中級(jí)通信互聯(lián)網(wǎng)技術(shù)知識(shí)點(diǎn)精講之計(jì)算機(jī)病毒檢測(cè)與防范技術(shù)

       下面是由希賽小編整理的中級(jí)通信互聯(lián)網(wǎng)技術(shù)知識(shí)點(diǎn)精講之計(jì)算機(jī)病毒檢測(cè)與防范技術(shù)，希望能幫助學(xué)友們。具體內(nèi)容如下：

       計(jì)算機(jī)病毒檢測(cè)與防范技術(shù)

       計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能、毀壞數(shù)據(jù)、影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。是否具有傳播性是判別一個(gè)程序是否為計(jì)算機(jī)病毒的最重要條件。正常的計(jì)算機(jī)程序是不會(huì)將自身的代碼強(qiáng)行連接到其他程序之上的。而計(jì)算機(jī)病毒的再生機(jī)制，即它的傳播機(jī)制卻是使計(jì)算機(jī)病毒代碼強(qiáng)行傳染到一切可傳染的程序之上，迅速地在一臺(tái)計(jì)算機(jī)內(nèi)，甚至在一群計(jì)算機(jī)之間進(jìn)行傳播、擴(kuò)散。每一臺(tái)被感染了計(jì)算機(jī)病毒的計(jì)算機(jī)，本身既是一個(gè)受害者，又是一個(gè)新的計(jì)算機(jī)病毒傳染源。

       “計(jì)算機(jī)病毒”和生物世界的病毒一樣，都有其的生命周期，包括創(chuàng)造期、投放期、潛伏感染期、發(fā)作期和治療期，并且由上述幾個(gè)步驟組成一個(gè)循環(huán)。

       計(jì)算機(jī)病毒的核心特性歸納起來有：傳播性、隱蔽性、潛伏性、破壞性、針對(duì)性、衍生性、寄生性和不可預(yù)見性。

       計(jì)算機(jī)病毒具有自我復(fù)制和傳播的特點(diǎn)，因此，研究計(jì)算機(jī)病毒的傳播途徑是極為重要的。從計(jì)算機(jī)病毒的傳播機(jī)理分析可知.只要是能夠進(jìn)行數(shù)據(jù)交換的介質(zhì)都可能成為計(jì)算機(jī)病毒傳播途徑。Internet是信息傳播的高速公路，也是計(jì)算機(jī)病毒傳播的便捷通道。

       計(jì)算機(jī)病毒檢測(cè)方法有很多，常用的有以下幾種方法。

       (1)比較法：用原始備份與被檢測(cè)引導(dǎo)扇區(qū)或文件作比較。看長(zhǎng)度，內(nèi)容變化。簡(jiǎn)便，不需專用軟件。但無法確認(rèn)病毒的種類名稱。

       (2)綜合對(duì)比法：將每個(gè)程序的文件名、大小、時(shí)間、日期及內(nèi)容，綜合為一個(gè)檢查碼，附于程序后：再利用此對(duì)比系統(tǒng)，追蹤記錄每個(gè)程序的檢查碼是否遭更改，判斷是否感染病毒。

       (3)搜索法：用每一種病毒體含有的特定字符串對(duì)被檢測(cè)的對(duì)象進(jìn)行掃描。如果在對(duì)象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串，就表明發(fā)現(xiàn)了該字節(jié)串所代表的病毒。

       (4)分析法：靜態(tài)分析和動(dòng)態(tài)分析。利用反匯編工具和DEBUG等調(diào)試工具進(jìn)行防病毒專業(yè)技術(shù)人員所使用的一整套剖析方法?？砂l(fā)現(xiàn)新病毒，提取特征字串，制定防殺措施方案。

       (5)人工智能陷阱技術(shù)和宏病毒陷阱技術(shù)：監(jiān)測(cè)計(jì)算機(jī)行為的常駐式掃描技術(shù)。它將所有病毒所產(chǎn)生的行為歸納起來，一旦發(fā)現(xiàn)內(nèi)存中的程序有任何不當(dāng)?shù)男袨椋到y(tǒng)就會(huì)有所聱覺，并告知使用者。優(yōu)點(diǎn)是速度快、操作簡(jiǎn)便，可偵測(cè)到各式病毒；缺點(diǎn)是程序設(shè)計(jì)難，且不易考慮周全。宏病毒陷阱技術(shù)（MacroTrap)是結(jié)合了搜索法和人工智能陷阱技術(shù)，依靠行為模式來偵測(cè)已知及未知的宏病毒。

