计算机反病毒论文模板(10篇)
时间:2023-04-14 17:11:57
导言:作为写作爱好者,不可错过为您精心挑选的10篇计算机反病毒论文,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
篇1
二、计算机病毒的基本类型
计算机的基本病毒包括:
1.蠕虫病毒,该种病毒不仅会占据大量的系统内存还具有很强的破坏性,用户一旦被此病毒侵入就会莫名其妙地进入死机状态。
2.木马程序,“木马”这一词汇源自古希腊,本意是藏于木马身体内部的士兵。而在网络上的木马是指伪装成恶意代码的图片、可执行文件以及网页等,该种病毒是通过电子邮件对用户进行传染,用户只要稍微大意一些就会感染该种病毒,感染了该种病毒若不及时清除就会导致程序无法正常进行,严重的还会导致系统瘫痪。
3.CIH病毒,该病毒的渗透力极强,中招的用户不但会陷入瘫痪状态还有可能硬件已经被损坏了一大半,其破坏力相当惊人。
4.宏病毒,这一类的病毒通常会借助office进行迅速的复制并传播,这种病毒一般会比较隐秘地隐藏在对话框中,一旦被用户点击确认,就会一发不可收拾地进行扩散。
三、防范计算机病毒的措施
(一)提高防范计算机病毒的意识
首先不要随意打开一些不明来历的邮件以及它的附件,也不要随意浏览一些非法的网页和网站;从互联网下载程序的时候,要先采取杀毒方式进行查杀,确定安全之后才可下载;无论是使用U盘或者是其他存储工具,都要在使用之前进行杀毒。
(二)计算机的各种接口做好防范工作
在很多公共场所的计算机很容易被病毒侵入,比如实施教学的公共机房中,计算机就很容易被带入病毒,因为学生会经常使用U盘拷贝资料,如果有些U盘本身已经携带了病毒而很多学生因为觉得麻烦而忽略病毒扫描工作,就会使计算机很容易感染到病毒。所以,在使用U盘的时候最好先进行病毒扫描,确定无病毒再进行使用才比较安全。
(三)经常升级安全补丁
曾有大量的数据显示证明网络病毒大部分是通过安全漏洞进行传播的,所以用户需要注意安全补丁的升级工作,养成及时更新和升级杀毒软件的良好习惯,定期进行病毒的扫描工作,只有这样,才能防患于未然。
(四)对中病毒的计算机要及时维修
在计算机中病毒之后,第一反应就是立刻掐断网络,以防被其他病毒侵入形成交叉感染,及时找专业的维修人员进行维修。如果用户自己没有把握能将其修好最好不要随便动手,以避免对计算机的二次伤害并造成相关数据的丢失。
(五)安装专业的杀毒软件
目前计算机的种类越来越多,而且层出不穷。所以,比较理想的防杀方式是使用杀毒软件。但是杀毒软件如果不及时更新就会失去它应有的杀毒功能,因此要真正保证计算机的安全就必须经常更新和升级杀毒软件的病毒库,打开实时监控等。
(六)设置复杂的计算机密码
计算机密码最好选择数字、字母以及各种符号交叉使用,越复杂的密码安全性越高,比如可以交叉使用大小写字母加数字。切忌使用个人的电话号码或者生日等常用的数字做密码,用此类的数字做密码安全性极低。
篇2
①破坏性极大。在网络环境下,计算机病毒结合其他技术对计算机进行入侵,造成的危害极大;
②传染性强。对于计算机病毒而言,在网络环境下,使其传染的危害进一步扩大,这也是计算机病毒最麻烦的特性。而且,通常情况下,这类计算机病毒的复制能力非常快速,使得其传播速度更快,感染范围更广。
2网络环境下防范病毒的措施
2.1树立良好的安全意识
在网络环境下,要想安全的使用计算机,树立良好的安全意识是一种最基本的防范要求。
2.2系统
、重要数据及时备份对于操作系统,要将其放置在硬盘的一个单独分区内,与数据或者其他文件分区存放,并且做好系统和重要数据、文件等的备份,以便电脑在遭受病毒感染后能够及时的恢复,降低病毒被入侵后的损失。
2.3设置用户访问权限
在不影响用户正常工作的情况下,设置系统文件的访问权限为最低限度,防止文件型病毒对系统的侵害。对于安装在系统的程序,设置一定的管理权限才允许用户查看,而且,对于许多常用软件,分配一个临时访问程序的权限,这样能大大降低病毒的入侵。
2.4主动修改注册表
计算机病毒对系统进行攻击时,一般需要一定的触发条件。如果能够成功阻止该条件,就能有效避免病毒程序的启动。对于这类条件的阻止,最有效的方式就是主动修改注册表。
篇3
2计算机病毒网络传播模型的稳定性及控制研究
计算机网络的安全技术发展过程非常的清楚明了:计算机防火墙技术计算机病毒入侵检测技术计算机安全防御技术。可以说,这个过程便是整个计算机病毒网络控制的主要发展过程。一般来说,计算机病毒网络防御的技术手段为以下几种:检验病毒技术、行为检测技术、预先扫描技术、特征代码技术以及模拟软件技术,其中应用最为广泛的技术手段便是特征代码技术。当前,该种技术是被人们普遍认同的可以用来检测依然得知的计算机网络病毒手段,并且操作简单、成本费用低廉。事实上,生活中大多数人经常使用的计算机防毒软件中的扫毒模式便是将所有计算机病毒的代码进行分析归类,然后依次将其特征全部搜集汇总到计算机病毒代码的资料库当中。在计算机病毒扫描软件开始工作时,便会将计算机内所有的程序与系统和病毒资料库中的特征一一进行比对,一旦发现相互吻合的内容,便会判定该系统亦或者是程序已然被病毒所入侵。经过上述假定计算机病毒网络模型的实验中,也可以发现模型当中的病毒其传播非常依赖to的取值。在实际情况中,通过主动性的计算及防御以及病毒查杀来提高计算机网络的安全性能及稳定性能,从而有效的将计算机网络中的病毒传播率控制到最低,是最为有效的方式手段。而这一种方式对于计算机网络管理人员而言,并不是难以实现的事情。
篇4
随着计算机在社会生活各个领域的广泛运用,计算机病毒攻击与防范技术也在不断拓展。据报道,世界各国遭受计算机病毒感染和攻击的事件数以亿计,严重地干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时,病毒技术在战争领域也曾广泛的运用,在海湾战争、近期的科索沃战争中,双方都曾利用计算机病毒向敌方发起攻击,破坏对方的计算机网络和武器控制系统,达到了一定的政治目的与军事目的。可以预见,随着计算机、网络运用的不断普及、深入,防范计算机病毒将越来越受到各国的高度重视。
一、计算机病毒的内涵、类型及特点
计算机病毒是一组通过复制自身来感染其它软件的程序。当程序运行时,嵌入的病毒也随之运行并感染其它程序。一些病毒不带有恶意攻击性编码,但更多的病毒携带毒码,一旦被事先设定好的环境激发,即可感染和破坏。自80年代莫里斯编制的第一个“蠕虫”病毒程序至今,世界上已出现了多种不同类型的病毒。在最近几年,又产生了以下几种主要病毒:
(1)“美丽杀手”(Melissa)病毒。这种病毒是专门针对微软电子邮件服务器MSExchange和电子邮件收发软件0ut1ookExpress的Word宏病毒,是一种拒绝服务的攻击型病毒,能够影响计算机运行微软word97、word2000和0utlook。这种病毒是一种Word文档附件,由E-mall携带传播扩散。由于这种病毒能够自我复制,一旦用户打开这个附件,“美丽杀手”病毒就会使用0ut1ook按收件人的0ut1ook地址簿向前50名收件人自动复制发送,从而过载E-mai1服务器或使之损坏。“美丽杀手”病毒的扩散速度之快可达几何级数,据计算,如果“美丽杀手”病毒能够按照理论上的速度传播,只需要繁殖5次就可以让全世界所有的网络用户都都收到一份。“美丽杀手”病毒的最令人恐怖之处还不仅是拒绝电子邮件服务器,而是使用户的非常敏感和核心的机密信息在不经意间通过电子邮件的反复传播和扩散而被泄漏出去,连扩散到了什么地方可能都不得而知。据外电报道,在北约对南联盟发动的战争行动中,证实“美丽杀手”病毒己使5万部电脑主机和几十万部电脑陷于瘫痪而无法工作,网络被空数据包阻塞,迫使许多用户关机避灾。
