時間:2023-09-21 17:35:56
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇計算機病毒與反病毒技術,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】計算機 病毒防范 技術探究
一、計算機病毒的主要來源和分類
要搞好計算機病毒與反病毒防范技術,就要搞清楚計算機病毒的主要來源,并對其加以分析。來源一是搞計算機的人員和業余愛好者的惡作劇、尋開心制造出的病毒,例如像圓點一類的良性病毒。;來源二是軟件公司及用戶為保護自己的軟件被非法復制而采取的報復性懲罰措施,因為他們發現對軟件上鎖,不如在其中藏有病毒對非法拷貝的打擊大,這更加助長了各種病毒的傳播;來源三是旨在攻擊和摧毀計算機信息系統和計算機系統而制造的病毒----就是蓄意進行破壞,如一九八七年年底出現在以色列耶路撒冷西伯萊大學的猶太人病毒,就是雇員在工作中受挫或被辭退時故意制造的。它針對性強,破壞性大,產生于內部,防不勝防;來源四是用于研究或有益目的而設計的程序,由于某種原因失去控制或產生了意想不到的效果。病毒的種類非常多,而不同類型的病毒其危害程度和感染方式也不盡相同。一般來說我們主要將計算機病毒分為以下幾種類型: 按照病毒的存在媒體進行分類,一般可以分為引導型、文件型和混合型三種類型。目前的計算機病毒無時無刻的在推陳出新,這幾年新出現的一種計算機病毒,其中有很多以前從未見過的新型號,這些病毒無法進行準確的分類,比如說一些E-mail病毒、互聯網病毒等。
二、計算機病毒巨大的危害和導致的結果
首先,病毒導致計算機運行緩慢。當病毒程序執行的過程中,不但會占據計算機內存,還會干擾系統的正常運行,導致系統運行緩慢。雖然說這樣的危害從表面上來看并不會給系統帶來較大的損失,但是在用戶使用計算機的過程中,會不斷的消耗計算機系統的資源,最終甚至可能導致系統的停止運行。其次,病毒會大量占用系統內存以及計算機磁盤空間。當計算機感染某些病毒之后,硬盤會自動開始持續性的讀取,雖然用戶并未執行操作,但是硬盤卻處于高速運轉狀態,計算機內存也被大量的占用。此外,某些文件型病毒甚至可能在短時間內感染大量的系統文件,從而讓用戶硬盤中產生大量的垃圾文件,極大的占據了硬盤空間。 第三,病毒對計算機數據進行破壞。病毒極有可能篡改計算機系統設置或者對計算機系統進行加密的方法,從而引起計算機系統的混亂,更嚴重的時候會破壞計算機的硬盤引導區,造成計算機無法正常啟動等。第四,病毒所帶來的垃圾信息會對用戶計算機網絡造成一定的危害,甚至可能導致網絡癱瘓現象。例如當計算機感染蠕蟲病毒之后,在用戶不知情的情況下,病毒會讓計算機向外發送大量垃圾郵件或數據,從而讓網絡嚴重堵塞或癱瘓。最近幾年以來,很多不法分子通過即時通訊軟件向用戶發送大量帶有病毒的垃圾信息和郵件,成為了病毒傳播的一種新的途徑。第五,竊取用戶的各種隱私。當前,很多計算機用戶對于木馬病毒已經是深惡痛絕。有關調查顯示,當前木馬病毒占據了計算機病毒的60%左右,其中大部分木馬病毒的傳播目的都是為了竊取用戶的個人信息從而幫助病毒制造者獲取非法利益。用戶信息一旦泄露,將會給用戶帶來不可估量的損失。
三、對計算機病毒的防范措施
首先,不可以隨意使用來源無法查明的計算機軟件,特別是那些盜版的軟件。公司的機房和學校的機房應該禁止隨意插入優盤,如果的確需要使用,要進行病毒檢測,達到標準的方可以進行下一步的操作。其次,禁止在機房的計算機上玩游戲,因為游戲的運行環境普遍較為復雜,遭受計算機病毒攻擊的可能性也很大,所以要禁止此類操作。再者,對單位和學校的計算機要設定使用權限,只針對本單位或本學校的人員開放,以防止外來人員惡意傳播病毒。最后,要對計算機內的系統盤進行重點保護,防止計算機內自身的文件攜帶病毒而發生局域網絡的病毒傳播。其次,要建立病毒的防護體系,需要在以下幾個層面上采取防護措施,第一在訪問控制層上進行防護,使得病毒無法深入訪問計算機。第二在病毒檢測層上,使一些隱藏較好的病毒及時顯現出來。第三在病毒遏制層上,將檢測到的病毒進行及時控制防止其蔓延。第四是在病毒清除層上,將控制的病毒徹底清理干凈。第五在系統恢復層上,加強系統自身修復的能力。第六在應急計劃層上,對突發事例進行及時應對。這些層面的防護措施,需要切實有效的軟件技術與硬件設備的支持,并由專業人員進行設計和處理。加強電磁屏蔽可以阻止電磁泄漏與電磁輻射,并且有效的阻止電磁輻射類型的病毒的傳播,進而保證了計算機的安全。要經常進行計算機病毒的檢測,對發現的系統漏洞及時修復。熟知計算機感染病毒之后的一些癥狀,一旦自己使用的計算機出現了相應癥狀,在簡單處理之后仍然無法使其正常運行的,一定要到專業人員那里進行病毒查殺與系統的修復。在日常瀏覽網站的過程中,用戶必須時刻的提起警惕,將自我保護的安全意識增強。對于不熟悉的陌生網站,用戶切勿輕易瀏覽點擊。相當一部分的陌生網站均有著有害惡意代碼植入,也可能是冒名頂替的釣魚網站以及不健康的網站,如果用戶不小心將這些網絡頁面打開,那么便馬上被植入木馬或者病毒。所以,用戶應當盡可能去訪問瀏覽大型門戶網站,并且注意域名存在冒名頂替的跡象與否。對于此類狀況,首先用戶應當從主觀上防止對陌生網站的瀏覽,并且將網頁防火墻打開,最大限度的減少木馬及病毒所帶來的侵害。除此之外,在網上下載軟件和資料時,用戶還應當注意下載之前進行病毒的查殺,切實的確認安全以后再使用。
四、結語:
用戶應當強化安全防范意識,并且將網絡安全技術和防病毒軟件綜合起來,從而維護計算機網絡的安全。
參考文獻:
[1] 周志杰.計算機病毒的特征及防范對策探析[J].太原城市職業技術學院學報,2012年5月;
[2] 陳立新.計算機:病毒防治百事通[M].北京:清華大學出版社,2001.
關鍵詞:計算機病毒,病毒防治,系統維護,計算機實驗室
中圖分類號:TP311 文獻標識碼:A文章編號:1009-3044(2008)15-20000-00
The Integrated Scheme Studies of Virus Prevention and Software Maintenance in Computer Lab
BO Tao,DING Lei
(School of Information Engineering,Tianjin University of Commerce,Tianjing 300134,China)
Abstract: Through analyzing the characteristic of virus,combining with the normal virus protection measure and routine maintenance method in computer lab, this paper puts virus prevention and cure and faster system maintenance in computer lab. The integrated scheme has some practical value on virus preventions and system maintenance in computer lab.
Key words:computer virus;virus prevention and cure;system maintenance;computer lab
1 計算機病毒的簡介
隨著世界上第一臺電子計算機的問世,計算機之父馮.諾依曼在《復雜自動機組織論》中便首先提出了計算機病毒的基本概念,即“一種能夠實際復制自身的自動機”[1]。當時,絕大部份的電腦專家都無法想象這種會自我繁殖的程序是可能的,只有貝爾實驗室三位年輕的程序員受到了啟發。他們發明了一種“磁心大戰”的游戲,玩這個游戲的兩個人編制許多能自身復制并可保存在磁心存儲器中的程序,然后發出信號,雙方的程序在指令控制下就會竭力去消滅對方的程序,在預定時間內,誰的程序繁殖得多,誰就得勝。由于這種程序與生物醫學上的“病毒”同樣具有傳染和破壞的特性,所以后來就把這種具有自我復制和破壞機理的程序稱為計算機病毒。
1.1計算機病毒基本特性
(1)傳播性:計算機病毒進入計算機并得以執行后,會搜尋符合其傳染條件的程序或存儲介質并將自身代碼插入其中,達到自我繁殖的目的。
(2)隱蔽性:表現為兩個方面:一是傳播的隱蔽性,大多數病毒在進行傳播時速度極快,不易被發現;二是存在的隱蔽性,一般的病毒程序都夾在正常程序中,很難被發現,一旦病毒發作,往往已經給計算機系統造成了不同程度的破壞。
(3)破壞性:計算機病毒都是一種可執行程序,對系統來講都存在一個共同的危害,即降低計算機系統的工作效率,占用系統資源。其破壞程度取決于入侵系統的病毒程序。
(4)觸發性:病毒具有預定的觸發條件,這些條件可能是時間、日期、文件類型或某些特定數據等。當條件滿足則啟動感染或破壞動作,使病毒進行感染或攻擊[2]。
隨著網絡時代的來臨,計算機病毒具有更多新特性,比如傳播速度更快,破壞程度更大、變種更多,隱蔽性更強等。
2 實驗室常規反病毒措施
計算機類實驗室除了要承擔學生的課程實驗外,還會承擔計算機等級考試、畢業設計以及各種社團培訓等任務。由于上機學生自帶的軟盤、U盤來源廣、數量多,為病毒的傳播埋下了隱患,再加上計算機間的互聯、Internet的開通,使病毒的迅速傳播成為可能。為了保證實驗室教學工作的正常運行,必須使用一定的技術手段對計算機病毒進行有效的防治。
2.1 反病毒軟件
目前市面上的反病毒軟件種類繁多,比如金山毒霸、瑞星、卡巴斯基、諾頓等。一般來說,反病毒軟件分為單機版和網絡版兩種類型。單機版的反病毒軟件只能安裝在一臺機器上使用且只能單機享受殺毒引擎和病毒庫的升級,如果多臺計算機同時安裝了同一單機版的反病毒軟件,不但每臺計算機都要獨立進行升級,還會被認定為對該反病毒軟件的非法傳播。網絡版的反病毒軟件則可以安裝在同一網絡環境中的多臺計算機上,具體來說就是把該軟件的Server端安裝在一個服務器上,其它計算機只安裝客戶端即可,當服務器升級了殺毒引擎和病毒庫后,其它計算機將同步進行升級。
目前來看,反病毒軟件只能對已發現的病毒進行查殺,病毒特征庫需要經常補充升級,從反病毒軟件公司發現該病毒到升級終端病毒庫存在一段時間間隔,所以造成反病毒查殺毒功能滯后于病毒的產生和傳播。如果不能對終端計算機進行反病毒軟件版本及時更新,那么反病毒軟件對這些新病毒可以說是行同虛設,幾乎不能起到什么保護作用。
安裝并升級反病毒軟件到最新版本不但可以將計算機中已存在的病毒清除出系統,還能通過實時監控功能,將試圖侵入計算機的病毒在第一時間進行查殺,繼而保障計算機感染、傳播病毒的幾率降到最低。
2.2 系統漏洞修補
