时间:2023-09-21 17:35:56
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇计算机病毒与反病毒技术,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】计算机 病毒防范 技术探究
一、计算机病毒的主要来源和分类
要搞好计算机病毒与反病毒防范技术,就要搞清楚计算机病毒的主要来源,并对其加以分析。来源一是搞计算机的人员和业余爱好者的恶作剧、寻开心制造出的病毒,例如像圆点一类的良性病毒。;来源二是软件公司及用户为保护自己的软件被非法复制而采取的报复性惩罚措施,因为他们发现对软件上锁,不如在其中藏有病毒对非法拷贝的打击大,这更加助长了各种病毒的传播;来源三是旨在攻击和摧毁计算机信息系统和计算机系统而制造的病毒----就是蓄意进行破坏,如一九八七年年底出现在以色列耶路撒冷西伯莱大学的犹太人病毒,就是雇员在工作中受挫或被辞退时故意制造的。它针对性强,破坏性大,产生于内部,防不胜防;来源四是用于研究或有益目的而设计的程序,由于某种原因失去控制或产生了意想不到的效果。病毒的种类非常多,而不同类型的病毒其危害程度和感染方式也不尽相同。一般来说我们主要将计算机病毒分为以下几种类型: 按照病毒的存在媒体进行分类,一般可以分为引导型、文件型和混合型三种类型。目前的计算机病毒无时无刻的在推陈出新,这几年新出现的一种计算机病毒,其中有很多以前从未见过的新型号,这些病毒无法进行准确的分类,比如说一些E-mail病毒、互联网病毒等。
二、计算机病毒巨大的危害和导致的结果
首先,病毒导致计算机运行缓慢。当病毒程序执行的过程中,不但会占据计算机内存,还会干扰系统的正常运行,导致系统运行缓慢。虽然说这样的危害从表面上来看并不会给系统带来较大的损失,但是在用户使用计算机的过程中,会不断的消耗计算机系统的资源,最终甚至可能导致系统的停止运行。其次,病毒会大量占用系统内存以及计算机磁盘空间。当计算机感染某些病毒之后,硬盘会自动开始持续性的读取,虽然用户并未执行操作,但是硬盘却处于高速运转状态,计算机内存也被大量的占用。此外,某些文件型病毒甚至可能在短时间内感染大量的系统文件,从而让用户硬盘中产生大量的垃圾文件,极大的占据了硬盘空间。 第三,病毒对计算机数据进行破坏。病毒极有可能篡改计算机系统设置或者对计算机系统进行加密的方法,从而引起计算机系统的混乱,更严重的时候会破坏计算机的硬盘引导区,造成计算机无法正常启动等。第四,病毒所带来的垃圾信息会对用户计算机网络造成一定的危害,甚至可能导致网络瘫痪现象。例如当计算机感染蠕虫病毒之后,在用户不知情的情况下,病毒会让计算机向外发送大量垃圾邮件或数据,从而让网络严重堵塞或瘫痪。最近几年以来,很多不法分子通过即时通讯软件向用户发送大量带有病毒的垃圾信息和邮件,成为了病毒传播的一种新的途径。第五,窃取用户的各种隐私。当前,很多计算机用户对于木马病毒已经是深恶痛绝。有关调查显示,当前木马病毒占据了计算机病毒的60%左右,其中大部分木马病毒的传播目的都是为了窃取用户的个人信息从而帮助病毒制造者获取非法利益。用户信息一旦泄露,将会给用户带来不可估量的损失。
三、对计算机病毒的防范措施
首先,不可以随意使用来源无法查明的计算机软件,特别是那些盗版的软件。公司的机房和学校的机房应该禁止随意插入优盘,如果的确需要使用,要进行病毒检测,达到标准的方可以进行下一步的操作。其次,禁止在机房的计算机上玩游戏,因为游戏的运行环境普遍较为复杂,遭受计算机病毒攻击的可能性也很大,所以要禁止此类操作。再者,对单位和学校的计算机要设定使用权限,只针对本单位或本学校的人员开放,以防止外来人员恶意传播病毒。最后,要对计算机内的系统盘进行重点保护,防止计算机内自身的文件携带病毒而发生局域网络的病毒传播。其次,要建立病毒的防护体系,需要在以下几个层面上采取防护措施,第一在访问控制层上进行防护,使得病毒无法深入访问计算机。第二在病毒检测层上,使一些隐藏较好的病毒及时显现出来。第三在病毒遏制层上,将检测到的病毒进行及时控制防止其蔓延。第四是在病毒清除层上,将控制的病毒彻底清理干净。第五在系统恢复层上,加强系统自身修复的能力。第六在应急计划层上,对突发事例进行及时应对。这些层面的防护措施,需要切实有效的软件技术与硬件设备的支持,并由专业人员进行设计和处理。加强电磁屏蔽可以阻止电磁泄漏与电磁辐射,并且有效的阻止电磁辐射类型的病毒的传播,进而保证了计算机的安全。要经常进行计算机病毒的检测,对发现的系统漏洞及时修复。熟知计算机感染病毒之后的一些症状,一旦自己使用的计算机出现了相应症状,在简单处理之后仍然无法使其正常运行的,一定要到专业人员那里进行病毒查杀与系统的修复。在日常浏览网站的过程中,用户必须时刻的提起警惕,将自我保护的安全意识增强。对于不熟悉的陌生网站,用户切勿轻易浏览点击。相当一部分的陌生网站均有着有害恶意代码植入,也可能是冒名顶替的钓鱼网站以及不健康的网站,如果用户不小心将这些网络页面打开,那么便马上被植入木马或者病毒。所以,用户应当尽可能去访问浏览大型门户网站,并且注意域名存在冒名顶替的迹象与否。对于此类状况,首先用户应当从主观上防止对陌生网站的浏览,并且将网页防火墙打开,最大限度的减少木马及病毒所带来的侵害。除此之外,在网上下载软件和资料时,用户还应当注意下载之前进行病毒的查杀,切实的确认安全以后再使用。
四、结语:
用户应当强化安全防范意识,并且将网络安全技术和防病毒软件综合起来,从而维护计算机网络的安全。
参考文献:
[1] 周志杰.计算机病毒的特征及防范对策探析[J].太原城市职业技术学院学报,2012年5月;
[2] 陈立新.计算机:病毒防治百事通[M].北京:清华大学出版社,2001.
关键词:计算机病毒,病毒防治,系统维护,计算机实验室
中图分类号:TP311 文献标识码:A文章编号:1009-3044(2008)15-20000-00
The Integrated Scheme Studies of Virus Prevention and Software Maintenance in Computer Lab
BO Tao,DING Lei
(School of Information Engineering,Tianjin University of Commerce,Tianjing 300134,China)
Abstract: Through analyzing the characteristic of virus,combining with the normal virus protection measure and routine maintenance method in computer lab, this paper puts virus prevention and cure and faster system maintenance in computer lab. The integrated scheme has some practical value on virus preventions and system maintenance in computer lab.
Key words:computer virus;virus prevention and cure;system maintenance;computer lab
1 计算机病毒的简介
随着世界上第一台电子计算机的问世,计算机之父冯.诺依曼在《复杂自动机组织论》中便首先提出了计算机病毒的基本概念,即“一种能够实际复制自身的自动机”[1]。当时,绝大部份的电脑专家都无法想象这种会自我繁殖的程序是可能的,只有贝尔实验室三位年轻的程序员受到了启发。他们发明了一种“磁心大战”的游戏,玩这个游戏的两个人编制许多能自身复制并可保存在磁心存储器中的程序,然后发出信号,双方的程序在指令控制下就会竭力去消灭对方的程序,在预定时间内,谁的程序繁殖得多,谁就得胜。由于这种程序与生物医学上的“病毒”同样具有传染和破坏的特性,所以后来就把这种具有自我复制和破坏机理的程序称为计算机病毒。
1.1计算机病毒基本特性
(1)传播性:计算机病毒进入计算机并得以执行后,会搜寻符合其传染条件的程序或存储介质并将自身代码插入其中,达到自我繁殖的目的。
(2)隐蔽性:表现为两个方面:一是传播的隐蔽性,大多数病毒在进行传播时速度极快,不易被发现;二是存在的隐蔽性,一般的病毒程序都夹在正常程序中,很难被发现,一旦病毒发作,往往已经给计算机系统造成了不同程度的破坏。
(3)破坏性:计算机病毒都是一种可执行程序,对系统来讲都存在一个共同的危害,即降低计算机系统的工作效率,占用系统资源。其破坏程度取决于入侵系统的病毒程序。
(4)触发性:病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。当条件满足则启动感染或破坏动作,使病毒进行感染或攻击[2]。
随着网络时代的来临,计算机病毒具有更多新特性,比如传播速度更快,破坏程度更大、变种更多,隐蔽性更强等。
2 实验室常规反病毒措施
计算机类实验室除了要承担学生的课程实验外,还会承担计算机等级考试、毕业设计以及各种社团培训等任务。由于上机学生自带的软盘、U盘来源广、数量多,为病毒的传播埋下了隐患,再加上计算机间的互联、Internet的开通,使病毒的迅速传播成为可能。为了保证实验室教学工作的正常运行,必须使用一定的技术手段对计算机病毒进行有效的防治。
2.1 反病毒软件
目前市面上的反病毒软件种类繁多,比如金山毒霸、瑞星、卡巴斯基、诺顿等。一般来说,反病毒软件分为单机版和网络版两种类型。单机版的反病毒软件只能安装在一台机器上使用且只能单机享受杀毒引擎和病毒库的升级,如果多台计算机同时安装了同一单机版的反病毒软件,不但每台计算机都要独立进行升级,还会被认定为对该反病毒软件的非法传播。网络版的反病毒软件则可以安装在同一网络环境中的多台计算机上,具体来说就是把该软件的Server端安装在一个服务器上,其它计算机只安装客户端即可,当服务器升级了杀毒引擎和病毒库后,其它计算机将同步进行升级。
目前来看,反病毒软件只能对已发现的病毒进行查杀,病毒特征库需要经常补充升级,从反病毒软件公司发现该病毒到升级终端病毒库存在一段时间间隔,所以造成反病毒查杀毒功能滞后于病毒的产生和传播。如果不能对终端计算机进行反病毒软件版本及时更新,那么反病毒软件对这些新病毒可以说是行同虚设,几乎不能起到什么保护作用。