(2)“怕怕”(Papa)病毒。“怕怕”病毒是另一种Excel宏病毒,它能够绕开网络管理人员设置的保护措施进入计算机。这种病毒与“美丽杀手”病毒相类似,其区别在于“怕怕”病毒不但能象“美丽杀手”病毒一样迅速传播,拒绝服务和阻塞网络,而且更为严重的是它能使整个网络瘫痪,使被它感染的文件所具有的宏病毒预警功能丧失作用。
(3)“疯牛”(MadCow)和“怕怕B”病毒。这两种病毒分别是“美丽杀手”和“怕怕”病毒的新的变型病毒。正当美国紧急动员起来对付3月26日发现的“美丽杀手”和“怕怕”病毒时,在欧洲又出现了它们的新变种“美丽杀手B”(又叫作“疯牛”)和“怕怕B”,目前正横扫欧洲大陆,造成大规模破坏,而且还正在向全世界扩散蔓延。虽然这两种病毒变种的病毒代码不同,可能不是一个人所编写,但是,它们同样也是通过发送Word和Excel文件而传播。每次被激活后,这种病毒就会向用户电子邮件簿的前60个地址发送垃圾邮件;它还可以向一个外部网站发送网络请求,占用大量的带宽而阻滞网络的工作,其危害性比原型病毒有过之而无不及。
(4)“幸福1999”宏病毒。这是一种比“美丽杀手”的破坏作用小得多的病毒。“幸福1999”病毒会改变计算机中的微软公司Windows程序与Internet网工作。这种病毒还发送一个执行文件,激活焰火显示,使屏幕碎裂。
(5)“咻咻”(Ping)轰击病毒。“咻咻”轰击病毒的英文单词是“分组Internet搜索者”的缩写,指的是将一个分组信息发送到服务器并等待其响应的过程,这是用户用以确定一个系统是否在Internet网上运行的一种方法。据外电报道,运用“咻咻”(Ping)轰击病毒,发送大量的“咻咻”空数据包,使服务器过载,不能对其它用户作出响应。
归纳起来,计算机病毒有以下特点:一是攻击隐蔽性强。病毒可以无声无息地感染计算机系统而不被察觉,待发现时,往往已造成严重后果。二是繁殖能力强。电脑一旦染毒,可以很快“发病”。目前的三维病毒还会产生很多变种。三是传染途径广。可通过软盘、有线和无线网络、硬件设备等多渠道自动侵入计算机中,并不断蔓延。四是潜伏期长。病毒可以长期潜伏在计算机系统而不发作,待满足一定条件后,就激发破坏。五是破坏力大。计算机病毒一旦发作,轻则干扰系统的正常运行,重则破坏磁盘数据、删除文件,导致整个计算机系统的瘫痪。六是针对性强。计算机病毒的效能可以准确地加以设计,满足不同环境和时机的要求。
二、计算机病毒的技术分析
长期以来,人们设计计算机的目标主要是追求信息处理功能的提高和生产成本的降低,而对于安全问题则重视不够。计算机系统的各个组成部分,接口界面,各个层次的相互转换,都存在着不少漏洞和薄弱环节。硬件设什缺乏整体安全性考虑,软件方面也更易存在隐患和潜在威胁。对计算机系统的测试,目前尚缺乏自动化检测工具和系统软件的完整检验手段,计算机系统的脆弱性,为计算机病毒的产生和传播提供了可乘之机;全球万维网(www)使“地球一村化”,为计算机病毒创造了实施的空间;新的计算机技术在电子系统中不断应用,为计算机病毒的实现提供了客观条件。国外专家认为,分布式数字处理、可重编程嵌入计算机、网络化通信、计算机标准化、软件标准化、标准的信息格式、标准的数据链路等都使得计算机病毒侵入成为可能。
实施计算机病毒入侵的核心技术是解决病毒的有效注入。其攻击目标是对方的各种系统,以及从计算机主机到各式各样的传感器、网桥等,以使他们的计算机在关键时刻受到诱骗或崩溃,无法发挥作用。从国外技术研究现状来看,病毒注入方法主要有以下几种:
1.无线电方式。主要是通过无线电把病毒码发射到对方电子系统中。此方式是计算机病毒注入的最佳方式,同时技术难度也最大。可能的途径有:①直接向对方电子系统的无线电接收器或设备发射,使接收器对其进行处理并把病毒传染到目标机上。②冒充合法无线传输数据。根据得到的或使用标准的无线电传输协议和数据格式,发射病毒码,使之能够混在合法传输信号中,进入接收器,进而进人信息网络。③寻找对方信息系统保护最差的地方进行病毒注放。通过对方未保护的数据链路,将病毒传染到被保护的链路或目标中。
2.“固化”式方法。即把病毒事先存放在硬件(如芯片)和软件中,然后把此硬件和软件直接或间接交付给对方,使病毒直接传染给对方电子系统,在需要时将其激活,达到攻击目的。这种攻击方法十分隐蔽,即使芯片或组件被彻底检查,也很难保证其没有其他特殊功能。目前,我国很多计算机组件依赖进口,困此,很容易受到芯片的攻击。
3.后门攻击方式。后门,是计算机安全系统中的一个小洞,由软件设计师或维护人发明,允许知道其存在的人绕过正常安全防护措施进入系统。攻击后门的形式有许多种,如控制电磁脉冲可将病毒注入目标系统。计算机入侵者就常通过后门进行攻击,如目前普遍使用的WINDOWS98,就存在这样的后门。
4.数据控制链侵入方式。随着因特网技术的广泛应用,使计算机病毒通过计算机系统的数据控制链侵入成为可能。使用远程修改技术,可以很容易地改变数据控制链的正常路径。
除上述方式外,还可通过其他多种方式注入病毒。
三、对计算机病毒攻击的防范的对策和方法
1.建立有效的计算机病毒防护体系。有效的计算机病毒防护体系应包括多个防护层。一是访问控制层;二是病毒检测层;三是病毒遏制层;四是病毒清除层;五是系统恢复层;六是应急计划层。上述六层计算机防护体系,须有有效的硬件和软件技术的支持,如安全设计及规范操作。
2.严把收硬件安全关。国家的机密信息系统所用设备和系列产品,应建立自己的生产企业,实现计算机的国产化、系列化;对引进的计算机系统要在进行安全性检查后才能启用,以预防和限制计算机病毒伺机入侵。
篇5
随着计算机在社会生活各个领域的广泛运用,计算机病毒攻击与防范技术也在不断拓展。据报道,世界各国遭受计算机病毒感染和攻击的事件屡屡发生,严重地干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。最近几年,出现了许多危害极大的邮件型病毒,如“LOVEYOU”病毒、“库尔尼科娃”病毒、“Homepage”病毒以及“求职信”病毒等,这些病毒主要是利用电子邮件作为传播途径,而且一般都是选择MicrosoftOutlook侵入,利用Outlook的可编程特性完成发作和破坏。因此,防范计算机病毒已经越来越受到世界各国的高度重视。
计算机病毒是人为编制的具有破坏性的计算机程序软件,它能自我复制并破坏其它软件的指令,从而扰乱、改变或销毁用户存贮在计算机中的信息,造成无法挽回的损失。通过采取技术上和管理上的措施,计算机病毒是完全可以防范的。只要在思想上有反病毒的警惕性,依靠使用反病毒技术和管理措施,新病毒就无法逾越计算机安全保护屏障,从而不能广泛传播。
计算机网络中最主要的软硬件实体就是服务器和工作站,所以防治计算机网络病毒应该首先考虑这两个部分,另外加强综合治理也很重要。下面就从三个方面谈谈计算机病毒的防范措施:
一、基于工作站的防治技术
