产品的升级服务的技术服务就显得非常重要。鉴于此,冠群金辰根据中国国情建立起一套完善的服务网络体系。用户无需自己上网升级,KILL的主动服务系统会通过用户的电子邮箱自动将升级版本送到用户手中。
3.3.5 参考案例4:北信源防计算机病毒方案的设计和实现
关于人行上海分行网络计算机病毒防范安全管理方案实施
1、局域网的计算机病毒防护
(1)服务器端实时计算机病毒防范平台
对进出服务器的病毒进行自动过滤,进而阻止计算机病毒通过某台服务器向全网段传播。北信源公司网络计算机病毒防范平台依据操作系统分为三类:Window NT版本、Novel1版本、Unix版本,考虑到人民银行上海分行信息系统对服务器资源占用提出的极为严格要求,所有版本的计算机病毒防范软件资源占用率都做到了最小,能够完全胜任任何应用环境的需要。除了自动实时查杀因网络操作系统及磁盘、光盘等介质或调制解调器连接所收发文件而引起的计算机病毒,同时生成LOG日志文件,服务器端计算机病毒防范平台还可以指定目标,进行立即扫描及定时扫描。
(2)工作站端计算机病毒防护
工作站端实时计算机病毒防范软件主要针对MS-DOS,Windows 9X,Windows Workstation,Windows2000等平台设计,实时查杀微机上的通过磁盘、光盘、网络映射器、调制解调器连接所收发文件而引起的各种计算机病毒,同时在网络上具有计算机病毒信息集中审计功能,同时生成LOG日志文件,便于网络管理员的操作管理,并支持全息数据备份技术和系统灾难还原技术,以SamartUPTM(灵巧升级TM)方式快速升级。
(3)电子邮件、互联网系统计算机病毒防护
在邮件服务器(MAIL SERVER、EXCHANGE SERVER、NOTES、DOMINO SERVER)上,使用北信源杀毒软件网络版For WindowsNT防计算机病毒系统(基于邮件服务器扫描监控版本),它可WINDOWS NT作为邮件服务器对所收发的文件、电子邮件、以及通过INTERNET进入或传送的HTML文档的网络病毒袒监控过滤,实时监视远程客户端机器和本楼内客户端机器对服务器上文件的操作,包括邮件的上传邮件的下载、邮件的分发、邮件的转移等等,发现
青岛恒星职业技术学院毕业论文(设计)
计算机病毒立即报警并自动清除,同时生成LOG日志文件,便于网络管理员的操作管理。
2、网络计算机病毒防范集中监控网管中心
专门提供网管使用,对整个网络实施计算机病毒防范集中管理监控。使得一个网管人员可以管理百个网段及数万台计算机,主要功能如下:
访问“安全审计数据库”,对整个网络所有节点染毒情况实施全面监控。
查询每台工作站和服务器计算机病毒防范软件的状态,如若计算机病毒防范软件未启动或未安装,则可强制相关点启动或安装。
如果网络被计算机病毒感染或发生其它异常情况,立即向网管发送寻呼声信息(可选)。
协同网管升级专家对应用系统进行数据分发及自动维护。
3、计算机病毒防范软件自动升级平台
与工作站和服务器端计算机病毒防范软件整合一起(是实时计算机病毒防范软件的功能模块),自动从“计算机病毒防范软件升级代码库”中提取版本信息,判断本机计算机病毒防范软件的版本情况并决定是否需要立即对本机计算机病毒防范软件进行升级。支持北信源公司独创的SmartUP灵巧升级。
(1)计算机病毒防范软件升级代码库
存放最新版本计算机病毒防范软件升级代码以及升级代码版本号。最新升级代码由网络从北信源获得。
网络中各节点所安装的“计算机病毒防范软件自动升级平台”通过查询、比较最新代码版本号的方法判断自身所管理的计算机病毒防范软件是否需要升级,如是则从升级代码库中自行下载相应最新版本升级文件并对计算机病毒防范软件进行自动升级。
网管所使用的“计算机病毒防范集中监控网管中心”组件,也能够对升级代码库中的版本号进行查询。
(2)计算机病毒防范安全审计数据库
用于记录整个网段中所有与计算机病毒相关的信息,并提供给整个网段、特别是网管“计算机病毒防范集中监控网管中心”使用。所记录的信息包括:
网段中所有节点被计算机病毒感染的民政部包括计算机病毒名称、感染时间、感染路径等等):
所有节点开机时间以及在运行过程中计算机病毒防范软件的工作状态:
所有节点计算机病毒防范软件升级时间、次数以及最新版本情况等。
青岛恒星职业技术学院毕业论文(设计)
第四章 病毒主动防御的可行性
面对越演越烈的趋利性病毒,传统防病毒软件的弱点无法回避,已经让业界人士发出“将会死去”的感叹。于是,主动防御、云安全等崭新的防范技术开始出现,让计算机病毒防范技术出现了新的转机。