安装并升级反病毒软件到最新版本不但可以将计算机中已存在的病毒清除出系统,还能通过实时监控功能,将试图侵入计算机的病毒在第一时间进行查杀,继而保障计算机感染、传播病毒的几率降到最低。
2.2 系统漏洞修补
系统漏洞是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,这些缺陷可以使攻击者能够在未授权的情况下访问或破坏系统,比如说安装木马程序、恶意软件等。系统漏洞补丁则是针对这些缺陷对相关系统(操作系统、应用系统)予以修复的。因此及时安装系统漏洞补丁对保障系统的安全是非常重要的。
对单台计算机来说,可以采用登录操作系统所属公司的官方网站来进行主动修复;或者使用操作系统自带的自动更新程序进行被动修复;另外,还可以用一些反病毒软件里包含的漏洞扫描工具来进行漏洞的修补。
对于网络中的计算机来说,可以建立一个漏洞补丁服务器,通过服务器对网络中所有计算机补丁程序,实现系统漏洞的修补。
2.3 系统分区保护
系统分区保护可以通过硬件和软件两种方式来实现,一般来说,对在网络中的计算机主要使用硬盘保护卡等硬件措施来保护。硬盘保护卡也叫还原卡,它主要的功能就是对硬盘上的部分或全部分区进行防写入保护,任何对被保护部分的写操作都视为无效操作。
硬盘保护卡的原理:保护卡在系统启动的时候首先用它自己的程序接管对硬盘进行读写操作的一个INT13中断地址,并且将文件分配表、硬盘主引导区、CMOS信息、中断向量表等信息都保存到保护卡内的临时储存单元中。此外还将文件分配表进行备份并保存到临时存储单元中,用来应付对硬盘内数据的修改。这样,每当我们向硬盘写入数据时,虽然还是完成了写入到硬盘的操作,其实并没有真正修改硬盘中的文件分配表,而是写到了备份的文件分配表中。当我们向硬盘读取数据时,保护卡的监控程序首先判断读取的内容是否在启动后进行过修改,如果修改过,则从备份的文件分配表中读取,否则就从原文件分配表中读取[3]。
硬盘保护卡可以保护硬盘数据免于受到上机学生误操作而造成的破坏,又可以有效的防止计算机病毒对硬盘的侵害。硬盘保护卡在实验室中大量安装后,在一台计算机上安装的信息可以通过网络拷贝的方式复制到其他安装有相同型号硬盘保护卡及硬盘型号一致的计算机上,实现信息的快速同步,极大的减少了管理人员的维护工作量。这种病毒防范及系统维护模式在学校实验室设备系统维护管理中占有很大比重。
3 实验室反病毒及系统维护措施分析
实验室在病毒防治上大都采用硬盘保护卡方式,辅以安装系统漏洞补丁及反病毒软件定期更新相结合的方式,有效地提高了计算机的安全性和可靠性,同时也大大提高的实验室维护的效率。但几种措施结合在一起使用时,也会带来新的问题---硬盘保护功能与反病毒软件实时更新间的矛盾。
当在计算机上安装硬盘保护卡以后,一般将硬盘分为C、D两个分区,C区为系统分区,安装有操作系统以及实验用到的软件,设置为保护。D区为共享分区,用于保存学生的实验数据及个人文档,设置为不保护。如表1:
从表中我们可以看出,反病毒软件及操作系统所在的C区是被硬盘保护卡所保护的,并不能进行实时更新,这样将使系统漏洞无法得到及时修补、反病毒软件无法获得最新的病毒库信息,而最终会导致没有被硬盘保护卡保护的D区很容易受到最新病毒或木马程序的攻击。如果D区上存在病毒或者木马,虽然他们不会影响到C区的系统文件,但是病毒会侵入到内存中,大量占用系统资源,降低计算机的工作效率,也一样影响正常的教学工作。更为严重的是这类经过软硬件结合保护、C区无毒的计算机却成了病毒传播的毒源。
如果对于单台计算机来说,我们可以通过每天先取消硬盘的保护状态,再升级反病毒软件,安装最新的系统漏洞补丁,最后再对硬盘开启保护状态这样一个流程来解决两者间的矛盾。但是实验室中的计算机数量众多,如果对每台计算机都进行一遍上面的流程,会是一个非常巨大的维护量,不仅造成大量的时间浪费,还会影响计算机的使用率。因此我们必须找到行之有效的办法,合理解决两者间的矛盾。
4 病毒防治及软件系统快速维护的综合方法
首先来分析一下反病毒软件的设置,既然硬盘保护卡要对操作系统及常用软件进行保护,而反病毒软件又要实时更新,那么把反病毒软件安装到一个新的分区,称为反病毒软件分区,分区里分配的空间不需要很大,也不需要硬盘保护卡对其进行保护。这样反病毒软件的实时更新问题得到了解决。但是另一个问题随之而来,反病毒分区并未被保护,它的安全性没有保障。
目前大多数的实验室安装的都是WIN2000和XP系统,而这两个系统中的文件系统都可以设置为NTFS(新技术文件系统)分区,其最大的改进就是容错性和安全性。以XP系统为例,在NTFS文件系统里的每个文件和目录, 创建人被指定为文件的拥有者, 拥有者控制文件和目录权限的设置,并能赋予其他用户访问权限。NTFS 规定了如下权限: 只有用户在被赋予访问权限或属于拥有这种权限的组, 才能对文件进行访问。由于可单独对文件或目录设置访问权限, 因此提高了更高级别的安全机制。该访问权限同时作用于本地登录用户和通过网络访问的用户[4]。
所以,采用文件系统权限分配功能就可以解决反病毒分区内容的安全问题。具体操作可根据NTFS规定的权限来进行设置:首先建立一个新管理员用户,将其隶属于管理员组。然后以Administrator帐户登录,将反病毒软件分区里的所有可访问用户去掉,只留下Administrator 和新管理员帐户。Administrator将拥有对反病毒软件分区里的文件和目录完全控制的权限,而新管理员用户将只拥有读取及运行、列出文件夹目录、读取三种权限。最后用Administrator 登录系统, 将反病毒软件安装在新分区。通过这样的设置,可以使反病毒软件分区在没有硬盘保护卡保护的状态下安全操作,不会被没有访问权限的学生用户所修改。
通过上面的设置使我们在日常维护中,可以先在一台计算机上以新管理员用户登录系统,对反病毒软件进行实时升级,然后以该计算机为母机,通过网络复制的方式,只将反病毒软件分区的信息拷贝到实验室其他计算机上。由于反病毒软件分区所用空间很小,通过网络拷贝的用时将会非常短,从而实现了实验室软件系统的快速维护。同时,反病毒软件的实时更新,也能使计算机对最新的病毒种类进行更好的查杀,提高了实验室病毒的防治能力。
但还有一点不足之处,就是系统漏洞随机实时修复和硬盘保护间还存在一定的问题,这也是我们将来需要努力的方向。
5 总结
使用以上综合方法,不但可以解决硬盘保护功能与反病毒软件实时更新间的矛盾,也解决了实验室病毒防治与设备维护工作之间的矛盾。然而计算机病毒防治是一个世界性的难题,自从计算机病毒诞生以来,反病毒技术和病毒技术之间的较量一直在延续。就目前来看,反病毒技术相对滞后于病毒制造技术,因此我们不仅要在反病毒技术上有更大的突破,还要从思想上树立一种防范意识,以防、杀结合的方式面对计算机安全的挑战。尤其需要认识到运行的计算机系统的内存中没有病毒和木马才是干净的系统,否则,即使被保护的硬盘中无毒,也依然会成为病毒及木马的传播源。
参考文献:
[1]彭曦.高校实验室计算机病毒的防范与解决方法的探讨[J].职业圈,2007,(3):186-187.
[2]王彩荣.计算机病毒特性分析及防范措施[J].沈阳师范大学学报,1998,(3):17-19.
[3]郁诺.硬盘保护卡工作原理分析[J].大众科技,2006,(7).
[4]符兴华,何云强.公共机房中病毒的整体防护技术[J].重庆科技学院学报,2007,(3):72-75.
关键词计算机病毒教学演示传染课件
计算机病毒一直就是计算机专业中计算机安全保密、计算机数据安全等相关课程的一个重要知识点。近几年,国内有不少学校将计算机病毒作为一门单独课程进行讲授,如武汉大学信息安全专业开设了“计算机病毒分析与对抗”课程,加拿大的卡加利大学为大四学生提供了一门“计算机病毒与恶意程序”的课程,修课的学生将会自己撰写病毒并进行测试。计算机病毒课程的重要性得到体现。
本文主要讨论目前计算机安全相关课程中的计算机病毒知识点在教学中的一些问题。
1 目前的病毒教学状况
计算机病毒技术发展迅速,但计算机病毒的理论发展却一直比较缓慢。在针对计算机病毒的教学上,目前还有不少高校的大部分或全部教学内容和不少初高中病毒课程的教学内容相似,国内普遍存在病毒教学内容过于陈旧、病毒教学远远落后于目前的实际病毒技术发展的问题。
另外,因为种种原因(如教学观念保守等),大部分授课教师在对计算机病毒进行讲解时,仅仅对病毒的基本概念和分类作一些基本讲述,而对计算机病毒的本质技术问题(譬如传播技术)避而不谈,从而导致在课程结束之后,仍然无法消除甚至反而增加了学生对计算机病毒的神秘感。
2 计算机病毒的大致知识体系
计算机病毒课程的知识点大致概括为:①计算机病毒的基本概念和发展;②DOS病毒技术;③Windows病毒技术(宏病毒、脚本病毒、PE病毒等);④其他平台计算机病毒技术(如Linux病毒);⑤计算机病毒和蠕虫的区别和联系;⑥计算机病毒理论研究;⑦病毒对抗技术;⑧病毒样本分析与提取。
以上对计算机病毒的知识体系大致作了介绍,其整体可以单独作为一门计算机病毒课程来进行具体讲授。但在一般计算机安全相关课程中,通常只有4个学时左右的时间来讲授部分知识点。如何在4个学时达到有效的教学目的?下面提出几点建议供参考。
3 计算机病毒教学中的几点建议
3.1改变教学观念
由于计算机病毒独有的传播性和危害性,以往在教学和研究上面,思想都比较保守,在涉及到病毒关键技术的时候总是避而不谈。
如今,“计算机病毒”已经成为家喻户晓的名词,在互联网上也可以非常容易地获得某些计算机病毒的完整源代码,并且国内外有不少病毒组织公开发行病毒电子杂志来具体介绍病毒技术和技巧。与此同时,国内外不少反病毒公司开始不断从高校招收反病毒人才,如金山、趋势等公司每年都要从高校招收一批具备一定病毒分析和反病毒引擎研发能力的毕业生。
在2003年,计算机病毒专家Fred Cohen也曾表示,在足够安全的隔绝环境下,让学生直接接触病毒,甚至写出自己的病毒,都是有意义的做法。
显然,如果仍然按照以前的保守观念进行计算机病毒的教学已经不适合目前的发展需要。我们应该以科学的态度来对待计算机病毒技术,从本质上对计算机病毒技术进行分析,一方面消除学生对计算机病毒所产生的神秘感,让他们了解计算机病毒的基本原理,另一方面也为他们日后进行反病毒技术工作和研究提供一定的技术基础。
