1、第2章 病毒、木馬和惡意軟件的清除與預(yù)防,本章介紹的是計(jì)算機(jī)病毒、木馬和惡意軟件相關(guān)基礎(chǔ)知識，并通過具體的實(shí)用工具介紹相應(yīng)的清除與預(yù)防方法。本章重點(diǎn)如下： 計(jì)算機(jī)病毒的主要特征 計(jì)算機(jī)病毒的分類及各自主要特點(diǎn) 蠕蟲病毒的主要特征及通用清除和預(yù)防方法 維金病毒、熊貓燒香病毒和ARP病毒的查找與清除方法 木馬的偽裝和運(yùn)行方式 木馬的通用清除和預(yù)防方法 灰鴿子的查找和清除方法 惡意軟件的主要特征及運(yùn)行機(jī)制 惡意軟件的分類、預(yù)防方法和清除 惡意代碼的預(yù)防方法 惡意軟件的深度防護(hù)方法,2.1 認(rèn)識計(jì)算機(jī)病毒,2.1.1 計(jì)算機(jī)病毒的演變 上世紀(jì)80年代初出現(xiàn)了第一批計(jì)算機(jī)病毒。1986年，媒體報(bào)道了攻擊

2、MS-DOS個(gè)人計(jì)算機(jī)的第一批病毒，人們普遍認(rèn)為Brain病毒是這些計(jì)算機(jī)病毒中的第一種病毒。1988年出現(xiàn)了第一個(gè)Internet蠕蟲病毒 1990年，網(wǎng)上出現(xiàn)了病毒交流布告欄，成為病毒編寫者合作和共享知識的平臺。接著在1992年，出現(xiàn)了第一個(gè)多態(tài)病毒引擎和病毒編寫工具包。自那時(shí)起，病毒就變得越來越復(fù)雜，病毒開始訪問電子郵件通信簿，并將其自身發(fā)送到聯(lián)系人，宏病毒將其自身附加到各種辦公類型的應(yīng)用程序文件并攻擊這些文件，此外還出現(xiàn)了專門利用操作系統(tǒng)和應(yīng)用程序漏洞的病毒。 目前計(jì)算機(jī)病毒仍是計(jì)算機(jī)和網(wǎng)絡(luò)安全的最主要威脅之一，其特點(diǎn)主要表現(xiàn)不僅是計(jì)算機(jī)病毒的數(shù)量非常多，而且這些新病毒都在不斷變種，難

3、以發(fā)現(xiàn)和清除，危害性也都非常大。,2.1.2 什么是非惡意軟件,以前我們通常是這樣理解惡意軟件，那就是對我們可能造成威脅的都應(yīng)算是惡意軟件，其實(shí)現(xiàn)在通常不這么認(rèn)為。有許多存在的威脅并不被認(rèn)為是惡意軟件，因?yàn)樗鼈儾皇蔷哂袗阂獾挠?jì)算機(jī)程序。常見類型的非惡意軟件如下： 玩笑軟件 惡作劇 欺詐軟件 垃圾郵件 間諜軟件 彈出廣告軟件 Internet Cookie 本節(jié)詳細(xì)內(nèi)容參見書本P44P45頁。,2.1.2 計(jì)算機(jī)病毒的產(chǎn)生,計(jì)算機(jī)病毒產(chǎn)生的根源一般是：開玩笑，搞惡作??；測試自己的病毒程序開發(fā)能力；出于個(gè)人報(bào)復(fù)；用于版權(quán)保護(hù)。具體內(nèi)容參見書中介紹。,2.1.3 計(jì)算機(jī)病毒的主要特點(diǎn),計(jì)算機(jī)病毒綜合

4、起來的主要特點(diǎn)表現(xiàn)在如下幾個(gè)方面： 未經(jīng)授權(quán)而執(zhí)行 具有傳染性 具有隱蔽性 具有潛伏性 具有破壞性 不可預(yù)見性,2.2 計(jì)算機(jī)病毒的分類,2.2.1 按傳播媒介分 按照計(jì)算機(jī)病毒的傳播媒介來分類，可分為單機(jī)病毒和網(wǎng)絡(luò)病毒兩種。2.2.2 按照計(jì)算機(jī)病毒的鏈接方式分 按照計(jì)算機(jī)病毒的鏈接方式分類，計(jì)算機(jī)病毒可分為：源碼型病毒、嵌入型病毒、外殼型病毒和操作系統(tǒng)型病毒四種。2.2.3 按破壞程度分 按破壞程度可分為良性病毒、惡性病毒、極惡性病毒和災(zāi)難性病毒四種。2.2.4 按傳染方式分 按傳染方式分為引導(dǎo)型病毒、文件型病毒和混合型病毒三種。 以上各種類型計(jì)算機(jī)病毒的特征和危害參見書中介紹。,2.3