系統漏洞是指在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷,這些缺陷可以使攻擊者能夠在未授權的情況下訪問或破壞系統,比如說安裝木馬程序、惡意軟件等。系統漏洞補丁則是針對這些缺陷對相關系統(操作系統、應用系統)予以修復的。因此及時安裝系統漏洞補丁對保障系統的安全是非常重要的。
對單臺計算機來說,可以采用登錄操作系統所屬公司的官方網站來進行主動修復;或者使用操作系統自帶的自動更新程序進行被動修復;另外,還可以用一些反病毒軟件里包含的漏洞掃描工具來進行漏洞的修補。
對于網絡中的計算機來說,可以建立一個漏洞補丁服務器,通過服務器對網絡中所有計算機補丁程序,實現系統漏洞的修補。
2.3 系統分區保護
系統分區保護可以通過硬件和軟件兩種方式來實現,一般來說,對在網絡中的計算機主要使用硬盤保護卡等硬件措施來保護。硬盤保護卡也叫還原卡,它主要的功能就是對硬盤上的部分或全部分區進行防寫入保護,任何對被保護部分的寫操作都視為無效操作。
硬盤保護卡的原理:保護卡在系統啟動的時候首先用它自己的程序接管對硬盤進行讀寫操作的一個INT13中斷地址,并且將文件分配表、硬盤主引導區、CMOS信息、中斷向量表等信息都保存到保護卡內的臨時儲存單元中。此外還將文件分配表進行備份并保存到臨時存儲單元中,用來應付對硬盤內數據的修改。這樣,每當我們向硬盤寫入數據時,雖然還是完成了寫入到硬盤的操作,其實并沒有真正修改硬盤中的文件分配表,而是寫到了備份的文件分配表中。當我們向硬盤讀取數據時,保護卡的監控程序首先判斷讀取的內容是否在啟動后進行過修改,如果修改過,則從備份的文件分配表中讀取,否則就從原文件分配表中讀取[3]。
硬盤保護卡可以保護硬盤數據免于受到上機學生誤操作而造成的破壞,又可以有效的防止計算機病毒對硬盤的侵害。硬盤保護卡在實驗室中大量安裝后,在一臺計算機上安裝的信息可以通過網絡拷貝的方式復制到其他安裝有相同型號硬盤保護卡及硬盤型號一致的計算機上,實現信息的快速同步,極大的減少了管理人員的維護工作量。這種病毒防范及系統維護模式在學校實驗室設備系統維護管理中占有很大比重。
3 實驗室反病毒及系統維護措施分析
實驗室在病毒防治上大都采用硬盤保護卡方式,輔以安裝系統漏洞補丁及反病毒軟件定期更新相結合的方式,有效地提高了計算機的安全性和可靠性,同時也大大提高的實驗室維護的效率。但幾種措施結合在一起使用時,也會帶來新的問題---硬盤保護功能與反病毒軟件實時更新間的矛盾。
當在計算機上安裝硬盤保護卡以后,一般將硬盤分為C、D兩個分區,C區為系統分區,安裝有操作系統以及實驗用到的軟件,設置為保護。D區為共享分區,用于保存學生的實驗數據及個人文檔,設置為不保護。如表1:
從表中我們可以看出,反病毒軟件及操作系統所在的C區是被硬盤保護卡所保護的,并不能進行實時更新,這樣將使系統漏洞無法得到及時修補、反病毒軟件無法獲得最新的病毒庫信息,而最終會導致沒有被硬盤保護卡保護的D區很容易受到最新病毒或木馬程序的攻擊。如果D區上存在病毒或者木馬,雖然他們不會影響到C區的系統文件,但是病毒會侵入到內存中,大量占用系統資源,降低計算機的工作效率,也一樣影響正常的教學工作。更為嚴重的是這類經過軟硬件結合保護、C區無毒的計算機卻成了病毒傳播的毒源。
如果對于單臺計算機來說,我們可以通過每天先取消硬盤的保護狀態,再升級反病毒軟件,安裝最新的系統漏洞補丁,最后再對硬盤開啟保護狀態這樣一個流程來解決兩者間的矛盾。但是實驗室中的計算機數量眾多,如果對每臺計算機都進行一遍上面的流程,會是一個非常巨大的維護量,不僅造成大量的時間浪費,還會影響計算機的使用率。因此我們必須找到行之有效的辦法,合理解決兩者間的矛盾。
4 病毒防治及軟件系統快速維護的綜合方法
首先來分析一下反病毒軟件的設置,既然硬盤保護卡要對操作系統及常用軟件進行保護,而反病毒軟件又要實時更新,那么把反病毒軟件安裝到一個新的分區,稱為反病毒軟件分區,分區里分配的空間不需要很大,也不需要硬盤保護卡對其進行保護。這樣反病毒軟件的實時更新問題得到了解決。但是另一個問題隨之而來,反病毒分區并未被保護,它的安全性沒有保障。
目前大多數的實驗室安裝的都是WIN2000和XP系統,而這兩個系統中的文件系統都可以設置為NTFS(新技術文件系統)分區,其最大的改進就是容錯性和安全性。以XP系統為例,在NTFS文件系統里的每個文件和目錄, 創建人被指定為文件的擁有者, 擁有者控制文件和目錄權限的設置,并能賦予其他用戶訪問權限。NTFS 規定了如下權限: 只有用戶在被賦予訪問權限或屬于擁有這種權限的組, 才能對文件進行訪問。由于可單獨對文件或目錄設置訪問權限, 因此提高了更高級別的安全機制。該訪問權限同時作用于本地登錄用戶和通過網絡訪問的用戶[4]。
所以,采用文件系統權限分配功能就可以解決反病毒分區內容的安全問題。具體操作可根據NTFS規定的權限來進行設置:首先建立一個新管理員用戶,將其隸屬于管理員組。然后以Administrator帳戶登錄,將反病毒軟件分區里的所有可訪問用戶去掉,只留下Administrator 和新管理員帳戶。Administrator將擁有對反病毒軟件分區里的文件和目錄完全控制的權限,而新管理員用戶將只擁有讀取及運行、列出文件夾目錄、讀取三種權限。最后用Administrator 登錄系統, 將反病毒軟件安裝在新分區。通過這樣的設置,可以使反病毒軟件分區在沒有硬盤保護卡保護的狀態下安全操作,不會被沒有訪問權限的學生用戶所修改。
通過上面的設置使我們在日常維護中,可以先在一臺計算機上以新管理員用戶登錄系統,對反病毒軟件進行實時升級,然后以該計算機為母機,通過網絡復制的方式,只將反病毒軟件分區的信息拷貝到實驗室其他計算機上。由于反病毒軟件分區所用空間很小,通過網絡拷貝的用時將會非常短,從而實現了實驗室軟件系統的快速維護。同時,反病毒軟件的實時更新,也能使計算機對最新的病毒種類進行更好的查殺,提高了實驗室病毒的防治能力。
但還有一點不足之處,就是系統漏洞隨機實時修復和硬盤保護間還存在一定的問題,這也是我們將來需要努力的方向。
5 總結
使用以上綜合方法,不但可以解決硬盤保護功能與反病毒軟件實時更新間的矛盾,也解決了實驗室病毒防治與設備維護工作之間的矛盾。然而計算機病毒防治是一個世界性的難題,自從計算機病毒誕生以來,反病毒技術和病毒技術之間的較量一直在延續。就目前來看,反病毒技術相對滯后于病毒制造技術,因此我們不僅要在反病毒技術上有更大的突破,還要從思想上樹立一種防范意識,以防、殺結合的方式面對計算機安全的挑戰。尤其需要認識到運行的計算機系統的內存中沒有病毒和木馬才是干凈的系統,否則,即使被保護的硬盤中無毒,也依然會成為病毒及木馬的傳播源。
參考文獻:
[1]彭曦.高校實驗室計算機病毒的防范與解決方法的探討[J].職業圈,2007,(3):186-187.
[2]王彩榮.計算機病毒特性分析及防范措施[J].沈陽師范大學學報,1998,(3):17-19.
[3]郁諾.硬盤保護卡工作原理分析[J].大眾科技,2006,(7).
[4]符興華,何云強.公共機房中病毒的整體防護技術[J].重慶科技學院學報,2007,(3):72-75.
關鍵詞計算機病毒教學演示傳染課件
計算機病毒一直就是計算機專業中計算機安全保密、計算機數據安全等相關課程的一個重要知識點。近幾年,國內有不少學校將計算機病毒作為一門單獨課程進行講授,如武漢大學信息安全專業開設了“計算機病毒分析與對抗”課程,加拿大的卡加利大學為大四學生提供了一門“計算機病毒與惡意程序”的課程,修課的學生將會自己撰寫病毒并進行測試。計算機病毒課程的重要性得到體現。
本文主要討論目前計算機安全相關課程中的計算機病毒知識點在教學中的一些問題。
1 目前的病毒教學狀況
計算機病毒技術發展迅速,但計算機病毒的理論發展卻一直比較緩慢。在針對計算機病毒的教學上,目前還有不少高校的大部分或全部教學內容和不少初高中病毒課程的教學內容相似,國內普遍存在病毒教學內容過于陳舊、病毒教學遠遠落后于目前的實際病毒技術發展的問題。
另外,因為種種原因(如教學觀念保守等),大部分授課教師在對計算機病毒進行講解時,僅僅對病毒的基本概念和分類作一些基本講述,而對計算機病毒的本質技術問題(譬如傳播技術)避而不談,從而導致在課程結束之后,仍然無法消除甚至反而增加了學生對計算機病毒的神秘感。
2 計算機病毒的大致知識體系
計算機病毒課程的知識點大致概括為:①計算機病毒的基本概念和發展;②DOS病毒技術;③Windows病毒技術(宏病毒、腳本病毒、PE病毒等);④其他平臺計算機病毒技術(如Linux病毒);⑤計算機病毒和蠕蟲的區別和聯系;⑥計算機病毒理論研究;⑦病毒對抗技術;⑧病毒樣本分析與提取。
以上對計算機病毒的知識體系大致作了介紹,其整體可以單獨作為一門計算機病毒課程來進行具體講授。但在一般計算機安全相關課程中,通常只有4個學時左右的時間來講授部分知識點。如何在4個學時達到有效的教學目的?下面提出幾點建議供參考。
3 計算機病毒教學中的幾點建議
3.1改變教學觀念
由于計算機病毒獨有的傳播性和危害性,以往在教學和研究上面,思想都比較保守,在涉及到病毒關鍵技術的時候總是避而不談。
如今,“計算機病毒”已經成為家喻戶曉的名詞,在互聯網上也可以非常容易地獲得某些計算機病毒的完整源代碼,并且國內外有不少病毒組織公開發行病毒電子雜志來具體介紹病毒技術和技巧。與此同時,國內外不少反病毒公司開始不斷從高校招收反病毒人才,如金山、趨勢等公司每年都要從高校招收一批具備一定病毒分析和反病毒引擎研發能力的畢業生。
在2003年,計算機病毒專家Fred Cohen也曾表示,在足夠安全的隔絕環境下,讓學生直接接觸病毒,甚至寫出自己的病毒,都是有意義的做法。
顯然,如果仍然按照以前的保守觀念進行計算機病毒的教學已經不適合目前的發展需要。我們應該以科學的態度來對待計算機病毒技術,從本質上對計算機病毒技術進行分析,一方面消除學生對計算機病毒所產生的神秘感,讓他們了解計算機病毒的基本原理,另一方面也為他們日后進行反病毒技術工作和研究提供一定的技術基礎。
3.2明確教學目標
對于計算機病毒教學來說,應該充分從學生接受能力和學習規律的角度出發,結合目前計算機病毒技術的發展,確定具體的教學目標。
筆者認為,計算機病毒教學應該能夠幫助學生解決如下問題,或者說使他們具備如下一些基本能力:①消除對計算機病毒所產生的神秘感;②了解目前病毒發展狀況和特點;③了解目前各類流行病毒和蠕蟲的具體感染技術和網絡傳播方法;④熟悉目前各類反病毒技術的大致原理;⑤知道如何進一步深入學習計算機病毒和反病毒技術。
3.3確定、組織和熟悉教學內容
在確定具體的教學目標之后,任課教師需要有針對性地確定和組織相關的教學內容。該課程要求任課教師能夠及時了解目前技術發展狀況、同時對相關內容進行消化,做細致篩選、整理,這樣才能夠將最合適的教學資源呈現給學生。