3.2明确教学目标
对于计算机病毒教学来说,应该充分从学生接受能力和学习规律的角度出发,结合目前计算机病毒技术的发展,确定具体的教学目标。
笔者认为,计算机病毒教学应该能够帮助学生解决如下问题,或者说使他们具备如下一些基本能力:①消除对计算机病毒所产生的神秘感;②了解目前病毒发展状况和特点;③了解目前各类流行病毒和蠕虫的具体感染技术和网络传播方法;④熟悉目前各类反病毒技术的大致原理;⑤知道如何进一步深入学习计算机病毒和反病毒技术。
3.3确定、组织和熟悉教学内容
在确定具体的教学目标之后,任课教师需要有针对性地确定和组织相关的教学内容。该课程要求任课教师能够及时了解目前技术发展状况、同时对相关内容进行消化,做细致筛选、整理,这样才能够将最合适的教学资源呈现给学生。
例如,针对上小节的教学目标,我们大致可以确定如下几项教学内容:①计算机病毒的基本概念和发展;②目前流行计算机病毒的传播途径和特点;③Windows病毒(宏病毒、脚本病毒、PE病毒等)的传染原理;④病毒和蠕虫的区别和联系,以及流行的具体病毒和蠕虫对比;⑤反病毒技术(如校验和、特征值、虚拟机、启发式扫描、实时监控技术等)。
3.4针对关键知识点,准备相关演示软件和程序
针对性地进行各种演示能够大大提高教学的效率、学生学习的积极性和实际操作的强烈欲望。
目前,互联网上存在一些比较好的资源可供教学使用。例如涉及到计算机病毒起源的“磁芯大战”游戏。再如,河南经纬软件有限公司周辉和吴信生研制的“经纬病毒百科全书2.0”(VLIST)提供了9677种病毒的详尽资料,并且提取了319种DOS病毒的表现模块进行演示。另外,针对Windows中的每一类病毒,建议能够各自提供一个具体的演示实例。
例如,在介绍宏病毒时,事先准备几个自动宏的代码(功能可以简化,譬如仅弹出提示窗口),从而让学生深入理解宏病毒获得控制权的方式。另外,我们可以在此基础上继续对各种传染代码进行解释和演示。这既可以让学生了解宏病毒的原理,同时也可以让他们掌握防范和清除宏病毒的方法。
在进行脚本病毒的讲授时,我们可以事先准备一段能够进行文件感染和文件搜索的VBS脚本代码,从而大大加深学生对脚本病毒的理解。
在针对PE病毒的讲解中,演示程序的合理使用能够让学生在较短时间内快速理解PE病毒的感染原理,这是一般课堂讲授即使通过较长时间也难以达到的效果。
3.5课前作好充分准备
制作一份好的PPT课件也会极大地提高教学效果。PPT课件与演示软件、程序等课件应该形成有效互补。但PPT课件提供的内容不能过多,否则容易对学生吸收造成比较大的压力,反而影响教学效果。在近4个小时的教学时间内,内容过多将导致任课教师很难在进行上述各项演示之后,比较完整地按照原定计划讲述PPT课件的内容。因而任课教师在课前需要果断地对讲授内容进行取舍,并结合学生的学习特点,这样才有利于制作出优秀的PPT课件。
3.6作好教学引导和启发
由于教学课时数的限制,以及考虑学生今后发展的需要,对于计算机病毒中的部分知识点,应该以加强引导和启发学生为主。
如对于PE文件格式的介绍,在学生了解其与PE病毒传染的大致关联之后,不需要继续对PE文件格式进行详细的介绍,而可以给学生提供一些有效的学习PE文件格式的方法和计算机病毒中所要使用的一些相关的关键技术,如重定位、API函数地址获取、添加节表等,并提供一些书籍或者网址供他们学习参考。
另外,在课堂上适当地提出一些有针对性的引导性问题有利于启发学生,同时也可以提高学生的注意力。在课堂之后给学生提出一些具有引导性质的课后问题也可以激发他们的兴趣,进一步延伸他们的学习过程。
由于计算机病毒的特殊性,教师还需要引导学生加强法律意识和社会责任感。
3.7课堂上保持适度的兴奋度
一个好的教学过程需要任课教师和学生在课程上拥有适度的兴奋。教师的教学态度和热情对学生的听课态度将产生比较大的影响,同时学生的反应也将影响到教师授课的情绪。
3.8课堂教学和实验相结合
病毒实验与病毒课堂教学相辅相成。任课教师可根据具体的实验课时安排,来灵活调整实验内容。但主要内容建议集中在病毒传染或病毒样本提取部分。任课教师可以选择一个简单的Windows下的病毒样本,或者自己实际编写一个简单感染程序,让学生在封闭的实验环境中进行调试跟踪或样本提取。对于学习能力强的学生,可以给他们安排一些设计性的实验。同时要求学生提交实验报告,一方面可以掌握学生的教学和实验效果以利于今后进一步改进,另一方面也可促进学生对学习过程进行总结以进一步提高学生能力。
关键词:计算机病毒 行为特征 病毒检测 语义网络
中图分类号:TP393.08 文献标识码:A 文章编号:1674-098X(2014)04(a)-0032-01
随着计算和网络技术的普及,在未来人们必将迎来全球化通讯网络时代。虽说网络给人们的生产生活带来巨大的便利性,但是一定程度上它也存在安全隐患与危害性,其中危害影响最为严重的就属计算机病毒。伴随着网络宽带的升级,计算机病毒的传播速度和变种速度也越来越快,产生问题也就愈发增多,人们对此也是关注不已,所以,如何提高计算机安全性能已经成为计算机领域重点研究的课题。面对计算机病毒变种日益加快的现象,人们必须要研究出新型性的检测方法来查找计算机存在的未知病毒。
1 计算机病毒的行为特征
1.1 传染性
计算机病毒最主要的特征莫过于传染性,同时,计算机病毒的传染性特征还可以用来判断某一段程序是否成为计算机病毒的载体。事实上,计算机病毒只是认为编写的一段计算机程序代码,一旦将其植入计算机中展开运行操作,它便会自动搜寻符合其传染条件的其他程序或者存储载体,认准目标后再将自身代码植入其中,从而形成自我的“繁殖与生长”。并且一直循环往复下去。
1.2 非授权性
计算机病毒潜藏在合乎法律规范的程序中,它们会利用用户操作运行合法程序的空隙偷窃到控制系统的权利,在合法程序之前就开始操作运行,无论病毒的行为,还是病毒的目的,对于用户来说都一无所知,其是在吗没有经过用户同意就开始自行操作运行的。
1.3 不可预见性
从病毒检测角度来说,计算机病毒还具备不可预见性的特征。病毒的种类不同,其所对应的代码也就不同。虽然现在已经研发出一定的反病毒技术,但是对于庞大的计算机病毒群体来说,这只是冰山一角,反病毒技术仍旧有待提高,只有在一定的病毒出现后,才会生成对应的反病毒技术。
1.4 可触发性
通常计算机病毒都会具备一种或者多种触发条件。一旦达到其触发条件的要求,其便被激活,并进行自我复制传染,给其它正常程序带来不利的影响,同时,计算机病毒的传染性受到触发条件的限制,触发条件越多,计算机病毒的传染程度就越大。
1.5 破坏性
计算机病毒主要包括良性病毒和恶性病毒两种。良性病毒是编程者出于恶作剧编写出来程序这类病毒不会对文件、数据产生破坏性,不过会造成系统资源的浪费。而恶性病毒则会对系统产生重大危害,可能会导致程序无法正常运行,或者将计算机内部文件进行删除,亦或者受文件和数据受到不同程度的破坏等等。
1.6 潜伏性
绝大数的计算机病毒在传染系统后不会立刻发作,因此,它可能会在磁盘上等上几天,甚至几年,一般要时机成熟它便会爆发,四处繁殖扩散,危害系统。比如黑色星期五病毒,不到预定时间一定不易察觉出来,等到条件具备了便会立马爆炸开来,对系统进行破坏。
1.7 隐蔽性
计算机病毒通常都为编程技术较高的程序,其个体较小,往往依附在合法程序之中,有时也会有少许的病毒出现在隐含文件之中,用户是很难发现这些小个体的。也就是说,不通过代码分析,是很难将计算机病毒与合法程序分辨出来的。
2 计算机病毒传染行为的语义网络表示以及检测方法
2.1 语义网络的阐释
语义网络是一个向图形式,是由一组节点和若干条连接节点的弧构成,其中节点代表事物、行为或者对象等,弧则指各个节点之间存在的关系。语义网络表示行为存在着一定的优势:一是语义网络表示中存在父节点与子节点、虚节点与实节点,有助于面向对象技术的实现;二是各节点之间形成一定的网状结构,便于理清各种复杂关系;三是其搜索效果较为明显,具备强大联想式推理作用。
2.2 计算机病毒传染行为中语义网络的表示
根据上文语义网络的阐述,在计算机病毒传染行为模式的语义网络表示中,节点代表着计算机的程序行为,将每条链上的结尾部的节点称为值节点,该节点上的值表示某种程序所具有的行为特性以及该行为特性所拥有的权值。例如,在整个语义网络中存在着“系统漏洞传播”的这一部分,节点通过这一部分又划分成“漏洞扫描”、“攻击模块”、以及“自我复制”三个子部分,分别代表某种程序在执行过程中漏洞扫描行为、攻击行为以及自我复制的行为。并且这三个子部分都有其自身的一个权值,其中权值的大小主要取决于行为所依据病毒的特征性。以此类推,语义网络中的其他值节点也是这样分层的。每一条弧线上的分析关系意味着这类行为特征并不是所有病毒程序都具备的,在检测过程中只要检测到其中一种就要加上与之对应的权值。该种表示方式有助于实现面向对象技术,把每一个恶意代码看作是一个对象,将不同种类的病毒程序及其典型性的传染行为整合起来,并按照对象之间的关系将它们联系性和结构性表示出来。在此构图中,恶意代码单独归为一类,该类中的具体对象就指代表着各种各样的病毒程序,每一种病毒程序的典型性的传染行为就作为事物的特性。在这种行为表示方法中形成的行为模式库很容易进行维护,并且产生的检测效果也很显著,值得推广使用。
2.3 未知病毒的检测方法
检测引擎在未知病毒的检测系统中起到举足轻重的作用,文中所提出的检测方法主要是以计算机病毒的行为特征作为准则,在此过程中的行为模式库是采用层次化的语义网络结构。检测引擎的工作流程是按照如下安排:先输入一组固定的病毒发现门槛值、检测值,用一个字符数组来贮存被检测文件所具备的病毒行为特征,随后导入检测文件进行病毒检测,检测系统要对文件内容进行检查,将检查到的内容与行为模式库中各种行为模式进行参照对比,如果被检文件符合计算机病毒的某种行为特征,就需在检测总值上加上此种行为特征的权值,并将其特征描述贮存到字符数组中。如果其检测值大于门槛值,就说明该文件内存在恶意代码,这时系统便会发出警告表示这一文件存在恶意行为,并指导用户进行文件删除或者杀毒的操作,最后检测结束;反之则说明文件不含有未知病毒,检测结束。
通过总结计算机病毒不同行为特征,并在此基础上形成的病毒检测方法产生效果更加明显,对用户进行未知病毒检测的帮助也就更大。
参考文献
[1] 程胜利,谈冉,熊文龙.计算机病毒及其防治技术[M].北京:清华大学出版社,2004.