5、計(jì)算機(jī)病毒防護(hù)軟件,在計(jì)算機(jī)病毒防護(hù)軟件中，又可分為單機(jī)版和網(wǎng)絡(luò)版（也有稱“企業(yè)版”的）。單機(jī)版顧名思義只是對單一主機(jī)進(jìn)行病毒防護(hù)和清除，適用于單機(jī)的個(gè)人用戶選擇；而網(wǎng)絡(luò)版則是針對整個(gè)網(wǎng)絡(luò)進(jìn)行病毒防護(hù)，適用于企業(yè)用戶選擇。 2.3.1 單機(jī)版殺病毒軟件 本節(jié)介紹了卡巴斯基因特網(wǎng)安全套裝6.0個(gè)人版、AVG Anti-Virus System 7.5、趨勢科技PC-cillin Internet Security 2006和小紅傘AntiVir Personal Edition 6.37這六款單機(jī)版殺毒軟件的基本特征和主要功能。具體內(nèi)容參見書中介紹。2.3.2 網(wǎng)絡(luò)版殺毒軟件 本節(jié)介紹了國產(chǎn)的金

6、山毒霸網(wǎng)絡(luò)版2.0、江民殺毒軟件KV網(wǎng)絡(luò)版2006和瑞星殺毒軟件網(wǎng)絡(luò)版三款網(wǎng)絡(luò)牒殺毒軟件的組成和主要功能。具體內(nèi)容參見書中介紹。,2.4 網(wǎng)絡(luò)蠕蟲病毒的清除與預(yù)防,2.4.1 網(wǎng)絡(luò)蠕蟲的定義和危害性 蠕蟲這個(gè)生物學(xué)名詞在1982年由Xerox PARC 的John FShoch等人最早引入計(jì)算機(jī)領(lǐng)域，并給出了計(jì)算機(jī)蠕蟲的兩個(gè)最基本特征，即可以從一臺計(jì)算機(jī)移動到另一臺計(jì)算機(jī)，并且可以自我復(fù)制。 2.4.2 網(wǎng)絡(luò)蠕蟲的基本特征 可以歸納出網(wǎng)絡(luò)蠕蟲的行為特征如下：主動攻擊；行蹤隱蔽；利用系統(tǒng)、網(wǎng)絡(luò)應(yīng)用服務(wù)漏洞；造成網(wǎng)絡(luò)擁塞；降低系統(tǒng)性能；產(chǎn)生安全隱患；反復(fù)性；蠕蟲病毒編寫簡單；傳播方式多樣。 以上兩

7、節(jié)的具體內(nèi)容參見書中介紹。,2.4.3 預(yù)防網(wǎng)絡(luò)蠕蟲的基本措施,1企業(yè)網(wǎng)絡(luò)蠕蟲病毒的預(yù)防 對于企業(yè)用戶而言，在預(yù)防網(wǎng)絡(luò)蠕蟲上應(yīng)注意以下幾個(gè)方面： 及時(shí)更新系統(tǒng)安全補(bǔ)丁 建立病毒檢測系統(tǒng) 建立應(yīng)急響應(yīng)系統(tǒng) 建立災(zāi)難備份系統(tǒng) 把郵件存放在其他分區(qū) 從郵件分析中發(fā)現(xiàn)蠕蟲病毒 慎用郵件預(yù)覽功能 當(dāng)心可執(zhí)行文件 定期升級病毒庫 及時(shí)升級系統(tǒng)或應(yīng)用程序安全補(bǔ)丁,其他安全措施 2個(gè)人用戶對蠕蟲病毒的防范措施 對于個(gè)人用戶而言，在預(yù)防蠕蟲病毒上要注意以下幾個(gè)方面： 選擇合適的殺毒軟件 經(jīng)常升級病毒庫 不要輕易訪問陌生的站點(diǎn) 不隨意查看陌生郵件，尤其是帶有附件的郵件,2.4.4 維金病毒的查找與清除,維金蠕蟲病

