中級通信互聯(lián)網(wǎng)技術知識點精講之計算機病毒檢測與防范技術

       下面是由希賽小編整理的中級通信互聯(lián)網(wǎng)技術知識點精講之計算機病毒檢測與防范技術，希望能幫助學友們。具體內容如下：

       計算機病毒檢測與防范技術

       計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能、毀壞數(shù)據(jù)、影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。是否具有傳播性是判別一個程序是否為計算機病毒的最重要條件。正常的計算機程序是不會將自身的代碼強行連接到其他程序之上的。而計算機病毒的再生機制，即它的傳播機制卻是使計算機病毒代碼強行傳染到一切可傳染的程序之上，迅速地在一臺計算機內，甚至在一群計算機之間進行傳播、擴散。每一臺被感染了計算機病毒的計算機，本身既是一個受害者，又是一個新的計算機病毒傳染源。

       “計算機病毒”和生物世界的病毒一樣，都有其的生命周期，包括創(chuàng)造期、投放期、潛伏感染期、發(fā)作期和治療期，并且由上述幾個步驟組成一個循環(huán)。

       計算機病毒的核心特性歸納起來有：傳播性、隱蔽性、潛伏性、破壞性、針對性、衍生性、寄生性和不可預見性。

       計算機病毒具有自我復制和傳播的特點，因此，研究計算機病毒的傳播途徑是極為重要的。從計算機病毒的傳播機理分析可知.只要是能夠進行數(shù)據(jù)交換的介質都可能成為計算機病毒傳播途徑。Internet是信息傳播的高速公路，也是計算機病毒傳播的便捷通道。

       計算機病毒檢測方法有很多，常用的有以下幾種方法。

       (1)比較法：用原始備份與被檢測引導扇區(qū)或文件作比較?？撮L度，內容變化。簡便，不需專用軟件。但無法確認病毒的種類名稱。

       (2)綜合對比法：將每個程序的文件名、大小、時間、日期及內容，綜合為一個檢查碼，附于程序后：再利用此對比系統(tǒng)，追蹤記錄每個程序的檢查碼是否遭更改，判斷是否感染病毒。

       (3)搜索法：用每一種病毒體含有的特定字符串對被檢測的對象進行掃描。如果在對象內部發(fā)現(xiàn)了某一種特定字節(jié)串，就表明發(fā)現(xiàn)了該字節(jié)串所代表的病毒。

       (4)分析法：靜態(tài)分析和動態(tài)分析。利用反匯編工具和DEBUG等調試工具進行防病毒專業(yè)技術人員所使用的一整套剖析方法?？砂l(fā)現(xiàn)新病毒，提取特征字串，制定防殺措施方案。

       (5)人工智能陷阱技術和宏病毒陷阱技術：監(jiān)測計算機行為的常駐式掃描技術。它將所有病毒所產生的行為歸納起來，一旦發(fā)現(xiàn)內存中的程序有任何不當?shù)男袨?，系統(tǒng)就會有所聱覺，并告知使用者。優(yōu)點是速度快、操作簡便，可偵測到各式病毒；缺點是程序設計難，且不易考慮周全。宏病毒陷阱技術（MacroTrap)是結合了搜索法和人工智能陷阱技術，依靠行為模式來偵測已知及未知的宏病毒。

       (6)軟件仿真掃描法：專門用來對付多態(tài)變形病毒。該病毒在每次傳染時，都將自身以不同的隨機數(shù)加密于每個感染的文件中，傳統(tǒng)搜索法根本就無法找到它。軟件仿真技術則是成功地仿真CPU執(zhí)行，在DOS虛擬機下偽執(zhí)行病毒程序，安全并確實地將其解密，使其顯露本來的面目，再加以掃描。

       (7)先知掃描法：是繼軟件仿真后的一大技術突破。既然軟件仿真可以建立一個保護模式下的DOS虛擬機，仿真CPU動作并偽執(zhí)行程序以解開多態(tài)變形病毒，那么應用類似的技術也可以用來分析一般程序，檢査可疑的病毒代碼。因此，先知掃描技術是專業(yè)人員用來判斷程序是否存在病毒代碼的方法，分析歸納成專家系統(tǒng)和知識庫，再利用軟件模擬技術偽執(zhí)行新的病毒，超前分析出新病毒代碼，對付以后的病毒。

       病毒感染后的一般修復處理方法如下。

       (1)對系統(tǒng)破壞程度先有一個全面了解，根據(jù)破壞程度決定方法對策：重裝系統(tǒng)、啟用殺毒軟件或請防病毒專家進行清除和數(shù)據(jù)恢復操作。