工作站就像是计算机网络的大门。只有把好这道大门,才能有效防止病毒的侵入。工作站防治病毒的方法有三种:一是软件防治,即定期不定期地用反病毒软件检测工作站的病毒感染情况。软件防治可以不断提高防治能力,但需人为地经常去启动软盘防病毒软件,因而不仅给工作人员增加了负担,而且很有可能在病毒发作后才能检测到。二是在工作站上插防病毒卡。防病毒卡可以达到实时检测的目的,但防病毒卡的升级不方便,从实际应用的效果看,对工作站的运行速度有一定的影响。三是在网络接口卡上安装防病毒芯片。它将工作站存取控制与病毒防护合二为一,可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题,而且对网络的传输速度也会产生一定的影响。
下载防病毒软件要到知名度高、信誉良好的站点,通常这些站点软件比较安全。不要过于相信和随便运行别人给的软件。要经常检查自己的系统文件,注册表、端口等,多注意安全方面的信息,再者就是改掉Windows关于隐藏文件扩展名的默认设置,这样可以让我们看清楚文件真正的扩展名。当前许多反病毒软件都具有查杀“木马”或“后门”程序的功能,但仍需更新和采用先进的防病毒软件。如果突然发现自己的计算机硬盘莫名其妙的工作,或者在没有打开任何连接的情况下Modem还在“眨眼睛”就立刻断开网络连接,进行木马的搜索。
二、基于服务器的防治技术
网络服务器是计算机网络的中心,是网络的支柱。网络瘫痪的—个重要标志就是网络服务器瘫痪。网络服务器—旦被击垮,造成的损失是灾难性的、难以挽回和无法估量。目前基于服务器的防治病毒的方法大都采用防病毒可装载模块(NLM),以提供实时扫描病毒的能力。有时也结合利用在服务器上的插防毒卡等技术,目的在于保护服务器不受病毒的攻击,从而切断病毒进一步传播的途径。
邮件病毒主要是通过电子邮件进行传染的,而且大多通过附件夹带,了解了这一点,对于该类病毒的防范就比较明确和容易:
第一,不要轻易打开陌生人来信中的附件,尤其是一些EXE类的可执行文件。
第二,对于比较熟悉的朋友发来的邮件,如果其信中带有附件却未在正文中说明,也不要轻易打开附件,因为它的系统也许已经染毒。
第三,不要盲目转发邮件。给别人发送程序文件甚至电子贺卡时,可先在自己的电脑中试一试,确认没有问题后再发,以免无意中成为病毒的传播者。
第四,如果收到主题为“ILOVEYOU”的邮件后立即删除,更不要打开附件。
第五,随时注意反病毒警报,及时更新杀毒软件的病毒代码库。从技术手段上,可安装具有监测邮件系统的反病毒实时监控程序,随时监测系统行为,如使用最新版本的杀毒实时软件来查杀该附件中的文件。超级秘书网
三、加强计算机网络的管理
计算机网络病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。目前在网络病毒防治技术方面,基本处于被动防御的地位,但管理上应该积极主动。应从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度、对网络系统的管理员及用户加强法制教育和职业道德教育,规范工作程序和操作规程,严惩从事非法活动的集体和个人。尽可能采用行之有效的新技术、新手段,建立”防杀结合、以防为主、以杀为辅、软硬互补、标本兼治”的最佳网络病毒安全模式。必须采取有效的管理措施和技术手段,防止病毒的感染和破坏,力争将损失降到最小。
计算机病毒在形式上越来越难以辨别,造成的危害也日益严重,这就要求网络防毒产品在技术上更先进,功能上更全面。从目前病毒的演化趋势来看,网络防病毒产品的发展趋势主要体现在以下几个方面:一是反黑与杀毒相结合;二是从入口拦截病毒;三是提供全面解决方案;四是客户化定制模式;五是防病毒产品技术由区域化向国际化转变。
随着计算机网络、数字技术及互联网技术的发展,计算机病毒的危害更是与日俱增。因此,加强计算机病毒的防治、确保计算机信息安全是当前计算机应用过程中的一项重要、迫切的研究课题。我们一方面要掌握对现在的计算机病毒的防范措施,切实抓好病毒防治工作;另一方面要加强对未来病毒发展趋势的研究,探讨新时期科学防治计算机病毒的新策略,真正做到防患于未然。
篇6
?
随着计算机在社会生活各个领域的广泛运用,计算机病毒攻击与防范技术也在不断拓展。据报道,世界各国遭受计算机病毒感染和攻击的事件屡屡发生,严重地干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。最近几年,出现了许多危害极大的邮件型病毒,如“LOVEYOU”病毒、“库尔尼科娃”病毒、“Homepage”病毒以及“求职信”病毒等,这些病毒主要是利用电子邮件作为传播途径,而且一般都是选择Microsoft Outlook侵入,利用Outlook的可编程特性完成发作和破坏。因此,防范计算机病毒已经越来越受到世界各国的高度重视。?
计算机病毒是人为编制的具有破坏性的计算机程序软件,它能自我复制并破坏其它软件的指令,从而扰乱、改变或销毁用户存贮在计算机中的信息,造成无法挽回的损失。通过采取技术上和管理上的措施,计算机病毒是完全可以防范的。只要在思想上有反病毒的警惕性,依靠使用反病毒技术和管理措施,新病毒就无法逾越计算机安全保护屏障,从而不能广泛传播。?
计算机网络中最主要的软硬件实体就是服务器和工作站,所以防治计算机网络病毒应该首先考虑这两个部分,另外加强综合治理也很重要。下面就从三个方面谈谈计算机病毒的防范措施:?
一、基于工作站的防治技术?
工作站就像是计算机网络的大门。只有把好这道大门,才能有效防止病毒的侵入。工作站防治病毒的方法有三种:一是软件防治,即定期不定期地用反病毒软件检测工作站的病毒感染情况。软件防治可以不断提高防治能力,但需人为地经常去启动软盘防病毒软件,因而不仅给工作人员增加了负担,而且很有可能在病毒发作后才能检测到。二是在工作站上插防病毒卡。防病毒卡可以达到实时检测的目的,但防病毒卡的升级不方便,从实际应用的效果看,对工作站的运行速度有一定的影响。三是在网络接口卡上安装防病毒芯片。它将工作站存取控制与病毒防护合二为一,可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题,而且对网络的传输速度也会产生一定的影响。?
下载防病毒软件要到知名度高、信誉良好的站点,通常这些站点软件比较安全。不要过于相信和随便运行别人给的软件。要经常检查自己的系统文件,注册表、端口等,多注意安全方面的信息,再者就是改掉Windows 关于隐藏文件扩展名的默认设置,这样可以让我们看清楚文件真正的扩展名。当前许多反病毒软件都具有查杀“木马”或“后门”程序的功能,但仍需更新和采用先进的防病毒软件。如果突然发现自己的计算机硬盘莫名其妙的工作,或者在没有打开任何连接的情况下Modem 还在“眨眼睛”就立刻断开网络连接,进行木马的搜索。?
二、基于服务器的防治技术?
网络服务器是计算机网络的中心,是网络的支柱。网络瘫痪的—个重要标志就是网络服务器瘫痪。网络服务器—旦被击垮,造成的损失是灾难性的、难以挽回和无法估量。目前基于服务器的防治病毒的方法大都采用防病毒可装载模块(NLM),以提供实时扫描病毒的能力。有时也结合利用在服务器上的插防毒卡等技术,目的在于保护服务器不受病毒的攻击,从而切断病毒进一步传播的途径。?
