計算機病毒過濾

① 網路病毒過濾規則 國外發展趨勢

隨著網路技術的不斷發展，出現了大量的基於網路的服務，網路安全問題也就變得越來越重要。ACL即訪問控制列表，它是工作在OSI參考模型三層以上設備，通過對數據包中的第三、四層中的包頭信息按照給定的規則進行分析，判斷是否轉發該數據包。基於ACL的網路病毒的過濾技術在一定程度上可以比較好的保護區域網用戶免遭外界病毒的干擾，是一種比較好的中小型區域網網路安全控制技術。
本設計重點從計算機網路病毒的出現、基本特徵以及發展現狀的角度出發，比較深入的研究了相關網路安全技術，深入分析了當前幾種嚴重影響網路性能的網路病毒，結合ACL的工作原理，制定了相應的訪問控制規則列表，並且通過模擬實驗，對ACL的可行性進行了相應的測試。

關鍵詞：ACL 訪問控制列表 網路安全 路由器 防火牆
目錄
中文摘要 2
ABSTRACT 3
1． 緒言 4
1.1 計算機病毒的出現 4
1.2 反病毒的發展 4
1.2.1 病毒製造者的心態分析 4
1.2.2 反病毒行動 5
2． ACL的發展，現狀，將來 8
2.1 什麼是ACL 8
2.1.1 ACL的工作流程及分類 8
2.1.2 ACL應用舉例 10
2.2 當前的網路安全技術 10
2.3 ACL的未來 14
3． 基於ACL的網路病毒過濾的研究 16
3.1 "計算機病毒"的分類 16
3.2 部分病毒檔案 16
3.2.1 示例一：Worm.Msblast 17
3.2.2 示例二：Worm.Sasser 18
3.2.3 示例三：Worm.SQLexp.376 19
3.2.4 示例四：Worm_Bagle.BE 20
3.2.5 示例五：Worm.MyDoom 21
3.2.6 示例六：Code Red & Code Red II 23
3.2.7 示例七：Worm.Nimda 24
4． 基於網路病毒過濾的ACL規則的制定與測試 27
4.1 制定基於網路病毒過濾的ACL規則 27
4.2 ACL規則實驗室測試 27
結束語 30
致謝 32
參考文獻 33
附錄 1 34
附錄 2 35

② 任何計算機病毒都能找到發現和清除的辦法

答：對的。
1關於發現：
因為計算機病毒是程序也由地址碼和操作碼構成，同時也有其病毒的特點，傳染是程序就會佔用CPU、內存、硬碟的資源
在進程中可以找到病毒進程，即使被隱藏也是有進程的。
既然佔用資源就可以查到。例如硬碟中總存軟體變大，或者硬碟容積變小，等等
內存被其它非激活程序佔用等，體現的是變慢。
內存和硬碟都是用於存儲信號的, 由每8個連續的"位"BIT構成最小的可承載信息BYTE構成。文件由二進制位構成例如10101111
如果原來干凈的文件為10101111，被感染後變成 101011111010101010101
那麼1010101010101就是病毒，當然實際病毒比這復雜，但是我們可以提出可以區別正常文件的特徵碼（相當於公安部每天發布的通緝令給全國各個派出所），用這個特徵碼就可以在內存和硬碟中過濾出連續的文件來，這個文件就是病毒編碼。
當然這個特徵碼必須區別普通文件否則就會造成錯誤殺毒，殺掉正常文件。
殺內存中毒就是把內存中有病毒的BIT全部變成111111111，或者00000000使其失去地址及操作碼，也就達到清毒的目的。內存殺毒通過BIT位置放電加點。

硬碟要通過磁頭加磁清除。硬碟上面的有病毒的地方被查出後磁頭加磁使盤面實現消磁即可。基本原理和內存是一樣的。

內存病毒通過關機也可以清除，但是關鍵前病毒會寫入硬碟，開機瞬間又會自動由硬碟調入內存。這些都是病毒特點。

以上是本人淺見，希望樓主指正。

③ 如何預防計算機病毒

推薦你可以訪問騰訊電腦管家官網，安裝電腦管家來保護你的系統，電腦管家的實時防護部分含有16層防禦體系，對於木馬病毒可能入侵系統的途徑都進行了防禦，可以有效抵禦各種木馬病毒的感染，它更是有黑客入侵防護，可以讓你免受黑客入侵的困擾