8、毒主要通過網(wǎng)絡(luò)共享傳播，病毒會感染電腦中所有的.exe可執(zhí)行文件。 維金病毒運(yùn)行后，修改注冊表項(xiàng)自行啟動，以使自己隨系統(tǒng)一起運(yùn)行，向C盤“Program Files”和“Program Filesmicorsoft”文件夾下生成svhost32.exe文件；在C盤WINDOWS目錄下（Windows 2000系統(tǒng)是在Winnt目錄下）生成以下病毒文件：explorer.exe、logo1_.exe、rundll32.exe、rundl132.exe、dll.dll；在“Windowsintel”文件夾下生成rundl132.exe文件。簡單的說，就是在進(jìn)程里面可以看到：logo1_.exe文件

9、在運(yùn)行著。 有關(guān)維金病毒的破壞力和感染后的主要癥狀，以及清除方法請參見書中介紹。,2.4.5 熊貓燒香蠕蟲病毒的查找與清除,“熊貓燒香”（Worm.WhBoy.h）是一個(gè)感染型的蠕蟲病毒。它能感染系統(tǒng)中的.exe，com，.pif，.src，.html，.asp等文件，中止絕大部分的殺毒軟件進(jìn)程，并且刪除擴(kuò)展為.gho的文件。該文件是一系統(tǒng)備份工具GHOST的備份文件，最終使電腦用戶的系統(tǒng)文件丟失，導(dǎo)致無法正常使用。同時(shí)該病毒還能終止大量反病毒軟件（包括天網(wǎng)防火墻、virusSca、nNOD32、金山毒霸/網(wǎng)鏢、瑞星、江民、黃山IE、超級兔子、優(yōu)化大師、注冊表編輯器、卡巴斯基和Symantec

10、 AntiVirus）進(jìn)程，大大降低用戶系統(tǒng)的安全性。 有關(guān)熊貓燒香病毒感染后的主要癥狀，以及清除方法請參見書中介紹。,2.5 ARP病毒的清除與預(yù)防,2.5.1 ARP病毒攻擊原理 ARP病毒利用的是ARP協(xié)議在網(wǎng)絡(luò)通信中的作用。ARP協(xié)議就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址（MAC地址）。 而交換機(jī)在數(shù)據(jù)通信過程中又是通過MAC地址來識別目的主機(jī)地址的。這個(gè)MAC是保存在交換機(jī)的緩存中的，這樣一來如果緩存中的MAC地址列表有誤，交換機(jī)就會把數(shù)據(jù)包發(fā)送到錯(cuò)誤的目的主機(jī)上，造成真正的網(wǎng)絡(luò)通信失敗。ARP病毒

11、就是通過ARP協(xié)議來修改主機(jī)和交換機(jī)中的MAC地址列表，以此來達(dá)到破壞的目的。 具體的攻擊原理參見書中介紹。2.5.2 ARP病毒的清除與預(yù)防（略，參見書中介紹）,2.6 認(rèn)識木馬,2.6.1 木馬簡介 木馬程序不同于病毒程序那樣感染文件，而是作為一種駐留程序隱藏在系統(tǒng)內(nèi)部。木馬一般是以尋找后門、竊取密碼和重要文件為主，還可以對電腦進(jìn)行跟蹤監(jiān)視、控制、查看、修改資料等操作，具有很強(qiáng)的隱蔽性、突發(fā)性和攻擊性。由于木馬具有很強(qiáng)的隱蔽性，用戶往往是在自己的密碼被盜、機(jī)密文件丟失的情況下才知道自己中了木馬。本節(jié)要向大家介紹如何檢測自己的計(jì)算機(jī)是否中了木馬，以及中了木馬如何清除，平常應(yīng)做的防范措施又有哪

