首頁 > 通信工程師 > 互聯(lián)網(wǎng)技術(shù) > 互聯(lián)網(wǎng)技術(shù)計算機病毒檢測與防范技術(shù)[1]

互聯(lián)網(wǎng)技術(shù)計算機病毒檢測與防范技術(shù)[1]

互聯(lián)網(wǎng)技術(shù) 責(zé)任編輯：timfoxhu 2013-09-08

摘要：視頻教程在線輔導(dǎo)面授招生考試大綱指定教材報名時間9.5計算機病毒與黑客防范9.5.1計算機病毒檢測與防范技術(shù)計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能、毀壞數(shù)據(jù)、影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。

　在線輔導(dǎo)　面授招生　考試大綱　指定教材　報名時間

　　9.5 計算機病毒與黑客防范

9.5.1 計算機病毒檢測與防范技術(shù)

計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能、毀壞數(shù)據(jù)、影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。是否具有傳播性是判別一個程序是否為計算機病毒的最重要條件。正常的計算機程序是不會將自身的代碼強行連接到其他程序之上的。而計算機病毒的再生機制，即它的傳播機制卻是使計算機病毒代碼強行傳染到一切可傳染的程序之上，迅速地在一臺計算機內(nèi)，甚至在一群計算機之間進行傳播、擴散。每一臺被感染了計算機病毒的計算機，本身既是一個受害者，又是一個新的計算機病毒傳染源。

“計算機病毒”和生物世界的病毒一樣，都有其的生命周期，包括創(chuàng)造期、投放期、潛伏感染期、發(fā)作期和治療期，并且由上述幾個步驟組成一個循環(huán)。

計算機病毒的核心特性歸納起來有：傳播性、隱蔽性、潛伏性、破壞性、針對性、衍生性、寄生性和不可預(yù)見性。

計算機病毒具有自我復(fù)制和傳播的特點，因此，研究計算機病毒的傳播途徑是極為重要的。從計算機病毒的傳播機理分析可知.只要是能夠進行數(shù)據(jù)交換的介質(zhì)都可能成為計算機病毒傳播途徑。Internet是信息傳播的高速公路，也是計算機病毒傳播的便捷通道。

計算機病毒檢測方法有很多，常用的有以下幾種方法。

(1)比較法：用原始備份與被檢測引導(dǎo)扇區(qū)或文件作比較?？撮L度，內(nèi)容變化。簡便，不需專用軟件。但無法確認病毒的種類名稱。

(2)綜合對比法：將每個程序的文件名、大小、時間、日期及內(nèi)容，綜合為一個檢查碼，附于程序后：再利用此對比系統(tǒng)，追蹤記錄每個程序的檢查碼是否遭更改，判斷是否感染病毒。

(3)搜索法：用每一種病毒體含有的特定字符串對被檢測的對象進行掃描。如果在對象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串，就表明發(fā)現(xiàn)了該字節(jié)串所代表的病毒。

(4)分析法：靜態(tài)分析和動態(tài)分析。利用反匯編工具和DEBUG等調(diào)試工具進行防病毒專業(yè)技術(shù)人員所使用的一整套剖析方法。可發(fā)現(xiàn)新病毒，提取特征字串，制定防殺措施方案。

(5)人工智能陷阱技術(shù)和宏病毒陷阱技術(shù)：監(jiān)測計算機行為的常駐式掃描技術(shù)。它將所有病毒所產(chǎn)生的行為歸納起來，一旦發(fā)現(xiàn)內(nèi)存中的程序有任何不當?shù)男袨?，系統(tǒng)就會有所聱覺，并告知使用者。優(yōu)點是速度快、操作簡便，可偵測到各式病毒；缺點是程序設(shè)計難，且不易考慮周全。宏病毒陷阱技術(shù)（MacroTrap)是結(jié)合了搜索法和人工智能陷阱技術(shù)，依靠行為模式來偵測已知及未知的宏病毒。

(6)軟件仿真掃描法：專門用來對付多態(tài)變形病毒。該病毒在每次傳染時，都將自身以不同的隨機數(shù)加密于每個感染的文件中，傳統(tǒng)搜索法根本就無法找到它。軟件仿真技術(shù)則是成功地仿真CPU執(zhí)行，在DOS虛擬機下偽執(zhí)行病毒程序，安全并確實地將其解密，使其顯露本來的面目，再加以掃描。

(7)先知掃描法：是繼軟件仿真后的一大技術(shù)突破。既然軟件仿真可以建立一個保護模式下的DOS虛擬機，仿真CPU動作并偽執(zhí)行程序以解開多態(tài)變形病毒，那么應(yīng)用類似的技術(shù)也可以用來分析一般程序，檢査可疑的病毒代碼。因此，先知掃描技術(shù)是專業(yè)人員用來判斷程序是否存在病毒代碼的方法，分析歸納成專家系統(tǒng)和知識庫，再利用軟件模擬技術(shù)偽執(zhí)行新的病毒，超前分析出新病毒代碼，對付以后的病毒。

病毒感染后的一般修復(fù)處理方法如下。

(1)對系統(tǒng)破壞程度先有一個全面了解，根據(jù)破壞程度決定方法對策：重裝系統(tǒng)、啟用殺毒軟件或請防病毒專家進行清除和數(shù)據(jù)恢復(fù)操作。

(2)修復(fù)前，盡可能再次備份重要的數(shù)據(jù)文件。不與平時的常規(guī)備份“混”在一起。

(3)啟動殺病毒軟件，并對整個硬盤進行掃描。使用事先準備的“干凈”系統(tǒng)盤啟動系統(tǒng)。

(4)如果可執(zhí)行文件中的病毒不能被清除，一般應(yīng)將其刪除，然后重裝相應(yīng)的應(yīng)用程序。

(5)殺毒完成后，重啟計算機，再次用殺毒軟件檢查系統(tǒng)。

(6)對無法殺除的病毒，應(yīng)將病毒樣本送交殺毒軟件廠商的研究中心，以供詳細分析。

[1] [2]