病毒的防治及應(yīng)急處理1病毒的防治及應(yīng)急處理1一、計算機(jī)病毒的概念定義：計算機(jī)病毒是一段附著在其他程序上的可以實現(xiàn)自我繁殖的程序代碼。（國外）定義：計算機(jī)病毒是指破壞計算機(jī)功能或者數(shù)據(jù)，并能自我復(fù)制的程序。（國內(nèi)）病毒發(fā)展史：1977年科幻小說《TheAdolescenceofP-1》描寫計算機(jī)病毒1983年FredAdleman首次在VAX11/750上試驗病毒；1986年Brain病毒在全世界傳播；1988年11月2日Cornell大學(xué)的Morris編寫的Worm病毒襲擊美國6000臺計算機(jī)，直接損失盡億美元；八十年代末，病毒開始傳入我國；2一、計算機(jī)病毒的概念定義：計算機(jī)病毒是一段附著在其他程序上的病毒產(chǎn)生的原因：計算機(jī)病毒是高技術(shù)犯罪，具有瞬時性、動態(tài)性和隨機(jī)性。不易取證，風(fēng)險小破壞大。1）尋求刺激：自我表現(xiàn)；惡作??；2）出于報復(fù)心理。病毒的特征：傳染性；寄生性；衍生性；隱蔽性；潛伏性；可觸發(fā)性；奪取控制權(quán)；破壞性與危害性；3病毒產(chǎn)生的原因：3病毒的分類：按破壞性分為：良性；惡性。按激活時間分為：定時；隨機(jī)按傳染方式分為：引導(dǎo)型：當(dāng)系統(tǒng)引導(dǎo)時進(jìn)入內(nèi)存，控制系統(tǒng)；文件型：病毒一般附著在可執(zhí)行文件上；混合型：既可感染引導(dǎo)區(qū)，又可感染文件。按連接方式分為：OS型：替換OS的部分功能，危害較大；源碼型：要在源程序編譯之前插入病毒代碼；較少；外殼型：附在正常程序的開頭或末尾；最常見；入侵型：病毒取代特定程序的某些模塊；難發(fā)現(xiàn)。4病毒的分類：4按照病毒特有的算法分為：伴隨型病毒：產(chǎn)生EXE文件的伴隨體COM，病毒把自身寫入COM文件并不改變EXE文件，當(dāng)DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件?！叭湎x”型病毒：只占用內(nèi)存，不改變文件，通過網(wǎng)絡(luò)搜索傳播病毒。寄生型病毒：除了伴隨和“蠕蟲”型以外的病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中。變型病毒（幽靈病毒）：使用復(fù)雜算法，每傳播一次都具有不同內(nèi)容和長度。一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。5按照病毒特有的算法分為：5病毒的組成：安裝模塊：提供潛伏機(jī)制；傳播模塊：提供傳染機(jī)制；觸發(fā)模塊：提供觸發(fā)機(jī)制；其中，傳染機(jī)制是病毒的本質(zhì)特征，防治、檢測及殺毒都是從分析病毒傳染機(jī)制入手的。病毒的癥狀：啟動或運行速度明顯變慢；文件大小、日期變化；死機(jī)增多；莫名其妙地丟失文件；磁盤空間不應(yīng)有的減少；有規(guī)律地出現(xiàn)異常信息；自動生成一些特殊文件；無緣無故地出現(xiàn)打印故障。6病毒的組成：6計算機(jī)病毒的傳播途徑1）通過不可移動的設(shè)備進(jìn)行傳播較少見，但破壞力很強(qiáng)。2）通過移動存儲設(shè)備進(jìn)行傳播最廣泛的傳播途徑3）通過網(wǎng)絡(luò)進(jìn)行傳播反病毒所面臨的新課題4）通過點對點通訊系統(tǒng)和無線通道傳播預(yù)計將來會成為兩大傳播渠道7計算機(jī)病毒的傳播途徑7病毒的破壞行為攻擊系統(tǒng)數(shù)據(jù)區(qū)：主引導(dǎo)區(qū)、Boot區(qū)、FAT區(qū)、文件目錄攻擊文件、內(nèi)存、CMOS；干擾系統(tǒng)運行，使速度下降；干擾屏幕、鍵盤、喇叭、打印機(jī)；破壞網(wǎng)絡(luò)資源。