例如,針對上小節的教學目標,我們大致可以確定如下幾項教學內容:①計算機病毒的基本概念和發展;②目前流行計算機病毒的傳播途徑和特點;③Windows病毒(宏病毒、腳本病毒、PE病毒等)的傳染原理;④病毒和蠕蟲的區別和聯系,以及流行的具體病毒和蠕蟲對比;⑤反病毒技術(如校驗和、特征值、虛擬機、啟發式掃描、實時監控技術等)。
3.4針對關鍵知識點,準備相關演示軟件和程序
針對性地進行各種演示能夠大大提高教學的效率、學生學習的積極性和實際操作的強烈欲望。
目前,互聯網上存在一些比較好的資源可供教學使用。例如涉及到計算機病毒起源的“磁芯大戰”游戲。再如,河南經緯軟件有限公司周輝和吳信生研制的“經緯病毒百科全書2.0”(VLIST)提供了9677種病毒的詳盡資料,并且提取了319種DOS病毒的表現模塊進行演示。另外,針對Windows中的每一類病毒,建議能夠各自提供一個具體的演示實例。
例如,在介紹宏病毒時,事先準備幾個自動宏的代碼(功能可以簡化,譬如僅彈出提示窗口),從而讓學生深入理解宏病毒獲得控制權的方式。另外,我們可以在此基礎上繼續對各種傳染代碼進行解釋和演示。這既可以讓學生了解宏病毒的原理,同時也可以讓他們掌握防范和清除宏病毒的方法。
在進行腳本病毒的講授時,我們可以事先準備一段能夠進行文件感染和文件搜索的VBS腳本代碼,從而大大加深學生對腳本病毒的理解。
在針對PE病毒的講解中,演示程序的合理使用能夠讓學生在較短時間內快速理解PE病毒的感染原理,這是一般課堂講授即使通過較長時間也難以達到的效果。
3.5課前作好充分準備
制作一份好的PPT課件也會極大地提高教學效果。PPT課件與演示軟件、程序等課件應該形成有效互補。但PPT課件提供的內容不能過多,否則容易對學生吸收造成比較大的壓力,反而影響教學效果。在近4個小時的教學時間內,內容過多將導致任課教師很難在進行上述各項演示之后,比較完整地按照原定計劃講述PPT課件的內容。因而任課教師在課前需要果斷地對講授內容進行取舍,并結合學生的學習特點,這樣才有利于制作出優秀的PPT課件。
3.6作好教學引導和啟發
由于教學課時數的限制,以及考慮學生今后發展的需要,對于計算機病毒中的部分知識點,應該以加強引導和啟發學生為主。
如對于PE文件格式的介紹,在學生了解其與PE病毒傳染的大致關聯之后,不需要繼續對PE文件格式進行詳細的介紹,而可以給學生提供一些有效的學習PE文件格式的方法和計算機病毒中所要使用的一些相關的關鍵技術,如重定位、API函數地址獲取、添加節表等,并提供一些書籍或者網址供他們學習參考。
另外,在課堂上適當地提出一些有針對性的引導性問題有利于啟發學生,同時也可以提高學生的注意力。在課堂之后給學生提出一些具有引導性質的課后問題也可以激發他們的興趣,進一步延伸他們的學習過程。
由于計算機病毒的特殊性,教師還需要引導學生加強法律意識和社會責任感。
3.7課堂上保持適度的興奮度
一個好的教學過程需要任課教師和學生在課程上擁有適度的興奮。教師的教學態度和熱情對學生的聽課態度將產生比較大的影響,同時學生的反應也將影響到教師授課的情緒。
3.8課堂教學和實驗相結合
病毒實驗與病毒課堂教學相輔相成。任課教師可根據具體的實驗課時安排,來靈活調整實驗內容。但主要內容建議集中在病毒傳染或病毒樣本提取部分。任課教師可以選擇一個簡單的Windows下的病毒樣本,或者自己實際編寫一個簡單感染程序,讓學生在封閉的實驗環境中進行調試跟蹤或樣本提取。對于學習能力強的學生,可以給他們安排一些設計性的實驗。同時要求學生提交實驗報告,一方面可以掌握學生的教學和實驗效果以利于今后進一步改進,另一方面也可促進學生對學習過程進行總結以進一步提高學生能力。
關鍵詞:計算機病毒 行為特征 病毒檢測 語義網絡
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-098X(2014)04(a)-0032-01
隨著計算和網絡技術的普及,在未來人們必將迎來全球化通訊網絡時代。雖說網絡給人們的生產生活帶來巨大的便利性,但是一定程度上它也存在安全隱患與危害性,其中危害影響最為嚴重的就屬計算機病毒。伴隨著網絡寬帶的升級,計算機病毒的傳播速度和變種速度也越來越快,產生問題也就愈發增多,人們對此也是關注不已,所以,如何提高計算機安全性能已經成為計算機領域重點研究的課題。面對計算機病毒變種日益加快的現象,人們必須要研究出新型性的檢測方法來查找計算機存在的未知病毒。
1 計算機病毒的行為特征
1.1 傳染性
計算機病毒最主要的特征莫過于傳染性,同時,計算機病毒的傳染性特征還可以用來判斷某一段程序是否成為計算機病毒的載體。事實上,計算機病毒只是認為編寫的一段計算機程序代碼,一旦將其植入計算機中展開運行操作,它便會自動搜尋符合其傳染條件的其他程序或者存儲載體,認準目標后再將自身代碼植入其中,從而形成自我的“繁殖與生長”。并且一直循環往復下去。
1.2 非授權性
計算機病毒潛藏在合乎法律規范的程序中,它們會利用用戶操作運行合法程序的空隙偷竊到控制系統的權利,在合法程序之前就開始操作運行,無論病毒的行為,還是病毒的目的,對于用戶來說都一無所知,其是在嗎沒有經過用戶同意就開始自行操作運行的。
1.3 不可預見性
從病毒檢測角度來說,計算機病毒還具備不可預見性的特征。病毒的種類不同,其所對應的代碼也就不同。雖然現在已經研發出一定的反病毒技術,但是對于龐大的計算機病毒群體來說,這只是冰山一角,反病毒技術仍舊有待提高,只有在一定的病毒出現后,才會生成對應的反病毒技術。
1.4 可觸發性
通常計算機病毒都會具備一種或者多種觸發條件。一旦達到其觸發條件的要求,其便被激活,并進行自我復制傳染,給其它正常程序帶來不利的影響,同時,計算機病毒的傳染性受到觸發條件的限制,觸發條件越多,計算機病毒的傳染程度就越大。
1.5 破壞性
計算機病毒主要包括良性病毒和惡性病毒兩種。良性病毒是編程者出于惡作劇編寫出來程序這類病毒不會對文件、數據產生破壞性,不過會造成系統資源的浪費。而惡性病毒則會對系統產生重大危害,可能會導致程序無法正常運行,或者將計算機內部文件進行刪除,亦或者受文件和數據受到不同程度的破壞等等。
1.6 潛伏性
絕大數的計算機病毒在傳染系統后不會立刻發作,因此,它可能會在磁盤上等上幾天,甚至幾年,一般要時機成熟它便會爆發,四處繁殖擴散,危害系統。比如黑色星期五病毒,不到預定時間一定不易察覺出來,等到條件具備了便會立馬爆炸開來,對系統進行破壞。
1.7 隱蔽性
計算機病毒通常都為編程技術較高的程序,其個體較小,往往依附在合法程序之中,有時也會有少許的病毒出現在隱含文件之中,用戶是很難發現這些小個體的。也就是說,不通過代碼分析,是很難將計算機病毒與合法程序分辨出來的。
2 計算機病毒傳染行為的語義網絡表示以及檢測方法
2.1 語義網絡的闡釋
語義網絡是一個向圖形式,是由一組節點和若干條連接節點的弧構成,其中節點代表事物、行為或者對象等,弧則指各個節點之間存在的關系。語義網絡表示行為存在著一定的優勢:一是語義網絡表示中存在父節點與子節點、虛節點與實節點,有助于面向對象技術的實現;二是各節點之間形成一定的網狀結構,便于理清各種復雜關系;三是其搜索效果較為明顯,具備強大聯想式推理作用。
2.2 計算機病毒傳染行為中語義網絡的表示
根據上文語義網絡的闡述,在計算機病毒傳染行為模式的語義網絡表示中,節點代表著計算機的程序行為,將每條鏈上的結尾部的節點稱為值節點,該節點上的值表示某種程序所具有的行為特性以及該行為特性所擁有的權值。例如,在整個語義網絡中存在著“系統漏洞傳播”的這一部分,節點通過這一部分又劃分成“漏洞掃描”、“攻擊模塊”、以及“自我復制”三個子部分,分別代表某種程序在執行過程中漏洞掃描行為、攻擊行為以及自我復制的行為。并且這三個子部分都有其自身的一個權值,其中權值的大小主要取決于行為所依據病毒的特征性。以此類推,語義網絡中的其他值節點也是這樣分層的。每一條弧線上的分析關系意味著這類行為特征并不是所有病毒程序都具備的,在檢測過程中只要檢測到其中一種就要加上與之對應的權值。該種表示方式有助于實現面向對象技術,把每一個惡意代碼看作是一個對象,將不同種類的病毒程序及其典型性的傳染行為整合起來,并按照對象之間的關系將它們聯系性和結構性表示出來。在此構圖中,惡意代碼單獨歸為一類,該類中的具體對象就指代表著各種各樣的病毒程序,每一種病毒程序的典型性的傳染行為就作為事物的特性。在這種行為表示方法中形成的行為模式庫很容易進行維護,并且產生的檢測效果也很顯著,值得推廣使用。
2.3 未知病毒的檢測方法
檢測引擎在未知病毒的檢測系統中起到舉足輕重的作用,文中所提出的檢測方法主要是以計算機病毒的行為特征作為準則,在此過程中的行為模式庫是采用層次化的語義網絡結構。檢測引擎的工作流程是按照如下安排:先輸入一組固定的病毒發現門檻值、檢測值,用一個字符數組來貯存被檢測文件所具備的病毒行為特征,隨后導入檢測文件進行病毒檢測,檢測系統要對文件內容進行檢查,將檢查到的內容與行為模式庫中各種行為模式進行參照對比,如果被檢文件符合計算機病毒的某種行為特征,就需在檢測總值上加上此種行為特征的權值,并將其特征描述貯存到字符數組中。如果其檢測值大于門檻值,就說明該文件內存在惡意代碼,這時系統便會發出警告表示這一文件存在惡意行為,并指導用戶進行文件刪除或者殺毒的操作,最后檢測結束;反之則說明文件不含有未知病毒,檢測結束。
通過總結計算機病毒不同行為特征,并在此基礎上形成的病毒檢測方法產生效果更加明顯,對用戶進行未知病毒檢測的幫助也就更大。
參考文獻
[1] 程勝利,談冉,熊文龍.計算機病毒及其防治技術[M].北京:清華大學出版社,2004.
關鍵詞:計算機病毒;病毒防治;新趨勢
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)24-6896-02
New Trends Study of Computer Viruses Developing
ZHANG Ming-jie
(Department of Information and Management Engineering, Xi'an University of Post and Telecommunications, Xi'an 710061, China)
Abstract: This paper study the new trends of preventing computer viruses. with these new trends, it will proposed a new measures of preventing computer virus.