       (2)修復前，盡可能再次備份重要的數(shù)據(jù)文件。不與平時的常規(guī)備份“混”在一起。

       (3)啟動殺病毒軟件，并對整個硬盤進行掃描。使用事先準備的“干凈”系統(tǒng)盤啟動系統(tǒng)。

       (4)如果可執(zhí)行文件中的病毒不能被清除，一般應將其刪除，然后重裝相應的應用程序。

       (5)殺毒完成后，重啟計算機，再次用殺毒軟件檢查系統(tǒng)。

       (6)對無法殺除的病毒，應將病毒樣本送交殺毒軟件廠商的研究中心，以供詳細分析。

       計算機病毒是多變的，會有不斷創(chuàng)造出來的新病毒出現(xiàn)，任何防毒技術都存在時間和技術上的局限性，不斷升級仍是目前比較流行的好辦法。

       目前流行的企業(yè)組網(wǎng)方式是整個網(wǎng)絡分為內網(wǎng)（Intranet)和外網(wǎng)（Extranet)。內網(wǎng)和外網(wǎng)之間基本上是處于隔離狀態(tài)，一般通過防火墻設備在內、外網(wǎng)之間建立一條受控的通路，從內網(wǎng)訪問Internet-般采用代理的方式，外網(wǎng)通過路由器或直接與Internet相連。內網(wǎng)大多采用WindowsNT網(wǎng)絡組建，分配虛擬地址，并安裝有內部辦公自動化信息系統(tǒng)，如LotusDomino或MicrosoftExchangeserver等:而外網(wǎng)一般多為UNIX/Linux網(wǎng)絡,也有采用NetWare網(wǎng)絡或WindowsNT網(wǎng)絡的，分配實地址，并對外提供服務，外網(wǎng)一般安裝有Web服務器、FTP服務器、電子函件服務器、域名服務器以及其他一些服務器等。從整個網(wǎng)絡來看，可能有多個內網(wǎng)和一個外網(wǎng)構成，也有在外網(wǎng)中再劃分子網(wǎng)的情況。

       對于這種網(wǎng)絡的計算機病毒防護，除了要對各個內網(wǎng)嚴加防范，更重要的是要建立多層次的網(wǎng)絡防范架構，并同網(wǎng)絡管理軟件結合起來。主要的防范點有：Internet接入口、外網(wǎng)上的服務器、各內網(wǎng)的中心服務器等。

       可以采用以下一些主要手段。

       (1)在Internet接入口處安裝防火墻式防殺計算機病毒產品。

       (2)在外網(wǎng)單獨設立一臺服務器，安裝服務器版的網(wǎng)絡防殺計算機病毒軟件，并對整個網(wǎng)絡進行實時監(jiān)控。

       (3)如果外網(wǎng)的服務器是基于WindowsNT操作系統(tǒng)的，那么需要在外網(wǎng)的各個服務器上安裝相應的計算機病毒防護軟件，如電子郵件服務器使用的是MicrosoftExchangeServer.那么就需要在該服務器上安裝專為MicrosoftExchangeServer設計的防殺計算機病毒軟件。

       (4)外網(wǎng)上如果有工作站，需要進行單機防范布防，并適當參考小型局域網(wǎng)的防范要點進行有選擇的增加。

       (5)在每個內網(wǎng)參照小型局域網(wǎng)的防范要點布防。

       (6)內網(wǎng)中的工作站參考單機防范的重點，適當參考小型局域網(wǎng)的防范要點進行布防。

       (7)建立嚴格的規(guī)章制度和操作規(guī)范，定期檢查各防范點的工作狀態(tài)。

       黑客攻擊、病毒入侵等是網(wǎng)絡面臨的主要安全威脅。在所有計算機安全威脅中，病毒是最為嚴重的，它不僅發(fā)生的頻率高，損失大，而且潛伏性強，覆蓋面廣。部署安全高效的防病毒系統(tǒng)，主要考慮以下幾方面。

       (1)系統(tǒng)防毒。從系統(tǒng)角度設計一套全面的防毒計劃，主要有制定系統(tǒng)的防病毒策略、部署多層防御戰(zhàn)略、定期更新防病毒定義文件和引擎、定期備份文件、預訂可發(fā)布新病毒威脅警告的電子郵件警報服務等。

       (2)終端用戶防毒。終端用戶防毒可以從以下幾方面參考：使用收件箱規(guī)則來處理可疑的電子郵件、使用數(shù)據(jù)寫保護等。

       (3)服務器防毒。目前隨著基于Web的電子郵件訪問、公共文件夾以及訪問存儲器的映射網(wǎng)絡驅動器等方式的出現(xiàn)，病毒可以通過多種方式進入電子郵件服務器。這時，就只有基于電子郵件服務器的解決方案才能夠檢測和刪除受感染項，主要有攔截受感染的附件、安排全面隨機掃描、重要數(shù)據(jù)定期存檔等。

       返回目錄：中級通信互聯(lián)網(wǎng)技術知識點精講之網(wǎng)絡安全技術匯總

       相關推薦：

       中級通信工程師互聯(lián)網(wǎng)技術考試教材推薦

       中級通信工程師互聯(lián)網(wǎng)技術考試培訓視頻推薦

       中級通信工程師互聯(lián)網(wǎng)技術考試大綱