騰訊電腦管家企業平台：http://..com/c/guanjia/

④ 計算機病毒檢測技術主要分為哪幾個方面

【熱心解答】

常見的計算機病毒的檢測技術的分類：

1. 自動防禦檢測技術

2. 啟發式病毒掃描檢測技術

3. 智能型廣譜式的病毒檢測技術

4. 特徵碼計算機病毒檢測技術

   拓展閱讀參考：

   http://wenku..com/view/80d1030bbed5b9f3f90f1cd2.html
   

⑤ 怎樣過濾文件的病毒

你好：

你可以先把文件下載下來，但是不要打開

使用電腦管回家的殺毒功能來查答殺一下看看

電腦管家的殺毒部分含有管家第二代反病毒引擎鷹眼，它有機器學習技術，CPU虛擬執行技術，可以在殺毒的同時，修復染毒的文件

如果以後有什麼問題，歡迎再來電腦管家企業平台詢問，我們會盡心為您解答

⑥ 目前,最難清除的計算機病毒,用什麼殺毒軟體可以徹底清除

願我的答案 能夠解決您的煩憂

騰訊電腦管家

第一，殺毒很牛我自己就在用，而且操作很簡單，小白也能輕松上手。

第二，建議您現在立刻下載騰訊電腦管家「8.2」最新版，對電腦首先進行一個體檢，打開所有防火牆避免系統其餘文件被感染。

第三，打開殺毒頁面開始查殺，切記要打開小紅傘引擎。

第四，如果普通查殺不能解決問題，您可以打開騰訊電腦管家---工具箱---頑固木馬專殺- 進行深度掃描。

第五，查殺處理完所有病毒後，立刻重啟電腦，再進行一次安全體檢，清除多餘系統緩存文件，避免二次感染。

⑦ 計算機病毒的特點可分哪四大類

今年國內電腦病毒呈現四大顯著特點:通過網頁、郵件、漏洞等網路手段進行傳播的網路型病毒成為發作病毒的主流，它們擴散范圍更廣、危害更大;病毒向多元化、混合化發被過濾廣告
展，「偷竊」是未來趨勢;這種病毒的最終目的不僅僅是為了癱瘓用戶的計算機系統，對於攻擊者來說，用戶存儲在計算機上的機密資料對於他們更有價值;利用漏洞的病毒越來越多，漏洞是操作系統致命的安全缺陷，如果系統存在漏洞，即使有殺毒軟體的保護，病毒依然可以長驅直入，對系統造成破壞;專門針對QQ、MSN等即時通訊軟體的病毒極速增加，已佔到普通病毒的10%以上。

⑧ 如何防範計算機病毒、計算機木馬

你好，要想防範病毒木馬的入侵，需要你具有良好的安全意識，需做到下面幾點：

1.及時安裝系統安全更新。很多病毒木馬會利用系統漏洞來攻擊你的電腦，比如一些黑客會在掃描到你的電腦中有未修復的漏洞時會遠程連接到你的電腦並上傳木馬，或者是在你訪問了一些含有惡意代碼甚至是掛馬的網站時，某些木馬會利用系統漏洞入侵你的電腦，很多木馬還是盜號木馬，瘋狂竊取你的QQ賬號、游戲賬號，包括游戲中的裝備，和網銀密碼，轉走你的網銀資金。此時至少得開啟系統自帶的Windows Update功能安裝系統安全更新。但建議你安裝諸如騰訊電腦管家這樣的軟體，你點擊「漏洞修復」選項即可為你檢查是否存在系統安全漏洞並提示你安裝所需更新，而且會在微軟每月第二周發布安全更新之時，主動提示你安裝更新。而且，它還會為你安裝Adobe Flash控制項及Acrobat Reader等軟體的重大安全更新。

2.安裝一款殺毒軟體。未安裝過殺毒軟體的電腦遠比已安裝過殺毒軟體的電腦中木馬病毒的可能性高得多。而騰訊電腦管家其實已經屬於殺毒軟體行列，它擁有4+1核心殺毒引擎，已經連續數次通過VB100、AV-C等國際權威認證，防殺病毒的能力也很強大，且它首創了「殺毒+管理」2合1模式，無需額外安裝其它管理軟體，降低了系統資源佔用率。

3.不要輕易接收QQ等軟體上發來的文件，除非你確認是安全的，而且對方也事先通知過你，也不要輕易打開郵件附件，特別是一些明顯是垃圾郵件的附件更加不能打開，這些附件里很可能含有病毒。想下載軟體時，千萬不要去下載那種要求你安裝時關閉殺毒軟體的所謂軟體，現在流行的「弼馬溫」網銀盜號木馬就是這樣，偽裝成播放器誘騙你下載，而且還要求你關閉殺毒軟體，一旦運行之後，該木馬就會在你進行網銀轉帳或支付之時，在你毫無知覺的情況下篡改網銀支付頁面，把資金轉入盜號者在雲端伺服器配置的賬號中。也不要隨意點擊QQ等軟體中發來的安全性未知甚至提示為危險的網址鏈接，這也同樣會讓你的電腦存在中毒風險。不過在電腦管家中，由於默認已經默認開啟了上網安全防護、應用入口防護和系統底層防護，能夠很好地保護你上網時的安全。

4.為計算機中的用戶，尤其是管理員用戶設置強壯的密碼。黑客很是偏愛使用空密碼或弱密碼的計算機，這樣他們的入侵更為方便，所以一定要設置一個強壯的密碼，建議使用由數字、英文大小寫字母及符號組成的大於或等於8位的密碼，這樣黑客會因為破解密碼的時間太長而放棄對你計算機的攻擊。不過也請你牢記這個密碼，別連著自己也給擋在門外了。