Key words: computer viruses; virus prevention; new trend
計算機在給我們帶來很多方便和幫助的同時,互聯網、局域網已經成為計算機病毒傳播的主要途徑;在與反病毒技術的斗爭中,計算機病毒的變形速度和破壞力不斷地提高;混合型病毒的出現令以前對計算機病毒的分類和定義逐步失去意義,也使反病毒工作更困難了;病毒的隱蔽性更強了,不知不覺“中毒”帶來的后果更嚴重;人們使用最多的一些軟件將成為計算機病毒的主要攻擊對象。而且由于近幾年傳輸媒質的改變和Internet的廣泛應用導致病毒感染的對象開始由工作站(終端)向網絡部件(、防護和服務設置等)轉變。
1 計算機病毒呈現新的發展趨勢
1.1 病毒技術日趨復雜化
病毒制造者充分利用計算機軟件的脆弱性和互聯網的開放性,不斷發展計算機病毒技術,朝著能對抗反病毒手段和有目的方向發展,使得病毒的花樣不斷翻新,編程手段越來越高,防不勝防。如利用生物工程學的“遺傳基因”原理生產出“病毒生產機”軟件,該軟件無需病毒編寫者絞盡腦汁地編寫程序,便會輕易地自動生產出大量的主體構造和原理基本相同的“同族”新病毒。又如利用軍事領域的“集束炸彈”的原理制造出的“子母彈”病毒,該病毒被激活后就會像“子母彈”一樣,分裂出多種類型的病毒來分別攻擊并感染計算機內不同類型的文件。由于現在沒有廣譜性能的查毒軟件,現行的查毒軟件只能是知道一種查一種,難以應對“病毒生產機”、“子母彈”等生產的大量新病毒。更為嚴重的是,這些病毒技術的存在造成病毒暴增隨時可能發生。
1.2 計算機網絡(互聯網、局域網)成為計算機病毒的主要傳播途徑。
使用計算機網絡逐漸成為計算機病毒發作條件的共同點。計算機病毒最早只通過文件拷貝傳播,當時最常見的傳播媒介是軟盤和盜版光碟。隨著計算機網絡的發展,目前計算機病毒可通過計算機網絡利用多種方式(電子郵件、網頁、即時通訊軟件等)進行傳播。計算機網絡的發展有助于計算機病毒的傳播速度大大提高,感染的范圍也越來越廣。可以說,網絡化帶來了計算機病毒傳染的高效率。這一點以“沖擊波”和“震蕩波”的表現最為突出。以“沖擊波”為例,沖擊波是利用RPC DCOM緩沖溢出漏洞進行傳播的互聯網蠕蟲。它能夠使遭受攻擊的系統崩潰,并通過互聯網迅速向容易受到攻擊的系統蔓延。 它會持續掃描具有漏洞的系統,并向具有漏洞的系統的135端口發送數據,然后會從已經被感染的計算機上下載能夠進行自我復制的代碼MSBLAST.EXE,并檢查當前計算機是否有可用的網絡連接。如果沒有連接,蠕蟲每間隔10秒對Internet連接進行檢查,直到Internet 連接被建立。一旦Internet連接建立,蠕蟲會打開被感染的系統上的4444端口,并在端口69進行監聽,掃描互聯網,嘗試連接至其他目標系統的135端口并對它們進行攻擊。與以前計算機病毒給我們的印象相比,計算機病毒的主動性(主動掃描可以感染的計算機)、獨立性(不再依賴宿主文件)更強了。
1.3 計算機病毒變形(變種)的速度極快并向混合型、多樣化發展
“震蕩波”大規模爆發不久,它的變形病毒就出現了,并且不斷更新,從變種A到變種F的出現,時間不用一個月。在人們忙于撲殺“震蕩波”的同時,一個新的計算機病毒應運而生―-“震蕩波殺手”,它會關閉“震蕩波”等計算機病毒的進程,但它帶來的危害與“震蕩波”類似:堵塞網絡、耗盡計算機資源、隨機倒計時關機和定時對某些服務器進行攻擊。在反病毒服務提供商Sophos公布的一份報告中稱,今年5月份互聯網上出現的各類新的蠕蟲病毒種類數量創下30個月以來的新高,共出現了959種新病毒,創下了自2001年12月份以來的新高。這959種新病毒中包括了之前一些老病毒的新變種。計算機病毒向混合型、多樣化發展的結果是一些病毒會更精巧,另一些病毒會更復雜,混合多種病毒特征,如紅色代碼病毒(Code Red)就是綜合了文件型、蠕蟲型病毒的特性,這種發展趨勢會造成反病毒工作更加困難。2004年1月27日,一種新型蠕蟲病毒在企業電子郵件系統中傳播,導致郵件數量暴增,從而阻塞網絡。不同反病毒廠商將其命名為Novarg、Mydoom、SCO炸彈、諾威格、小郵差變種等,該病毒采用的是病毒和垃圾郵件相結合的少見戰術,不知情用戶的推波助瀾使得這種病毒的傳播速度似乎比近來其他幾種病毒的傳播速度要快。
1.4 運行方式和傳播方式的隱蔽性。
9月14日,微軟安全中心了9月漏洞安全公告。其中MS04-028所提及的GDI+漏洞,危害等級被定為“嚴重”。瑞星安全專家認為,該漏洞涉及GDI+組件,在用戶瀏覽特定JPG圖片的時候,會導致緩沖區溢出,進而執行病毒攻擊代碼。該漏洞可能發生在所有的Windows操作系統上,針對所有基于IE瀏覽器內核的軟件、Office系列軟件、微軟.NET開發工具,以及微軟其它的圖形相關軟件等等,這將是有史以來威脅用戶數量最廣的高危漏洞。這類病毒(“圖片病毒”)有可能通過以下形式發作:1) 群發郵件,附帶有病毒的JPG圖片文件;2) 采用惡意網頁形式,瀏覽網頁中的JPG文件、甚至網頁上自帶的圖片即可被病毒感染;3) 通過即時通信軟件(如QQ、MSN等)的自帶頭像等圖片或者發送圖片文件進行傳播。在被計算機病毒感染的計算機中,你可能只看到一些常見的正常進程如svchost、taskmon等,其實它是計算機病毒進程。前不久,一部與哈里.波特相關的電影分別在美國和英國開始放映。接著,英國某安全公司就發出警告稱,“網絡天空”蠕蟲病毒正在借助科幻角色哈里?波特而死灰復燃。安全公司指出, Netsky.P蠕蟲病毒變種感染的用戶大幅度增加,原因是它能夠將自己偽裝成與哈里?波特相關的影片文件、游戲或圖書引誘用戶下載。“藍盒子(Worm.Lehs)”、“V寶貝(Win32.Worm.BabyV)”病毒和 “斯文(Worm.Swen)”病毒,都是將自己偽裝成微軟公司的補丁程序來進行傳播的。這些偽裝令人防不勝防。
1.5 利用操作系統漏洞傳播
操作系統是聯系計算機用戶和計算機系統的橋梁,也是計算機系統的核心,目前應用最為廣泛的是WINDOWS系列的操作系統。2003年的“蠕蟲王”、“沖擊波”和2004年的“震蕩波”、前面所提到的“圖片病毒”都是利用WINDOWS系統的漏洞,在短短的幾天內就對整個互聯網造成了巨大的危害。開發操作系統是個復雜的工程,出現漏洞及錯誤是難免的,任何操作系統就是在修補漏洞和改正錯誤的過程中逐步趨向成熟和完善。但這些漏洞和錯誤就給了計算機病毒和黑客一個很好的表演舞臺。隨著DOS操作系統使用率的減少,感染DOS操作系統的計算機病毒也將退出歷史舞臺;隨著WINDOWS操作系統使用率的增加,針對WINDOWS操作系統的計算機病毒將成為主流。
1.6 攻擊手段呈現多樣化
計算機病毒的編制技術隨著計算機相關技術的普及和發展而不斷提高和變化。過去病毒最大的特點是能夠復制自身給其他程序,現在計算機病毒種類繁多,有文件型、引導型、腳本型、多變型等,大多數具有了蠕蟲的特點,可以利用網絡進行傳播。有些病毒還具有黑客程序的功能,一旦侵入計算機系統后,病毒控制者可以從入侵的系統中竊取信息,遠程控制這些系統,更具有危害性。
2 計算機病毒防治的幾點建議
1) 用常識進行判斷。決不打開來歷不明郵件的附件或你并未預期接到的附件。對看來可疑的郵件附件要自覺不予打開。千萬不可受騙,認為你知道附件的內容,即使附件看來好像是JPG文件。這是因為Windows允許用戶在文件命名時使用多個后綴,而許多電子郵件程序只顯示第一個后綴,例如,你看到的郵件附件名稱是wow.jpg,而它的全名實際是wow.jpg.vbs,打開這個附件意味著運行一個惡意的VBScript病毒,而不是你的JPG察看器。
2) 安裝防病毒產品并保證更新最新的病毒定義碼。我們建議您至少每周更新一次病毒定義碼,因為防病毒軟件只有最新才最有效。
3) 當你首次在計算機上安裝防病毒軟件時,一定要花費些時間對機器做一次徹底的病毒掃描,以確保它尚未受過病毒感染。領先的防病毒軟件供應商現在都已將病毒掃描作為自動程序,當用戶在初裝其產品時自動執行。
4) 確保你的計算機對插入的軟盤、光盤和其他的可插拔介質。及對電子郵件和互聯網文件都會做自動的病毒檢查。
5) 不要從任何不可靠的渠道下載任何軟件。因為通常我們無法判斷什么是不可靠的渠道,所以比較保險的辦法是對安全下載的軟件在安裝前先做病毒掃描。
6) 警惕欺騙性的病毒。如果你收到一封來自朋友的郵件,聲稱有一個最具殺傷力的新病毒,并讓你將這封警告性質的郵件轉發給你所有認識的人,這十有八九是欺騙性的病毒。建議你訪問防病毒軟件供應商,證實確有其事。這些欺騙性的病毒,不僅浪費收件人的時間,而且可能與其聲稱的病毒一樣有殺傷力。
7) 使用其他形式的文檔,如RTF(Rich Text Format)和PDF(Portable document.nbspFormat)。常見的宏病毒使用Microsoft Office的程序傳播,減少使用這些文件類型的機會將降低病毒感染風險。嘗試用Rich Text存儲文件,這并不表明僅在文件名稱中用RTF后綴,而是要在Microsoft Word中,用“另存為”指令,在對話框中選擇Rich Text形式存儲。盡管Rich Text Format依然可能含有內嵌的對象,但它本身不支持Visual Basic Macros或Jscript。而PDF文件不僅是跨平臺的,而且更為安全。當然,這也不是能夠徹底避開病毒的萬全之計。
(8) 禁用Windows Scripting Host。Windows Scripting Host(WSH) 運行各種類型的文本,但基本都是VBScript或Jscript。許多病毒/蠕蟲,如Bubbleboy和KAK.worm使用Windows Scripting Host,無需用戶點擊附件,就可自動打開一個被感染的附件。
9) 使用基于客戶端的防火墻或過濾措施。如果你使用互聯網,特別是使用寬帶,并總是在線,那就非常有必要用個人防火墻保護你的隱私并防止不速之客訪問你的系統。如果你的系統沒有加設有效防護,你的家庭地址、信用卡號碼和其他信息都有可能被竊取。
參考文獻:
[1] 卓新建.計算機病毒原理及防治[M].北京:北京郵電大學,2004.
【關鍵詞】網絡;計算機病毒;傳播模型
雖然當今防毒軟件種類繁多,對阻止計算機病毒的傳播起到了很大的作用,但是新的病毒層出不窮,計算機病毒的發展速度遠超防毒軟件的發展,因此新病毒或病毒的新變種出現時防毒軟件束手無策。起始計算機病毒基本局限于Windows平臺,如今,計算機病毒幾乎無孔不入,大量出現在其它平臺,如Unix平臺的Morris、塞班平臺的Cardtrap、安卓平臺的AnserverBot和FakePlayer、PalmOS平臺的Phage、IOS平臺的Ikee及Mac OS X平臺的Flashback。計算機病毒危害巨大,防毒軟件的發展遠遠落后于病毒的更新速度,因此,研究如何有效防止計算機病毒在網絡中的擴散傳播有深遠意義,而要預防計算機病毒的傳播就需要深入了解計算機病毒的傳播機理和傳播模型,只有把握住了病毒的傳播機理與模型,才能對病毒的傳播與危害狀況作出準確的預測,同時采取有效地措施來防止或降低危害。本文探討了網絡中幾種主要的計算機病毒傳播模型,下面我們對這幾種模型進行一一介紹。
一、易感染-感染-易感染模型
易感染-感染-易感染模型又稱Suscep tible-Infected-Susceptible模型,簡稱為SIS模型。將網絡中的每個終端稱為一個節點,在該模型中將節點分為兩種狀態,易感染狀態和感染狀態。類比于生物病毒的傳播規律,一個易感染的節點和一個已被感染的節點發生接觸時,單位時間里易感染的節點有的概率被感染,同時已感染的節點有的概率被治愈,被治愈后的節點成為易感染的節點。由于被治愈后的節點又有可能被感染成為感染節點,因此病毒會在網絡中反復傳播,長期存在。
設未被感染的節點數目為,已被感染的節點數目為,網絡中節點的總數目為,則SIS模型滿足如下公式:
其中表示單位時間內易感染的節點向已感染節點轉化的概率,表示單位時間內已感染節點向易感染節點轉化即治愈的概率。
二、易感染-感染-移除模型
易感染-感染-移除模型又稱為Susce ptible-Infected-Removed模型,簡稱為SIR模型。該模型將網絡中的節點分為三個類,一是易感染節點,這類節點沒有感染計算機病毒,同時對計算機病毒沒有免疫力,在與已感染節點進行信息交互時可能會被感染計算機病毒;二是已感染節點,這類節點已被計算機病毒入侵,并且可能將病毒傳播給其他節點;三是移除節點,這類節點感染過計算機病毒,治愈后即清除計算機病毒后就對這種病毒免疫,不會再次感染同一種病毒。
設易感染節點的數目為,已感染的節點數目為,移除的節點數目為,網絡中節點總數為,滿足則ISR模型如下公式:
式中表示單位時間內易感染節點向感染節點轉化的概率,表示已感染節點向移除節點轉化的概率,即已感染節點被治愈的概率,治愈后就將節點移除。