12、些等方面的內(nèi)容。 一個(gè)完整的木馬系統(tǒng)由硬件部分、軟件部分和網(wǎng)絡(luò)連接3部分組成。這三部分的具體內(nèi)容參見書中介紹。2.6.2 木馬的偽裝方式 木馬的偽裝方式主要有以下幾種：修改圖標(biāo)、捆綁文件、假裝出錯(cuò)顯示、定制端口、自我銷毀、自動更名。具體參見書中介紹。,2.6.3 木馬的運(yùn)行方式,1. 木馬的觸發(fā)條件 木馬的觸發(fā)條件一般出現(xiàn)在下面幾個(gè)地方：注冊表、win.ini文件、system.ini文件、Autoexec.bat文件、Config.sys文件、其他.ini文件、啟動菜單、捆綁文件。2木馬的運(yùn)行過程 木馬被激活后，進(jìn)入內(nèi)存，并開啟事先定義的木馬端口，準(zhǔn)備與控制端建立連接。這時(shí)服務(wù)器端用戶可以在

13、MS-DOS方式下，鍵入netstat -an命令查看端口狀態(tài)。一般個(gè)人電腦在脫機(jī)狀態(tài)下是不會有端口開放的，如果有端口開放，就要注意是否感染木馬了。,2.6.4 木馬的手工查殺與防范,手工檢測木馬的方法有多種，但常用的可以采用以下幾種主要方式： 查看開放端口 通常使用一些專門的工具軟件進(jìn)行，如Windows系統(tǒng)自帶的netstat命令，它的語法格式為：netstat -a -e -n -o -p Protocol -r -s Interval。通過運(yùn)行這個(gè)命令即可查看當(dāng)前系統(tǒng)中哪些端口正在使用，再與當(dāng)前系統(tǒng)中打開的軟件系統(tǒng)相比較就可以比較容易地分析出哪些端口是正在被木馬軟件利用。 還有一款Fp

14、ort軟件，與netstat工具類似，但功能更加強(qiáng)大，是一款非常流行的端口檢測軟件。圖形化界面工具Active Ports則一款可以在圖形界面中操作的端口檢測軟件。它們都可以查看當(dāng)前打開了哪些端口，然后與當(dāng)前系統(tǒng)中正常軟件系統(tǒng)使用的端口和本書后面提供的木馬軟件使用的端口表對照即可發(fā)現(xiàn)自己的系統(tǒng)是否中了木馬。,查看win.ini和system.ini系統(tǒng)配置文件 因?yàn)槟抉R程序會經(jīng)常修改win.ini和system.ini這兩個(gè)文件，以達(dá)到隱藏，并且隨系統(tǒng)啟動而自動啟動的目的，所以在一定程度上我們通過查看這兩個(gè)文件是否有被修改可以判別是否中了木馬。當(dāng)然并不是所有木馬程序都會修改這兩個(gè)文件，而且要想

15、從這兩個(gè)文件中發(fā)現(xiàn)是否被修改也是有相當(dāng)難度的，至少要知道相應(yīng)木馬修改這兩個(gè)文件的一般特征，才有針對性地去查看。 有的木馬是通過修改win.ini文件中windows節(jié)中的“l(fā)oad=”和“run=”項(xiàng)語句實(shí)現(xiàn)自動加載的。在system.ini文件中通常是修改boot節(jié)中的語句。所以我們著重要查看這兩個(gè)文件中的這兩節(jié)中的語句，看它們所加載的程序是否屬于正常程序。一些常見木馬的清除方法也將在本書附錄列舉。 查看啟動程序 要查看系統(tǒng)啟動文件，可以通過系統(tǒng)配置程序進(jìn)行，在“運(yùn)行”窗口輸入msconfig命令，在打開的對話框中選擇“啟動”選項(xiàng)卡，如圖2-1所示。,查看系統(tǒng)進(jìn)程 通?？梢酝ㄟ^查看系統(tǒng)進(jìn)程來

16、推斷木馬是否存在，只是由于我們不是對所有正常進(jìn)程的名稱和用途完全了解，所以難以區(qū)分哪個(gè)進(jìn)程是木馬程序進(jìn)程而已。系統(tǒng)進(jìn)程的查看可以在Windows NT/XP系統(tǒng)中，按下CTRL+ALT+DEL組合鍵來打開進(jìn)程對話框進(jìn)行。,圖2-1：“系統(tǒng)配置實(shí)用程序”窗口“啟動”選項(xiàng)卡,2.6.5 木馬的軟件自動清除和預(yù)防,1自動查殺木馬的方法 雖然可以通過前面介紹的方法達(dá)到清除木馬的目的，但是大多數(shù)用戶，對于大多數(shù)木馬都是通過各種殺毒軟件、木馬專殺工具等進(jìn)行查殺的。 目前主要的殺毒軟件品牌有金山、瑞星、江民、諾頓、趨勢、卡巴斯基、AVG和小紅傘等。前3種國內(nèi)品牌目前的最新版本均為2007版。經(jīng)筆者試用后，認(rèn)