5.關閉系統自動播放功能。現在有很多利用U盤傳播的病毒，在未關閉自動播放的情況下，插入U盤後就可能中招。你即使重裝系統，如果其它分區中的病毒激活文件及autorun.inf並未被清除的話，一旦點擊其它分區就有可能再次中毒。關閉自動播放功能也很輕松，在電腦管家「設置中心」的「U盤、下載」中確認已經選中禁用Windows系統的自動播放功能（重啟後生效），點擊應用後重啟電腦即可。

6.若你不在區域網中，可以關閉135、139、445等埠。你在「控制面板」/「管理工具」/「本地安全策略」中右擊IP安全策略，在本地計算機，選擇創建IP安全策略，按照向導提示操作，選擇所有網路連接，源計算機為所有網路上的計算機，目標計算機為本地計算機，並添加135、139、445等埠，操作方式設置為阻止。創建完成後激活策略使其生效。

7.若以後需要重裝系統，不建議使用GHOST版系統，雖然它安裝簡單，但現在的GHOST版本已經越來越讓人不放心了，製作者往往會出於經濟利益的考慮，植入廣告軟體、惡意軟體，甚至病毒木馬，哪怕是宣稱為純凈版的。建議使用官方原版。

8.不要忽視軟體的更新。所有的軟體在編制過程中難免出現考慮不周的問題，或者是出現BUG，甚至會出現安全漏洞，而在裝機量大的軟體上，一旦出現安全漏洞，就有可能被黑客利用。你在電腦管家的軟體管理中點擊軟體升級，即會列出所有可供升級的軟體，你可選擇升級，軟體管家會為你區分免費正式版、測試版和收費版，且會告訴你是否有插件，一般正式版你均可放心升級，對於有插件的，在安裝過程中只要注意不是一味地點下一步，把相應插件的復選框清除即可避免把你不需要的軟體也安裝進電腦。

如果你還有其它電腦問題，歡迎你在電腦管家企業平台提出，我們將盡力為你解答。

⑨ 計算機病毒入侵計算機有哪些方式

計算機病毒的破壞行為體現了病毒的殺傷能力。病毒破壞行為的激烈程度取決於病毒作者的主觀願望和他所具有的技術能量。數以萬計不斷發展擴張的病毒，其破壞行為千奇百怪，不可能窮舉其破壞行為，而且難以做全面的描述，根據現有的病毒資料可以把病毒的破壞目標和攻擊部位歸納如下：
攻擊系統數據區，攻擊部位包括：硬碟主引尋扇區、Boot扇區、FAT表、文件目錄等。迫使計算機空轉，計算機速度明顯下降。
攻擊磁碟，攻擊磁碟數據、不寫盤、寫操作變讀操作、寫盤時丟位元組等。
擾亂屏幕顯示，病毒擾亂屏幕顯示的方式很多，可列舉如下：字元跌落、環繞、倒置、顯示前一屏、游標下跌、滾屏、抖動、亂寫、吃字元等。
鍵盤病毒，干擾鍵盤操作，已發現有下述方式：響鈴、封鎖鍵盤、換字、抹掉緩存區字元、重復、輸入紊亂等。喇叭病毒，許多病毒運行時，會使計算機的喇叭發出響聲。有的病毒作者通過喇叭發出種種聲音，有的病毒作者讓病毒演奏旋律優美的世界名曲，在高雅的曲調中去殺戮人們的信息財富，已發現的喇叭發聲有以下方式：演奏曲子、警笛聲、炸彈雜訊、鳴叫、咔咔聲、嘀嗒聲等。
攻擊CMOS ， 在機器的CMOS區中，保存著系統的重要數據，例如系統時鍾、磁碟類型、內存容量等。有的病毒激活時，能夠對CMOS區進行寫入動作，破壞系統CMOS中的數據。
干擾列印機，典型現象為：假報警、間斷性列印、更換字元等。