三、易感染-潛伏-感染-移除模型
易感染-潛伏-感染-移除模型又稱為Susceptible-Exposed-Infected-Removed模型,簡稱為SEIR模型。該模型中節點有四種存在狀態,一是易感染節點,這類節點可能在與已被病毒感染的節點進行信息交互時被感染,感染后成為病毒潛伏節點;二是病毒潛伏節點,這類節點中存在計算機病毒,但是病毒尚未發作,也就是說計算機病毒感染一臺主機后并不會立即發作,而是經過一段時間的潛伏期后才會被激活,病毒激活后該節點就成為已感染節點;三是病毒激活節點,這類節點病毒已發作,并可能將病毒傳播給網絡中的其它節點;四是移除節點,病毒激活節點被治愈后有一定的機率成為移除節點,移除節點對同種病毒具有免疫能力,不會再次被同一種病毒感染,但是病毒激活節點被治愈后也有一定的機率成為易感染節點,這類節點還有可能再次被計算機病毒感染。
假設網絡中節點總數為N,易感染節點的數目為,處于計算機病毒潛伏期的節點數目為,計算機病毒激活的節點數目為,移除節點的數目為,則SEIR模型滿足如下公式:
式中代表易感染節點向病毒潛伏節點轉化的概率,代表病毒激活節點被治愈后轉化為移除節點的概率,代表病毒激活節點被治愈后轉化為易感染節點的概率,代表病毒潛伏節點向病毒激活節點轉化的概率。
四、易感染-感染-探測-移除模型
易感染-感染-探測-移除模型又稱為Susceptible-Infectious-Detected-Removed模型,簡單為SIDR模型。在該模型中,網絡中節點有四種存在狀態,一是易感染節點,這類節點可以被計算機病毒感染;二是已感染節點,這類節點已被病毒感染,并可以在網絡中傳播病毒;三是已探測節點,這類節點帶有計算機病毒,但是已經被反病毒軟件等探測到,并且病毒無法向外傳播;四是移除節點,這類節點中病毒已被反病毒軟件清除,并且將不會再次感染同一種病毒,這類節點可以由已探測節點轉化而來,也可以由易感染節點轉化而來(易感染節點上的反病毒軟件收到病毒庫的更新從而對此種病毒具有查殺能力)。
假設網絡中的節點總數為N,易感染節點的數目為,已感染節點的數目為,已探測節點的數目為,移除節點的數目為,則SIDR模型滿足如下公式:
式中代表易感染節點向已感染節點轉化的概率,代表已探測節點向移除節轉化的概率,表示易感染節點向移除節轉化的概率,表示已感染節點向已探測節點轉化的概率。
五、雙因子模型
雙因子模型又稱為Two-Factor,與其他模型相比更為復雜,雙因子模型更加符合現實情況下病毒傳播的情況,考慮到了更加現實在因素,如病毒傳播時生成的大量數據分組造成路由器或交換機阻塞,從降低病毒傳播速率,或者人們可能通過更新反病毒軟件、安裝網絡防火墻或入侵檢測系統等手段阻止病毒的傳播。雙因子模型的微分方程表達式如下:
式中N代表網絡中節點的總數,代表時刻網絡中易感染節點的數目,代表被移除節點的數目,這類節點不會再次感染同一種病毒,代表已做免疫處理的易感染節點的數目,代表時刻的已感染節點的數目,這類節點可能向網絡中傳播計算機病毒,代表時刻總共被感染過的節點數目,這部分節點由移除節點和已感染節點構成,即,式中的、、和是常量,是初始時刻的感染率。
六、結束語
計算機病毒的傳播模型基本都是借鑒于生物病毒的傳播模型,因此如今描述計算機病毒的傳播模型實際上很難準確地描述計算機病毒在網絡中的傳播過程,也很難準確預測病毒的傳播會造成的損失,這也為反病毒工作帶來了極大的不便。因此,對計算機病毒的傳播模型的研究還需要進行一步深入,進一步研究更加符合真實狀態下網絡中計算機病毒傳播情況的模型,以便更加深入地理解計算機病毒在網絡中的傳播過程、傳播原理,更加準確地預測計算機病毒的傳播速率及其可能造成的影響,從而為反病毒工作提供理論借鑒與方向導向,以期減少計算機病毒造成的損失甚至在計算機病毒傳播前就將其消除,營造一個安全的互聯網的環境。
參考文獻
關鍵詞 信息安全;計算機病毒;危害;防治
中圖分類號TP393 文獻標識碼A 文章編號 1674-6708(2012)69-0201-02
1 計算機網絡下的信息安全
信息安全是指防止信息資源被故意地非法損壞、或使信息資產被非法的進行更改從而擾亂數據信息及電腦系統的正常使用。
例:2000年2月7日,全球聞名的美國搜索引擎站——“雅虎”由于受到黑客入侵,大部分服務陷于癱瘓。在隨后的3天里,又有多家美國網站先后黑客襲擊,導致服務中斷,全美國因特網的運行性能下降了26.8%。這一系列事件造成了嚴重的政治影響。從經濟上講,美國花旗銀行因一次黑客入侵就遭受經濟損失高達1 160萬美元。這些因特網歷史上最嚴重的黑客入侵事件使人們感覺到,世界上所有的網絡系統已沒有安全可言,因此計算機網絡安全問題開始引起人們極大關注。
又如:當今社會,網上進行購物風靡全球,當人們通過網絡進行交易時,先不說購買的產品是不是所見即所得吧,最不容置疑的一個問題便是網上交易活動的安全性,即有些人上網購物一次只付過一次款,然而在網銀上被不法分子扣除更多現金,甚至所有網銀中的錢全被盜取,究其主原因是網銀密碼被盜取,所以建議廣大購物者最好用U盾來實施網上購物保護,U盾相當于一把鑰匙開一把鎖,只有在自己電腦上插上U盾才能進行現金交易,而且U盾要設有個人的密碼保護,從而雙重保證了自己信息的安全,其實,網上交易的安全即是信息安全,信息安全的重要性遠遠不止于此,經濟損失僅是其中一方面。更多的損失是來自國家安全、軍事技術、政治機密、知識產權、商業泄密及至個人隱私等被侵犯。
由上可見,如果沒有了信息安全,就沒有了生活和工作上的穩定,本來電子信息是為了方便人們生活而使用的,反而由于信息安全帶來的麻煩會引起人們心理上的恐慌是不必要的,所以了解和掌握計算機信息安全對于日常生活和工作對自己信息安全進行很有必要。
信息安全的內容主要指:操作系統安全、信息庫安全、網絡安全、存取控制、密碼技術和病毒防護等幾個方面內容。
1)操作系統的安全:是指操作系統對計算機的硬、軟件資源進行有效控制,并對所管理的信息資源提供相應的安全保護;2)信息庫的安全:是指計算機系統中所存儲的各種有用信息資源能保持完整,能夠隨時正確使用;3)網絡安全:由于計算機網絡技術和現代通信技術相結合,使得信息的存儲和處理與單機不同,需要有效信息資源的用戶可能分布在世界各地,使得信息在傳輸過程中可能帶來安全的問題;4)存取控制:對數據和程序的讀、寫、修改、刪除和執行等操作進行了控制,防止信息資源被非法獲取和破壞;5)密碼技術:通過加密,使信息變成某一種特殊的形式,如不懂得解密技術,得到這種信息者也無法使用,這是一種加密保護措施。常用的還有驗證的辦法,即必須通過某種身份證明,才能獲取信息;6)病毒防護:通過采取一些防護措施,從而來控制病毒的傳輸,能夠在病毒侵入系統之前發出警報,能夠記錄攜帶病毒的文件,能夠清除病毒。
2 計算機病毒對信息安全的危害
2.1 計算機病毒的危害
第一例病毒(巴基斯坦病毒)的傳播始于1987年10月在美國德拉華大學。我國于1988年下半年在統計局計算機系統內首次發現“小球”病毒。使重要數據遭到損壞和丟失。如1998年11月2日,美國康奈爾大學的計算機科學系研究生,23歲的莫里斯編寫的蠕蟲程序使人們對計算機病毒望而生畏,從那時起,更多的計算機專家開始致力于計算機病毒的防護及維護信息安全的研究。
計算機技術為工商企事業創造越來越多財富的同時,電腦病毒造成的損失卻越來越大。1999年6月19日,美國調查機構調查報告顯示,由于電腦病毒肆虐,全球工商業1999年上半年已損失76億美元,經調查,在電腦病毒、硬盤損壞、系統崩潰及意外刪除等造成工作數據丟失的幾項原因中,有 43%認為病毒是導致資料丟失的最主要原因,中國的比例更是高達71%。1999年以來,嚴重破壞數據的病毒一再肆虐。CIH病毒使得中國及亞太地區的計算機受損嚴重,多少人長期的心血付之東流,許多單位不可獲缺的資料毀于一旦,很多用戶的數據得不到及時的恢復和挽回,損失慘重。
又如近日西安公安網監緊急通告:如果你收到一張帶有《女人必看》的圖片文件、《2012年度工資調整方案》,在任何環境下請不要打開它,且立即刪除它。如果你打開了它,你會失去個人電腦上的一切東西。這是一個新的病毒,已經確認了它的危險性, 而殺毒軟件不能清除它。目的是摧毀個人電腦。這次病毒危害僅次于灰鴿子、熊貓燒香病毒, 是永遠也刪不了的。
為了保證信息的完整性和可用性最主要對策是將病毒拒之于千里之外,只要信息不遭受病毒的侵襲,基本上就保證了信息的完整性和可用性,從而保證了信息的安全。世界上每天將會有上百種新的計算機病毒產生,有人形象的稱病毒的侵襲就像自然界被遭受了一種可怕的瘟疫。
2.2 計算機病毒概念
計算機病毒是一種人為編制的并且能夠自我復制的一組計算機指令或程序代碼,即可以制造影響計算機使用故障的計算機程序。而且是可執行程序或數據文件,并占用系統空間,從而降低計算機運行的速度,破壞計算機系統,對計算機造成極大損失。
2.3 計算機病毒的特點
破壞性:主要是指,占用系統資源、干擾系統的運行程度、破壞計算機中的數據等。
潛伏性:計算機病毒可以在較長時間內進行傳播而不被人們發覺,具有很強的依附于其他媒體寄生的能力。
傳染性:計算機病毒和人體某些病毒一樣,具有很大的傳染性。計算機病毒可自行復制,或把復制的文件傳播到其他的程序,或替換磁盤引導扇區的記錄,使得其他程序工磁盤成為新的病毒源。
隱蔽性:計算機病毒是使用者難以發現的,是通過媒體帶進計算機內的。病毒未發作前,不容易發現它們;當發現計算機病毒存在時,它已經對計算機系統造成了一定程度的破壞。
2.4 計算機感染病毒時的表現
如果計算機感染了病毒,可能會有下列表現:
1)文件大小不合理或可執行文件長度增加;2)訪問磁盤的時間變長;3)程序(文件)裝入的時間比平時長很多;4)磁盤的卷名發生了變化或磁盤空間變小、磁盤壞塊大量增加;5)數據和程序突然丟失;6)系統出現異常啟動或經常“死機”;7)顯示器上經常出現一些莫明其妙的信息或異常顯示;8)揚聲器發出有規律的異常聲音;9)系統的某些設備不能使用;10)打印機的速度變慢或打印怪字符。
3 計算機病毒的預防與清除
3.1 計算機病毒的預防
對付計算機病毒應以防范為主,將病毒拒之于計算機系統之外。下面介紹幾種防范措施:
1)工作機器上不玩游戲,網絡用戶不能隨意使用外來軟件;
2)經常做文件備份,對于系統和重要文件應當備份;
3)不使用盜版軟件,不使用來歷不明的程序盤或非正當途徑復制的程序盤;
4)不要將軟盤、閃存盤等隨便借給他人使用;
5)對所有的.EXE文件和.COM文件賦予只讀屬性。對執行重要工作的計算機,要專人專用、專機專用;
6)安裝微機計算機的病毒防范卡、防火墻或殺毒軟件;
7)定期檢查系統以發現和清除病毒。
3.2 計算機病毒的清除
3.2.1 利用反病毒軟件清除
一般,反病毒軟件具有對病毒進行檢測的功能,一般不會因清除病毒而破壞系統中的正常數據。反病毒軟件都有較理想的菜單提示,用戶使用起來很方便。可以查出幾百種甚至幾千種病毒,并且大部分軟件可以同時清除查出來的病毒。另外,反病毒軟件不可能查出所有的新出現的計算機病毒,因此,最好使用兩種以上的反病毒軟件進行查殺病毒。
3.2.2 人工清除
用人工手段處理病毒,特別是在一種病毒剛剛出現,而又沒有相應處理軟件對其進行了自動處理時,這種方法更加重要。如果發現某一文件已經染上病毒,用殺毒軟件無法清除時,干脆刪除該文件,這些都屬于人工處理。但用人工手段處理病毒容易出錯,有一定的危險性,如有不慎的誤操作將會造成系統數據丟失,不合理的處理方法還可能導致意料不到的后果。所以,只要有相應的病毒處理軟件,應盡可能采用軟件自動處理。
3.2.3 宏病毒的手工清除和預防
首先設置并預防宏病毒:在Word2003中,執行工具宏安全性命令,在“安全級”選項卡中,選擇“非常高”或“高”選項。這樣就只允許運行可靠來源簽署的宏,未經簽署的宏會自動取消。消除宏病毒。
參考文獻
關鍵詞:計算機病毒;傳播模式;防范對策
中圖分類號:TP309
計算機病毒能夠在計算機程序以及計算機網絡中進行大規模的傳播,讓成千上萬用戶的計算機感染上具有強大破壞性的病毒,給人們的生活帶來嚴重的影響,因此采取有效的措施來對計算機病毒的侵入和傳播進行有效的防范。
1 幾種主要的計算機病毒傳播模式
1.1 SIS模式
SIS計算機病毒模式將計算機網絡中的所有個體進行了劃分,分為易感染狀態和感染狀態兩種,當計算機中的易感染節點受到病毒的感染后,這個節點就會變成感染節點,這種節點在治愈之后也有很大可能再一次被感染,所以即使這種節點沒有受到病毒的威脅,也會被認為是易感染的節點,從這一方面來看,計算機在傳播群體中能夠進行反復的傳播,并且有很大的可能性會在計算機中長期存在。
1.2 SIR模式