邮件病毒主要是通过电子邮件进行传染的,而且大多通过附件夹带,了解了这一点,对于该类病毒的防范就比较明确和容易:?
第一,不要轻易打开陌生人来信中的附件,尤其是一些EXE 类的可执行文件。?
第二,对于比较熟悉的朋友发来的邮件,如果其信中带有附件却未在正文中说明,也不要轻易打开附件,因为它的系统也许已经染毒。?
第三,不要盲目转发邮件。给别人发送程序文件甚至电子贺卡时,可先在自己的电脑中试一试,确认没有问题后再发,以免无意中成为病毒的传播者。?
第四,如果收到主题为“I LOVE YOU”的邮件后立即删除,更不要打开附件。?
第五,随时注意反病毒警报,及时更新杀毒软件的病毒代码库。从技术手段上,可安装具有监测邮件系统的反病毒实时监控程序,随时监测系统行为,如使用最新版本的杀毒实时软件来查杀该附件中的文件。?
三、加强计算机网络的管理?
计算机网络病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。目前在网络病毒防治技术方面,基本处于被动防御的地位,但管理上应该积极主动。应从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度、对网络系统的管理员及用户加强法制教育和职业道德教育,规范工作程序和操作规程,严惩从事非法活动的集体和个人。尽可能采用行之有效的新技术、新手段,建立”防杀结合、以防为主、以杀为辅、软硬互补、标本兼治”的最佳网络病毒安全模式。必须采取有效的管理措施和技术手段,防止病毒的感染和破坏,力争将损失降到最小。?
计算机病毒在形式上越来越难以辨别,造成的危害也日益严重,这就要求网络防毒产品在技术上更先进,功能上更全面。从目前病毒的演化趋势来看,网络防病毒产品的发展趋势主要体现在以下几个方面:一是反黑与杀毒相结合;二是从入口拦截病毒;三是提供全面解决方案;四是客户化定制模式;五是防病毒产品技术由区域化向国际化转变。?
随着计算机网络、数字技术及互联网技术的发展,计算机病毒的危害更是与日俱增。因此,加强计算机病毒的防治、确保计算机信息安全是当前计算机应用过程中的一项重要、迫切的研究课题。我们一方面要掌握对现在的计算机病毒的防范措施,切实抓好病毒防治工作;另一方面要加强对未来病毒发展趋势的研究,探讨新时期科学防治计算机病毒的新策略,真正做到防患于未然。??
篇7
计算机网络是信息社会的基础,已经进入了社会的各个角落,经济、文化、军事和社会生活越来越多的依赖计算机网络。然而,计算机在给人们带来巨大便利的同时,也带来了不可忽视的问题,计算机病毒给网络系统的安全运行带来了极大的挑战。2003年1月25日,突如其来的“蠕虫王”病毒,在互联网世界制造了类似于“9.11”的恐怖袭击事件,很多国本论文由整理提供家的互联网也受到了严重影响。同样,前两年的“熊猫烧香”病毒再次为计算机网络安全敲起了警钟。那么,面对网络世界的威胁,人类总在试图寻找各种方面来进行克服和攻关。入侵检测技术作为解决计算机病毒危害的方法之一,对其进行研究就成为可能。
2计算机病毒的发展趋势
计算机病毒的花样不断翻新,编程手段越来越高,防不胜防。特别是Internet的广泛应用,促进了病毒的空前活跃,网络蠕虫病毒传播更快更广,Windows病毒更加复杂,带有黑客性质的病毒和特洛依木马等有害代码大量涌现。据《中华人民共和国工业和信息化部信息安全协调司》计算机病毒检测周报(2009.3.29—2009.4.4)公布的消息称:“木马”及变种、“木马下载者”及变种、“灰鸽子”及变种、“U盘杀手”及变种、网游大盗“及变种等病毒及变种对计算机安全网络的安全运行构成了威胁。对计算机病毒及变种的了解可以使我们站在一定的高度上对变种病毒有一个较清楚的认识,以便今后针对其采取强而有效的措施进行诊治。变种病毒可以说是病毒发展的趋向,也就是说:病毒主要朝着能对抗反病毒手段和有目的的方向发展。
3计算机病毒检测的基本技术
3.1计算机病毒入侵检测技术。计算机病毒检测技术作为计算机病毒检测的方法技术之一,它是一种利用入侵者留下的痕迹等信息来有效地发现来自外部或者内部的非法入侵技术。它以探测与控制为技术本质,起着主动防御的作用,是计算机网络安全中较重要的内容。
3.2智能引擎技术。智能引擎技术发展了特征代码扫描法的优点,同时也对其弊端进行了改进,对病毒的变形变种有着非常准确本论文由整理提供的智能识别功能,而且病毒扫描速度并不会随着病毒库的增大而减慢。
3.3嵌入式杀毒技术。嵌入式杀毒技术是对病毒经常攻击的应用程序或者对象提供重点保护的技术,它利用操作系统或者应用程序提供的内部接口来实现。它能对使用频率高、使用范围广的主要的应用软件提供被动式的保护。
3.4未知病毒查杀技术。未知病毒查杀技术是继虚拟执行技术后的又一大技术突破,它结合了虚拟技术和人工智能技术,实现了对未知病毒的准确查杀。
4计算机病毒检测技术的发展现状
目前,国外一些研究机构已经研发出了应用于不同操作系统的几种典型的计算机病毒检测技术。这些计算机病毒检测技术基本上是基于服务器、网络以及变种病毒的。基于服务器的入侵检测技术采用服务器操作系统的检测序列作为主要输入源来检测侵入行为,而大多数基于计算机变种病毒的检测技术则以预防和消除计算机病毒作为终结目标的。早期的计算机病毒检测技术主要用来预防和消除传统的计算机病毒;然而,为了更好地应对计算机病毒的花样不断翻新,编程手段越来越高的形势,最新的计算机病毒检测方法技术更多地集中用于预防和消除计算机变种病毒,打好计算机病毒对抗与反对抗的攻坚战。
总之,由于计算机病毒的变种更新速度加快,表现形式也更加复杂,那么计算机病毒检测技术在计算机网络安全运行防护中所起的作用就显得至关重要,因此受到了广泛的重视。相信随着计算机病毒检测技术的不断改进和提高,将会有更加安全可靠的计算机病毒检测技术问世,更好维护网络安全,造福于全世界。
5计算机病毒检测方法技术的作用
计算机病毒检测技术本论文由整理提供在计算机网络安全防护中起着至关重要的作用,主要有:①堵塞计算机病毒的传播途径,严防计算机病毒的侵害;②计算机病毒的可以对计算机数据和文件安全构成威胁,那么计算机病毒检测技术可以保护计算机数据和文件安全;③可以在一定程度上打击病毒制造者的猖獗违法行为;④最新病毒检测方法技术的问世为以后更好应对多变的计算机病毒奠定了方法技术基础。
虽然,计算机病毒检测技术的作用很大,但并不能完全防止计算机病毒的攻击,我们必须提高警惕,充分发挥主观能动性。因此,加强IT行业从业人员的职业道德教育、加快完善计算机病毒防止方面的法律法规、加强国际交流与合作同样显得刻不容缓。也许只有这样计算机计算机病毒检测技术才能更好发挥作用,我们才能更好防止日益变化和复杂的计算机病毒的攻击。超级秘书网
6结语
随着计算机网络技术的不断发展,计算机给人类经济、文化、军事和社会活动带来更多便利的同时,也带来了相当巨大的安全挑战。现代信息网络面临着各种各样的安全威胁,有来自网络外面的攻击,比如网络黑客、计算机病毒及变种等。因此合理有效的计算机病毒检测技术是防治计算机病毒最有效,最经济省力,也是最应该值得重视本论文由整理提供的问题。研究计算机病毒检测技术有利于我们更好地防止计算机病毒的攻击,有利于我们更好地维护计算机网络世界的安全,使得计算机网络真正发挥其积极的作用,促进人类经济、文化、军事和社会活动的健康。
参考文献:
[1]卓新建,郑康锋,辛阳.《计算机病毒原理与防治》,北京邮电大学出版社,2007年8月第二版.