⑩ 什麼叫計算機病毒

計算機病毒及防治
計算機病毒從它誕生之日起到現在,已成為了當今信息社會的一個癌症,它隨著計算機網路的發展,已經傳播到信息社會的每一個角落,並大肆破壞計算機數據,改變操作程序,摧毀計算機硬體,給人們造成了重大損失.為了更好地防範計算機及網路病毒,必須了解計算機病毒的機制,同時掌握計算機病毒的預防和清除辦法.
8.1 計算機病毒概述
返回本章首頁
http://old.ddvip.net/virus/elements/
8.1.1 計算機病毒的定義
"計算機病毒"最早是由美國計算機病毒研究專家F.Cohen博士提出的. "計算機病毒"有很多種定義,國外最流行的定義為:計算機病毒,是一段附著在其他程序上的可以實現自我繁殖的程序代碼.在《中華人民共和國計算機信息系統安全保護條例》中的定義為:"計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數據,影響計算機使用並且能夠自我復制的一組計算機指令或者程序代碼".
返回本節
8.1.2 計算機病毒的發展歷史
1.計算機病毒發展簡史
世界上第一例被證實的計算機病毒是在1983年,出現了計算機病毒傳播的研究報告.同時有人提出了蠕蟲病毒程序的設計思想;1984年,美國人Thompson開發出了針對UNIX操作系統的病毒程序.
1988年11月2日晚,美國康爾大學研究生羅特·莫里斯將計算機病毒蠕蟲投放到網路中.該病毒程序迅速擴展,造成了大批計算機癱瘓,甚至歐洲聯網的計算機都受到影響,直接經濟損失近億美元.
2.計算機病毒在中國的發展情況
在我國,80年代末,有關計算機病毒問題的研究和防範已成為計算機安全方面的重大課題. 1982年"黑色星期五"病毒侵入我國;1985年在國內發現更為危險的"病毒生產機",生存能力和破壞能力極強.這類病毒有1537,CLME等.進入90年代,計算機病毒在國內的泛濫更為嚴重. CIH病毒是首例攻擊計算機硬體的病毒,它可攻擊計算機的主板,並可造成網路的癱瘓.
3.計算機病毒發展的10個階段
(1)DOS引導階段
(2)DOS可執行文件階段
(3)混合型階段
(4)伴隨型階段
(5)多形型階段
(6)生成器,變體機階段
(7)網路,蠕蟲階段
(8)Windows階段
(9)宏病毒階段
(10)Internet階段
返回本節
計算機病毒的產生是計算機技術和以計算機為核心的社會信息化進程發展到一定階段的必然產物.其產生的過程可分為:
程序設計→傳播→潛伏→觸發,運行→實行攻擊.
究其產生的原因不外乎以下幾種:
(1)一些計算機愛好者出於好奇或興趣
(2)產生於個別人的報復心理
(3)來源於軟體加密
(4)產生於游戲
(5)用於研究或實驗而設計的"有用"程序
(6)由於政治經濟和軍事等特殊目的
8.1.3 計算機病毒的分類
病毒種類眾多,分類如下:
1.按傳染方式分為引導型,文件型和混合型病毒
2.按連接方式分為源碼型,入侵型,操作系統型和外殼型病毒
3.按破壞性可分為良性病毒和惡性病毒
4.網路病毒
返回本節
8.1.4 計算機病毒的特點
(1)傳染性(自我復制能力 )
(2)非授權性(奪取系統控制權 )
(3)隱蔽性
(4)潛伏性
(5)刻意編寫,人為破壞
(6)不可預見性
返回本節
8.1.5 計算機病毒的隱藏之處和入侵途徑
1.病毒的隱藏之處
(1)可執行文件.
(2)引導扇區.
( 3)表格和文檔.
(4)Java小程序和ActiveX控制項.
2.病毒的入侵途徑
(1)傳統方法 (磁碟,光碟等)
(2)Internet
返回本節
8.1.6 現代計算機病毒的流行特徵
1.攻擊對象趨於混合型
2.反跟蹤技術
3.增強隱蔽性
4.加密技術處理
5.病毒繁衍不同變種
增強隱蔽性:
(1)避開修改中斷向量值
(2)請求在內存中的合法身份
(3)維持宿主程序的外部特性
(4)不使用明顯的感染標志
加密技術處理 :
(1)對程序段動態加密
(2)對顯示信息加密
(3)對宿主程序段加密
返回本節
8.1.7 計算機病毒的破壞行為
(1)攻擊系統數據區
(2)攻擊文件
(3)攻擊內存
(4)干擾系統運行,使運行速度下降
(5)干擾鍵盤,喇叭或屏幕
(6)攻擊CMOS
(7)干擾列印機
(8)網路病毒破壞網路系統
返回本節
8.1.8 計算機病毒的作用機制
一個引導病毒傳染的實例
假定用硬碟啟動,且該硬碟已染上了小球病毒,那麼加電自舉以後,小球病毒的引導模塊就把全部病毒代碼1024位元組保護到了內存的最高段,即97C0:7C00處;然後修改INT 13H的中斷向量,使之指向病毒的傳染模塊.以後,一旦讀寫軟磁碟的操作通過INT 13H的作用,計算機病毒的傳染塊便率先取得控制權,它就進行如下操作:
1)讀入目標軟磁碟的自舉扇區(BOOT扇區).
2)判斷是否滿足傳染條件.
3)如果滿足傳染條件(即目標盤BOOT區的01FCH偏移位置為5713H標志),則將病毒代碼的前512位元組寫入BOOT引導程序,將其後512位元組寫入該簇,隨後將該簇標以壞簇標志,以保護該簇不被重寫.
4)跳轉到原INT 13H的入口執行正常的磁碟系統操作.
一個文件病毒傳染的實例
假如VVV.COM(或.EXE)文件已染有耶路撒冷病毒,那麼運行該文件後,耶路撒冷病毒的引導模塊會修改INT 21H的中斷向量,使之指向病毒傳染模塊,並將病毒代碼駐留內存,此後退回操作系統.以後再有任何載入執行文件的操作,病毒的傳染模塊將通過INT 21H的調用率先獲得控制權,並進行以下操作:
1)讀出該文件特定部分.
2)判斷是否傳染.
3)如果滿足條件,則用某種方式將病毒代碼與該可執行文件鏈接,再將鏈接後的文件重新寫入磁碟.
4)轉回原INT 21H入口,對該執行文件進行正常載入.
計算機病毒的一般構成
計算機病毒在結構上有著共同性,一般由引導部分,傳染部分,表現部分三部分組成.
1 . 引導部分
也就是病毒的初始化部分,它隨著宿主程序的執行而進入內存,為傳染部分做准備.