病毒的發(fā)展趨勢攻擊對象趨于混合型；反跟蹤技術(shù)；增強(qiáng)隱蔽性：避開修改中斷向量值；請求在內(nèi)存中的合法身份；維持宿主程序外部特征；不用明顯感染標(biāo)志采用加密技術(shù)，使得對病毒的跟蹤、判斷更困難；繁衍不同的變種。8病毒的破壞行為8二、病毒的防治網(wǎng)絡(luò)環(huán)境下的病毒防治原則與策略防重于治，防重在管：制度；注冊、權(quán)限、屬性、服務(wù)器安全；集中管理、報警。綜合防護(hù)：木桶原理；防火墻與防毒軟件結(jié)合最佳均衡原則：占用較小的網(wǎng)絡(luò)資源管理與技術(shù)并重正確選擇反毒產(chǎn)品多層次防御：病毒檢測、數(shù)據(jù)保護(hù)、實時監(jiān)控注意病毒檢測的可靠性：經(jīng)常升級；兩種以上。9二、病毒的防治網(wǎng)絡(luò)環(huán)境下的病毒防治原則與策略9二、病毒的防治防毒：預(yù)防入侵；病毒過濾、監(jiān)控、隔離查毒：發(fā)現(xiàn)和追蹤病毒；統(tǒng)計、報警解毒：從感染對象中清除病毒；恢復(fù)功能病毒檢測的方法直接觀察法：根據(jù)病毒的種種表現(xiàn)來判斷特征代碼法：采集病毒樣本，抽取特征代碼特點：能快速、準(zhǔn)確檢驗已知病毒，不能發(fā)現(xiàn)未知的病毒。10二、病毒的防治防毒：預(yù)防入侵；病毒過濾、監(jiān)控、隔離10校驗和法：根據(jù)文件內(nèi)容計算的校驗和與以前的作比較。優(yōu)點：能判斷文件細(xì)微變化，發(fā)現(xiàn)未知病毒。缺點：當(dāng)軟件升級、改口令時會產(chǎn)生誤報；不能識別病毒名稱；對隱蔽性病毒無效。行為監(jiān)測法：基于對病毒異常行為的判斷特點：發(fā)現(xiàn)許多未知病毒；可能誤報，實施難軟件模擬法：一種軟件分析器，用軟件方法來模擬和分析程序的運行。特點：可用于對付多態(tài)病毒。11校驗和法：根據(jù)文件內(nèi)容計算的校驗和與以前的作比較。11反病毒軟件的選擇1）掃描速度30秒能掃描1000個以上文件2）識別率3）病毒清除測試著名殺毒軟件公司冠群金辰KILL瑞星RAV北京江民KV3000信源LANVRV賽門鐵克NortonAntiVirus時代先鋒（行天98）

12反病毒軟件的選擇12反病毒軟件工作原理1）病毒掃描程序串掃描算法:與已知病毒特征匹配；文件頭、尾部入口掃描算法：模擬跟蹤目標(biāo)程序的執(zhí)行類屬解密法：對付多態(tài)、加密病毒2）內(nèi)存掃描程序：搜索內(nèi)存駐留文件和引導(dǎo)記錄病毒3）完整性檢查器：能發(fā)現(xiàn)新的病毒；但對于已被感染的系統(tǒng)使用此方法，可能會受到欺騙。4）行為監(jiān)測器：是內(nèi)存駐留程序，監(jiān)視病毒對可執(zhí)行文件的修改。防止未知的病毒13反病毒軟件工作原理13三、幾種常見的病毒宏病毒宏(Macro)：為避免重復(fù)操作而設(shè)計的一組命令。在打開文件時，先執(zhí)行“宏”，然后載入文件內(nèi)容。因此如果“宏”帶有病毒，則在編輯文件時病毒自動載入。宏病毒的癥狀：1）用Word或Excel打開文件時，出現(xiàn)“文檔未打開”、“內(nèi)存不夠”、“WordBasicErr=514”等；2）保存文件時，強(qiáng)制將文件按“.dot”類型存儲，或強(qiáng)制在指定目錄存放。