[2]郝文化.《防黑反毒技术指南》,机械工业出版社,2004年1月第一版.
[3]程胜利,谈冉,熊文龙等.《计算机病毒与其防治技术》,清华大学出版社,2004年9月第一版.
[4]张仁斌,李钢,侯.《计算机病毒与反病毒技术》.清华大学出版社,2006年6月.
[5]傅建明,彭国军,张焕国.《计算机病毒与对抗》.武汉大学出版社,2004年版.
篇8
计算机病毒一直是计算机用户和安全专家的心腹大患,虽然计算机反病毒技术不断更新和发展,但是仍然不能改变被动滞后的局面。计算机病毒一般都具有潜伏传染激发破坏等多种机制,但其传染机制反映了病毒程序最本质的特征,离开传染机制,就不能称其为病毒。因此,监控和及时发现计算机病毒的传染行为,是病毒制造者和安全专家的争夺焦点。目前主流的操作系统是Windows操作系统,利用windows操作系统中存在的漏洞和系统程序接口,病毒可轻易获取控制权,感染硬盘上的文件,并进行破坏。因此计算机病毒入侵途径和防治研究显得尤为重要。
病毒要在Windows操作系统上实现其感染目的是要获得系统的控制权,而感染可执行文件时取得控制权的最好途径。在WINDOWS NT/XP/2000/98/95等系统下,可执行文件和动态链接库均采用的是PE文件格式。只有透彻研究了PE的文件格式,才能了解病毒如何寄生在文件中,才能有的放矢的采取对策以检测和制止病毒的入侵。在各种病毒中,又以PE病毒数目最大,传播最广,破坏力最强,分析PE病毒有非常重要的意义。因此本文将重点介绍PE病毒的入侵途径和防治措施。
一、PE病毒
1.PE病毒的定义
一个正常的程序感染后,当你启动这个程序的时候,它通常会先执行一段病毒代码,然后自身运行,这样病毒就悄无声息的运行起来,然后再去感染其他PE文件,这就是PE病毒的行为。
2.PE病毒的特征
(1)具有感染性。该类病毒通过感染普通PE.EXE文件并把自己的代码加到EXE文件的尾部,修改原程序的入口点以指向病毒体,病毒本身没有什么危害,但是被感染的文件可能被破坏而不能正常运行。
(2)潜伏性。指病毒依附于其他文件而存在,即通过修改其他程序而把自身的复制品嵌入到其他程序中。
(3)可触发性。即在一定的条件下激活这类病毒的感染机制使之进行感染。
(4)破坏性。病毒一旦感染其他文件,病毒本身没什么危害,但是会导致被感染的文件丢失数据或被破坏而不能正常运行。
3.PE文件格式
在PE文件格式中有一个重要的概念相对偏移量(RAV),RAV是虚拟空间中某句代码到参考点的一段距离。例如,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚拟401000h开始执行,就可以说进程执行起始地址在RVA1000h。PE文件格式用到RVA的原因是为了减少PE装载器的负担,因为每个模块都有可能被重载到任何虚拟地址空间。
PE文件格式被组织为一个线性的数据流,他由一个MS-DOS头部开始,接着是实模拟程序残余以及一个PE文件标识,之后紧接着PE文件头和可选头部。这些之后是所有的段头部,断头不之后跟随者所有的段实体。文件的结束处事一些其它的区域,其中是一些混杂的信息,包括重分配信息、符号表信息、行号表信息以及字符串数据。如图:
(1)MS-DOS头部、实模式头部
如上所述,PE文件格式的第一个组成部分是MS-DOS头部。保留这个相同的结构的最主要原因是:当在WINDOWS3.1一下或MS-DOS2.0以上的系统下装在一个文件的时候,操作系统能够读取这个文件并明白是和当前系统不相兼容的。
它的第一域e_magic,被称为魔术数字,它被用于表示一个MS-DOS兼容的文件类型。所有MS-DOS兼容的可执行文件都将这个值设为0x5A4D,表示ASCII字符MZ。MS-DOS头部之所以有的时候被称为MZ头部,就是这个缘故。还有许多其它的域对于MS-DOS操作系统来说都有用,但是对于WINDOWS NT来说,PE结构中只有一个有用的域—最后一个域e_lfnew,一个4字节的文件偏移量,PE文件头部就是由它定位的。对于WINDOWS NT的PE文件来说,PE文件头部是紧跟在MS-DOS头部和实模式程序残余之后的。
(2)实模式残余程序
实模式残余程序是一个转载时能够被MS-DOS运行的实际程序。对于一个MS-DOS的可执行映像文件,应用程序就是从这里执行的。对于WINDOWS、OS/2、WINDOWS NT这些操作系统来说,MS-DOS残余程序就代替了主程序的位置被放在这里。这种残余程序通常什么也不做,而只是输出一行文本,例如:“This program requires Microsoft Windows v3.1 or greater.”
当为WINDOWS 3.1构建一个应用程序的时候,链接器将向你的可执行文件中链接一个名为WINSTUB.EXE的默认残余程序。你可以用于一个基于MS-DOS的有效程序取代WINSTUB,并且用STUB模块定义语句指示器,这样就能够取代链接器的默认行为。为WINDOWS NT开发的应用程序可以通过使用-STUB:连接器选项来实现。
(3)PE头部
该头部的结构如下:
{
DWORO Signature;
IMAGE_FILE_HEADER FileHeader;
IMAGE_OPTIONAL_HEADER OptionalHeader;
}IMAGE_NT_HEADERS,*PIMAGE_NT_HEADERS;
它包括三个域:第一个域是固定的格式“PE\0\0”,用来标示PE文件;第二个域包括:PE文件头部、结构体IMAGE_FILE_HEADER,该结构体有20个字节,它具体的定义如下:
Typedef struct_IMAGE_DOS_HEADER
{
USHORT Machine;//指定运行平台
USHORT NumberOfSections;//文件的节表(Section)数目
ULONG TimeDateStamp;//文件创建日期和时间
ULONG PointerToSymbolTable;//用于调试
ULONG NumberOfSymbols;//用于调试
USHORT SizeOfOptionalHeader;//指示紧随本结构之后的OtionalHeader 结构大小,必须有效值
USHORT Characteristics;//关于文件信息的标记,比如文件时exe还是dll
}IMAGE_FILE_HEADER,*PIMAGE_FILE_HEADER;
第三个域:PE可选头部,结构体IMAGE_FILE_HEADER。虽说是可选,但还是必不可少的,它包含了很多信息,如可执行映像的重要信息,例如初始的堆栈大小、程序入口点的位置、首选地址、操作系统版本、段对的信息等等。这个结构体分为两块:第一块是标准域,适合UNIX可执行文件的COFF格式共有的部分。达尔快为Windows NT特定的进程行为提供了装载器的支持。
二、PE病毒入侵
1.PE病毒入侵的原理分析
Windows PE病毒同时也是所有病毒中数量极多,破坏性极大,技巧性最强的一类病毒。它们一般采用嵌入宿主程序的方式来进行传染,利用PE文件中的空隙或增加一节方法栖身于PE文件中,并将程序入口点指向病毒代码,当文件执行时首先执行该病毒,然后执行宿主程序,其原理与DOS下病毒大同小异,但具体实现方法有许多创新。PE病毒入侵文件时用到的基本技术主要有以下几方面:
(1)病毒的重定位
在正常程序中,变量在编译时它在内存的位置就都被计算好了,装入内存后,不用程序员重定位,直接引用就可以了。但病毒程序中,因感染宿主程序的位置不同,各个变量在内存中的位置自然也不同。为了引用这些变量,病毒必须自己重定位。CALL是一条函数调用指令也可以当成是跳转指令。它可以调到目的地址继续执行,执行完毕后会返回到主程序继续执行。当CALL执行时CPU首先把要返回的地址(即吓一条指令的地址)压入堆栈然后跳到目的地址执行。可以看出在跳转之后只要执行一条POP指令或MOV ESP,[ESP]就可以得到吓一跳指令在内存中的实际位置。