2 . 傳染部分
作用是將病毒代碼復制到目標上去.一般病毒在對目標進行傳染前,要首先判斷傳染條件是否滿足,判斷病毒是否已經感染過該目標等,如CIH病毒只針對Windows 95/98操作系統.
3 . 表現部分
是病毒間差異最大的部分,前兩部分是為這部分服務的.它破壞被傳染系統或者在被傳染系統的設備上表現出特定的現象.大部分病毒都是在一定條件下才會觸發其表現部分的.
計算機病毒的傳染過程
計算機病毒的傳染過程
1)駐入內存.
2)判斷傳染條件.
3)傳染.
返回本節
計算機病毒的觸發機制
感染,潛伏,可觸發,破壞是病毒的基本特性.
目前病毒採用的觸發條件主要有以下幾種:
1.日期觸發:許多病毒採用日期做觸發條件.日期觸發大體包括:特定日期觸發,月份觸發, 前半年後半年觸發 等.
2.時間觸發:時間觸發包括特定的時間觸發,染毒後累計工作時間觸發,文件最後寫入時間觸發等.
3.鍵盤觸發:有些病毒監視用戶的擊鍵動作,當發現病毒預定的鍵人時,病毒被激活,進行某些特定操作. 鍵盤 觸發包括擊鍵次數觸發,組合鍵觸發,熱啟動觸發等.
4.感染觸發:許多病毒的感染需要某些條件觸發, 而且相當數量的病毒又以與感染有關的信息反過來作為破壞行為的觸發條件,稱為感染觸發.它包括:運行感染文件個數觸發,感染序數觸發,感染磁碟數觸發,感染失敗觸發等.
5.啟動觸發:病毒對機器的啟動次數計數,並將此值作為觸發條件稱為啟動觸發.
6.訪問磁碟次數觸發:病毒對磁碟I/O訪問的次數進行計數,以預定次數做觸發條件叫訪問磁碟次數觸發.
7.調用中斷功能觸發:病毒對中斷調用次數計數,以預定次數做觸發條件.
8.CPU型號/主板型號觸發:病毒能識別運行環境的CPU型號/主板型號,以預定CPU型號/主板型號做觸發條件, 這 種病毒的觸發方式奇特罕見.
病毒使用的觸發條件是多種多樣的,而且往往不只是使用上面所述的某一個條件,而是使用由多個條件組 合起來的觸發條件.
計算機病毒的傳染機制
1.計算機病毒的傳染方式
被動傳染 (用戶在進行拷貝磁碟或文件 )
主動傳染 (激活狀態下自動傳染 )
2.計算機病毒的傳染過程
拷貝和內存傳染.
3.病毒傳染機理
見前面的實例
計算機病毒的破壞機制
破壞機制在設計原則,工作原理上與傳染機制基本相同.
它也是通過修改某一中斷向量入口地址(一般為時鍾中 斷INT 8H,或與時鍾中斷有關的其他中斷,如INT 1CH),使該中斷向量指向病毒程序的破壞模塊.
病毒破壞目標和攻擊部位主要是:系統數據區,文件,內存,系統運行,運行速度,磁碟,屏幕顯示,鍵盤,喇叭,打 印機,CMOS,主板等.
計算機病毒的引導機制
1,病毒的寄生對象
磁碟的引導扇區;可執行文件
2,病毒的寄生方式
替代法(引導扇區);鏈接法(可執行文件)
3,病毒的引導過程
駐留內存;竊取系統控制權;恢復系統功能.
中斷與計算機病毒
1.中斷基本概念
什麼是中斷 先打個比方.當一個經理正處理文件時,電話鈴響了(中斷請求),不得不在文件上做一個記號(返 回地址),暫停工作,去接電話(中斷),並指示"按第二方案辦"(調中斷服務程序),然後,再靜下心來(恢復中 斷前狀態),接著處理文件…….
中斷是CPU處理外部突發事件的一個重要技術.它能使CPU在運行過程中對外部事件發出的中斷請求及時地進行處理, 處理完成後又立即返回斷點,繼續進行CPU原來的工作.
2.中斷與計算機病毒
與病毒有關的重要中斷有:
INT 08H和INT 1CH定時中斷,有些病毒利用它們的記時判斷激發條件.
INT 09H鍵盤輸入中斷,病毒用於監視用戶擊鍵情況.
INT 10H屏幕輸入輸出中斷,一些病毒用於在屏幕上顯示字元圖形表現自己.
INT 13H磁碟輸入輸出中斷,引導型病毒用於傳染病毒和格式化磁碟.
INT 21H DOS功能調用,包含了DOS的大部分功能,已發現的絕大多數文件型病毒修改INT 21H中斷, 因此也成為防 病毒的重點監視部位.
INT 24H DOS的嚴重錯誤處理中斷,文件型病毒常進行修改,以防止傳染防寫磁碟時被發現.
8.2.1 計算機病毒的檢測
檢測病毒方法有:
特徵代碼法
校驗和法
行為監測法
軟體模擬法
1,特徵代碼法
國外專家認為特徵代碼法是檢測已知病毒的最簡單,開銷最小的方法.
特徵代碼法的實現步驟:
採集已知病毒樣本;抽取特徵代碼;將特徵代碼納入病毒資料庫 ;打開被檢測文件,搜索,檢查文件中是否含有病毒資料庫中的病毒特徵代碼.
特徵代碼法的優點是:
檢測准確快速,可識別病毒的名稱,誤報警率低,依據檢測結果,可做解毒處理.
其缺點是:
不能檢測未知病毒;搜集已知病毒的特徵代碼,費用開銷大;在網路上效率低(在網路伺服器上,因長時間檢索會使整個網路性能變壞).
特徵代碼法特點:
速度慢
誤報警率低
不能檢查多態性病毒
不能對付隱蔽性病毒
多態(形型)性病毒是指採用特殊加密技術編寫的病毒,這種病毒在每感染一個對象時,採用隨機方法對病毒主體進行加密.多形型病毒主要是針對查毒軟體而設計的,所以隨著這類病毒的增多,使得查毒軟體的編寫變得更困難,並還會帶來許多的誤報.
2,校驗和法
計算正常文件的內容校驗和,將該校驗和寫入文件中或寫入別的文件中保存.在文件使用過程中,定期地或每次使用文件前,檢查文件現在內容算出的校驗和與原來保存的校驗和是否一致,因而可以發現文件是否感染,這種方法叫校驗和法.
優點:
方法簡單,能發現未知病毒,被查文件的細微變化也能發現.
缺點:
發布通行記錄正常態的校驗和,會誤報警,不能識別病毒名稱,不能對付隱蔽型病毒.
校驗和法特點
既可發現已知病毒,又可發現未知病毒;
不能識別病毒類,不能報出病毒名稱;
常常誤報警;
影響文件的運行速度;
對隱蔽性病毒無效.
3,行為監測法
利用病毒的特有行為特徵性來監測病毒的方法,稱為行為監測法.
有一些行為是病毒的共同行為,而且比較特殊.在正常程序中,這些行為比較罕見.當程序運行時,監視其行為,如果發現了病毒行為,立即報警.