3）宏病毒的版本兼容問題14三、幾種常見的病毒宏病毒14幾種宏病毒：AAAZAOMacro：Concept病毒，第一個宏病毒；TaiwanNO.1：第一個中文word病毒；RainbowMacro：能改變桌面顏色；FormatC：格式化C盤，第一個木馬型宏病毒；HotMacro：第一個調(diào)用WindowsAPI的宏病毒；NuclearMacro:第一個干擾打印機(jī)、硬盤的宏病毒。宏病毒分類：公用宏病毒：以Auto開頭的宏，附在normal.dot或Personal.xls等模板上。私用宏病毒：15幾種宏病毒：15宏病毒的危害1）傳播迅速：因為文件交流頻繁；2）制造及變種方便：WordBasic編程容易3）危害大：WordBasic可調(diào)用WindowsAPI、DLL、DDE宏病毒的防治除殺毒軟件以外，還可嘗試下列方法：1）按住<Shift>鍵再啟動Word，禁止宏自動運行；2）工具宏，檢查并刪除所有可能帶病毒的宏；3）使用DisableAutoMacros宏4）將模板文件如normal.dot的屬性設(shè)為只讀。16宏病毒的危害16三、幾種常見的病毒CIH病毒臺灣陳盈豪編寫，一般每月26日發(fā)作。不僅破壞硬盤的引導(dǎo)扇區(qū)和分區(qū)表，還破壞系統(tǒng)FlashBIOS芯片中的系統(tǒng)程序，導(dǎo)致主板損壞。病毒長1KB，由于使用VXD技術(shù)，只感染32位Windows系統(tǒng)可執(zhí)行文件中的.PE格式文件。修復(fù)硬盤分區(qū)表：信源公司()的免費軟件VRVFIX.EXE；CIH疫苗:CIH作者的Ant-CIHv1.0；美國Symantec公司的Kill_CIH17三、幾種常見的病毒CIH病毒17四、網(wǎng)絡(luò)病毒含義1：在網(wǎng)上傳播、并對網(wǎng)絡(luò)進(jìn)行破壞的病毒。含義2：專指HTML、E-mail、Java等Internet病毒。例：蠕蟲病毒，木馬程序等。2001年9月18日，Nimdaworm在Internet上迅速傳播。該病毒感染W(wǎng)indows系列多種計算機(jī)系統(tǒng)，其傳播速度之快、影響范圍之廣、破壞力之強(qiáng)都超過其前不久發(fā)現(xiàn)的CodeRedII。18四、網(wǎng)絡(luò)病毒含義1：在網(wǎng)上傳播、并對網(wǎng)絡(luò)進(jìn)行破壞的病毒。18特點：網(wǎng)上蔓延，危害更大。1）網(wǎng)上傳染方式多，工作站、服務(wù)器交叉感染2）混合特征：集文件感染、蠕蟲、木馬等于一身3）利用網(wǎng)絡(luò)脆弱性、系統(tǒng)漏洞4）更注重欺騙性5）清除難度大，破壞性強(qiáng)。網(wǎng)絡(luò)病毒的防范：具體實現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測；在工作站上用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。

19特點：網(wǎng)上蔓延，危害更大。19相對于單機(jī)病毒的防護(hù)來說，網(wǎng)絡(luò)病毒的防治具有更大的難度，網(wǎng)絡(luò)病毒防治應(yīng)與網(wǎng)絡(luò)管理集成。管理功能就是管理全部的網(wǎng)絡(luò)設(shè)備：從Hub、交換機(jī)、服務(wù)器到PC，軟盤的存取、局域網(wǎng)上的信息互通及與Internet的連接等，所有病毒能夠進(jìn)來的地方。為實現(xiàn)計算機(jī)病毒的防治，可在計算機(jī)網(wǎng)絡(luò)系統(tǒng)上安裝網(wǎng)絡(luò)病毒防治服務(wù)器；在內(nèi)部網(wǎng)絡(luò)服務(wù)器上安裝網(wǎng)絡(luò)病毒防治軟件；在單機(jī)上安裝單機(jī)環(huán)境的反病毒軟件。