17、為AVG和卡巴斯基在木馬查殺方面的能力較強(qiáng)，也是筆者一直在用的兩款木馬查殺軟件。 專門的木馬查殺工具主要有The Cleaner、木馬克星、木馬終結(jié)者和反間諜專家等。 2木馬的預(yù)防 針對那些已知使用特定端口的木馬，用戶可以采取關(guān)閉所使用端口的方法，以達(dá)到預(yù)防木馬入侵的目的。端口的具體關(guān)閉方法參見書中介紹。,2.6.6 灰鴿子的清除與預(yù)防,1認(rèn)識灰鴿子 灰鴿子病毒英文名為win32.hack.huigezi。其實(shí)它原來一直是用于正當(dāng)用途，那就是用于正常用途遠(yuǎn)程控制，主要用于遠(yuǎn)程網(wǎng)絡(luò)管理，就像Pcanywhere、Remoteanywhere等遠(yuǎn)程控制工具一樣。但是后來被一些人修改用來進(jìn)行非法活動

18、。2灰鴿子的運(yùn)行原理 因?yàn)榛银澴颖緛砭褪且豢钸h(yuǎn)程控制軟件，所以它的運(yùn)行原理與一般的遠(yuǎn)程控制軟件沒什么兩樣。 灰鴿子木馬分兩部分：客戶端和服務(wù)器端。服務(wù)器端程序運(yùn)行后自行刪除，并且可以選擇完全隱藏服務(wù)器端圖標(biāo)。具體原理參見書中介紹。3灰鴿子的主要危害 灰鴿子的主要危害有以下7個(gè)方面：盜號、偷窺隱私、敲詐、發(fā)展“肉雞”、盜取商業(yè)機(jī)密、間斷性騷擾、惡搞性破壞。具體參見書中介紹。,4灰鴿子的手工檢測 無論灰鴿子自定義的服務(wù)器端文件名是什么，一般都會在操作系統(tǒng)的安裝目錄下生成一個(gè)以“_hook.dll”結(jié)尾的文件。通過這一點(diǎn)，可以較為準(zhǔn)確手工檢測出灰鴿子木馬。但要注意，由于正常模式下灰鴿子會隱藏自身，因

19、此檢測灰鴿子的操作一定要在安全模式下進(jìn)行。具體檢測步驟參見書中介紹。5灰鴿子的清除 清除灰鴿子仍然要在安全模式下操作，主要有兩步：第一，清除灰鴿子的服務(wù)；第二，刪除灰鴿子程序文件。具體清除步驟參見書中介紹。6借助工具查找和清除灰鴿子 盡管可以通過以上手動方法來查找、清除灰鴿子木馬，但由于灰鴿子木馬變種非常多，手動清除難度較大，因此通常是借助于一些工具軟件進(jìn)行。如通過專門的進(jìn)程查看和刪除工具IceSword、服務(wù)查看和清除工具SREng，頑固文件刪除工具Pocket Killbox。當(dāng)然還有一些灰鴿子專殺工具。借助工具查找和清除灰鴿子的具體方法參見書中介紹。,2.7 惡意軟件的清除與預(yù)防,2.7

20、.1 惡意軟件的主要特征和分類惡意軟件以前稱之為“流氓軟件”，是對破壞或者影響系統(tǒng)正常運(yùn)行的軟件的統(tǒng)稱。它們介于病毒軟件和正規(guī)軟件之間，同時(shí)具備正常功能（下載、媒體播放等）和惡意行為（彈廣告、開后門），給用戶帶來實(shí)質(zhì)性危害。 1惡意軟件的主要特征 惡意軟件的主要特征表現(xiàn)為以下幾個(gè)方面：強(qiáng)制安裝；難以卸載；瀏覽器劫持；廣告彈出；惡意收集用戶信息；惡意捆綁；其他侵害用戶軟件安裝、使用和卸載知情權(quán)、選擇權(quán)的惡意行為。2惡意軟件的分類 惡意軟件主要包括：廣告軟件、瀏覽器劫持、行為記錄軟件、惡意共享軟件、搜索引擎劫持軟件、自動撥號程序、網(wǎng)絡(luò)釣魚和垃圾郵件等。 以上具體內(nèi)容參見書中介紹。2.7.2 惡意軟