       (6)軟件仿真掃描法：專門用來對(duì)付多態(tài)變形病毒。該病毒在每次傳染時(shí)，都將自身以不同的隨機(jī)數(shù)加密于每個(gè)感染的文件中，傳統(tǒng)搜索法根本就無法找到它。軟件仿真技術(shù)則是成功地仿真CPU執(zhí)行，在DOS虛擬機(jī)下偽執(zhí)行病毒程序，安全并確實(shí)地將其解密，使其顯露本來的面目，再加以掃描。

       (7)先知掃描法：是繼軟件仿真后的一大技術(shù)突破。既然軟件仿真可以建立一個(gè)保護(hù)模式下的DOS虛擬機(jī)，仿真CPU動(dòng)作并偽執(zhí)行程序以解開多態(tài)變形病毒，那么應(yīng)用類似的技術(shù)也可以用來分析一般程序，檢査可疑的病毒代碼。因此，先知掃描技術(shù)是專業(yè)人員用來判斷程序是否存在病毒代碼的方法，分析歸納成專家系統(tǒng)和知識(shí)庫，再利用軟件模擬技術(shù)偽執(zhí)行新的病毒，超前分析出新病毒代碼，對(duì)付以后的病毒。

       病毒感染后的一般修復(fù)處理方法如下。

       (1)對(duì)系統(tǒng)破壞程度先有一個(gè)全面了解，根據(jù)破壞程度決定方法對(duì)策：重裝系統(tǒng)、啟用殺毒軟件或請(qǐng)防病毒專家進(jìn)行清除和數(shù)據(jù)恢復(fù)操作。

       (2)修復(fù)前，盡可能再次備份重要的數(shù)據(jù)文件。不與平時(shí)的常規(guī)備份“混”在一起。

       (3)啟動(dòng)殺病毒軟件，并對(duì)整個(gè)硬盤進(jìn)行掃描。使用事先準(zhǔn)備的“干凈”系統(tǒng)盤啟動(dòng)系統(tǒng)。

       (4)如果可執(zhí)行文件中的病毒不能被清除，一般應(yīng)將其刪除，然后重裝相應(yīng)的應(yīng)用程序。

       (5)殺毒完成后，重啟計(jì)算機(jī)，再次用殺毒軟件檢查系統(tǒng)。

       (6)對(duì)無法殺除的病毒，應(yīng)將病毒樣本送交殺毒軟件廠商的研究中心，以供詳細(xì)分析。

       計(jì)算機(jī)病毒是多變的，會(huì)有不斷創(chuàng)造出來的新病毒出現(xiàn)，任何防毒技術(shù)都存在時(shí)間和技術(shù)上的局限性，不斷升級(jí)仍是目前比較流行的好辦法。

       目前流行的企業(yè)組網(wǎng)方式是整個(gè)網(wǎng)絡(luò)分為內(nèi)網(wǎng)（Intranet)和外網(wǎng)（Extranet)。內(nèi)網(wǎng)和外網(wǎng)之間基本上是處于隔離狀態(tài)，一般通過防火墻設(shè)備在內(nèi)、外網(wǎng)之間建立一條受控的通路，從內(nèi)網(wǎng)訪問Internet-般采用代理的方式，外網(wǎng)通過路由器或直接與Internet相連。內(nèi)網(wǎng)大多采用WindowsNT網(wǎng)絡(luò)組建，分配虛擬地址，并安裝有內(nèi)部辦公自動(dòng)化信息系統(tǒng)，如LotusDomino或MicrosoftExchangeserver等:而外網(wǎng)一般多為UNIX/Linux網(wǎng)絡(luò),也有采用NetWare網(wǎng)絡(luò)或WindowsNT網(wǎng)絡(luò)的，分配實(shí)地址，并對(duì)外提供服務(wù)，外網(wǎng)一般安裝有Web服務(wù)器、FTP服務(wù)器、電子函件服務(wù)器、域名服務(wù)器以及其他一些服務(wù)器等。從整個(gè)網(wǎng)絡(luò)來看，可能有多個(gè)內(nèi)網(wǎng)和一個(gè)外網(wǎng)構(gòu)成，也有在外網(wǎng)中再劃分子網(wǎng)的情況。