关键词:计算机病毒;病毒防治;新趋势
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)24-6896-02
New Trends Study of Computer Viruses Developing
ZHANG Ming-jie
(Department of Information and Management Engineering, Xi'an University of Post and Telecommunications, Xi'an 710061, China)
Abstract: This paper study the new trends of preventing computer viruses. with these new trends, it will proposed a new measures of preventing computer virus.
Key words: computer viruses; virus prevention; new trend
计算机在给我们带来很多方便和帮助的同时,互联网、局域网已经成为计算机病毒传播的主要途径;在与反病毒技术的斗争中,计算机病毒的变形速度和破坏力不断地提高;混合型病毒的出现令以前对计算机病毒的分类和定义逐步失去意义,也使反病毒工作更困难了;病毒的隐蔽性更强了,不知不觉“中毒”带来的后果更严重;人们使用最多的一些软件将成为计算机病毒的主要攻击对象。而且由于近几年传输媒质的改变和Internet的广泛应用导致病毒感染的对象开始由工作站(终端)向网络部件(、防护和服务设置等)转变。
1 计算机病毒呈现新的发展趋势
1.1 病毒技术日趋复杂化
病毒制造者充分利用计算机软件的脆弱性和互联网的开放性,不断发展计算机病毒技术,朝着能对抗反病毒手段和有目的方向发展,使得病毒的花样不断翻新,编程手段越来越高,防不胜防。如利用生物工程学的“遗传基因”原理生产出“病毒生产机”软件,该软件无需病毒编写者绞尽脑汁地编写程序,便会轻易地自动生产出大量的主体构造和原理基本相同的“同族”新病毒。又如利用军事领域的“集束炸弹”的原理制造出的“子母弹”病毒,该病毒被激活后就会像“子母弹”一样,分裂出多种类型的病毒来分别攻击并感染计算机内不同类型的文件。由于现在没有广谱性能的查毒软件,现行的查毒软件只能是知道一种查一种,难以应对“病毒生产机”、“子母弹”等生产的大量新病毒。更为严重的是,这些病毒技术的存在造成病毒暴增随时可能发生。
1.2 计算机网络(互联网、局域网)成为计算机病毒的主要传播途径。
使用计算机网络逐渐成为计算机病毒发作条件的共同点。计算机病毒最早只通过文件拷贝传播,当时最常见的传播媒介是软盘和盗版光碟。随着计算机网络的发展,目前计算机病毒可通过计算机网络利用多种方式(电子邮件、网页、即时通讯软件等)进行传播。计算机网络的发展有助于计算机病毒的传播速度大大提高,感染的范围也越来越广。可以说,网络化带来了计算机病毒传染的高效率。这一点以“冲击波”和“震荡波”的表现最为突出。以“冲击波”为例,冲击波是利用RPC DCOM缓冲溢出漏洞进行传播的互联网蠕虫。它能够使遭受攻击的系统崩溃,并通过互联网迅速向容易受到攻击的系统蔓延。 它会持续扫描具有漏洞的系统,并向具有漏洞的系统的135端口发送数据,然后会从已经被感染的计算机上下载能够进行自我复制的代码MSBLAST.EXE,并检查当前计算机是否有可用的网络连接。如果没有连接,蠕虫每间隔10秒对Internet连接进行检查,直到Internet 连接被建立。一旦Internet连接建立,蠕虫会打开被感染的系统上的4444端口,并在端口69进行监听,扫描互联网,尝试连接至其他目标系统的135端口并对它们进行攻击。与以前计算机病毒给我们的印象相比,计算机病毒的主动性(主动扫描可以感染的计算机)、独立性(不再依赖宿主文件)更强了。
1.3 计算机病毒变形(变种)的速度极快并向混合型、多样化发展
“震荡波”大规模爆发不久,它的变形病毒就出现了,并且不断更新,从变种A到变种F的出现,时间不用一个月。在人们忙于扑杀“震荡波”的同时,一个新的计算机病毒应运而生―-“震荡波杀手”,它会关闭“震荡波”等计算机病毒的进程,但它带来的危害与“震荡波”类似:堵塞网络、耗尽计算机资源、随机倒计时关机和定时对某些服务器进行攻击。在反病毒服务提供商Sophos公布的一份报告中称,今年5月份互联网上出现的各类新的蠕虫病毒种类数量创下30个月以来的新高,共出现了959种新病毒,创下了自2001年12月份以来的新高。这959种新病毒中包括了之前一些老病毒的新变种。计算机病毒向混合型、多样化发展的结果是一些病毒会更精巧,另一些病毒会更复杂,混合多种病毒特征,如红色代码病毒(Code Red)就是综合了文件型、蠕虫型病毒的特性,这种发展趋势会造成反病毒工作更加困难。2004年1月27日,一种新型蠕虫病毒在企业电子邮件系统中传播,导致邮件数量暴增,从而阻塞网络。不同反病毒厂商将其命名为Novarg、Mydoom、SCO炸弹、诺威格、小邮差变种等,该病毒采用的是病毒和垃圾邮件相结合的少见战术,不知情用户的推波助澜使得这种病毒的传播速度似乎比近来其他几种病毒的传播速度要快。
1.4 运行方式和传播方式的隐蔽性。
9月14日,微软安全中心了9月漏洞安全公告。其中MS04-028所提及的GDI+漏洞,危害等级被定为“严重”。瑞星安全专家认为,该漏洞涉及GDI+组件,在用户浏览特定JPG图片的时候,会导致缓冲区溢出,进而执行病毒攻击代码。该漏洞可能发生在所有的Windows操作系统上,针对所有基于IE浏览器内核的软件、Office系列软件、微软.NET开发工具,以及微软其它的图形相关软件等等,这将是有史以来威胁用户数量最广的高危漏洞。这类病毒(“图片病毒”)有可能通过以下形式发作:1) 群发邮件,附带有病毒的JPG图片文件;2) 采用恶意网页形式,浏览网页中的JPG文件、甚至网页上自带的图片即可被病毒感染;3) 通过即时通信软件(如QQ、MSN等)的自带头像等图片或者发送图片文件进行传播。在被计算机病毒感染的计算机中,你可能只看到一些常见的正常进程如svchost、taskmon等,其实它是计算机病毒进程。前不久,一部与哈里.波特相关的电影分别在美国和英国开始放映。接着,英国某安全公司就发出警告称,“网络天空”蠕虫病毒正在借助科幻角色哈里?波特而死灰复燃。安全公司指出, Netsky.P蠕虫病毒变种感染的用户大幅度增加,原因是它能够将自己伪装成与哈里・波特相关的影片文件、游戏或图书引诱用户下载。“蓝盒子(Worm.Lehs)”、“V宝贝(Win32.Worm.BabyV)”病毒和 “斯文(Worm.Swen)”病毒,都是将自己伪装成微软公司的补丁程序来进行传播的。这些伪装令人防不胜防。
1.5 利用操作系统漏洞传播
操作系统是联系计算机用户和计算机系统的桥梁,也是计算机系统的核心,目前应用最为广泛的是WINDOWS系列的操作系统。2003年的“蠕虫王”、“冲击波”和2004年的“震荡波”、前面所提到的“图片病毒”都是利用WINDOWS系统的漏洞,在短短的几天内就对整个互联网造成了巨大的危害。开发操作系统是个复杂的工程,出现漏洞及错误是难免的,任何操作系统就是在修补漏洞和改正错误的过程中逐步趋向成熟和完善。但这些漏洞和错误就给了计算机病毒和黑客一个很好的表演舞台。随着DOS操作系统使用率的减少,感染DOS操作系统的计算机病毒也将退出历史舞台;随着WINDOWS操作系统使用率的增加,针对WINDOWS操作系统的计算机病毒将成为主流。
1.6 攻击手段呈现多样化
计算机病毒的编制技术随着计算机相关技术的普及和发展而不断提高和变化。过去病毒最大的特点是能够复制自身给其他程序,现在计算机病毒种类繁多,有文件型、引导型、脚本型、多变型等,大多数具有了蠕虫的特点,可以利用网络进行传播。有些病毒还具有黑客程序的功能,一旦侵入计算机系统后,病毒控制者可以从入侵的系统中窃取信息,远程控制这些系统,更具有危害性。
2 计算机病毒防治的几点建议
1) 用常识进行判断。决不打开来历不明邮件的附件或你并未预期接到的附件。对看来可疑的邮件附件要自觉不予打开。千万不可受骗,认为你知道附件的内容,即使附件看来好像是JPG文件。这是因为Windows允许用户在文件命名时使用多个后缀,而许多电子邮件程序只显示第一个后缀,例如,你看到的邮件附件名称是wow.jpg,而它的全名实际是wow.jpg.vbs,打开这个附件意味着运行一个恶意的VBScript病毒,而不是你的JPG察看器。
2) 安装防病毒产品并保证更新最新的病毒定义码。我们建议您至少每周更新一次病毒定义码,因为防病毒软件只有最新才最有效。
3) 当你首次在计算机上安装防病毒软件时,一定要花费些时间对机器做一次彻底的病毒扫描,以确保它尚未受过病毒感染。领先的防病毒软件供应商现在都已将病毒扫描作为自动程序,当用户在初装其产品时自动执行。
4) 确保你的计算机对插入的软盘、光盘和其他的可插拔介质。及对电子邮件和互联网文件都会做自动的病毒检查。
5) 不要从任何不可靠的渠道下载任何软件。因为通常我们无法判断什么是不可靠的渠道,所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。
6) 警惕欺骗性的病毒。如果你收到一封来自朋友的邮件,声称有一个最具杀伤力的新病毒,并让你将这封警告性质的邮件转发给你所有认识的人,这十有八九是欺骗性的病毒。建议你访问防病毒软件供应商,证实确有其事。这些欺骗性的病毒,不仅浪费收件人的时间,而且可能与其声称的病毒一样有杀伤力。
7) 使用其他形式的文档,如RTF(Rich Text Format)和PDF(Portable document.nbspFormat)。常见的宏病毒使用Microsoft Office的程序传播,减少使用这些文件类型的机会将降低病毒感染风险。尝试用Rich Text存储文件,这并不表明仅在文件名称中用RTF后缀,而是要在Microsoft Word中,用“另存为”指令,在对话框中选择Rich Text形式存储。尽管Rich Text Format依然可能含有内嵌的对象,但它本身不支持Visual Basic Macros或Jscript。而PDF文件不仅是跨平台的,而且更为安全。当然,这也不是能够彻底避开病毒的万全之计。
(8) 禁用Windows Scripting Host。Windows Scripting Host(WSH) 运行各种类型的文本,但基本都是VBScript或Jscript。许多病毒/蠕虫,如Bubbleboy和KAK.worm使用Windows Scripting Host,无需用户点击附件,就可自动打开一个被感染的附件。
9) 使用基于客户端的防火墙或过滤措施。如果你使用互联网,特别是使用宽带,并总是在线,那就非常有必要用个人防火墙保护你的隐私并防止不速之客访问你的系统。如果你的系统没有加设有效防护,你的家庭地址、信用卡号码和其他信息都有可能被窃取。
参考文献:
[1] 卓新建.计算机病毒原理及防治[M].北京:北京邮电大学,2004.