21、件的預(yù)防（略）,2.8 拒絕惡意代碼,本節(jié)主要介紹了以下兩方面的配置方法： 1. IE瀏覽器Internet安全選項(xiàng)設(shè)置 一般惡意網(wǎng)頁都是因?yàn)榧尤肓擞镁帉懙膼阂獯a才有破壞力的。這些惡意代碼通常是一些VBScript、JavaScript腳本和ActiveX控件之類的小程序，只要打開含有這類代碼的網(wǎng)頁就會被運(yùn)行。為了避免攻擊，我們別無選擇，只能想辦法來禁止包含這些惡意代碼的網(wǎng)頁打開了，這個(gè)辦法就是在瀏覽器中進(jìn)行相應(yīng)的安全設(shè)置。 2. IE瀏覽器本地Intranet安全選項(xiàng)設(shè)置 除了設(shè)定本地Intranet、受信任的站點(diǎn)、受限制的站點(diǎn)的安全級別外，每臺主機(jī)本身的安全性也是非常重要的，可微軟的IE

22、中并沒有提供“我的電腦”安全性設(shè)定。其實(shí)是有的，只不過微軟通常情況下是把它隱藏了，可以通過修改注冊表把該選項(xiàng)打開。具體配置方法參見書中介紹。,2.9 惡意軟件的深度防護(hù)方法,在針對惡意軟件嘗試企業(yè)有效的防護(hù)之前，需要了解企業(yè)基礎(chǔ)結(jié)構(gòu)中存在風(fēng)險(xiǎn)的各個(gè)部分，以及每個(gè)部分的風(fēng)險(xiǎn)程度。強(qiáng)烈建議您在開始設(shè)計(jì)惡意軟件防護(hù)方案之前，進(jìn)行完整的安全風(fēng)險(xiǎn)評估，但優(yōu)化解決方案設(shè)計(jì)所需的信息只能通過完成完整的安全風(fēng)險(xiǎn)評估獲得。 病毒防護(hù)不再僅僅是安裝病毒防護(hù)程序。深層病毒防護(hù)方法應(yīng)該有助于確保您的IT基礎(chǔ)結(jié)構(gòu)能夠應(yīng)對所有可能的惡意軟件攻擊方法。使用此分層方法，可以更輕松地識別整個(gè)系統(tǒng)中的任何薄弱點(diǎn)。如果未能處理深層

23、病毒防護(hù)方法中所述的任一層，都有可能使您的系統(tǒng)受到攻擊。我們應(yīng)該經(jīng)常復(fù)查防病毒解決方案，以便每當(dāng)需要時(shí)都可以更新它。病毒防護(hù)的所有方面都是重要的，從簡單的病毒簽名自動下載到操作策略的完全更改。盡管徹底根除惡意代碼也許是不可能的，但是持續(xù)關(guān)注深層病毒防護(hù)方法，將有助于將惡意軟件攻擊對企業(yè)產(chǎn)生的影響減到最小。,2.9.1 深層防護(hù)安全模型,在發(fā)現(xiàn)并記錄了企業(yè)所面臨的風(fēng)險(xiǎn)后，下一步就是檢查和企業(yè)您將用來提供防病毒解決方案的防護(hù)措施。深層防護(hù)安全模型是此過程的極好起點(diǎn)。此模型識別出七級安全防護(hù)，它們旨在確保損害企業(yè)安全的嘗試將遇到一組強(qiáng)大的防護(hù)措施。每組防護(hù)措施都能夠阻擋多種不同級別的攻擊。下頁圖2-