從以下方面控制網(wǎng)絡(luò)病毒：服務(wù)器郵件系統(tǒng)WEB站點數(shù)據(jù)庫系統(tǒng)網(wǎng)關(guān)20相對于單機(jī)病毒的防護(hù)來說，網(wǎng)絡(luò)病毒的防治具有更大的難度，網(wǎng)絡(luò)局域網(wǎng)病毒防御體系1）服務(wù)器網(wǎng)絡(luò)病毒防殺模塊監(jiān)視各節(jié)點，保護(hù)網(wǎng)絡(luò)操作系統(tǒng)安全；動態(tài)告警、殺滅各節(jié)點的病毒；配置系統(tǒng)整體的檢測計劃、時間；對病毒事件進(jìn)行記錄、審計、跟蹤；提供技術(shù)支持，升級；2）客戶端單機(jī)病毒防殺模塊單機(jī)版殺毒軟件；響應(yīng)升級要求21局域網(wǎng)病毒防御體系21安裝網(wǎng)絡(luò)防毒軟件的方案1）在網(wǎng)關(guān)和防火墻上安裝防毒軟件缺點：對每個文件的檢測將影響網(wǎng)絡(luò)性能。2）在工作站上安裝防毒軟件缺點：管理、協(xié)調(diào)、升級困難。3）在電子郵件服務(wù)器上安裝防毒軟件僅能防止郵件病毒的傳播。4）在所有文件服務(wù)器上安裝防毒軟件對于備份服務(wù)器，備份與反毒有可能沖突。22安裝網(wǎng)絡(luò)防毒軟件的方案22網(wǎng)絡(luò)反毒的新特征：與OS結(jié)合更緊密；實時化；檢測壓縮文件病毒病毒防火墻技術(shù)：能阻止病毒的擴(kuò)散在網(wǎng)絡(luò)服務(wù)器上安裝病毒防火墻系統(tǒng)，例如：InterScanVirusWall關(guān)鍵技術(shù)：OS底層接口技術(shù)：實時過濾，并少占用資源；網(wǎng)絡(luò)及應(yīng)用程序的底層接口技術(shù)：各種協(xié)議充分利用OS的多任務(wù)、多線程機(jī)制；優(yōu)化算法，減少系統(tǒng)開銷；23網(wǎng)絡(luò)反毒的新特征：23網(wǎng)絡(luò)應(yīng)急響應(yīng)網(wǎng)絡(luò)安全事件:違反明顯的或隱含的安全策略的一次活動，即對系統(tǒng)正常運行有負(fù)面影響的活動。包括：非授權(quán)訪問；系統(tǒng)崩潰；拒絕服務(wù)；對系統(tǒng)的篡改。時間長短；規(guī)模大??；安全級別：A:影響公共安全、社會秩序B:系統(tǒng)停頓，業(yè)務(wù)無法運作C:業(yè)務(wù)中斷，影響系統(tǒng)效率D:業(yè)務(wù)短暫故障，可立即修復(fù)CERT/CC(計算機(jī)緊急事件響應(yīng)小組/協(xié)調(diào)中心)發(fā)出安全警報：00年26次，01年41次。中國計算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心CNCERT/CC(WWW.CERT.ORG.CN)24網(wǎng)絡(luò)應(yīng)急響應(yīng)網(wǎng)絡(luò)安全事件:違反明顯的或隱含的安全策略的一次網(wǎng)絡(luò)安全事件的緊急程度：一般：緊急：對人身安全的威脅；對Internet體系的攻擊(如對DNS、根名服務(wù)器、網(wǎng)絡(luò)接入點的攻擊)對Internet的大范圍自動化攻擊新型的攻擊及新的嚴(yán)重漏洞。網(wǎng)絡(luò)安全事件的應(yīng)急準(zhǔn)備分析關(guān)鍵業(yè)務(wù)；后援；應(yīng)急組織與計劃；評估；演練。25網(wǎng)絡(luò)安全事件的緊急程度：25網(wǎng)絡(luò)安全事件的應(yīng)急處理流程