【关键词】网络;计算机病毒;传播模型
虽然当今防毒软件种类繁多,对阻止计算机病毒的传播起到了很大的作用,但是新的病毒层出不穷,计算机病毒的发展速度远超防毒软件的发展,因此新病毒或病毒的新变种出现时防毒软件束手无策。起始计算机病毒基本局限于Windows平台,如今,计算机病毒几乎无孔不入,大量出现在其它平台,如Unix平台的Morris、塞班平台的Cardtrap、安卓平台的AnserverBot和FakePlayer、PalmOS平台的Phage、IOS平台的Ikee及Mac OS X平台的Flashback。计算机病毒危害巨大,防毒软件的发展远远落后于病毒的更新速度,因此,研究如何有效防止计算机病毒在网络中的扩散传播有深远意义,而要预防计算机病毒的传播就需要深入了解计算机病毒的传播机理和传播模型,只有把握住了病毒的传播机理与模型,才能对病毒的传播与危害状况作出准确的预测,同时采取有效地措施来防止或降低危害。本文探讨了网络中几种主要的计算机病毒传播模型,下面我们对这几种模型进行一一介绍。
一、易感染-感染-易感染模型
易感染-感染-易感染模型又称Suscep tible-Infected-Susceptible模型,简称为SIS模型。将网络中的每个终端称为一个节点,在该模型中将节点分为两种状态,易感染状态和感染状态。类比于生物病毒的传播规律,一个易感染的节点和一个已被感染的节点发生接触时,单位时间里易感染的节点有的概率被感染,同时已感染的节点有的概率被治愈,被治愈后的节点成为易感染的节点。由于被治愈后的节点又有可能被感染成为感染节点,因此病毒会在网络中反复传播,长期存在。
设未被感染的节点数目为,已被感染的节点数目为,网络中节点的总数目为,则SIS模型满足如下公式:
其中表示单位时间内易感染的节点向已感染节点转化的概率,表示单位时间内已感染节点向易感染节点转化即治愈的概率。
二、易感染-感染-移除模型
易感染-感染-移除模型又称为Susce ptible-Infected-Removed模型,简称为SIR模型。该模型将网络中的节点分为三个类,一是易感染节点,这类节点没有感染计算机病毒,同时对计算机病毒没有免疫力,在与已感染节点进行信息交互时可能会被感染计算机病毒;二是已感染节点,这类节点已被计算机病毒入侵,并且可能将病毒传播给其他节点;三是移除节点,这类节点感染过计算机病毒,治愈后即清除计算机病毒后就对这种病毒免疫,不会再次感染同一种病毒。
设易感染节点的数目为,已感染的节点数目为,移除的节点数目为,网络中节点总数为,满足则ISR模型如下公式:
式中表示单位时间内易感染节点向感染节点转化的概率,表示已感染节点向移除节点转化的概率,即已感染节点被治愈的概率,治愈后就将节点移除。
三、易感染-潜伏-感染-移除模型
易感染-潜伏-感染-移除模型又称为Susceptible-Exposed-Infected-Removed模型,简称为SEIR模型。该模型中节点有四种存在状态,一是易感染节点,这类节点可能在与已被病毒感染的节点进行信息交互时被感染,感染后成为病毒潜伏节点;二是病毒潜伏节点,这类节点中存在计算机病毒,但是病毒尚未发作,也就是说计算机病毒感染一台主机后并不会立即发作,而是经过一段时间的潜伏期后才会被激活,病毒激活后该节点就成为已感染节点;三是病毒激活节点,这类节点病毒已发作,并可能将病毒传播给网络中的其它节点;四是移除节点,病毒激活节点被治愈后有一定的机率成为移除节点,移除节点对同种病毒具有免疫能力,不会再次被同一种病毒感染,但是病毒激活节点被治愈后也有一定的机率成为易感染节点,这类节点还有可能再次被计算机病毒感染。
假设网络中节点总数为N,易感染节点的数目为,处于计算机病毒潜伏期的节点数目为,计算机病毒激活的节点数目为,移除节点的数目为,则SEIR模型满足如下公式:
式中代表易感染节点向病毒潜伏节点转化的概率,代表病毒激活节点被治愈后转化为移除节点的概率,代表病毒激活节点被治愈后转化为易感染节点的概率,代表病毒潜伏节点向病毒激活节点转化的概率。
四、易感染-感染-探测-移除模型
易感染-感染-探测-移除模型又称为Susceptible-Infectious-Detected-Removed模型,简单为SIDR模型。在该模型中,网络中节点有四种存在状态,一是易感染节点,这类节点可以被计算机病毒感染;二是已感染节点,这类节点已被病毒感染,并可以在网络中传播病毒;三是已探测节点,这类节点带有计算机病毒,但是已经被反病毒软件等探测到,并且病毒无法向外传播;四是移除节点,这类节点中病毒已被反病毒软件清除,并且将不会再次感染同一种病毒,这类节点可以由已探测节点转化而来,也可以由易感染节点转化而来(易感染节点上的反病毒软件收到病毒库的更新从而对此种病毒具有查杀能力)。
假设网络中的节点总数为N,易感染节点的数目为,已感染节点的数目为,已探测节点的数目为,移除节点的数目为,则SIDR模型满足如下公式:
式中代表易感染节点向已感染节点转化的概率,代表已探测节点向移除节转化的概率,表示易感染节点向移除节转化的概率,表示已感染节点向已探测节点转化的概率。
五、双因子模型
双因子模型又称为Two-Factor,与其他模型相比更为复杂,双因子模型更加符合现实情况下病毒传播的情况,考虑到了更加现实在因素,如病毒传播时生成的大量数据分组造成路由器或交换机阻塞,从降低病毒传播速率,或者人们可能通过更新反病毒软件、安装网络防火墙或入侵检测系统等手段阻止病毒的传播。双因子模型的微分方程表达式如下:
式中N代表网络中节点的总数,代表时刻网络中易感染节点的数目,代表被移除节点的数目,这类节点不会再次感染同一种病毒,代表已做免疫处理的易感染节点的数目,代表时刻的已感染节点的数目,这类节点可能向网络中传播计算机病毒,代表时刻总共被感染过的节点数目,这部分节点由移除节点和已感染节点构成,即,式中的、、和是常量,是初始时刻的感染率。
六、结束语
计算机病毒的传播模型基本都是借鉴于生物病毒的传播模型,因此如今描述计算机病毒的传播模型实际上很难准确地描述计算机病毒在网络中的传播过程,也很难准确预测病毒的传播会造成的损失,这也为反病毒工作带来了极大的不便。因此,对计算机病毒的传播模型的研究还需要进行一步深入,进一步研究更加符合真实状态下网络中计算机病毒传播情况的模型,以便更加深入地理解计算机病毒在网络中的传播过程、传播原理,更加准确地预测计算机病毒的传播速率及其可能造成的影响,从而为反病毒工作提供理论借鉴与方向导向,以期减少计算机病毒造成的损失甚至在计算机病毒传播前就将其消除,营造一个安全的互联网的环境。
参考文献
关键词 信息安全;计算机病毒;危害;防治
中图分类号TP393 文献标识码A 文章编号 1674-6708(2012)69-0201-02
1 计算机网络下的信息安全
信息安全是指防止信息资源被故意地非法损坏、或使信息资产被非法的进行更改从而扰乱数据信息及电脑系统的正常使用。
例:2000年2月7日,全球闻名的美国搜索引擎站——“雅虎”由于受到黑客入侵,大部分服务陷于瘫痪。在随后的3天里,又有多家美国网站先后黑客袭击,导致服务中断,全美国因特网的运行性能下降了26.8%。这一系列事件造成了严重的政治影响。从经济上讲,美国花旗银行因一次黑客入侵就遭受经济损失高达1 160万美元。这些因特网历史上最严重的黑客入侵事件使人们感觉到,世界上所有的网络系统已没有安全可言,因此计算机网络安全问题开始引起人们极大关注。
又如:当今社会,网上进行购物风靡全球,当人们通过网络进行交易时,先不说购买的产品是不是所见即所得吧,最不容置疑的一个问题便是网上交易活动的安全性,即有些人上网购物一次只付过一次款,然而在网银上被不法分子扣除更多现金,甚至所有网银中的钱全被盗取,究其主原因是网银密码被盗取,所以建议广大购物者最好用U盾来实施网上购物保护,U盾相当于一把钥匙开一把锁,只有在自己电脑上插上U盾才能进行现金交易,而且U盾要设有个人的密码保护,从而双重保证了自己信息的安全,其实,网上交易的安全即是信息安全,信息安全的重要性远远不止于此,经济损失仅是其中一方面。更多的损失是来自国家安全、军事技术、政治机密、知识产权、商业泄密及至个人隐私等被侵犯。
由上可见,如果没有了信息安全,就没有了生活和工作上的稳定,本来电子信息是为了方便人们生活而使用的,反而由于信息安全带来的麻烦会引起人们心理上的恐慌是不必要的,所以了解和掌握计算机信息安全对于日常生活和工作对自己信息安全进行很有必要。
信息安全的内容主要指:操作系统安全、信息库安全、网络安全、存取控制、密码技术和病毒防护等几个方面内容。
1)操作系统的安全:是指操作系统对计算机的硬、软件资源进行有效控制,并对所管理的信息资源提供相应的安全保护;2)信息库的安全:是指计算机系统中所存储的各种有用信息资源能保持完整,能够随时正确使用;3)网络安全:由于计算机网络技术和现代通信技术相结合,使得信息的存储和处理与单机不同,需要有效信息资源的用户可能分布在世界各地,使得信息在传输过程中可能带来安全的问题;4)存取控制:对数据和程序的读、写、修改、删除和执行等操作进行了控制,防止信息资源被非法获取和破坏;5)密码技术:通过加密,使信息变成某一种特殊的形式,如不懂得解密技术,得到这种信息者也无法使用,这是一种加密保护措施。常用的还有验证的办法,即必须通过某种身份证明,才能获取信息;6)病毒防护:通过采取一些防护措施,从而来控制病毒的传输,能够在病毒侵入系统之前发出警报,能够记录携带病毒的文件,能够清除病毒。
2 计算机病毒对信息安全的危害
2.1 计算机病毒的危害
第一例病毒(巴基斯坦病毒)的传播始于1987年10月在美国德拉华大学。我国于1988年下半年在统计局计算机系统内首次发现“小球”病毒。使重要数据遭到损坏和丢失。如1998年11月2日,美国康奈尔大学的计算机科学系研究生,23岁的莫里斯编写的蠕虫程序使人们对计算机病毒望而生畏,从那时起,更多的计算机专家开始致力于计算机病毒的防护及维护信息安全的研究。