       對(duì)于這種網(wǎng)絡(luò)的計(jì)算機(jī)病毒防護(hù)，除了要對(duì)各個(gè)內(nèi)網(wǎng)嚴(yán)加防范，更重要的是要建立多層次的網(wǎng)絡(luò)防范架構(gòu)，并同網(wǎng)絡(luò)管理軟件結(jié)合起來。主要的防范點(diǎn)有：Internet接入口、外網(wǎng)上的服務(wù)器、各內(nèi)網(wǎng)的中心服務(wù)器等。

       可以采用以下一些主要手段。

       (1)在Internet接入口處安裝防火墻式防殺計(jì)算機(jī)病毒產(chǎn)品。

       (2)在外網(wǎng)單獨(dú)設(shè)立一臺(tái)服務(wù)器，安裝服務(wù)器版的網(wǎng)絡(luò)防殺計(jì)算機(jī)病毒軟件，并對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控。

       (3)如果外網(wǎng)的服務(wù)器是基于WindowsNT操作系統(tǒng)的，那么需要在外網(wǎng)的各個(gè)服務(wù)器上安裝相應(yīng)的計(jì)算機(jī)病毒防護(hù)軟件，如電子郵件服務(wù)器使用的是MicrosoftExchangeServer.那么就需要在該服務(wù)器上安裝專為MicrosoftExchangeServer設(shè)計(jì)的防殺計(jì)算機(jī)病毒軟件。

       (4)外網(wǎng)上如果有工作站，需要進(jìn)行單機(jī)防范布防，并適當(dāng)參考小型局域網(wǎng)的防范要點(diǎn)進(jìn)行有選擇的增加。

       (5)在每個(gè)內(nèi)網(wǎng)參照小型局域網(wǎng)的防范要點(diǎn)布防。

       (6)內(nèi)網(wǎng)中的工作站參考單機(jī)防范的重點(diǎn)，適當(dāng)參考小型局域網(wǎng)的防范要點(diǎn)進(jìn)行布防。

       (7)建立嚴(yán)格的規(guī)章制度和操作規(guī)范，定期檢查各防范點(diǎn)的工作狀態(tài)。

       黑客攻擊、病毒入侵等是網(wǎng)絡(luò)面臨的主要安全威脅。在所有計(jì)算機(jī)安全威脅中，病毒是最為嚴(yán)重的，它不僅發(fā)生的頻率高，損失大，而且潛伏性強(qiáng)，覆蓋面廣。部署安全高效的防病毒系統(tǒng)，主要考慮以下幾方面。

       (1)系統(tǒng)防毒。從系統(tǒng)角度設(shè)計(jì)一套全面的防毒計(jì)劃，主要有制定系統(tǒng)的防病毒策略、部署多層防御戰(zhàn)略、定期更新防病毒定義文件和引擎、定期備份文件、預(yù)訂可發(fā)布新病毒威脅警告的電子郵件警報(bào)服務(wù)等。

       (2)終端用戶防毒。終端用戶防毒可以從以下幾方面參考：使用收件箱規(guī)則來處理可疑的電子郵件、使用數(shù)據(jù)寫保護(hù)等。

       (3)服務(wù)器防毒。目前隨著基于Web的電子郵件訪問、公共文件夾以及訪問存儲(chǔ)器的映射網(wǎng)絡(luò)驅(qū)動(dòng)器等方式的出現(xiàn)，病毒可以通過多種方式進(jìn)入電子郵件服務(wù)器。這時(shí)，就只有基于電子郵件服務(wù)器的解決方案才能夠檢測(cè)和刪除受感染項(xiàng)，主要有攔截受感染的附件、安排全面隨機(jī)掃描、重要數(shù)據(jù)定期存檔等。

       返回目錄：中級(jí)通信互聯(lián)網(wǎng)技術(shù)知識(shí)點(diǎn)精講之網(wǎng)絡(luò)安全技術(shù)匯總

       相關(guān)推薦：

       中級(jí)通信工程師互聯(lián)網(wǎng)技術(shù)考試教材推薦

       中級(jí)通信工程師互聯(lián)網(wǎng)技術(shù)考試培訓(xùn)視頻推薦

       中級(jí)通信工程師互聯(lián)網(wǎng)技術(shù)考試大綱