为深入研讨当前病毒技术的最新发展和病毒攻击的最新特征,深度分析我国病毒防范技术的现状,深刻把握国际病毒防御技术的最新发展趋势,在有关专家和领导的高度重视与支持下,国家863计划“基于程序行为自主分析判断的实时防护技术”专题课题组与北京东方微点信息技术公司近日在北京召开了“病毒防范现状与国际病毒防御技术最新发展趋势”高端研讨会。
传统杀毒软件将死,
国家863计划“基于程序行为自主分析判断的实施防护技术”专题课题组长刘旭表示,杀毒软件赖以生存的特征码扫描技术面临严峻的挑战。
目前,病毒的“工业化”入侵特征尤为明显。这种状态下,对杀毒软件的挑战是越来越多的病毒木马难以被监测网捕获,或者在被捕获前有较长的生存时间。2008年3月19日美国《华盛顿邮报》报道,据德国AV(反病毒)实验室介绍,去年仅该公司就发现550万种新病毒。这样的产生速度,几乎已经达到了厂商捕获和分析能力的极限。 此外,在互联网上到处可见被成批贩卖的“肉鸡(被植入木马的计算机)。还有为数众多“僵尸网络”存在,每个“僵尸网络”控制的计算机少则数百台,多则上百万台。尤其值得关注的是,现在用户的计算机安装杀毒软件率大大提升,但是仍旧有超过千万台的计算机被黑客控制,但这些“肉鸡”和“僵尸”上安装的杀毒软件却对病毒视而不见。 根据国家计算机病毒应急处理中心《中国计算机病毒疫情调查技术分析报告》,从2001年到2003年间,我国计算机病毒感染率从73,上升到85.37,,到2007年这一数字进一步上升到91.47,。
刘旭提出,云安全存在几个问题:对从用户计算机中收集文件的做法,用户是否会感到不安全,而不愿意配合,反病毒公司又如何处理收集到的这些海量文件,如果采用人工处理,能否及时判定如此之多的文件是否是病毒,如果不能及时处理,就失去了应有的效果。如果采用自动处理,即在“云”端能够自动识别病毒,那么为什么不将这种自动识别病毒的功能直接放在“端”,对第二类产品来说,安全产品具有很强的终端特性,仅仅将特征库
青岛恒星职业技术学院毕业论文(设计)
放在云端,并没有太大的优势。因为在现在的网络环境中,下载病毒特征库也仅仅是一瞬间的事。在本地存放特征库,将会大大减少因为网络故障而带来的安全问题。同时,对于不能直接联网的计算机,因无法与“云”交互,本地的病毒特征库无法更新,将严重降低反病毒的能力。
因此,刘旭认为,云安全目前还仅仅是一种概念,它仍然没有回答自动识别新病毒这个核心问题,而主动防御技术仍旧是解决目前病毒危害的比较理想的反病毒技术。 主动防御的创新
主动防御技术的基本思路是,通过对病毒行为规律分析、归纳、总结,并结合反病毒专家判定病毒的经验,提炼出病毒识别规则知识库,模拟专家发现新病毒的机理,通过分布在用户计算机系统上的各种探针,动态监视程序运行的动作,并将程序的一系列动作通过逻辑关系分析组成有意义的行为,再结合应用病毒识别规则知识,实现对病毒的自动识别。 和其他反病毒技术一样,主动防御技术它必须对所查的对象给出明确的定性判断。为此,主动防御必须具备的三个基本要求:对未知病毒能够自主识别;对未知病毒能够明确报出;对未知病毒能够自动清除。
不过,刘旭指出,目前,国际上主要杀毒软件提供的所谓主动防御功能,没有对程序的动作进行关联性分析,基本上只是对程序的单个动作进行报警,并将这个动作的合法性交给用户,询问用户是否允许。
在2006年10月至2007年2月,“熊猫烧香”病毒造成了全国数百万台计算机被感染和破坏。刘旭表示,在与“熊猫烧香”病毒的这场较量中,微点主动防御软件体现了其自动识别新病毒的先进性,即使没有升过级的微点主动防御软件2005年版本,同样可以实现对“熊猫烧香”所有变种病毒的准确识别和自动清除。
五、结束语
虽然我的论文作品不是很成熟,还有很多不足之处,但我可以自豪的说,这里面的每一段代码,都有我的劳动。当看着自己的程序,自己成天相伴的系统能够健康的运行,真是莫大的幸福和欣慰。我相信其中的酸甜苦辣最终都会化为甜美的甘泉。 这次做论文的经历也会使我终身受益,我感受到做论文是要真真正正用心去做的一件事情,是真正的自己学习的过程和研究的过程,没有学习就不可能有研究的能力,没有自己的研
青岛恒星职业技术学院毕业论文(设计)
究,就不会有所突破,那也就不叫论文了。希望这次的经历能让我在以后学习中激励我继续进步
参考文献
纪东华.《计算机病毒的发展趋势与防治》. 信息网络安全, 2003, (02) . 龙金光.《计算机病毒发展趋势探讨》软件导刊, 2006, (05
王江民.《计算机病毒的发展趋势及对策(上)》.信息安全与通信保密, 2001, (11) . 王江民.《计算机病毒的发展趋势及对策(下)》.信息安全与通信保密, 2001, (10)
转载请注明出处范文大全网 » 病毒防护论文计算机病毒防护论文