计算机技术为工商企事业创造越来越多财富的同时,电脑病毒造成的损失却越来越大。1999年6月19日,美国调查机构调查报告显示,由于电脑病毒肆虐,全球工商业1999年上半年已损失76亿美元,经调查,在电脑病毒、硬盘损坏、系统崩溃及意外删除等造成工作数据丢失的几项原因中,有 43%认为病毒是导致资料丢失的最主要原因,中国的比例更是高达71%。1999年以来,严重破坏数据的病毒一再肆虐。CIH病毒使得中国及亚太地区的计算机受损严重,多少人长期的心血付之东流,许多单位不可获缺的资料毁于一旦,很多用户的数据得不到及时的恢复和挽回,损失惨重。
又如近日西安公安网监紧急通告:如果你收到一张带有《女人必看》的图片文件、《2012年度工资调整方案》,在任何环境下请不要打开它,且立即删除它。如果你打开了它,你会失去个人电脑上的一切东西。这是一个新的病毒,已经确认了它的危险性, 而杀毒软件不能清除它。目的是摧毁个人电脑。这次病毒危害仅次于灰鸽子、熊猫烧香病毒, 是永远也删不了的。
为了保证信息的完整性和可用性最主要对策是将病毒拒之于千里之外,只要信息不遭受病毒的侵袭,基本上就保证了信息的完整性和可用性,从而保证了信息的安全。世界上每天将会有上百种新的计算机病毒产生,有人形象的称病毒的侵袭就像自然界被遭受了一种可怕的瘟疫。
2.2 计算机病毒概念
计算机病毒是一种人为编制的并且能够自我复制的一组计算机指令或程序代码,即可以制造影响计算机使用故障的计算机程序。而且是可执行程序或数据文件,并占用系统空间,从而降低计算机运行的速度,破坏计算机系统,对计算机造成极大损失。
2.3 计算机病毒的特点
破坏性:主要是指,占用系统资源、干扰系统的运行程度、破坏计算机中的数据等。
潜伏性:计算机病毒可以在较长时间内进行传播而不被人们发觉,具有很强的依附于其他媒体寄生的能力。
传染性:计算机病毒和人体某些病毒一样,具有很大的传染性。计算机病毒可自行复制,或把复制的文件传播到其他的程序,或替换磁盘引导扇区的记录,使得其他程序工磁盘成为新的病毒源。
隐蔽性:计算机病毒是使用者难以发现的,是通过媒体带进计算机内的。病毒未发作前,不容易发现它们;当发现计算机病毒存在时,它已经对计算机系统造成了一定程度的破坏。
2.4 计算机感染病毒时的表现
如果计算机感染了病毒,可能会有下列表现:
1)文件大小不合理或可执行文件长度增加;2)访问磁盘的时间变长;3)程序(文件)装入的时间比平时长很多;4)磁盘的卷名发生了变化或磁盘空间变小、磁盘坏块大量增加;5)数据和程序突然丢失;6)系统出现异常启动或经常“死机”;7)显示器上经常出现一些莫明其妙的信息或异常显示;8)扬声器发出有规律的异常声音;9)系统的某些设备不能使用;10)打印机的速度变慢或打印怪字符。
3 计算机病毒的预防与清除
3.1 计算机病毒的预防
对付计算机病毒应以防范为主,将病毒拒之于计算机系统之外。下面介绍几种防范措施:
1)工作机器上不玩游戏,网络用户不能随意使用外来软件;
2)经常做文件备份,对于系统和重要文件应当备份;
3)不使用盗版软件,不使用来历不明的程序盘或非正当途径复制的程序盘;
4)不要将软盘、闪存盘等随便借给他人使用;
5)对所有的.EXE文件和.COM文件赋予只读属性。对执行重要工作的计算机,要专人专用、专机专用;
6)安装微机计算机的病毒防范卡、防火墙或杀毒软件;
7)定期检查系统以发现和清除病毒。
3.2 计算机病毒的清除
3.2.1 利用反病毒软件清除
一般,反病毒软件具有对病毒进行检测的功能,一般不会因清除病毒而破坏系统中的正常数据。反病毒软件都有较理想的菜单提示,用户使用起来很方便。可以查出几百种甚至几千种病毒,并且大部分软件可以同时清除查出来的病毒。另外,反病毒软件不可能查出所有的新出现的计算机病毒,因此,最好使用两种以上的反病毒软件进行查杀病毒。
3.2.2 人工清除
用人工手段处理病毒,特别是在一种病毒刚刚出现,而又没有相应处理软件对其进行了自动处理时,这种方法更加重要。如果发现某一文件已经染上病毒,用杀毒软件无法清除时,干脆删除该文件,这些都属于人工处理。但用人工手段处理病毒容易出错,有一定的危险性,如有不慎的误操作将会造成系统数据丢失,不合理的处理方法还可能导致意料不到的后果。所以,只要有相应的病毒处理软件,应尽可能采用软件自动处理。
3.2.3 宏病毒的手工清除和预防
首先设置并预防宏病毒:在Word2003中,执行工具宏安全性命令,在“安全级”选项卡中,选择“非常高”或“高”选项。这样就只允许运行可靠来源签署的宏,未经签署的宏会自动取消。消除宏病毒。
参考文献
关键词:计算机病毒;传播模式;防范对策
中图分类号:TP309
计算机病毒能够在计算机程序以及计算机网络中进行大规模的传播,让成千上万用户的计算机感染上具有强大破坏性的病毒,给人们的生活带来严重的影响,因此采取有效的措施来对计算机病毒的侵入和传播进行有效的防范。
1 几种主要的计算机病毒传播模式
1.1 SIS模式
SIS计算机病毒模式将计算机网络中的所有个体进行了划分,分为易感染状态和感染状态两种,当计算机中的易感染节点受到病毒的感染后,这个节点就会变成感染节点,这种节点在治愈之后也有很大可能再一次被感染,所以即使这种节点没有受到病毒的威胁,也会被认为是易感染的节点,从这一方面来看,计算机在传播群体中能够进行反复的传播,并且有很大的可能性会在计算机中长期存在。
1.2 SIR模式
SIR模式将计算机网络中的所有节点进行划分,分为三种状态,第一种是易感染状态,也就是计算机的节点没有受到计算机病毒的感染,但是有很大的可能性会被感染。第二种是感染状态,也就是指计算机的节点已经收到了计算机病毒的感染,具有很强的传染性。第三种是免疫状态,这类节点对计算机病毒来说有很强的抵抗能力,不会被同一类的计算机病毒感染,而且也不会进行病毒的传播。当计算机处在SIR模式中的免疫状态的时候,计算机已经从病毒的反复传播中摆脱了出来,这种状态可以被称为移除状态。
1.3 SIDR模式
SIDR模式描述的计算机病毒的传播和清除过程。这种模式将计算机中的节点划分为四种状态,一种状态是Removed状态,这种状态指指的是计算机节点本身具有很强的抗病毒能力。第二种是Detected状态,这种状态下节点已经被病毒感染,但是病毒已经被检测出来,并且这种病毒不会再向外传播。第三种是Infections状态,这种状态下的节点在被计算机感染的同时,还具有向外传播的特点。第四种是Susceptible状态,这种状态下的节点已经被计算机病毒感染。这种模式充分的考虑到了免疫延迟的现象,将计算机病毒传播的过程分为两个主要的阶段,一个阶段是在反病毒程序之后,容易感染的节点和感染的节点在接受疫苗的影响下有可能会变成免疫节点。第二个阶段是反病毒程序之前,网络中的病毒会进行大肆的传播,但是疫苗不会传播,这样感染节点就会变成易感染节点。
1.4 SEIR模式
如果将SEIR模式和SIR模式进行比较的话,SEIR模式多了一种潜伏的状态。所谓的潜伏状态就是节点已经受到了病毒的感染,但是病毒感染的特征还没有明显的表现出来。这种模式指的是计算机病毒在进行传播之后,具有一定的延迟性,它将会在计算机中潜伏一段是时间,等待着用户将其激活。同时潜伏状态下的节点在得到有效的治愈之后,还是有很大可能性变成免疫节点,也有变成易感染节点。这种病毒模式是SIS与SIR模式的结合,但是和SIR模式相比,这种模式更加周到和详细对病毒的传播过程进行了考虑。
1.5 双基因模式
双基因模式充分的考虑了病毒的预防措施进入病毒传播过程后产生的影响,同时也对计算机的感染率进行了考虑。在计算机病毒传播的过程中,计算机用户能够发现计算机病毒的存在,并针对病毒采取相关的措施,比如,对病毒进行查杀、病毒库的更新、完善系统的补丁等,这些都能够降低计算机病毒的感染率。
2 计算机病毒的防范对策
2.1 提高对计算机病毒的防范意识
计算机用户应该从思想方面引起对计算机病毒以及计算机病毒危害的重视。一个具有较高计算机病毒防范意识的人和一个没有计算机病毒防范意识的人相比,对待病毒的态度是截然不同的,而且计算机病毒的感染情况也是不一样的。比如,在反病毒工作人员的计算机上,计算机中存储的各种病毒不会出现随意破坏的情况,对计算机病毒的防范措施也不是很复杂。但是在一个缺乏病毒防范意识人员的计算机内,甚至计算机的屏幕明显的出现了病毒痕迹,但是依旧不能够及时的进行病毒观察,从而导致病毒在计算机磁盘内进行破坏。事实上,只要是对计算机的病毒引起足够的重视和警惕,总能够及时的发现病毒传染过程中和传染过程后的各种痕迹,然后采取有效的措施进行防范和处理。
2.2 做好病毒入口的把关工作
计算机病毒的感染来源大多数都是因为使用了携带病毒的盗版光盘或者是可移动硬盘,因此,为了从源头上防止计算机感染病毒,必须从病毒的入口处做好把关工作,在对计算机的可移动硬盘、光盘进行使用的时候,必须使用计算机上的杀毒软件进行扫描,在网络上下载资料或者是使用程序的时候也应该进行病毒的扫描,通过对病毒继续查杀和扫描来检查计算机中是否有病毒的存在,当确定计算机没有受到病毒感染的时候,再放心的使用计算机。
2.3 及时的升级计算机的程序和系统
及时的升级计算机的应用系统,对操作系统进行及时的更新,同时安装相应的计算机补丁程序,从根源上防范电脑黑客通过计算机出现的系统漏洞对计算机进行攻击。同时,很多程序本身具有自动更新的功能或者是对系统漏洞进行自检的功能,对这些系统的漏洞进行全面的扫描。此外,尽量使用正版的计算机软件,及时的将计算机中的播放器软件、下载工具、搜索工具以及通讯工具等软件升级到最新的版本,对利用软件漏洞进行传播的病毒进行有效的防范。
2.4 安全使用网络
在网络技术高速发展的时代,文明用网成为了保障计算机安全的重点。首先,不能够随意的登陆黑客网站、不文明网站以及。其次,对于MSN、QQ等网络聊天工具发来的不明链接一定要拒绝,不要随意的运行或者是打开。最后就是对于可疑的程序或者是文件不要随意的运行,比如,电子邮件中发来各种陌生的邮件或者是附件等。只要文明安全的用网才能够避免各种病毒对计算机的侵害。
3 结束语:
虽然计算机病毒对计算机的危害比较大,但是,只要我们提高对计算机病毒的重视和认识,采取有效的措施和手段,就能够有效的防止计算机病毒的侵害。
参考文献:
[1]刘俊.基于复杂网络的Email病毒传播模型研究及分析[D].华中师范大学,2009.