(2)获取API函数地址
windows PE病毒就无法象普通PE程序那样直接调用相关API函数,而应该先找出这些API函数在相应动态链接库中的地址。对于这类病毒来说,通常是通过已知API函数序列号或仅知API函数名称来查找API函数地址。
①已知API函数序列号查找入口地址
a.定位到PE文件头。
b.从PE文件头中的可选文件头中取出数据目录表的第一个数据目录,得到导出表的地址。
c.从导出表的Base字段取得起始序号。
d.将需要查找的导出序号减去起始序号,得到函数在入口地址表中的索引。
e.检查索引值是否大于等于导出表中的函数个数。如果大于的话,说明输入的序号无效。
f.用该索引值在AddressOfFunctions字段指向的导出函数入口地址表中取出相应的项目,这就是函数的入口地址RVA值,当函数被装入内存后,这个RVA值加上模块实际装入的基址(ImageBase),就得到了函数真正的入口地址。
②从函数名称查找入口地址
a.定位到PE文件头。
b.从PE文件头中的可选文件头中取出数据目录表的第一个数据目录,得到导出表的地址。
c.从导出表的NumberOfNames字段得到以命名函数的总数,并以这个数字做微循环的次数来构造一个循环。
d.从AddressOfNames字段指向的函数名称地址表的第一项开始,在循环中将每一项定义的函数名与要查找的函数名比较,如果没有任何一个函数名符合,说明文件中没有指定名称的函数。
e.如果某一项定义的函数名与要查找的函数名符合,那么记住这个函数名在字符串地址表中的索引值(如x),然后在AddressOfNameOrdinals指向的数组中以同样的索引值x去找数组项中的值,假如该值为m。
f.以m值作为索引值,在AddressOfFunctions字段指向的函数入口地址表中获取的RVA就是函数的入口地址,当函数被装入内存后,这个RVA值加上模块实际装入的基址(ImageBase),就得到了函数真正的入口地址。
(3)文件搜索
文件搜索算法(文件搜索一般采用递归算法进行搜索):
FindFile Proc
①指定找到的目录为当前工作目录
②开始搜索文件(*.*)
③该目录搜索完毕?是则返回,否则继续
④找到文件还是目录?是目录则调用自身函数FindFile,否则继续
⑤是文件,如符合感染条件,则调用感染模块,否则继续
⑥搜索下一个文件(FindNextFile),转到③继续
FindFile Endp
(4)内存映射文件
在计算机病毒中,使用内存映射文件读写文件, 通常采用如下几个步骤:
①调用CreateFile函数打开想要映射的HOST程序,返回文件句柄hFile。
②调用CreateFileMapping函数生成一个建立基于HOST文件句柄hFile的内存映射对象,返回内存映射对象句柄hMap。
③调用MapViewOfFile函数将整个文件(一般还要加上病毒体的大小)映射到内存中。得到指向映射到内存的第一个字节的指针(pMem)。
④用刚才得到的指针pMem对整个HOST文件进行操作,对HOST程序进行病毒感染。
⑤调用UnmapViewFile函数解除文件映射,传入参数是pMem
⑥调用CloseHandle来关闭内存映射文件,传入参数是hMap。
⑦调用CloseHandle来关闭HOST文件,传入参数是hFile。
2.PE病毒入侵的路径分析
(1)PE病毒入侵过程
PE病毒常见的感染其他文件的方法是在文件中添加一个新节,然后往该新节中添加病毒代码和病毒执行后的返回Host程序的代码,并修改文件头中代码开始执行位置(AddressOfEntryPoint)指向新添加的病毒节的代码入口,以便程序运行后先执行病毒代码。下面我们具体感染过程如图所示:
(2)下面以CIH病毒为例具体分析病毒感染过程:
CIH病毒属于文件型病毒,主要感染Windows PE可执行文件。由于CIH病毒使用了VxD技术使得这种病毒在Windows环境下传播,其实施性和隐蔽性都特别强,使用一般反病毒软件很难发现这种病毒在系统中传播。
感染了CIH病毒的程序被执行时,CIH首先使用了SIDT取得中断描述符表基地址,然后将INT3的入口地址改为指向CIH病毒自身的INT3程序入口。接着CIH自己产生一条INT3指令,这样CIH病毒就可以获得最高级别的CPU使用权限。接下来,CIH将判断DR0寄存器的值是否为0,如果不是则表明计算机已被CIH病毒感染,自己则正常退出;如果DR0寄存器的值为0,就表明没有CIH病毒驻留内存,这时CIH病毒首先会将当前EBX寄存器的值赋给DR0寄存器,作上驻留标记,然后调用INT20,使用VxD call page ALLocate系统调用,向系统申请内存空间来驻留,当申请成功后,CIH病毒就从被感染的文件中将其病毒代码组合起来,放到申请的内存空间中。随后CIH病毒再次调用INT3进入CIH病毒体的INT3入口程序,接着调用INT20,调用一个IFSMgr_Install File System ApiHook 子程序,目的是借助文件系统处理函数来截取系统文件,调用操作。完成这个工作之后,Windows 98/95默认的IFSMgr_Ringo_ FileI0服务程序的入口地址将被CIH病毒保留,以便它的调用。
这样CIH病毒就完成了引导工作,驻留在内存中,开始监视系统的文件调用操作。一旦系统出现要求调用文件CIH就首先截获被调用的文件。然后判断该文件是否为PE格式的EXE 文件,如果是就将自身拆成几段,插入到该文件的空域中,然后修改PE格式文件的文件头中的文件映像执行参数,使其首先指向病毒体;如果不是就将调用转接给Windows 98/95的IFSMgr_I0服务程序。
(CIH病毒感染流程图)
三、PE病毒的清除和防治
1.PE病毒的清除
清除PE病毒不光是去除病毒程序,或使病毒程序不能进行,还要尽可能恢复系统或文件本来面目,以将损失减少至最低程度。清除PE病毒的过程其实可以看作病毒感染宿主程序的逆过程,只要搞清楚病毒的感染机理,清除病毒其实是很容易的。事实上每一种病毒,甚至是每一个病毒的变种,它们的清除方式可能都是不一样的,所有清除病毒时,一定要针对具体的病毒来进行。下面仍以CIH病毒为例分析PE文件病毒手工清除过程。
例:文件感染CIH 病毒的手工消除
(1)准备工作
准备工作主要有两步,一是获得对可执行文件浏览全部代码的文本,二是打印一份感染CIH病毒后的完整的文件头数据样本。
(2)恢复文件头数据及清除病毒代码
①文件感染标志值55H
②EIP相对值
③入口表
④病毒代码组合表
⑤病毒代码文件头部分
⑥病毒代码各个分块部分
(3)写入正常文件代码
以上工作完成后,一份正常的文件数据已经在内存中生成了,最后用下述指令存盘保存:
W 0100
这样,EXCHNG32.DAT就是消除CIH感染影响后的正常文件了,再删除掉原来的可执行文件EXCHNG32.EXE,将EXCHNG32.DAT重命名为EXCHNG32.EXE即可。
尽管每种病毒的清除方法有区别,但是都要遵循病毒清除的基本流程。
(清除病毒的基本流程)
2.PE病毒的防御
(1)PE病毒防御框架的提出
在深入了解WINDOWS PE 文件结构与其中的重要数据和重点分析 PE文件病毒传软、破坏所使用的各种技术后,可以看出病毒应用各种技术可以轻而易举的将自己插入到正常的PE 文件中,当触发条件满足后,便开始破坏行为。目前,较为流行的各种杀毒软件,主要是防御病毒的破坏行为,而对病毒的传播却重视不足。即使能够拦截一部分病毒传播,但是,当病毒使用变形技术后,这种拦截就无能为力了。