24、2說明了為深層防護(hù)安全模型定義的各個(gè)層次。圖中的各層提供了在為網(wǎng)絡(luò)設(shè)計(jì)安全防護(hù)時(shí)，環(huán)境中應(yīng)該考慮的每個(gè)區(qū)域的視圖。您可以根據(jù)企業(yè)的安全優(yōu)先級和要求，修改每層的詳細(xì)定義。 在部署深層安全防護(hù)策略時(shí)，我們又需對整個(gè)網(wǎng)絡(luò)中的不同關(guān)鍵部分作出相應(yīng)的防護(hù)重點(diǎn)，這就是細(xì)化后的安全模型，如下頁的圖2-3所示。 具體內(nèi)容參見中介紹。,。,圖2-2：深層防護(hù)安全模型 圖2-3：部署深層安全防護(hù)策略后的安全模型,2.9.2 客戶端防護(hù),當(dāng)惡意軟件到達(dá)主機(jī)時(shí)，防護(hù)系統(tǒng)必須集中于保護(hù)主機(jī)系統(tǒng)及其數(shù)據(jù)，并停止感染的傳播。這些防護(hù)與環(huán)境中的物理防護(hù)和網(wǎng)絡(luò)防護(hù)一樣重要。一個(gè)典型的客戶端病毒防護(hù)步驟如下：（1）減小受攻擊面（

25、2）應(yīng)用安全更新（3）啟用基于主機(jī)的防火墻（4）安裝防病毒軟件（5）測試漏洞掃描程序（6）使用最少特權(quán)策略（7）限制未授權(quán)的應(yīng)用程序 具體內(nèi)容參見書中介紹。,2.9.3 客戶端應(yīng)用程序的防病毒設(shè)置,客戶端應(yīng)用程序的病毒防護(hù)通常主要考慮以下幾個(gè)方面： 1. 電子郵件客戶端 通常，如果用戶能夠直接從電子郵件打開電子郵件附件，則為惡意軟件在客戶端上傳播提供了主要方式之一。如有可能，請考慮在企業(yè)的電子郵件系統(tǒng)中限制此能力。如果這是不可能的，一些電子郵件客戶端允許您配置另外的步驟，用戶將必須執(zhí)行這些步驟才能打開附件。例如，在Outlook和Outlook Express中，您能夠執(zhí)行以下配置： 使用IE

26、瀏覽器安全區(qū)域禁用HTML電子郵件中的活動內(nèi)容 啟用一項(xiàng)設(shè)置以便用戶只能以純文本格式查看電子郵件 阻止程序在未經(jīng)特定用戶確認(rèn)的情況下發(fā)送電子郵件 阻止不安全的電子郵件附件 2. 桌面應(yīng)用程序 桌面辦公應(yīng)用程序也成為惡意軟件的攻擊目標(biāo)。,您應(yīng)該盡可能采取措施，以確保在環(huán)境中處理這些文件的所有應(yīng)用程序上啟用最合適的安全設(shè)置。最好禁止宏的運(yùn)行。 3. 即時(shí)消息應(yīng)用程序 即時(shí)消息技術(shù)在改進(jìn)全世界用戶通信方便性的同時(shí)，也帶來一定的安全隱患，因?yàn)樗峁┝擞锌赡茉试S惡意軟件進(jìn)入系統(tǒng)的途經(jīng)，那就是它的文件傳輸功能。通過該功能，就為惡意軟件提供了進(jìn)入企業(yè)網(wǎng)絡(luò)的直接路由，用戶有可能受到惡意軟件的攻擊。 4. We

27、b瀏覽器 大多數(shù)主要的Web瀏覽器應(yīng)用程序支持限制可用于從Web服務(wù)器執(zhí)行的代碼的自動訪問級別的功能。IE使用安全區(qū)域幫助阻止Web內(nèi)容在客戶端上執(zhí)行有可能產(chǎn)生破壞的操作。 5. 對等應(yīng)用程序 Internet范圍的對等（P2P）應(yīng)用程序的出現(xiàn)引發(fā)了許多惡意軟件攻擊，所以如果可能，建議限制企業(yè)中使用這些應(yīng)用程序的客戶端數(shù)量?？墒褂媒M策略中的軟件限制策略，幫助阻止用戶運(yùn)行對等應(yīng)用程序。 具體內(nèi)容參見書書中介紹。,2.9.4 服務(wù)器端病毒防護(hù),服務(wù)器的病毒防護(hù)與客戶端防護(hù)有許多共同之處，二者都試圖保護(hù)同一基本個(gè)人計(jì)算機(jī)環(huán)境。兩者的主要差異在于，服務(wù)器防護(hù)在可靠性和性能方面的預(yù)期級別通常高得多。此外