[2]王琦.基于异常检测的蠕虫检测系统模型设计[D].南京师范大学,2009.
近年来,计算机在各个领域的应用越来越广泛,对产业的发展带来了极大的促进作用,但与此同时,计算机漏洞和病毒也给用户的个人信息和财产安全造成了严重的威胁。为此,必须制定有效的安全防范措施对计算机病毒进行有效的防范和清除。本文对计算机应用过程中常见的病毒种类和性质进行了总结,并根据实际经验,提出了相应的反病毒防护措施。
关键词:
计算机网络安全;反病毒防护;技术分析
当前,计算机的应用是各个产业发展的主要动力之一,人们生活中的各个方面都离不开计算机技术的应用。但随着计算机应用的不断推广,计算机的脆弱性和易受攻击性也逐渐的显现了出来,给人们的正常生活带来了不小的麻烦,甚至会导致用户个人的信息被窃取,从而造成严重的损失。在计算机网络安全的漏洞中,计算机病毒是威胁性最大的,一旦计算机被病毒攻击,将会导致整个网络系统的瘫痪,影响各个系统的正常工作,甚至对整个社会的和谐稳定造成影响。因此,寻找到有效的反病毒防护措施是当前计算机技术领域研究的重点。
一、网络信息安全的内涵
网络安全是指计算机中相关的硬件、软件、程序等设备中存储的数据具有良好的保护作用,能够有效的抵御外部的入侵和窃取,防止信息的丢失和篡改。网络信息的安全是维护良好网络环境、保持系统正常运行的基本保障。而网络安全中又以网络信息安全为最核心的内容。只有保证了网络信息的安全,才能确保用户的个人隐私,并为计算机的正常运行提供一个可靠的环境。计算机网络的安全性受到多种人为和客观因素的干扰,必须对这些因素进行有效的控制才能确保信息的完整性、有效性和实用性。
二、威胁网络信息安全的因素分析
能够对网络信息安全构成威胁的因素主要有四个方面,分别是信息泄露、信息丢失、信息窃取和拒绝服务。信息泄露主要是由于窃听和信息探测造成的。信息泄露后会被未经授权的实体所应用。信息丢失主要是由于信息被非法的拦截,从而导致一些重要的内容无法传递到终端,或者一些重要的内容被非法的进行了篡改和删减,使得用户无法获取原始的真实信息。信息窃取则是未经授权的实体通过不正当的途径入侵计算机中,窃取其中的服务基点或其他计算机终端的入口。拒绝服务是由于攻击者对计算机的服务系统进行了干扰,从而导致信息和相应的资源无法匹配。当网络被非法登录的攻击者占领后,合法的用户就无法登录网络,也就无法获取正常的网络服务。最终会导致整个网络系统的速度减慢甚至瘫痪。
三、计算机病毒的各种特点
计算机病毒几乎是和计算机一起出现的,并且在计算机技术发展进步的同时,计算机病毒也在不断的更新,其蔓延的速度也有了极大的提高,对计算机的威胁不断加强。计算机病毒不仅会对计算机程序造成破坏,还会导致数据的丢失和篡改,给人们的正常工作和生活带来极大的不便。计算机病毒具有以下几个方面的特点。
(一)伪装性强尽管当前有各种病毒的查杀软件,但是计算机病毒的蔓延和入侵现象还是层出不穷,主要原因就是病毒具有极强的伪装性。一些病毒的性质和特点与普通的计算机文件十分相似,很难被常规的杀毒软件检测出来。一旦病毒入侵计算机后就会迅速进行蔓延和传染,对整个计算机系统进行破坏,影响计算机的正常运行。
(二)繁殖和感染力强计算机病毒与生物病毒一样,具有强大的繁殖和传染能力。正是通过这种传染能力,计算机病毒能够造成极大的影响。一些病毒甚至还能在程序中产生变异,从而使自身的攻击能力进一步的加强。为此,许多杀毒软件都设置了专门的隔离区对病毒进行隔离。
(三)具有较长的潜伏期通常情况下,当病毒入侵计算机后并不会马上对计算机进行破坏,而是需要等到符合一定的环境条件时才会进行传播和破坏。一旦病毒开始作用,就会产生爆发性的效果,在极短的时间内产生极大的破坏。一般情况下,病毒的潜伏期越长,对计算机造成的破坏就越严重。
(四)攻击性强计算机病毒通常都具有强大的攻击能力,不但会破坏计算机中的各项程序,还对对信息进行窃取和篡改,导致用户的个人信息遭到泄露。在企业中的计算机网络中,一旦遭受到病毒的攻击将会产生极大的经济损失。四、病毒的传播途径计算机的传播能力和复制能力使其能够在极大的范围内进行传播,病毒的传播方式也十分的广泛,只要网络中存在信息传输的介质,病毒就能侵入其中,并进行传播和感染。常见的病毒传播方式有以下几种。
(一)移动存储设备一些常见的移动存储设备是常见的病毒传播载体,例如光盘、软盘、硬盘、U盘等。当前,U盘在人们的日常生活中应用的十分广泛,因此U盘是目前最常见的病毒传播渠道。
(二)网络传播网络传播的形式包括非法网页、病毒邮件、论坛、通讯软件等。由于网络具有较强的开放性和流通性,因此也是病毒传播的主要方式之一。在网络环境下,病毒的传播形式更加的多样,不确定因素也更多。
(三)系统漏洞任何一个网络系统中都难免存在一定的漏洞,一些用户由于缺乏一定的安全意识,往往没有对系统中的漏洞进行及时的修补,或是在文件密码的设置上过于简单,这都会导致病毒通过系统漏洞入侵到计算机当中。
五、计算机网络安全与反病毒防护措施
从上文中的分析可以看出,计算机病毒会对系统、信息等造成严重的破坏,因此必须采用有效的措施进行预防和消除。做好日常的防护工作是应对计算机病毒最有效的手段,具体的计算机病毒防护可以从以下几个方面入手。
(一)完善计算机信息网络健康法律保障我国在计算机信息安全方面的法律建设尚不完善,无法有效的控制计算机病毒传播的问题。在这方面,我国可以借鉴国外先进的经验,针对计算机网络安全问题制定专门的法律法规,并结合我国计算机领域发展的实际情况,完善并调整法律体系,为计算机的应用和发展提供一个良好的环境。
(二)加强网络间的访问控制在计算机当中设置防火墙和相关的防护设备能够起到良好的病毒防护作用,还能有效的限制对网络的非法访问,过滤非法的信息。防火墙是通过口令、身份验证、身份审核的过程,确保登录用户的合法性,并在各个局域网之间形成安全链接,在数据传输的过程中,对数据进行同步的验证和检测,并对网络环境进行一定的监控。防火墙还能及时的记录下对网络环境的观测结果,一旦发现有异常的情况,能够及时的向系统反馈,并采取一定的防护措施。
(三)优化防病毒综合系统在计算机技术不断更新发展的过程中,病毒的产生和传播形式也在不断的变化,新的病毒不断产生,其破坏力和传染能力也显著增强。尽管市面上有许多的防病毒软件,但不同的软件都或多或少的存在一定的缺陷,无法从根本上杜绝病毒的入侵。一些防毒软件只能在单机上产生作用,一旦病毒通过网络传播,就无法起到良好的防病毒作用。要有效的应对各种类型的病毒就要求计算机中配备综合的防病毒系统,能够与计算机的硬件和软件设备有效的结合起来。形成一个完善的防护体系。
(四)通过检测与身份认证系统进行实时保护要对计算机病毒进行有效的防范就必须对病毒的类型、特点、性质等有充分的了解。通过对病毒关键词、病毒程序等方面的检索,可以从一定程度上了解病毒的性质和传播方式。根据病毒的这些性质建立检测和清除病毒的措施将更有针对性,也能够起到更好的效果。当前常用的一些防病毒软件都是在病毒入侵后才能对其进行清理,而无法有效的避免病毒的入侵。这样的防护手段相对滞后,此外,一旦病毒入侵计算机就会对计算机造成一些无法补救的破坏,这在一定程度上也影响力防护的效果。为此,应当加强对病毒的预防,对计算机操作者的身份进行及时的确认,将用户的物理身份和数字身份进行比对,严格控制计算机网络的登入程序。
(五)软件的范围杀毒软件是当前使用最为广泛的防范病毒的措施。安装杀毒软件能够在较大范围内防止病毒的入侵。在使用U盘时,要注意对U盘的定期杀毒,切勿使用来历不明的U盘和游戏光盘,在万不得以使用时,也要先对光盘进行杀毒,在进行使用。尽量避免在一些非官方的网站上下载一些非法的软件,这些软件中往往隐藏着木马等破坏力较大的病毒。当受到一些路径不明的邮件或网页信息时不要轻易的打开。对于一些重要的数据要进行备份和定期的检查。(六)建立安全模块安全模块的设立能够为网络提供一层外在的保护层。在安全模块的保护下,只有拥有权限的用户才能登录网络,并下载和使用网络资源。安全模块还能对用户登录网络的时间进行限制,并对用户的身份进行验证和登记,从而在最大的限度上防止非法用户的登录。在安全模块的基础上,还可以建立一定的网络日志系统,对登录用户的操作内容进行一定的监控,从而及时的发现系统中存在的病毒。
(七)网络加密对信息和数据设置加密算法或密钥可以加强对数据的保护。在设置密钥时,应当避免采取过于简单的组合,也尽量避免用个人的信息作为密钥。常用的加密方式包括链路加密、端对端加密、节点加密等。
(八)存取控制在对整个计算机系统采取保护措施的基础上,还要对个别的程序进行单独的控制。存取控制及时就是在用户的身份得到验证后,可以允许用户对一些重要的数据信息进行安全属性的修改,例如,将文件设置为只读、只写等,这样就能有效的提高文件的安全性。
(九)对服务器进行保护大多数的病毒都是通过服务器进入计算机系统的,因此做好对服务器的保护是确保整个计算机系统安全的基础。常用的服务器保护手段是进行可装载模块的设置,这样就能对病毒进行深入的扫描和清理。也可以将可装载模块与防毒卡结合起来,进一步提高防病毒的性能。
六、结语
随着计算机网络的不断扩展和衍生,计算机病毒也在更大的范围内进行传播,给人们的生活生产都带来了一定的不便,还会造成一定的经济损失。为了提高计算机网络的安全性,必须采取合理的措施对计算机病毒进行预防和清除,为计算机的应用构建一个健康、安全的环境。
参考文献:
[1]张士波.网络型病毒分析与计算机网络安全技术[J].硅谷,2013(01):17-18.