1)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件2)確定影響范圍，評估可能損失3)執(zhí)行預(yù)定的應(yīng)急措4)安全事件通報、求援安全事件通報內(nèi)容：發(fā)生安全事件的聯(lián)系資料：發(fā)生時間、地點；受影響主機(jī)資料；事件描述（程度、來源、工具、損失）；采取的措施；期望的援助。26網(wǎng)絡(luò)安全事件的應(yīng)急處理流程1)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件26CERT/CC提供的基本服務(wù)

CERT/CC是實現(xiàn)信息安全保障的核心，提供以下服務(wù)：安全事件的熱線響應(yīng)；檢查入侵來源；恢復(fù)系統(tǒng)正常工作；事故分析；發(fā)布安全警報、公告、建議；咨詢；安全培訓(xùn)教育；風(fēng)險評估。27CERT/CC提供的基本服務(wù)CERT/CC是實現(xiàn)信息安全保CERT/CC的組織架構(gòu)與運行機(jī)制

事件處理組技術(shù)研發(fā)組教育培訓(xùn)組咨詢組宣傳組網(wǎng)絡(luò)用戶媒體警方安全組織Web站臺數(shù)據(jù)庫咨詢事件報告應(yīng)急救援咨詢問題解決方案系統(tǒng)維護(hù)技術(shù)支援提供資料合作合作安全警報更新咨詢培訓(xùn)信息28CERT/CC的組織架構(gòu)與運行機(jī)制事件處理組技術(shù)研發(fā)組教建立統(tǒng)一的信息網(wǎng)絡(luò)安全保障體系

金字塔型的安全保障體系示意圖協(xié)調(diào)中心專項中心行業(yè)服務(wù)中心廠商支持中心企業(yè)或政府組織的應(yīng)急中心商業(yè)化、社會化的應(yīng)急與救援中心六類安全事件處理組織：國際/國家，專項中心，行業(yè)中心，廠商支持中心，企業(yè)組織，社會化機(jī)構(gòu)。29建立統(tǒng)一的信息網(wǎng)絡(luò)安全保障體系金字塔型的安全保障體系示意圖病毒的防治及應(yīng)急處理30病毒的防治及應(yīng)急處理1一、計算機(jī)病毒的概念定義：計算機(jī)病毒是一段附著在其他程序上的可以實現(xiàn)自我繁殖的程序代碼。（國外）定義：計算機(jī)病毒是指破壞計算機(jī)功能或者數(shù)據(jù)，并能自我復(fù)制的程序。（國內(nèi)）病毒發(fā)展史：1977年科幻小說《TheAdolescenceofP-1》描寫計算機(jī)病毒1983年FredAdleman首次在VAX11/750上試驗病毒；1986年Brain病毒在全世界傳播；1988年11月2日Cornell大學(xué)的Morris編寫的Worm病毒襲擊美國6000臺計算機(jī)，直接損失盡億美元；八十年代末，病毒開始傳入我國；31一、計算機(jī)病毒的概念定義：計算機(jī)病毒是一段附著在其他程序上的病毒產(chǎn)生的原因：計算機(jī)病毒是高技術(shù)犯罪，具有瞬時性、動態(tài)性和隨機(jī)性。不易取證，風(fēng)險小破壞大。1）尋求刺激：自我表現(xiàn)；惡作劇；2）出于報復(fù)心理。病毒的特征：傳染性；寄生性；衍生性；隱蔽性；潛伏性；可觸發(fā)性；奪取控制權(quán)；破壞性與危害性；32病毒產(chǎn)生的原因：3病毒的分類：按破壞性分為：良性；惡性。按激活時間分為：定時；隨機(jī)按傳染方式分為：引導(dǎo)型：當(dāng)系統(tǒng)引導(dǎo)時進(jìn)入內(nèi)存，控制系統(tǒng)；文件型：病毒一般附著在可執(zhí)行文件上；混合型：既可感染引導(dǎo)區(qū)，又可感染文件。按連接方式分為：OS型：替換OS的部分功能，危害較大；源碼型：要在源程序編譯之前插入病毒代碼；較少；外殼型：附在正常程序的開頭或末尾；最常見；入侵型：病毒取代特定程序的某些模塊；難發(fā)現(xiàn)。