28、，許多服務(wù)器在組織基礎(chǔ)結(jié)構(gòu)中起到的專門作用通常需要制定專門的防護(hù)解決方案。 1. 服務(wù)器的病毒防護(hù)步驟 服務(wù)器的四個(gè)基本防病毒步驟與客戶端的相同： （1）減小攻擊面：從服務(wù)器中刪除不需要的服務(wù)和應(yīng)用程序，將其攻擊面減到最小。 （2）應(yīng)用安全更新：如有可能，請確保所有服務(wù)器計(jì)算機(jī)運(yùn)行的都是最新的安全更新。根據(jù)需要執(zhí)行其他測試，以確保新的更新不會對關(guān)鍵任務(wù)服務(wù)器產(chǎn)生負(fù)面影響。 （3）啟用基于主機(jī)的防火墻：Windows Server 2003包括一個(gè)基于主機(jī)的防火墻，您可以使用它減小服務(wù)器的攻擊面以及刪除不需要的服務(wù)和應(yīng)用程序。,（4）使用漏洞掃描程序進(jìn)行測試：使用Windows Server 2

29、003上的MBSA工具幫助識別服務(wù)器配置中可能存在的漏洞。 除了這些常用的防病毒步驟之外，請考慮將以下服務(wù)器特定的軟件用作總體服務(wù)器病毒防護(hù)的一部分： 一般的服務(wù)器防病毒軟件 角色特定的防病毒配置和軟件 2. Web服務(wù)器 在一段時(shí)間內(nèi)，所有類型的組織中的Web服務(wù)器都曾經(jīng)是安全攻擊的目標(biāo)。您可從微軟官方網(wǎng)站上下載IIS Lockdown Tool工具軟件，在IIS上自動執(zhí)行安全配置，網(wǎng)址為：Http:/ locktool.mspx。 3. 消息服務(wù)器 “SMTP 網(wǎng)關(guān)掃描程序”和“集成的服務(wù)器掃描程序”這兩種基本類型的電子郵件防病毒解決方案是經(jīng)常用到的。 4. 數(shù)據(jù)庫服務(wù)器 在考慮數(shù)據(jù)庫服務(wù)

30、器的病毒防護(hù)時(shí)，需要保護(hù)以下四個(gè)主要元素：,主機(jī)：運(yùn)行數(shù)據(jù)庫的一個(gè)或多個(gè)服務(wù)器。 數(shù)據(jù)庫服務(wù)：在主機(jī)上運(yùn)行的為網(wǎng)絡(luò)提供數(shù)據(jù)庫服務(wù)的各種應(yīng)用程序。 數(shù)據(jù)存儲區(qū)：儲在數(shù)據(jù)庫中的數(shù)據(jù)。 數(shù)據(jù)通信：網(wǎng)絡(luò)上數(shù)據(jù)庫主機(jī)和其他主機(jī)之間使用的連接和協(xié)議。 5. 協(xié)作服務(wù)器 協(xié)作服務(wù)器本身的特點(diǎn)使它們易受惡意軟件的攻擊。當(dāng)用戶將文件復(fù)制到服務(wù)器和從服務(wù)器復(fù)制文件時(shí)，他們可能使網(wǎng)絡(luò)上的服務(wù)器和其他用戶受到惡意軟件的攻擊。建議使用可以掃描復(fù)制到協(xié)作存儲區(qū)和從協(xié)作存儲區(qū)復(fù)制的所有文件的防病毒應(yīng)用程序，保護(hù)環(huán)境中的協(xié)作服務(wù)器（如運(yùn)行SharePoint Services和SharePoint Portal Server 2003的服務(wù)器） 。 具體內(nèi)容參見書中介紹。,2.9.5 網(wǎng)絡(luò)層安全防護(hù),在已記錄的惡意軟件事件中，通過網(wǎng)絡(luò)發(fā)動的攻擊是最多的。通常，發(fā)動惡意軟件攻擊是為了利用網(wǎng)絡(luò)外圍防護(hù)中的漏洞允許惡意軟件訪問企業(yè)IT基礎(chǔ)結(jié)構(gòu)中的主機(jī)設(shè)備。這些設(shè)備可以是客戶端、服務(wù)器、路由器，或者甚至是防火墻。在此層上進(jìn)行病毒防護(hù)所面臨的最困難問題之一是平衡IT系統(tǒng)用戶的功能要求與創(chuàng)建有效防護(hù)所需的限制。以下是幾個(gè)主要考慮方面： 1. 網(wǎng)絡(luò)防病毒配置 網(wǎng)