監測病毒的行為特徵
A,佔有INT 13H (磁碟輸入輸出中斷)
B,改DOS系統為數據區的內存總量 (為了防止DOS系統將病毒覆蓋)
C,對COM,EXE文件做寫入動作
D,病毒程序與宿主程序的切換
優點:
可發現未知病毒,可相當准確地預報未知的多數病毒.
缺點:
可能誤報警,不能識別病毒名稱,實現時有一定難度.
4,軟體模擬法
它是一種軟體分析器,用軟體方法來模擬和分析程序的運行.
主要用於檢測多態性病毒.作為特徵代碼法的補充.
5,先知掃描法
該技術是專門針對於未知的電腦病毒所設計的,利用這種技術可以直接模擬CPU的動作來偵測出某些變種病毒的活動情況,並且研製出該病毒的病毒碼.由於該技術較其他解毒技術嚴謹,對於比較復雜的程序在比對上會耗費比較多的時間,所以該技術的應用不那麼廣泛.
6,實時I/O掃描
實時地對數據的輸入/輸出動作做病毒碼對比的動作,希望能夠在病毒尚未被執行之前,就能夠防堵下來.
理論上,這樣的實時掃描程序會影響到整體的數據傳輸速率.
8.2.2 異常情況判斷
計算機工作出現下列異常現象,則有可能感染了病毒:
1)屏幕出現異常圖形或畫面,這些畫面可能是一些鬼怪,也可能是一些下落的雨點,字元,樹葉等,並且系統很難退出或恢復.
2)揚聲器發出與正常操作無關的聲音,如演奏樂曲或是隨意組合的,雜亂的聲音.
3)磁碟可用空間減少,出現大量壞簇,且壞簇數目不斷增多,直到無法繼續工作.
4)硬碟不能引導系統.
5)磁碟上的文件或程序丟失.
6)磁碟讀/寫文件明顯變慢,訪問的時間加長.
7)系統引導變慢或出現問題,有時出現"防寫錯"提示.
8)系統經常死機或出現異常的重啟動現象.
9)原來運行的程序突然不能運行,總是出現出錯提示.
10)列印機不能正常啟動.
8.2.3 計算機病毒的防治
1.建立,健全法律和管理制度
2.加強教育和宣傳
3.採取更有效的技術措施
4.網路計算機病毒的防治
採取更有效的技術措施
(1)系統安全
(2)軟體過濾
(3)文件加密
(4)過程式控制制
(5)後備恢復
(6)其他有效措施
其他有效措施
1)重要的磁碟和重要的帶後綴.COM和.EXE的文件賦予只讀功能,避免病毒寫到磁碟上或可執行文件中.
2)消滅傳染源.
3)建立程序的特徵值檔案.
4)嚴格內存管理.
5)嚴格中斷向量的管理.
6)強化物理訪問控制措施
7)一旦發現病毒蔓延,要採用可靠的殺毒軟體和請有經驗的專家處理,必要時需報告計算機安全監察部門,特別要注意不要使其繼續擴散.
8.3 宏病毒
8.3.1 宏病毒的分類
8.3.2 宏病毒的行為和特徵
8.3.3 宏病毒的特點
8.3.4 宏病毒的防治和清除方法
返回本章首頁
8.3.1 宏病毒的分類
1.公(共)用宏病毒
這類宏病毒對所有的Word文檔有效,其觸發條件是在啟動或調用Word文檔時,自動觸發執行.它有兩個顯著的特點:
1)只能用"Autoxxxx"來命名,即宏名稱是用"Auto"開頭,xxxx表示的是具體的一種宏文件名.如AutoOpen,AutoClose,AutoCopy等.
2)它們一定要附加在Word共用模板上才有"公用"作用.通常在用戶不規定和另行編制其他的公用模板時,它們應是附加在Normal.dot模板上,或者首先要能將自己寫進這樣的模板才行.
2.私用宏病毒
私用宏病毒與公用宏病毒的主要區別是:前者一般放在用戶自定義的Word模板中,僅與使用這種模板的Word文檔有關,即只有使用這個特定模板的文檔,該宏病毒才有效,而對使用其他模板的文檔,私用宏病毒一般不起作用.
返回本節
8.3.2 宏病毒的行為和特徵
宏病毒是一種新形態的計算機病毒,也是一種跨平台式計算機病毒.可以在Windows,Windows 95/98/NT,OS/2,Macintosh System7等操作系統上執行病毒行為.
宏病毒的主要特徵如下:
1)宏病毒會感染.DOC文檔和.DOT模板文件.
2)宏病毒的傳染通常是Word在打開一個帶宏病毒的文檔或模板時,激活宏病毒.
3)多數宏病毒包含AutoOpen,AutoClose,AutoNew和AutoExit等自動宏,通過這些自動宏病毒取得文檔(模板)操作權.
4)宏病毒中總是含有對文檔讀寫操作的宏命令.
5)宏病毒在.DOC文檔,.DOT模板中以BFF(Binary File Format)格式存放,這是一種加密壓縮格式,每個Word版本格式可能不兼容.
6)宏病毒具有兼容性.
返回本節
8.3.3 宏病毒的特點
1.傳播極快
2.製作,變種方便
3.破壞可能性極大
4 .多平台交叉感染
返回本節
8.3.4 宏病毒的判斷方法
在打開"宏病毒防護功能"的情況下,如果您的OFFICE文檔在打開時,系統給出一個宏病毒警告框,那麼您應該對這個文檔保持高度警惕,它已被感染的幾率極大.
注意:簡單地刪除被宏病毒感染的文檔並不能清除OFFICE系統中的宏病毒!
8.3.5 宏病毒的防治和清除方法
(1)首選方法:用最新版的反病毒軟體清除宏病毒
(2)應急處理方法:用寫字板或Word 6.0 文檔作為清除宏病毒的橋梁.
(3)如果已經感染了宏病毒,可按下面的方法清除:
替換掉(或刪除)通用模板Normal.dot文件;使用普通的殺毒軟體對所有的Word 文件進行殺毒 .
(4)宏病毒的防範.
考慮到大部分Word 用戶使用的是普通的文字處理功能,很少有人使用宏編程,因此,為了能及早發現該病毒,避免不必要的損失,平時可將一個干凈的Normal.dot 文件和殺宏病毒軟體保存在軟盤中,並加上防寫.當發現通用模板已被感染時,可用保存在軟盤中的Normal.dot 文件替換已被感染的模板文件,然後運行殺毒軟體.
8.4 網路計算機病毒
8.4.1 網路計算機病毒的特點
8.4.2 網路對病毒的敏感性
8.4.3 網路病毒實例——電子郵件病毒
返回本章首頁
8.4.1 網路計算機病毒的特點
在網路環境中,計算機病毒具有如下一些新的特點:
(1)傳染速度快
(2)傳染面廣
(3)傳染形式多
(4)清除難度大
(5)破壞性強
返回本節
8.4.2 網路病毒的傳播方式
具體地說,其傳播方式有:
1,病毒直接從有盤站拷貝到伺服器中;
2,病毒先傳染工作站,在工作站內存駐留,等運行網路盤內程序時再傳染給伺服器;
3,病毒先傳染工作站,在工作站內存駐留,在病毒運行時直接通過映像路徑傳染到伺服器中;
_4,如果遠程工作站被病毒侵入,病毒也可以通過通訊中數據交換進入網路伺服器中.
8.4.3 網路病毒實例
——蠕蟲病毒
1.蠕蟲的定義
Internet 蠕蟲是無須計算機使用者干預即可運行的獨立程序,它通過不停的獲得網路中存在漏洞的計算機上的部分或全部控制權來進行傳播.
蠕蟲與病毒的最大不同在於它不需要人為干預,且能夠自主不斷地復制和傳播.
2.蠕蟲的行為特徵
2.1 蠕蟲的工作流程
蠕蟲程序的工作流程可以分為漏洞掃描,攻擊,傳染,現場處理四個階段,如圖2所示.
蠕蟲程序掃描到有漏洞的計算機系統後,將蠕蟲主體遷移到目標主機.然後,蠕蟲程序進入被感染的系統,對目標主機進行現場處理.現場處理部分的工作包括:隱藏,信息搜集等.同時,蠕蟲程序生成多個副本,重復上述流程.不同的蠕蟲採取的IP生成策略可能並不相同,甚至隨機生成.各個步驟的繁簡程度也不同,有的十分復雜,有的則非常簡單.
2.2 蠕蟲的行為特徵
自我繁殖:

蠕蟲在本質上已經演變為黑客入侵的自動化工具, 當蠕蟲被釋放(release)後,從搜索漏洞,到利用搜索結果攻擊系統,到復制副本,整個流程全由蠕蟲自身主動完成.就自主性而言,這一點有別於通常的病毒.
利用軟體漏洞:
任何計算機系統都存在漏洞,這些就蠕蟲利用系統的漏洞獲得被攻擊的計算機系統的相應許可權,使之進行復制和傳播過程成為可能.這些漏洞是各種各樣的,有操作系統本身的問題,有的是應用服務程序的問題,有的是網路管理人員的配置問題.正是由於漏洞產生原因的復雜性,導致各種類型的蠕蟲泛濫.
造成網路擁塞:
在掃描漏洞主機的過程中,蠕蟲需要:判斷其它計算機是否存在;判斷特定應用服務是否存在;判斷漏洞是否存在等等,這不可避免的會產生附加的網路數據流量.同時蠕蟲副本在不同機器之間傳遞,或者向隨機目標的發出的攻擊數據都不可避免的會產生大量的網路數據流量.即使是不包含破壞系統正常工作的惡意代碼的蠕蟲,也會因為它產生了巨量的網路流量,導致整個網路癱瘓,造成經濟損失.
消耗系統資源:
蠕蟲入侵到計算機系統之後,會在被感染的計算機上產生自己的多個副本,每個副本啟動搜索程序尋找新的攻擊目標.大量的進程會耗費系統的資源,導致系統的性能下降.這對網路伺服器的影響尤其明顯.
留下安全隱患:
大部分蠕蟲會搜集,擴散,暴露系統敏感信息(如用戶信息等),並在系統中留下後門.這些都會導致未來的安全隱患.
3,蠕蟲病毒與一般病毒的異同
病毒類型:普通病毒 蠕蟲病毒
存在形式:寄存文件 獨立程序
傳染機制:宿主程序運行 主動攻擊
傳染目標:本地文件 網路計算機
4,蠕蟲的破壞和發展趨勢
每一次蠕蟲的爆發都會給社會帶來巨大的損失.
目前蠕蟲爆發的頻率越來越快,技術越來越新,並與黑客技術相結合.尤其是近兩年來,越來越多的蠕蟲(如沖擊波,振盪波等)出現.
對蠕蟲進行深入研究,並提出一種行之有效的解決方案,為企業和政府提供一個安全的網路環境成為我們急待解決的問題.
5,企業防範蠕蟲病毒措施
企業防治蠕蟲病毒的時候需要考慮幾個問題:

病毒的查殺能力;
病毒的監控能力;
新病毒的反應能力.
推薦的企業防範蠕蟲病毒的策略如下:
(1)加強網路管理員安全管理水平,提高安全意識.減少系統漏洞.
(2)建立病毒檢測系統.能夠在第一時間內檢測到網路異常和病毒攻擊.
(3)建立應急響應系統,將風險減少到最小!
(4)建立災難備份系統.對於資料庫和數據系統,必須採用定期備份,多機備份措施,防止意外災難下的數據丟失!
對於區域網而言,可以採用以下一些主要手段:
(1)在網際網路接入口處安裝防火牆式防殺計算機病毒產品,將病毒隔離在區域網之外.
(2)對郵件伺服器進行監控,防止帶毒郵件進行傳播!
(3)對區域網用戶進行安全培訓.
(4)建立區域網內部的升級系統,包括各種操作系統的補丁升級,各種常用的應用軟體升級,各種殺毒軟體病毒庫的升級等等!
6,對個人用戶產生直接威脅的蠕蟲病毒
對於個人用戶而言,威脅大的蠕蟲病毒採取的傳播方式一般為電子郵件以及惡意網頁等等.即以各種各樣的欺騙手段誘惑用戶點擊的方式進行傳播!
威脅最大,難以根除,造成的損失也更大.
惡意網頁確切的講是一段黑客破壞代碼程序,它內嵌在網頁中,當用戶在不知情的情況下打開含有病毒的網頁時,病毒就會發作.
常常採取vb script和java script編程的形式!
個人用戶對蠕蟲病毒的防範措施
1.安裝合適的殺毒軟體
賽門鐵克公司的Norton系列殺毒軟體 ,瑞星,kv系列等殺毒軟體.
2 .經常升級病毒庫
殺毒軟體對病毒的查殺是以病毒的特徵碼為依據的.
3.提高防殺毒意識
不要輕易點擊陌生的站點,有可能裡面就含有惡意代碼! 將IE安全級別改為"高" .
4.不隨意查看陌生郵件,尤其是帶有附件的郵件
升級IE和OE程序,及常用的其他應用程序!