33病毒的分類：4按照病毒特有的算法分為：伴隨型病毒：產(chǎn)生EXE文件的伴隨體COM，病毒把自身寫入COM文件并不改變EXE文件，當(dāng)DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。“蠕蟲”型病毒：只占用內(nèi)存，不改變文件，通過網(wǎng)絡(luò)搜索傳播病毒。寄生型病毒：除了伴隨和“蠕蟲”型以外的病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中。變型病毒（幽靈病毒）：使用復(fù)雜算法，每傳播一次都具有不同內(nèi)容和長度。一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。34按照病毒特有的算法分為：5病毒的組成：安裝模塊：提供潛伏機(jī)制；傳播模塊：提供傳染機(jī)制；觸發(fā)模塊：提供觸發(fā)機(jī)制；其中，傳染機(jī)制是病毒的本質(zhì)特征，防治、檢測及殺毒都是從分析病毒傳染機(jī)制入手的。病毒的癥狀：啟動或運行速度明顯變慢；文件大小、日期變化；死機(jī)增多；莫名其妙地丟失文件；磁盤空間不應(yīng)有的減少；有規(guī)律地出現(xiàn)異常信息；自動生成一些特殊文件；無緣無故地出現(xiàn)打印故障。35病毒的組成：6計算機(jī)病毒的傳播途徑1）通過不可移動的設(shè)備進(jìn)行傳播較少見，但破壞力很強(qiáng)。2）通過移動存儲設(shè)備進(jìn)行傳播最廣泛的傳播途徑3）通過網(wǎng)絡(luò)進(jìn)行傳播反病毒所面臨的新課題4）通過點對點通訊系統(tǒng)和無線通道傳播預(yù)計將來會成為兩大傳播渠道36計算機(jī)病毒的傳播途徑7病毒的破壞行為攻擊系統(tǒng)數(shù)據(jù)區(qū)：主引導(dǎo)區(qū)、Boot區(qū)、FAT區(qū)、文件目錄攻擊文件、內(nèi)存、CMOS；干擾系統(tǒng)運行，使速度下降；干擾屏幕、鍵盤、喇叭、打印機(jī)；破壞網(wǎng)絡(luò)資源。病毒的發(fā)展趨勢攻擊對象趨于混合型；反跟蹤技術(shù)；增強(qiáng)隱蔽性：避開修改中斷向量值；請求在內(nèi)存中的合法身份；維持宿主程序外部特征；不用明顯感染標(biāo)志采用加密技術(shù)，使得對病毒的跟蹤、判斷更困難；繁衍不同的變種。37病毒的破壞行為8二、病毒的防治網(wǎng)絡(luò)環(huán)境下的病毒防治原則與策略防重于治，防重在管：制度；注冊、權(quán)限、屬性、服務(wù)器安全；集中管理、報警。綜合防護(hù)：木桶原理；防火墻與防毒軟件結(jié)合最佳均衡原則：占用較小的網(wǎng)絡(luò)資源管理與技術(shù)并重正確選擇反毒產(chǎn)品多層次防御：病毒檢測、數(shù)據(jù)保護(hù)、實時監(jiān)控注意病毒檢測的可靠性：經(jīng)常升級；兩種以上。38二、病毒的防治網(wǎng)絡(luò)環(huán)境下的病毒防治原則與策略9二、病毒的防治防毒：預(yù)防入侵；病毒過濾、監(jiān)控、隔離查毒：發(fā)現(xiàn)和追蹤病毒；統(tǒng)計、報警解毒：從感染對象中清除病毒；恢復(fù)功能病毒檢測的方法直接觀察法：根據(jù)病毒的種種表現(xiàn)來判斷特征代碼法：采集病毒樣本，抽取特征代碼特點：能快速、準(zhǔn)確檢驗已知病毒，不能發(fā)現(xiàn)未知的病毒。39二、病毒的防治防毒：預(yù)防入侵；病毒過濾、監(jiān)控、隔離10校驗和法：根據(jù)文件內(nèi)容計算的校驗和與以前的作比較。