SIR模式將計算機網絡中的所有節點進行劃分,分為三種狀態,第一種是易感染狀態,也就是計算機的節點沒有受到計算機病毒的感染,但是有很大的可能性會被感染。第二種是感染狀態,也就是指計算機的節點已經收到了計算機病毒的感染,具有很強的傳染性。第三種是免疫狀態,這類節點對計算機病毒來說有很強的抵抗能力,不會被同一類的計算機病毒感染,而且也不會進行病毒的傳播。當計算機處在SIR模式中的免疫狀態的時候,計算機已經從病毒的反復傳播中擺脫了出來,這種狀態可以被稱為移除狀態。
1.3 SIDR模式
SIDR模式描述的計算機病毒的傳播和清除過程。這種模式將計算機中的節點劃分為四種狀態,一種狀態是Removed狀態,這種狀態指指的是計算機節點本身具有很強的抗病毒能力。第二種是Detected狀態,這種狀態下節點已經被病毒感染,但是病毒已經被檢測出來,并且這種病毒不會再向外傳播。第三種是Infections狀態,這種狀態下的節點在被計算機感染的同時,還具有向外傳播的特點。第四種是Susceptible狀態,這種狀態下的節點已經被計算機病毒感染。這種模式充分的考慮到了免疫延遲的現象,將計算機病毒傳播的過程分為兩個主要的階段,一個階段是在反病毒程序之后,容易感染的節點和感染的節點在接受疫苗的影響下有可能會變成免疫節點。第二個階段是反病毒程序之前,網絡中的病毒會進行大肆的傳播,但是疫苗不會傳播,這樣感染節點就會變成易感染節點。
1.4 SEIR模式
如果將SEIR模式和SIR模式進行比較的話,SEIR模式多了一種潛伏的狀態。所謂的潛伏狀態就是節點已經受到了病毒的感染,但是病毒感染的特征還沒有明顯的表現出來。這種模式指的是計算機病毒在進行傳播之后,具有一定的延遲性,它將會在計算機中潛伏一段是時間,等待著用戶將其激活。同時潛伏狀態下的節點在得到有效的治愈之后,還是有很大可能性變成免疫節點,也有變成易感染節點。這種病毒模式是SIS與SIR模式的結合,但是和SIR模式相比,這種模式更加周到和詳細對病毒的傳播過程進行了考慮。
1.5 雙基因模式
雙基因模式充分的考慮了病毒的預防措施進入病毒傳播過程后產生的影響,同時也對計算機的感染率進行了考慮。在計算機病毒傳播的過程中,計算機用戶能夠發現計算機病毒的存在,并針對病毒采取相關的措施,比如,對病毒進行查殺、病毒庫的更新、完善系統的補丁等,這些都能夠降低計算機病毒的感染率。
2 計算機病毒的防范對策
2.1 提高對計算機病毒的防范意識
計算機用戶應該從思想方面引起對計算機病毒以及計算機病毒危害的重視。一個具有較高計算機病毒防范意識的人和一個沒有計算機病毒防范意識的人相比,對待病毒的態度是截然不同的,而且計算機病毒的感染情況也是不一樣的。比如,在反病毒工作人員的計算機上,計算機中存儲的各種病毒不會出現隨意破壞的情況,對計算機病毒的防范措施也不是很復雜。但是在一個缺乏病毒防范意識人員的計算機內,甚至計算機的屏幕明顯的出現了病毒痕跡,但是依舊不能夠及時的進行病毒觀察,從而導致病毒在計算機磁盤內進行破壞。事實上,只要是對計算機的病毒引起足夠的重視和警惕,總能夠及時的發現病毒傳染過程中和傳染過程后的各種痕跡,然后采取有效的措施進行防范和處理。
2.2 做好病毒入口的把關工作
計算機病毒的感染來源大多數都是因為使用了攜帶病毒的盜版光盤或者是可移動硬盤,因此,為了從源頭上防止計算機感染病毒,必須從病毒的入口處做好把關工作,在對計算機的可移動硬盤、光盤進行使用的時候,必須使用計算機上的殺毒軟件進行掃描,在網絡上下載資料或者是使用程序的時候也應該進行病毒的掃描,通過對病毒繼續查殺和掃描來檢查計算機中是否有病毒的存在,當確定計算機沒有受到病毒感染的時候,再放心的使用計算機。
2.3 及時的升級計算機的程序和系統
及時的升級計算機的應用系統,對操作系統進行及時的更新,同時安裝相應的計算機補丁程序,從根源上防范電腦黑客通過計算機出現的系統漏洞對計算機進行攻擊。同時,很多程序本身具有自動更新的功能或者是對系統漏洞進行自檢的功能,對這些系統的漏洞進行全面的掃描。此外,盡量使用正版的計算機軟件,及時的將計算機中的播放器軟件、下載工具、搜索工具以及通訊工具等軟件升級到最新的版本,對利用軟件漏洞進行傳播的病毒進行有效的防范。
2.4 安全使用網絡
在網絡技術高速發展的時代,文明用網成為了保障計算機安全的重點。首先,不能夠隨意的登陸黑客網站、不文明網站以及。其次,對于MSN、QQ等網絡聊天工具發來的不明鏈接一定要拒絕,不要隨意的運行或者是打開。最后就是對于可疑的程序或者是文件不要隨意的運行,比如,電子郵件中發來各種陌生的郵件或者是附件等。只要文明安全的用網才能夠避免各種病毒對計算機的侵害。
3 結束語:
雖然計算機病毒對計算機的危害比較大,但是,只要我們提高對計算機病毒的重視和認識,采取有效的措施和手段,就能夠有效的防止計算機病毒的侵害。
參考文獻:
[1]劉俊.基于復雜網絡的Email病毒傳播模型研究及分析[D].華中師范大學,2009.
[2]王琦.基于異常檢測的蠕蟲檢測系統模型設計[D].南京師范大學,2009.
近年來,計算機在各個領域的應用越來越廣泛,對產業的發展帶來了極大的促進作用,但與此同時,計算機漏洞和病毒也給用戶的個人信息和財產安全造成了嚴重的威脅。為此,必須制定有效的安全防范措施對計算機病毒進行有效的防范和清除。本文對計算機應用過程中常見的病毒種類和性質進行了總結,并根據實際經驗,提出了相應的反病毒防護措施。
關鍵詞:
計算機網絡安全;反病毒防護;技術分析
當前,計算機的應用是各個產業發展的主要動力之一,人們生活中的各個方面都離不開計算機技術的應用。但隨著計算機應用的不斷推廣,計算機的脆弱性和易受攻擊性也逐漸的顯現了出來,給人們的正常生活帶來了不小的麻煩,甚至會導致用戶個人的信息被竊取,從而造成嚴重的損失。在計算機網絡安全的漏洞中,計算機病毒是威脅性最大的,一旦計算機被病毒攻擊,將會導致整個網絡系統的癱瘓,影響各個系統的正常工作,甚至對整個社會的和諧穩定造成影響。因此,尋找到有效的反病毒防護措施是當前計算機技術領域研究的重點。
一、網絡信息安全的內涵
網絡安全是指計算機中相關的硬件、軟件、程序等設備中存儲的數據具有良好的保護作用,能夠有效的抵御外部的入侵和竊取,防止信息的丟失和篡改。網絡信息的安全是維護良好網絡環境、保持系統正常運行的基本保障。而網絡安全中又以網絡信息安全為最核心的內容。只有保證了網絡信息的安全,才能確保用戶的個人隱私,并為計算機的正常運行提供一個可靠的環境。計算機網絡的安全性受到多種人為和客觀因素的干擾,必須對這些因素進行有效的控制才能確保信息的完整性、有效性和實用性。
二、威脅網絡信息安全的因素分析
能夠對網絡信息安全構成威脅的因素主要有四個方面,分別是信息泄露、信息丟失、信息竊取和拒絕服務。信息泄露主要是由于竊聽和信息探測造成的。信息泄露后會被未經授權的實體所應用。信息丟失主要是由于信息被非法的攔截,從而導致一些重要的內容無法傳遞到終端,或者一些重要的內容被非法的進行了篡改和刪減,使得用戶無法獲取原始的真實信息。信息竊取則是未經授權的實體通過不正當的途徑入侵計算機中,竊取其中的服務基點或其他計算機終端的入口。拒絕服務是由于攻擊者對計算機的服務系統進行了干擾,從而導致信息和相應的資源無法匹配。當網絡被非法登錄的攻擊者占領后,合法的用戶就無法登錄網絡,也就無法獲取正常的網絡服務。最終會導致整個網絡系統的速度減慢甚至癱瘓。
三、計算機病毒的各種特點
計算機病毒幾乎是和計算機一起出現的,并且在計算機技術發展進步的同時,計算機病毒也在不斷的更新,其蔓延的速度也有了極大的提高,對計算機的威脅不斷加強。計算機病毒不僅會對計算機程序造成破壞,還會導致數據的丟失和篡改,給人們的正常工作和生活帶來極大的不便。計算機病毒具有以下幾個方面的特點。
(一)偽裝性強盡管當前有各種病毒的查殺軟件,但是計算機病毒的蔓延和入侵現象還是層出不窮,主要原因就是病毒具有極強的偽裝性。一些病毒的性質和特點與普通的計算機文件十分相似,很難被常規的殺毒軟件檢測出來。一旦病毒入侵計算機后就會迅速進行蔓延和傳染,對整個計算機系統進行破壞,影響計算機的正常運行。
(二)繁殖和感染力強計算機病毒與生物病毒一樣,具有強大的繁殖和傳染能力。正是通過這種傳染能力,計算機病毒能夠造成極大的影響。一些病毒甚至還能在程序中產生變異,從而使自身的攻擊能力進一步的加強。為此,許多殺毒軟件都設置了專門的隔離區對病毒進行隔離。
(三)具有較長的潛伏期通常情況下,當病毒入侵計算機后并不會馬上對計算機進行破壞,而是需要等到符合一定的環境條件時才會進行傳播和破壞。一旦病毒開始作用,就會產生爆發性的效果,在極短的時間內產生極大的破壞。一般情況下,病毒的潛伏期越長,對計算機造成的破壞就越嚴重。
(四)攻擊性強計算機病毒通常都具有強大的攻擊能力,不但會破壞計算機中的各項程序,還對對信息進行竊取和篡改,導致用戶的個人信息遭到泄露。在企業中的計算機網絡中,一旦遭受到病毒的攻擊將會產生極大的經濟損失。四、病毒的傳播途徑計算機的傳播能力和復制能力使其能夠在極大的范圍內進行傳播,病毒的傳播方式也十分的廣泛,只要網絡中存在信息傳輸的介質,病毒就能侵入其中,并進行傳播和感染。常見的病毒傳播方式有以下幾種。
(一)移動存儲設備一些常見的移動存儲設備是常見的病毒傳播載體,例如光盤、軟盤、硬盤、U盤等。當前,U盤在人們的日常生活中應用的十分廣泛,因此U盤是目前最常見的病毒傳播渠道。
(二)網絡傳播網絡傳播的形式包括非法網頁、病毒郵件、論壇、通訊軟件等。由于網絡具有較強的開放性和流通性,因此也是病毒傳播的主要方式之一。在網絡環境下,病毒的傳播形式更加的多樣,不確定因素也更多。
(三)系統漏洞任何一個網絡系統中都難免存在一定的漏洞,一些用戶由于缺乏一定的安全意識,往往沒有對系統中的漏洞進行及時的修補,或是在文件密碼的設置上過于簡單,這都會導致病毒通過系統漏洞入侵到計算機當中。
五、計算機網絡安全與反病毒防護措施
從上文中的分析可以看出,計算機病毒會對系統、信息等造成嚴重的破壞,因此必須采用有效的措施進行預防和消除。做好日常的防護工作是應對計算機病毒最有效的手段,具體的計算機病毒防護可以從以下幾個方面入手。
(一)完善計算機信息網絡健康法律保障我國在計算機信息安全方面的法律建設尚不完善,無法有效的控制計算機病毒傳播的問題。在這方面,我國可以借鑒國外先進的經驗,針對計算機網絡安全問題制定專門的法律法規,并結合我國計算機領域發展的實際情況,完善并調整法律體系,為計算機的應用和發展提供一個良好的環境。
(二)加強網絡間的訪問控制在計算機當中設置防火墻和相關的防護設備能夠起到良好的病毒防護作用,還能有效的限制對網絡的非法訪問,過濾非法的信息。防火墻是通過口令、身份驗證、身份審核的過程,確保登錄用戶的合法性,并在各個局域網之間形成安全鏈接,在數據傳輸的過程中,對數據進行同步的驗證和檢測,并對網絡環境進行一定的監控。防火墻還能及時的記錄下對網絡環境的觀測結果,一旦發現有異常的情況,能夠及時的向系統反饋,并采取一定的防護措施。
(三)優化防病毒綜合系統在計算機技術不斷更新發展的過程中,病毒的產生和傳播形式也在不斷的變化,新的病毒不斷產生,其破壞力和傳染能力也顯著增強。盡管市面上有許多的防病毒軟件,但不同的軟件都或多或少的存在一定的缺陷,無法從根本上杜絕病毒的入侵。一些防毒軟件只能在單機上產生作用,一旦病毒通過網絡傳播,就無法起到良好的防病毒作用。要有效的應對各種類型的病毒就要求計算機中配備綜合的防病毒系統,能夠與計算機的硬件和軟件設備有效的結合起來。形成一個完善的防護體系。
(四)通過檢測與身份認證系統進行實時保護要對計算機病毒進行有效的防范就必須對病毒的類型、特點、性質等有充分的了解。通過對病毒關鍵詞、病毒程序等方面的檢索,可以從一定程度上了解病毒的性質和傳播方式。根據病毒的這些性質建立檢測和清除病毒的措施將更有針對性,也能夠起到更好的效果。當前常用的一些防病毒軟件都是在病毒入侵后才能對其進行清理,而無法有效的避免病毒的入侵。這樣的防護手段相對滯后,此外,一旦病毒入侵計算機就會對計算機造成一些無法補救的破壞,這在一定程度上也影響力防護的效果。為此,應當加強對病毒的預防,對計算機操作者的身份進行及時的確認,將用戶的物理身份和數字身份進行比對,嚴格控制計算機網絡的登入程序。
(五)軟件的范圍殺毒軟件是當前使用最為廣泛的防范病毒的措施。安裝殺毒軟件能夠在較大范圍內防止病毒的入侵。在使用U盤時,要注意對U盤的定期殺毒,切勿使用來歷不明的U盤和游戲光盤,在萬不得以使用時,也要先對光盤進行殺毒,在進行使用。盡量避免在一些非官方的網站上下載一些非法的軟件,這些軟件中往往隱藏著木馬等破壞力較大的病毒。當受到一些路徑不明的郵件或網頁信息時不要輕易的打開。對于一些重要的數據要進行備份和定期的檢查。(六)建立安全模塊安全模塊的設立能夠為網絡提供一層外在的保護層。在安全模塊的保護下,只有擁有權限的用戶才能登錄網絡,并下載和使用網絡資源。安全模塊還能對用戶登錄網絡的時間進行限制,并對用戶的身份進行驗證和登記,從而在最大的限度上防止非法用戶的登錄。在安全模塊的基礎上,還可以建立一定的網絡日志系統,對登錄用戶的操作內容進行一定的監控,從而及時的發現系統中存在的病毒。