设想如果在PE病毒传播时期就将其拒之于系统之外,那么系统的安全性和稳定性将大大提高。针对PE文件病毒而言,在其感染阶段,不让其插入到正常的PE文件中,使其失去寄存空间,在配合一定的杀毒技术,就能对该类病毒实施防御了。
在此基础上本论文提出 PE文件病毒的防御框架,如图:
(2)PE文件型病毒的预防
凡是PE文件型病毒,都要寻找一个可执行文件的宿主,当可执行文件被感染时,其表现症状为文件长度增加或文件头部信息被修改、文件目录表中信息被修改、文件长度不变而内部信息被修改等。
针对这种症状提出一种预防PE文件型的方法。在源程序中增加自检及清除病毒的功能。这种方法的优点是可执行文件从生成起,就有抗病毒的能力,从而可以保证可执行文件的干净。自检清除功能部分和可执行文件的其他部分融为一体,不会和程序的其他功能才冲突,也是病毒制造者无法造出针对性的病毒。可执行文件染不上病毒,PE文件型病毒就无法传播了。
预防PE文件型病毒方法的核心就是使可执行文件具有自检功能,在被加载时检测本身的几项指标——文件长度、文件头部信息、文件内部抽样信息、文件目录表中有关信息。其实现的过程是在使用汇编语言或其他高级语言时,先把上述有关的信息定义为若干大小固定的几个变量,给每个变量先赋一个值,待汇编或编译之后,根据可执行文件中的有关信息,把源程序中的有关变量进行修改,再重新汇编或编译,就得到了所需的可执行文件。
本文以CIH 病毒为例介绍病毒的防治措施。
①查解压文件病毒和实时监控病毒的反病毒软件,并正确使用反病毒软件的各项功能,特别是实时反病毒功能。
②所有的反病毒软件都能够检查和清除CIH病毒,如果用户 在Windows环境下清除CIH病毒失败,可以用干净的DOS盘引导系统,再用DOS版的反病毒软件清除CIH病毒。
③算机进行分区,把重要的数据存放在D盘以后的分区中,当计算机被CIH病毒破坏以后,反病毒软件独有的修复功能可以修复被CIH病毒破坏的硬盘分区表,找回硬盘上的数据。
④范于未然,对重要的数据进行备份,不使用来历不明的软件和光盘,养成使用计算机的良好习惯,同时在每月的26日CIH病毒的发作时间前,提前修改时间。
⑤给计算机进行终身的CIH日病毒免疫。利用CIH病毒传染前检查“感染标记”的特征,运用先进的编程技术,可以“克隆”CIH病毒的“感染标记”,这样一来用户就可以利用反病毒软件的这个功能,使计算机永久性的不会被CIH病毒感染。
(3)一种预防PE文件病毒感染的方法
基于上述的分析研究,本文提出一种预防PE文件病毒的感染的方法。本方法主要是利用了TOOLS7.0中的数据监控(Data Monitor)功能。
首先启动PCTOOLS7.0,选择运行数据监控功能,根据屏幕显示,选择运行写保护后,在根据屏幕提示,按“L”键,选择运行此功能。然后按“S”键选择“System Areas(系统区域)”,这时系统确认对硬盘的系统区如硬盘分区表、FAT表、和BOOT区等实行写保护。按“F”键,选择“File Listed Below”。此时系统对屏幕所示的“Include”表中的各类文件实行写保护。然后可以按“Tab”键,分别激活“Include”和“Exclude”表,根据自己实际工作需要,选择增加对哪些类别的文件实行写保护,对哪些类别的文件不实行写保护。系统默认类别是扩展名为.EXE、.COM、.DLL和扩展名前两位为OV的文件。以上操作完成以后,就可以退出系统,结束操作了。
以上的操作完成了最初的设置,并激活了写保护功能。在以后的使用中如果要激活本功能,只要在自动批处理文件中加入一条命令:
DATAMON/WRITE+>NUL
这样,只要我们启动微机,系统将自动激活数据监控功能,并对硬盘系统区中的各种数据和用户选择的各类文件实行写保护。当我们一旦运行感染病毒的软件时,由于激活的数据监控功能能监控所有读写操作,因此当病毒要对硬盘的系统区进行改写或对.EXE和.COM文件进行删除和写操作是hi,系统将立即发出警报声,并在屏幕上警告用户。让用户从屏幕中选择是否中断操作、继续执行还是取消报警后继续执行。从而使我们能够及时发现病毒,并采取相应的措施。这样就有效的防止了PE文件病毒的感染、扩散及破坏,做到了真正的“防毒”。
四、总结
PE文件病毒是感染Windows系统可执行文件最基本的病毒,了解其工作原理,对防护计算机病毒的能力具有重要的作用。
本论文分成三个部分,首先分析PE病毒的定义和PE文件格式,了解PE病毒的感染机理是通过嵌入其他文件体,当用户执行文件的时候,会先执行病毒代码,然后再去感染其他PE文件,使被感染文件被破坏。其次,本文重点分析了PE病毒的入侵途径,每一个PE病毒的入侵都离不开病毒的重定位、获取API函数地址、文件搜索、使用内存映射文件读写文件这几个过程,又以CIH病毒为例具体分析病毒入侵的过程。最后,在了解PE病毒的感染机理的基础上,提出清除病毒的方法和防御病毒的措施,防御病毒的核心是在病毒感染文件之前将之拒之门外。可以配合一定的杀毒软件,是病毒彻底失去寄存的空间,达到安全防治的目的。
参考文献:
[1]卓新建,郑康锋,辛阳.计算机病毒原理与防治.北京邮电大学出版社,2007
[2]郝文化防黑反毒技术指南.机械工业出版社,2004
[3]程胜利,谈冉,熊文龙.计算机病毒与其防治技术.清华大学出版社,2004
篇9
0引言
办公自动化系统(oas)是办公业务中采用intemet/intranet技术,基于工作流的概念,使企业内部人员方便快捷地共享信息,高效地协同工作,实现迅速、全方位的信息采集、信息处理,为企业的管理和决策提供科学的依据。一个企业实现办公自动化的程度是衡量其现代化管理水平的标准。oas从最初的以大规模采用复印机等办公设备为标志的初级阶段,发展到今天的以运用网络和计算机为标志的阶段,oas对企业办公方式的改变和效率的提高起到了积极的促进作用。近年来,办公自动化系统都是架设在网络之上的,它是一个企业与外界联系的渠道,企业的imranet最终都会接人internet,这种接人一方面方便了企业信息、共享资源、对外交流和提高办事效率,另一方面也带来了来自外部网络的各种安全威胁。
1办公自动化系统存在的安全晚息
随着internet的迅速发展,如何保证信息和网络的自身安全性问题,尤其是在开放互联环境中进行商务等机密信息的交换时,如何保证信息存取中不被窃取篡改,已成为企业非常关注的问题。在国际上,计算机犯罪案件正在以几何级数增长。计算机犯罪是一种高技术型犯罪,由于妇汀日罪的隐蔽侄,因川,寸办公自动化系统安全构成了很大的威胁。
目前,办公自动化系统的安全隐患主要存在以下几个方面:
假冒内网的ip地址登录内网窃取信息;软件系统自身的问题:利用网络传输协议或操作系统的漏洞攻击网络;获得网络的超级管理员权限,窃取信息或破坏系统;在传输链路上截取信息,或者进人系统进行物理破坏;病毒破坏,计算机病毒是一种人为制造的,在计算机运行中对计算机信息或者系统起破坏作用的程序。它通常隐蔽在其它程序或者文件中,按照病毒设计者设定的条件引发,从而对系统或信息起到破坏作用;黑客人侵;防范技术落后,网络安全管理不力,管理人员混乱,权限混乱等等。
2系统安全的防范
针对目前系统安全的上述问题,在办公自动化系统安全上提出下面几类主要的防范方法。
2.1加强机房管理
对目前大多数办公自动化系统来说,存在的一个很大的不安全因素是网络管理员的权力太大,据有关资料报道,80%的计算机犯罪来自内部,所以对机房工作人员要做好选择和日常考察,妾采取一定的手段来限制或者削弱网络管理员的权力,对机房工作人员,要结合机房、硬件、软件、数据和网络等各个方面的安全问题,进行安全教育,提高工作人员的保密观念和责任心;要加强业务、技术等方面的定期培训,提高管理人员的技术水平。