優(yōu)點：能判斷文件細(xì)微變化，發(fā)現(xiàn)未知病毒。缺點：當(dāng)軟件升級、改口令時會產(chǎn)生誤報；不能識別病毒名稱；對隱蔽性病毒無效。行為監(jiān)測法：基于對病毒異常行為的判斷特點：發(fā)現(xiàn)許多未知病毒；可能誤報，實施難軟件模擬法：一種軟件分析器，用軟件方法來模擬和分析程序的運行。特點：可用于對付多態(tài)病毒。40校驗和法：根據(jù)文件內(nèi)容計算的校驗和與以前的作比較。11反病毒軟件的選擇1）掃描速度30秒能掃描1000個以上文件2）識別率3）病毒清除測試著名殺毒軟件公司冠群金辰KILL瑞星RAV北京江民KV3000信源LANVRV賽門鐵克NortonAntiVirus時代先鋒（行天98）

41反病毒軟件的選擇12反病毒軟件工作原理1）病毒掃描程序串掃描算法:與已知病毒特征匹配；文件頭、尾部入口掃描算法：模擬跟蹤目標(biāo)程序的執(zhí)行類屬解密法：對付多態(tài)、加密病毒2）內(nèi)存掃描程序：搜索內(nèi)存駐留文件和引導(dǎo)記錄病毒3）完整性檢查器：能發(fā)現(xiàn)新的病毒；但對于已被感染的系統(tǒng)使用此方法，可能會受到欺騙。4）行為監(jiān)測器：是內(nèi)存駐留程序，監(jiān)視病毒對可執(zhí)行文件的修改。防止未知的病毒42反病毒軟件工作原理13三、幾種常見的病毒宏病毒宏(Macro)：為避免重復(fù)操作而設(shè)計的一組命令。在打開文件時，先執(zhí)行“宏”，然后載入文件內(nèi)容。因此如果“宏”帶有病毒，則在編輯文件時病毒自動載入。宏病毒的癥狀：1）用Word或Excel打開文件時，出現(xiàn)“文檔未打開”、“內(nèi)存不夠”、“WordBasicErr=514”等；2）保存文件時，強(qiáng)制將文件按“.dot”類型存儲，或強(qiáng)制在指定目錄存放。3）宏病毒的版本兼容問題43三、幾種常見的病毒宏病毒14幾種宏病毒：AAAZAOMacro：Concept病毒，第一個宏病毒；TaiwanNO.1：第一個中文word病毒；RainbowMacro：能改變桌面顏色；FormatC：格式化C盤，第一個木馬型宏病毒；HotMacro：第一個調(diào)用WindowsAPI的宏病毒；NuclearMacro:第一個干擾打印機(jī)、硬盤的宏病毒。宏病毒分類：公用宏病毒：以Auto開頭的宏，附在normal.dot或Personal.xls等模板上。私用宏病毒：44幾種宏病毒：15宏病毒的危害1）傳播迅速：因為文件交流頻繁；2）制造及變種方便：WordBasic編程容易3）危害大：WordBasic可調(diào)用WindowsAPI、DLL、DDE宏病毒的防治除殺毒軟件以外，還可嘗試下列方法：1）按住<Shift>鍵再啟動Word，禁止宏自動運行；2）工具宏，檢查并刪除所有可能帶病毒的宏；3）使用DisableAutoMacros宏4）將模板文件如normal.dot的屬性設(shè)為只讀。45宏病毒的危害16三、幾種常見的病毒CIH病毒臺灣陳盈豪編寫，一般每月26日發(fā)作。不僅破壞硬盤的引導(dǎo)扇區(qū)和分區(qū)表，還破壞系統(tǒng)FlashBIOS芯片中的系統(tǒng)程序，導(dǎo)致主板損壞。病毒長1KB，由于使用VXD技術(shù)，只感染32位Windows系統(tǒng)可執(zhí)行文件中的.PE格式文件。修復(fù)硬盤分區(qū)表：信源公司()的免費軟件VRVFIX.EXE；CIH疫苗:CIH作者的Ant-CIHv1.0；美國Symantec公司的Kill_CIH46三、幾種常見的病毒CIH病毒17四、網(wǎng)絡(luò)病毒含義1：在網(wǎng)上傳播、并對網(wǎng)絡(luò)進(jìn)行破壞的病毒。含義2：專指HTML、E-mail、Java等Internet病毒。