(七)網絡加密對信息和數據設置加密算法或密鑰可以加強對數據的保護。在設置密鑰時,應當避免采取過于簡單的組合,也盡量避免用個人的信息作為密鑰。常用的加密方式包括鏈路加密、端對端加密、節點加密等。
(八)存取控制在對整個計算機系統采取保護措施的基礎上,還要對個別的程序進行單獨的控制。存取控制及時就是在用戶的身份得到驗證后,可以允許用戶對一些重要的數據信息進行安全屬性的修改,例如,將文件設置為只讀、只寫等,這樣就能有效的提高文件的安全性。
(九)對服務器進行保護大多數的病毒都是通過服務器進入計算機系統的,因此做好對服務器的保護是確保整個計算機系統安全的基礎。常用的服務器保護手段是進行可裝載模塊的設置,這樣就能對病毒進行深入的掃描和清理。也可以將可裝載模塊與防毒卡結合起來,進一步提高防病毒的性能。
六、結語
隨著計算機網絡的不斷擴展和衍生,計算機病毒也在更大的范圍內進行傳播,給人們的生活生產都帶來了一定的不便,還會造成一定的經濟損失。為了提高計算機網絡的安全性,必須采取合理的措施對計算機病毒進行預防和清除,為計算機的應用構建一個健康、安全的環境。
參考文獻:
[1]張士波.網絡型病毒分析與計算機網絡安全技術[J].硅谷,2013(01):17-18.
[2]鄔朝暉,盧暢.計算機網絡安全的問題及其防護策略[J].中國新通信,2013(05):81-83.
[3]郭蘭坤.淺談中小企業網絡安全問題[J].中小企業管理與科技,2013(06):13-14.
[4]王曉楠.計算機網絡安全漏洞的防范對策研究[J].網絡安全技術與應用,2014(03):125-126.
[5]王希忠,郭軼,黃俊強,宋超臣.計算機網絡安全漏洞及防范措施解析[J].計算機安全,2014(08):48-50.
計算機病毒的入侵途徑
1通過移動存儲設備入侵。U盤是主要的存儲設備之一,微軟操作系統為了方便用戶,在可移動存儲設備插入電腦時系統就會自動的讀取autorun.inf文件,然后啟動與此相對應的程序,但這一方便卻常常被病毒利用。致使U盤成為很多病毒的藏身之地。
2通過安裝文件入侵。病毒開發者為達到傳播病毒的目的,把病毒藏在一個正常的軟件安裝包里,當你安裝這個所謂“正常”軟件的同時,就把病毒也一起安裝進電腦了。
3通過源代碼入侵。這種病毒主要是一些高級語言的源程序,這些病毒并不是后置性的,而是在源程序編譯之前就插入病毒的代碼,然后跟隨源程序一起被編譯成可執行文件,這些執行文件就成為不安全文件,攜帶大量的病毒。
計算機病毒的判斷與防治
1判斷認識計算機病毒。(1)掃描法。用反病毒軟件進行查殺。目前比較有名的系統反病毒軟件如金山毒霸、360安全衛士、諾頓等;(2)觀察法。如硬盤引導時經常出現死機、時間較長、運行速度很慢、不能訪問硬盤、出現特殊的聲音或提示故障等;(3)內存觀察法。此方法一般用在DOS下發現的病毒,我們可用DOS下的“mem/c/p”命令來查看各程序占用內存的情況;(4)系統配置文件觀察法。此方法一般也適用于黑客類程序,這類病毒一般隱藏在system.ini、wini.ini(Win9x/WinME)和啟動組中,在system.ini文件中有一個“shell=”項,而在wini.ini文件中有“load=”、“run=”項,這些病毒一般就是在這些項目中加載自身的程序,有時是修改原有的某個程序。我們可以運行Win9x/Win-ME中的msconfig.exe程序查看;(5)硬盤空間觀察法。有些病毒不會破壞系統文件,而是生成一個隱蔽的文件,這個文件一般所占硬盤空間很大,有時會使硬盤無法運行一般的程序。
2計算機病毒的防治措施。計算機網絡中最重要的硬件和軟件實體就是工作站和服務器,所以計算機病毒的防治須從這兩個方面著手,尋求防治措施:(1)服務器防治技術。計算機網絡的中心就是網絡服務器,目前,比較成熟的網絡服務器病毒防治技術一是防病毒可裝載模塊;二是插防毒卡,可以有效地防治病毒對服務器的攻擊,從而從源頭上切斷病毒傳播的途徑;(2)工作站防治技術。工作站病毒的防治主要有軟件防治、插防毒卡和在網絡接口上安裝防毒芯片等。軟件防治需要人工經常進行病毒掃描,此病毒防治法具有后置性的特點;防毒卡和防毒芯片可以有效地進行實時檢測,但這兩種方式升級不方便,而且會影響到網絡的運行速度;(3)做好自我防控。病毒的傳播很多情況下是由于自己的不當操作引起的,比如使用移動存儲設備沒有進行殺毒,對于新下載的網絡文件或者軟件也沒有養成事先檢測病毒的習慣。這就為網絡病毒的傳播提供了條件;(4)定期進行掃描。定期使用殺毒軟件對系統進行掃描。計算機病毒經常利用系統的弱點對其進行攻擊,系統安全性的提高是很重要的一方面。但是完美的系統是不存在的。所以,對待計算機病毒,思想重視是基礎,殺毒軟件及有效的防治手段是保證。只有對病毒進行徹底的了解、剖析,才能有效地控制病毒的發展。(本文作者:肖飛 單位:張家口市教育考試院)
關鍵詞: Win32病毒 病毒原理 反病毒技術
1.前言
從1987年美國F.Cohe提出計算機病毒的概念到現在,計算機病毒的研究已經形成一門屬于計算機領域中新興的學科,即計算機病毒學。計算機病毒學是一門專門研究計算機病毒的產生、活動機制、傳染機制,以及計算機病毒免疫和防治的科學。研究計算機病毒學的目的,在于研究如何防止和抑制計算機病毒,計算機病毒學作為一門新興的學科,它是計算機程序設計技術發展與計算機技術發展極不平衡及當今操作系統開放性與折中性和傾斜性的產物。
正當計算機以日新月異的速度迅猛發展、廣泛地深入到社會生活的各個方面的時候,以計算機為核心的信息產業成為一個國家現代化水平的一個標志。在這種情況下,計算機病毒的出現和廣泛傳播正成為各國政府關注的一個問題。本文以Win32病毒為例,對其病毒原理和反病毒技術進行分析。
2.Win32病毒的原理
2.1病毒的重定位
病毒不可避免要用到變量(常量),當病毒感染HOST程序后,由于其依附到HOST程序中的位置各有不同,病毒隨著HOST載入內存后,病毒中的各個變量(常量)在內存中的位置自然也會隨著發生變化。
call delta;執行后,堆棧頂端為delta在內存中的真正地址。
delta:pop ebp;這條語句將delta在內存中的真正地址存放在ebp寄存器中。
……
lea eax,[ebp+(offset var1-offset delta)];這時eax中存放著var1在內存中的真實地址。
當pop語句執行完之后,ebp中放的是什么值呢?很明顯是病毒程序中標號delta處在內存中的真正地址。如果病毒程序中有一個變量var1,那么該變量實際在內存中的地址應該是ebp+(offset var1-offset delta),即參考量delta在內存中的地址+其它變量與參考量之間的距離=其它變量在內存中的真正地址。有時候我們也采用(ebp-offset delta)+offset var1的形式進行變量var1的重定位。當然還有其它重定位的方法,但是它們的原理基本上都是一樣的。
2.2獲取API函數地址
2.2.1為什么要獲取API函數地址
Win32 PE病毒和普通Win32 PE程序一樣需要調用函數,但是普通的Win32 PE程序里面有一個引入函數表,該函數表對應了代碼段中所用到的API函數在動態連接庫中的真實地址。這樣,調用API函數時就可以通過該引入函數表找到相應API函數的真正執行地址。
Win32 PE病毒只有一個代碼段,并不存在引入函數段。既然如此,病毒就無法像普通PE程序那樣直接調用相關API函數,而應該先找出這些API函數在相應動態鏈接庫中的地址。
2.2.2如何獲取API函數地址
如何獲取API函數地址一直是病毒技術的一個非常重要的話題。要獲得API函數地址,我們首先需要獲得Kernel32的基地址。
下面介紹幾種獲得Kernel32基地址的方法:
2.2.2.1利用程序的返回地址,在其附近搜索Kernel32模塊基地址。
我們知道,當系統打開一個可執行文件的時候,它會調用Kernel32.dll中的CreateProcess函數;CreateProcess函數在完成裝載應用程序后,會先將一個返回地址壓入到堆棧頂端,然后轉向執行剛才裝載的應用程序。當該應用程序結束后,會將堆棧頂端數據彈出放到IP中,繼續執行。剛才堆棧頂端保存的數據是什么呢?仔細想想,我們不難明白,這個數據其實就是在Kernal32.dll中的返回地址。其實這個過程跟同我們的應用程序用call指令調用子程序類似。
2.2.2.2對相應操作系統分別給出固定的Kernel32模塊的基地址。
對于不同的Windows操作系統來說,Kernel32模塊的地址是固定的,甚至一些API函數的大概位置都是固定的。譬如,Windows 98為BFF70000,Windows 2000為77E80000,Windows XP為77E60000。
在得到了Kernel32的模塊地址以后,我們就可以在該模塊中搜索我們所需要的API地址。對于給定的API,搜索其地址可以直接通過Kernel32.dll的引出表信息搜索,同樣我們也可以先搜索出GetProcAddress和LoadLibrary兩個API函數的地址,然后利用這兩個API函數得到我們所需要的API函數地址。
解決了以上問題之后,我們就知道如何從引出表結構查找我們需要函數的地址了。那我們怎樣獲取引出表結構的地址呢?很簡單,PE文件頭中的可選文件頭中有一個數據目錄表,該目錄表的第一個數據目錄中就放導出表結構的地址。
3.Win32病毒的傳播途徑
Win32病毒感染Windows系統下的EXE文件,當一個染毒的EXE文件被執行,病毒駐留內存,當其它程序被訪問時對它們進行感染。
Win32病毒一般通過以下途徑傳播:
3.1U盤/移動硬盤/數碼存儲卡傳播。
3.2各種木馬下載器之間相互傳播。
3.3通過惡意網站下載。
3.4通過感染文件傳播。
3.5通過內網ARP攻擊傳播。
4.Win32病毒的危害與癥狀
系統只要運行這個被感染的文件,首先執行的就是病毒的引導代碼,病毒會申請足夠的內存空間,再將自己的所有數據從該文件中復制到獨立的空間中去,然后創建進程,運行自己。成功之后,系統再跳轉回被感染程序原先的入口,執行原程序。由于現在計算機的速度很快,因此多數情況下用戶感覺不到病毒的這一附加的過程。
在殺毒過程中,我們一旦漏掉了一個被感染的文件,下次一運行這個文件,又會重新激活病毒。如果Win32病毒感染的對象是Windows自己的文件,而且一旦機器啟動,這個程序就會運行的話,并受到Windows文件保護機制的保護,那么殺毒軟件將很難恢復這個文件,也就一直無法殺掉病毒。更為嚴重的是,被感染者甚至可能是殺毒軟件本身,那就更無法清除病毒了。
5.Win32病毒處理
殺毒的確要借助殺毒軟件,但殺毒也要講技巧。
5.1未被激活的非系統文件內的病毒
殺這種病毒很簡單,只需要在一般的Windows環境下殺就行了。一般都能將其殲滅。
5.2已經被激活或發作的非系統文件內的病毒
如果在一般Windows環境下殺毒,效果可能會大打折扣。雖然現在的反病毒軟件都能查殺內存病毒,但是此技術畢竟還未成熟,不一定能殲滅病毒。因此,殺此類病毒應在Windows安全模式下進行。在Windows安全模式下,這些病毒都不會在啟動時被激活。因此,我們就能放心地殺毒了。
5.3系統文件內病毒
這類病毒比較難纏,所以在操作前請先備份。殺此類病毒一定要在干凈的DOS環境下進行。有時候還要反復查殺才能徹底清除。
5.4網絡病毒(特別是通過局域網傳播的病毒)
此類病毒必須在斷網的情況下才能清除,而且清除后很容易重新被感染。要根除此類病毒必需靠網絡管理員的努力。
5.5感染殺毒廠家有提供專用殺毒工具的病毒
殺滅此類病毒好辦,只需下載免費的專用殺毒工具就行了。專用殺毒工具殺毒精確性相對較高,因此推薦在條件許可的情況下使用專用殺毒工具。
6.結語
計算機病毒表現出的眾多新特征和發展趨勢表明,目前我國計算機網絡安全形勢仍然十分嚴峻,反病毒業者面臨的挑戰十分艱巨,需要不斷地研發推出更加先進的計算機反病毒技術,才能應對和超越計算機病毒的發展,為電腦和網絡用戶提供切實的安全保障。電腦用戶更應當增強安全意識,多學習和了解基本的計算機和網絡安全防范知識和技術,做到不登陸和點擊不明網站和鏈接,每日升級殺毒軟件病毒庫和修復操作系統漏洞,盡量使用最新版本的應用軟件等安全防范。
參考文獻:
[1][美]Stanley B著.Lippman,Josée LaJoie,Barbara E.Moo,李師賢譯.C++Primer中文版(第4版)[M].人民郵電出版社,2006.3.