2.2设里访问控制
访问控制是保证网络安全最重要的策略之一。访问控制策略包括人网访问控制策略、操作权限控制策略等几个方面的内容。首先,网络管理员应该对用户账户的使用、用户访问网络的时间和方式进行控制和限制。用户账户应只有网络管理员才能建立,用户口令是用户访问网络所必须提交的准人证。针对用户登录时多次输人口令不正确的情况,系统应按照非法用户人人口令的次数给予给出报警信息,同时应该能够对允许用户输其次,用户名和口令通过验证之后,系统需要进一步对用户账户的默认权限进行检查。最后,针对用户和用户组赋予一定的操作权限。网络管理员能够通过设置,指定用户和用户组可以访问网络中的哪些资源,可以在服务器上进行何种类型的操作。网络管理员要根据访问权限将用户分为特殊用户、普通用户和审计用户等等。
2.3数据加密
主要针对办公自动化系统中的数据进行加密。它是通过网络中的加密系统,把各种原始的数据信息(明文)按照某种特定的加密算法变换成与明文完全不同的数据信息(密文)的过程。目前常用的数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。链路加密对用户来说比较容易实现,使用的密钥较少,而端到端加密比较灵活,对用户可见,在对链路加密中各节点安全状况不放心的情况下也可使用端到端加密方式。数据存储加密主要就是针对系统数据库中存储的数据本身进行加密,这样即使数据不幸泄露或者丢失,也难以被人破译。数据存储加密的关键是选择一个好的加密算法。
2.4建立工作日志
对所有合法登录用户的操作情况进行跟踪记录;对非法用户,要求系统能够自动记录其登录次数,时间,ip地址等信息,以便网络管理员能够根据日志信息监控系统使用状态,并针对恶意行为采取相应的措施。
2.5加强邮件安全
在众多的通信工具中,电子邮件以其方便、快捷的特点已成了广大网络用户的首选。然而这也给网络安全带来了很大的隐患,目前垃圾邮件数量巨大、邮件病毒防不胜防,而关于邮件泄密的报道更是层出不穷。面对电子邮件存在的巨大安全隐患,可以采取如下的防御措施:
1)加强防御,一般用户会经常忽略使用电邮安全的基本常识,因此教育用户一些常识是非常有必须的。例如,勿开启来自未知寄件者的附件;勿点选不熟悉来源的任何内容;封锁陌生人的实时讯息等。
2)对邮件进行加密,由于越来越多的人通过电子邮件进行重要的商务活动和发送机密信息,因此保证邮件的真实性和不被其他人截取和偷阅也变得日趋重要。据调查,74%邮件泄密是因为邮件中的机密信息未做任何加密措施引起的。因此,邮件加密是一种比较有效的、针对邮件内容的安全防范措施,采取先进的加密算法可以有效地保障数据的安全。
3)反垃圾邮件,垃圾邮件经常与病毒有关,因此用户需要反垃圾邮件和反病毒保护。垃圾邮件中的链接经常指向包含恶意软件的网站,而且病毒经常通过电子邮件传播。大大减轻邮件病毒肆虐的方法是使用反病毒软件,例如只使用提供自动病毒保护功能的电子邮箱,只打开来源可信的电子邮件,或在打开邮件附件之前用反病毒软件进行扫描等等。
2.6设置网络防火墙
通过安装并启用网络防火墙,可以有效地建立起计算机与外界不安全因素的第一道屏障,做到实时监控网路中的数据流,保护本地计算机不被病毒或者黑客人侵。
2.7保护传输线路安全
篇10
(一)按传染方式分类。按传染方式分类可分为引导型病毒、文件型病毒和混合型病毒3种。引导型病毒主要是感染磁盘的引导区,系统从包含了病毒的磁盘启动时传播,它一般不对磁盘文件进行感染;文件型病毒一般只传染磁盘上可以执行文件(COM、EXE),其特点是附着于正常程序文件,成为程序文件的一个外壳或部件;混合型病毒则兼有以上两种病毒的特点,既感染引导区又感染文件,因此扩大了这种病毒的传染途径。
(二)按连接方式分类。接连接方式分类可分为源码型病毒、入侵型病毒和操作系统型病毒等3种。其中源码型病毒主要攻击高级语言编写的源程序,它会将自己插入到系统源程序中,并随源程序一起编译,连接成可执行文件,从而导致刚刚生成的可执行文件直接带毒;入侵型病毒用自身代替部分加入或替代操作系统的部门功能,危害性较大。
(三)按程序运行平台分类。病毒按程序运行平台可分为DOS病毒,Windows病毒,WindowsNT病毒,OS/2病毒等,它们分别是发作于DOS,Windows9X,WindowsNT,OS/2等操作系统平台上的病毒。
(四)新型病毒。部分新型病毒由于其独特性而暂时无法按照前面的类型进行分类,如宏病毒(使用某个应用程序自带的宏编程语言编写的病毒)、黑客软件、电子邮件病毒等。
二、计算机病毒的危害
我们劳动保障部门正常办公用的计算机里都保存大量的文档、业务资料、公文、档案等重要数据和信息资料,如果被病毒破坏,被黑客盗取或篡改,就会造成数据信息丢失,甚至泄密,严惩影响正常办公的顺利进行。计算机感染病毒以后,轻则运行速度明显变慢,频繁死机,重则文件被删除,硬盘分区表被破坏,甚至硬盘被非法格式化,更甚者还会造成计算机硬件损坏,很难修复。有很多的网页上含有恶意代码病毒,用诱人的网页名称吸引人们访问他们的网页,然后修改访问者计算机IE浏览器的主页设置为他们的网页,较为恶劣的还会放置木马程序到访问者计算机的系统文件里,随系统的启动一起加载,造成主页很难修改回来,更为恶劣的是修改操作系统注册表并注销造成注册表无法修改。还有病毒智能化程序相当高,感染以后杀掉防杀病毒程序的进程,造成杀毒软件失效,感染的方式也由早期的被动感染到今天的主动感染。
三、计算机病毒的防护
在我们正常的工作中,怎样才能减少和避免计算机病毒的感染与危害呢?在平时的计算机使用中只要注意做到以下几个方面,就会大大减少病毒感染的机会。
(一)建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,并尽快删除,不要上一些不太了解的网站,尤其是那些诱人名称的网页,更不要轻易打开,不要执行从Internet下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
(二)关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如FTP客户端、Telner和Web服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除他们,就能大大减少被攻击的可能性。
(三)经常升级操作系统的安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,像红色代码、尼姆达、冲击波等病毒,所以应该定期到微软网站去下载最新的安全补丁,以防患于未然。
(四)使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的。因此使用复杂的密码,将会大大提高计算机的安全系数。
(五)迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立即中断网络,然后尽快采取有效的查杀病毒措施,以防止计算机受到更多的感染,或者成为传播源感染其他计算机。
(六)安装专业的防病毒软件进行全面监控。在病毒日益增多的今天,使用杀毒软件进行防杀病毒,是简单有效并且是越来越经济的选择。用户在安装了反病毒软件后,应该经常升级至最新版本,并定期查杀计算机。将杀毒软件的各种防病毒监控始终打开(如邮件监控和网页监控等),可以很好地保障计算机的安全。
服务严谨可靠
7×16小时在线支持
支付宝特邀商家
不成功退款