例：蠕蟲病毒，木馬程序等。2001年9月18日，Nimdaworm在Internet上迅速傳播。該病毒感染W(wǎng)indows系列多種計算機(jī)系統(tǒng)，其傳播速度之快、影響范圍之廣、破壞力之強(qiáng)都超過其前不久發(fā)現(xiàn)的CodeRedII。47四、網(wǎng)絡(luò)病毒含義1：在網(wǎng)上傳播、并對網(wǎng)絡(luò)進(jìn)行破壞的病毒。18特點：網(wǎng)上蔓延，危害更大。1）網(wǎng)上傳染方式多，工作站、服務(wù)器交叉感染2）混合特征：集文件感染、蠕蟲、木馬等于一身3）利用網(wǎng)絡(luò)脆弱性、系統(tǒng)漏洞4）更注重欺騙性5）清除難度大，破壞性強(qiáng)。網(wǎng)絡(luò)病毒的防范：具體實現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測；在工作站上用防病毒芯片和對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。

48特點：網(wǎng)上蔓延，危害更大。19相對于單機(jī)病毒的防護(hù)來說，網(wǎng)絡(luò)病毒的防治具有更大的難度，網(wǎng)絡(luò)病毒防治應(yīng)與網(wǎng)絡(luò)管理集成。管理功能就是管理全部的網(wǎng)絡(luò)設(shè)備：從Hub、交換機(jī)、服務(wù)器到PC，軟盤的存取、局域網(wǎng)上的信息互通及與Internet的連接等，所有病毒能夠進(jìn)來的地方。為實現(xiàn)計算機(jī)病毒的防治，可在計算機(jī)網(wǎng)絡(luò)系統(tǒng)上安裝網(wǎng)絡(luò)病毒防治服務(wù)器；在內(nèi)部網(wǎng)絡(luò)服務(wù)器上安裝網(wǎng)絡(luò)病毒防治軟件；在單機(jī)上安裝單機(jī)環(huán)境的反病毒軟件。從以下方面控制網(wǎng)絡(luò)病毒：服務(wù)器郵件系統(tǒng)WEB站點數(shù)據(jù)庫系統(tǒng)網(wǎng)關(guān)49相對于單機(jī)病毒的防護(hù)來說，網(wǎng)絡(luò)病毒的防治具有更大的難度，網(wǎng)絡(luò)局域網(wǎng)病毒防御體系1）服務(wù)器網(wǎng)絡(luò)病毒防殺模塊監(jiān)視各節(jié)點，保護(hù)網(wǎng)絡(luò)操作系統(tǒng)安全；動態(tài)告警、殺滅各節(jié)點的病毒；配置系統(tǒng)整體的檢測計劃、時間；對病毒事件進(jìn)行記錄、審計、跟蹤；提供技術(shù)支持，升級；2）客戶端單機(jī)病毒防殺模塊單機(jī)版殺毒軟件；響應(yīng)升級要求50局域網(wǎng)病毒防御體系21安裝網(wǎng)絡(luò)防毒軟件的方案1）在網(wǎng)關(guān)和防火墻上安裝防毒軟件缺點：對每個文件的檢測將影響網(wǎng)絡(luò)性能。2）在工作站上安裝防毒軟件缺點：管理、協(xié)調(diào)、升級困難。3）在電子郵件服務(wù)器上安裝防毒軟件僅能防止郵件病毒的傳播。4）在所有文件服務(wù)器上安裝防毒軟件對于備份服務(wù)器，備份與反毒有可能沖突。51安裝網(wǎng)絡(luò)防毒軟件的方案22網(wǎng)絡(luò)反毒的新特征：與OS結(jié)合更緊密；實時化；檢測壓縮文件病毒病毒防火墻技術(shù)：能阻止病毒的擴(kuò)散在網(wǎng)絡(luò)服務(wù)器上安裝病毒防火墻系統(tǒng)，例如：InterScanVirusWall關(guān)鍵技術(shù)：OS底層接口技術(shù)：實時過濾，并少占用資源；網(wǎng)絡(luò)