[2][美]Mark Allen Weiss.數據結構與算法分析――C語言描述[M].機械工業出版社,2004.1.
[3]丁秀峰.間諜軟件之危害及其防范對策[J].期刊大眾科技,2005.7.
[4]楊珂,房鼎益,陳曉江.間諜軟件和反間諜軟件的分析與研究[J].微電子學與計算機,2006.8.
[5][美]Jeffrey Richter,Christophe Nasarre.Windows核心編程(第5版)[M].清華大學出版社,2008.9.
1.1自然災害計算機網絡的運行需要較為穩定的環境,所以其網絡安全受到自然環境的影響較大,例如:濕度、溫度、沖擊、振動等,目前很多的計算機機房沒有足夠抵抗自然災害的能力,主要體現在防火、防震、防電磁泄漏、接地等不足,一旦發生自燃災害,硬盤的資料損失的可能性很大。
1.2軟件漏洞軟件漏洞往往是常常被黑客攻擊利用,軟件在進行編程的過程中,因為編制語言的漏洞,以及編程者自己留下的后門,這就是使得軟件容易從外界被入侵,而且入侵以后,隱蔽性很強。
1.3黑客的攻擊和威脅黑客的攻擊和威脅是目前世界網絡共同應對的大問題,當前,黑客攻擊的事件頻頻發生,黑客的攻擊具有一定的經濟性和技術性,目前大多數的黑客攻擊只是黑客充分的發現和利用漏洞上面。信息網絡的脆弱性是目前廣泛被關注的話題。
1.4計算機病毒計算機病毒是當今網絡安全的頭號強敵,病毒的更新很快,而且形式也呈現多樣化,其能夠對數據進行破壞,且自我復制能力強,具有感染速度快、破壞性強,且傳播形式復雜,很難徹底清除,可以輕易對硬盤、光驅、主板等造成破壞等特點。計算機病毒若在網絡傳播開來,則網絡一般都會陷入癱瘓狀態,嚴重的影響網絡的正常運行。
2計算機病毒
2.1計算機病毒的癥狀計算機病毒出現的時候,可能會有類似與計算機硬軟件故障的情況,如果沒有正確的進行區分,很難徹底的清除,同時也對系統的硬軟件造成了較大的損害。計算機病毒都是憑借系統的軟件或者用戶程序進行擴散傳播的,計算機被病毒感染后,具有一定的規律性癥狀,主要的癥狀包含以下幾個方面:其一,計算機的屏幕上面往往會出現異常,例如:字符跳動、屏幕混亂、無緣無故地出現一些詢問對話框等;其二,在沒有用戶操作的情況下,系統有自動讀寫的情況;其三,在進行磁盤故障排除的時候,用戶數據丟失;其四,磁盤文件的長度以及屬性發生了變化;其五,系統的基本內存無緣無故被占用;其六,磁盤出現莫名其妙的壞塊,或磁盤卷標發生變化;其七,系統在運行的過程中,系統經常的自動啟動;其八,程序的啟動速度明顯的降低,當計算機出現這些情況的時候,就需要考慮感染計算機病毒的情況了。
2.2計算機病毒的特征根據對主流病毒的分析,發現病毒主要有以下六個特征:其一,病毒的傳染性較強,病毒可以通過多種渠道進入到計算機中去,然后感染某個程序又繼而感染其他的程序;其二,具有一定的潛伏期,病毒能夠長時間的隱藏在計算機中,隱藏的時間越長,傳染的范圍就越大;其三,可觸發性,其可在一定的條件下激活;其四,隱蔽性,病毒在程序中運行不容易被察覺;其五,破壞性,病毒會破壞正常的軟件的運行,破壞系統數據,降低系統的工作效率。其六,病毒具有衍生性的特點,其能夠衍生出新的計算機病毒。病毒的這些特征決定了其破壞性強,難以根除的特點。
2.3計算機病毒的分類計算機病毒經過多年的發展,已經呈現了多種形式,以前的病毒主要是通過文件,然后在軟盤的交換之間傳播,現在以為計算機文件傳輸方式的改變,一般的病毒都是通過互聯網,然后憑借公司網絡、電子郵件以及WEB瀏覽器等漏洞進行漏洞的傳播,計算機病毒一般分為以下三個類別:其一,磁盤引導區傳染的計算機病毒,通過取代正常的引導記錄,具有傳染性較大;其二,應用程序傳染的計算機病毒,這種型式的病毒主要是攻擊應用程序,然后將病毒程序寄托在應用程序中,然后獲得控制權,此種病毒的傳播性較大;其三,特洛伊木馬病毒,這種病毒不具有感染的特性,其只是經過偽裝成為合法的軟件,然后在系統中惡意的執行軟件;其四,蠕蟲病毒,蠕蟲程序是一種通過間接方式復制自身的非感染性病毒,其主要在計算機之間傳播,具有傳染性大的特點。
3計算機網絡安全和計算機病毒的防范措施
計算機網絡安全和計算機病毒的防范措施主要包括:加密技術、防火墻技術、物理隔離網閘、計算機病毒的防范,其中計算機病毒的防范最為復雜,下面進行簡要的介紹。
3.1加密技術數據的加密技術是一種算法,這種算法能夠將數據進行加密,使得在傳輸的過程中,即使數據被劫持,數據也能夠保證其隱蔽性,這樣能夠有效的保證數據的保密性,保證互聯網傳播信息的安全性。目前使用的加密算法主要有以下兩種:其一,對稱加密算法,即加密解密的鑰匙相同;其二,非對稱加密算法,此種算法的保密性比對稱加密算法的高,一般在重要的文件傳輸中使用,但是隨著互聯網技術的快速發展,對稱加密算法已慢慢的被取代。
3.2防火墻技術防火墻技術是對外的保護技術,其能夠有效的保證內網資源的安全,主要任務是用于網絡訪問控制、阻止外部人員非法進入。防火墻在工作的時候,其對數據包中的源地址和目標地址以及源端口和目標端口等信息進行檢測,然后通過相應的算法進行匹配,若各種條件均符合就讓數據通過,反之則丟棄數據包,這樣就能夠阻止非法侵入軟件程序。目前應用最為廣泛的防火墻是狀態檢測防火墻,防火墻最大的缺陷就是對外不對內。
3.3物理隔離網閘物理隔離網閘的是進行信息的安全防護使用的,通過控制固態開關,保證對相對獨立的主機系統進行一定的讀寫分析,不存在物理連接和邏輯連接,物理隔離網能夠有效的預防黑客的攻擊。
3.4計算機病毒的防范計算機病毒從其研發開始,殺毒軟件也就開始進行被廣泛的使用了。隨著互聯網技術的快速發展,病毒的更新很快,而且病毒的手段也越來越隱蔽。目前反病毒防御技術還存在缺陷且DOS系統安全防護機制的漏洞,所以病毒能夠在一臺機器上存活進行破壞,雖然如此,但是若從軟硬方面同時入手,就能夠有效的阻止病毒對信息的危害。
3.4.1利用反病毒技術和管理技術進行病毒的防范對于WindowsNT網絡,在對每臺計算機進行防護以外,針對WindowsNT網絡的特點,WindowNT網絡的防毒還應采取如下措施:其一,服務器必須全部為NTFS分區格式,這樣能夠彌補DOS系統的缺陷,防止病毒感染造成系統無法運行的情況;其二,嚴格控制外來光盤的使用;其三,用戶的權限和文件的讀寫屬性要加以控制;其四,選擇合適的殺毒軟件,并且需要定期的進行軟件的更新,以更新病毒庫;其五,安裝基于WindowsNT服務器上開發的32位的實時檢查、實時殺毒的服務器殺毒軟件;其六,不直接在WindowsNT服務器上運行如各類應用程序,例如office之類的辦公自動化軟件,防止病毒感染造成重要文件誤刪的情況的發生;其七,服務器在物理上需要保證絕對的安全,因為目前有些工具能夠在DOS下直接讀寫NTFS分區。
3.4.2利用硬盤的保護產品——“還原卡”技術進行病毒的防范還原卡是一種硬件,其在計算機上面的主要作用是:上機人員對計算機系統做相應的更改以后,以及病毒對計算機的軟件進行相應的更改以后,對計算機進行重啟,還原卡就能夠發揮他的作用,對原有的系統進行恢復,使得硬盤能夠恢復到原始的狀態,這樣的防護措施對病毒是最有效的。目前,還原卡的發展從最初的完全備份型發展到智能保護型,隨著還原卡技術的逐漸發展,目前的還原卡開始向網絡型發展,即保護卡與網絡卡的結合。還原卡在進行計算機的病毒防護的過程中,不需要人工的干預,其是當今為止最好的防護工具。但是使用還原卡會帶來一個弊端,那就是影響到硬盤的讀寫速度和計算機運行速度,這點在低端計算機上面更為明顯,在較高檔的賽楊700以上的微機上用,這點就沒那么明顯了,這是因為高檔機的速度和硬盤容量是已具備,所以在計算機防病毒方面,對還原卡進行資金的投入是必要的,而且還原卡的智能還原講是以后發展的方向。
4結語