[2]邬朝晖,卢畅.计算机网络安全的问题及其防护策略[J].中国新通信,2013(05):81-83.
[3]郭兰坤.浅谈中小企业网络安全问题[J].中小企业管理与科技,2013(06):13-14.
[4]王晓楠.计算机网络安全漏洞的防范对策研究[J].网络安全技术与应用,2014(03):125-126.
[5]王希忠,郭轶,黄俊强,宋超臣.计算机网络安全漏洞及防范措施解析[J].计算机安全,2014(08):48-50.
计算机病毒的入侵途径
1通过移动存储设备入侵。U盘是主要的存储设备之一,微软操作系统为了方便用户,在可移动存储设备插入电脑时系统就会自动的读取autorun.inf文件,然后启动与此相对应的程序,但这一方便却常常被病毒利用。致使U盘成为很多病毒的藏身之地。
2通过安装文件入侵。病毒开发者为达到传播病毒的目的,把病毒藏在一个正常的软件安装包里,当你安装这个所谓“正常”软件的同时,就把病毒也一起安装进电脑了。
3通过源代码入侵。这种病毒主要是一些高级语言的源程序,这些病毒并不是后置性的,而是在源程序编译之前就插入病毒的代码,然后跟随源程序一起被编译成可执行文件,这些执行文件就成为不安全文件,携带大量的病毒。
计算机病毒的判断与防治
1判断认识计算机病毒。(1)扫描法。用反病毒软件进行查杀。目前比较有名的系统反病毒软件如金山毒霸、360安全卫士、诺顿等;(2)观察法。如硬盘引导时经常出现死机、时间较长、运行速度很慢、不能访问硬盘、出现特殊的声音或提示故障等;(3)内存观察法。此方法一般用在DOS下发现的病毒,我们可用DOS下的“mem/c/p”命令来查看各程序占用内存的情况;(4)系统配置文件观察法。此方法一般也适用于黑客类程序,这类病毒一般隐藏在system.ini、wini.ini(Win9x/WinME)和启动组中,在system.ini文件中有一个“shell=”项,而在wini.ini文件中有“load=”、“run=”项,这些病毒一般就是在这些项目中加载自身的程序,有时是修改原有的某个程序。我们可以运行Win9x/Win-ME中的msconfig.exe程序查看;(5)硬盘空间观察法。有些病毒不会破坏系统文件,而是生成一个隐蔽的文件,这个文件一般所占硬盘空间很大,有时会使硬盘无法运行一般的程序。
2计算机病毒的防治措施。计算机网络中最重要的硬件和软件实体就是工作站和服务器,所以计算机病毒的防治须从这两个方面着手,寻求防治措施:(1)服务器防治技术。计算机网络的中心就是网络服务器,目前,比较成熟的网络服务器病毒防治技术一是防病毒可装载模块;二是插防毒卡,可以有效地防治病毒对服务器的攻击,从而从源头上切断病毒传播的途径;(2)工作站防治技术。工作站病毒的防治主要有软件防治、插防毒卡和在网络接口上安装防毒芯片等。软件防治需要人工经常进行病毒扫描,此病毒防治法具有后置性的特点;防毒卡和防毒芯片可以有效地进行实时检测,但这两种方式升级不方便,而且会影响到网络的运行速度;(3)做好自我防控。病毒的传播很多情况下是由于自己的不当操作引起的,比如使用移动存储设备没有进行杀毒,对于新下载的网络文件或者软件也没有养成事先检测病毒的习惯。这就为网络病毒的传播提供了条件;(4)定期进行扫描。定期使用杀毒软件对系统进行扫描。计算机病毒经常利用系统的弱点对其进行攻击,系统安全性的提高是很重要的一方面。但是完美的系统是不存在的。所以,对待计算机病毒,思想重视是基础,杀毒软件及有效的防治手段是保证。只有对病毒进行彻底的了解、剖析,才能有效地控制病毒的发展。(本文作者:肖飞 单位:张家口市教育考试院)
关键词: Win32病毒 病毒原理 反病毒技术
1.前言
从1987年美国F.Cohe提出计算机病毒的概念到现在,计算机病毒的研究已经形成一门属于计算机领域中新兴的学科,即计算机病毒学。计算机病毒学是一门专门研究计算机病毒的产生、活动机制、传染机制,以及计算机病毒免疫和防治的科学。研究计算机病毒学的目的,在于研究如何防止和抑制计算机病毒,计算机病毒学作为一门新兴的学科,它是计算机程序设计技术发展与计算机技术发展极不平衡及当今操作系统开放性与折中性和倾斜性的产物。
正当计算机以日新月异的速度迅猛发展、广泛地深入到社会生活的各个方面的时候,以计算机为核心的信息产业成为一个国家现代化水平的一个标志。在这种情况下,计算机病毒的出现和广泛传播正成为各国政府关注的一个问题。本文以Win32病毒为例,对其病毒原理和反病毒技术进行分析。
2.Win32病毒的原理
2.1病毒的重定位
病毒不可避免要用到变量(常量),当病毒感染HOST程序后,由于其依附到HOST程序中的位置各有不同,病毒随着HOST载入内存后,病毒中的各个变量(常量)在内存中的位置自然也会随着发生变化。
call delta;执行后,堆栈顶端为delta在内存中的真正地址。
delta:pop ebp;这条语句将delta在内存中的真正地址存放在ebp寄存器中。
……
lea eax,[ebp+(offset var1-offset delta)];这时eax中存放着var1在内存中的真实地址。
当pop语句执行完之后,ebp中放的是什么值呢?很明显是病毒程序中标号delta处在内存中的真正地址。如果病毒程序中有一个变量var1,那么该变量实际在内存中的地址应该是ebp+(offset var1-offset delta),即参考量delta在内存中的地址+其它变量与参考量之间的距离=其它变量在内存中的真正地址。有时候我们也采用(ebp-offset delta)+offset var1的形式进行变量var1的重定位。当然还有其它重定位的方法,但是它们的原理基本上都是一样的。
2.2获取API函数地址
2.2.1为什么要获取API函数地址
Win32 PE病毒和普通Win32 PE程序一样需要调用函数,但是普通的Win32 PE程序里面有一个引入函数表,该函数表对应了代码段中所用到的API函数在动态连接库中的真实地址。这样,调用API函数时就可以通过该引入函数表找到相应API函数的真正执行地址。
Win32 PE病毒只有一个代码段,并不存在引入函数段。既然如此,病毒就无法像普通PE程序那样直接调用相关API函数,而应该先找出这些API函数在相应动态链接库中的地址。
2.2.2如何获取API函数地址
如何获取API函数地址一直是病毒技术的一个非常重要的话题。要获得API函数地址,我们首先需要获得Kernel32的基地址。
下面介绍几种获得Kernel32基地址的方法:
2.2.2.1利用程序的返回地址,在其附近搜索Kernel32模块基地址。
我们知道,当系统打开一个可执行文件的时候,它会调用Kernel32.dll中的CreateProcess函数;CreateProcess函数在完成装载应用程序后,会先将一个返回地址压入到堆栈顶端,然后转向执行刚才装载的应用程序。当该应用程序结束后,会将堆栈顶端数据弹出放到IP中,继续执行。刚才堆栈顶端保存的数据是什么呢?仔细想想,我们不难明白,这个数据其实就是在Kernal32.dll中的返回地址。其实这个过程跟同我们的应用程序用call指令调用子程序类似。
2.2.2.2对相应操作系统分别给出固定的Kernel32模块的基地址。
对于不同的Windows操作系统来说,Kernel32模块的地址是固定的,甚至一些API函数的大概位置都是固定的。譬如,Windows 98为BFF70000,Windows 2000为77E80000,Windows XP为77E60000。
在得到了Kernel32的模块地址以后,我们就可以在该模块中搜索我们所需要的API地址。对于给定的API,搜索其地址可以直接通过Kernel32.dll的引出表信息搜索,同样我们也可以先搜索出GetProcAddress和LoadLibrary两个API函数的地址,然后利用这两个API函数得到我们所需要的API函数地址。
解决了以上问题之后,我们就知道如何从引出表结构查找我们需要函数的地址了。那我们怎样获取引出表结构的地址呢?很简单,PE文件头中的可选文件头中有一个数据目录表,该目录表的第一个数据目录中就放导出表结构的地址。
3.Win32病毒的传播途径
Win32病毒感染Windows系统下的EXE文件,当一个染毒的EXE文件被执行,病毒驻留内存,当其它程序被访问时对它们进行感染。
Win32病毒一般通过以下途径传播:
3.1U盘/移动硬盘/数码存储卡传播。
3.2各种木马下载器之间相互传播。
3.3通过恶意网站下载。
3.4通过感染文件传播。
3.5通过内网ARP攻击传播。
4.Win32病毒的危害与症状
系统只要运行这个被感染的文件,首先执行的就是病毒的引导代码,病毒会申请足够的内存空间,再将自己的所有数据从该文件中复制到独立的空间中去,然后创建进程,运行自己。成功之后,系统再跳转回被感染程序原先的入口,执行原程序。由于现在计算机的速度很快,因此多数情况下用户感觉不到病毒的这一附加的过程。
在杀毒过程中,我们一旦漏掉了一个被感染的文件,下次一运行这个文件,又会重新激活病毒。如果Win32病毒感染的对象是Windows自己的文件,而且一旦机器启动,这个程序就会运行的话,并受到Windows文件保护机制的保护,那么杀毒软件将很难恢复这个文件,也就一直无法杀掉病毒。更为严重的是,被感染者甚至可能是杀毒软件本身,那就更无法清除病毒了。
5.Win32病毒处理
杀毒的确要借助杀毒软件,但杀毒也要讲技巧。
5.1未被激活的非系统文件内的病毒
杀这种病毒很简单,只需要在一般的Windows环境下杀就行了。一般都能将其歼灭。
5.2已经被激活或发作的非系统文件内的病毒
如果在一般Windows环境下杀毒,效果可能会大打折扣。虽然现在的反病毒软件都能查杀内存病毒,但是此技术毕竟还未成熟,不一定能歼灭病毒。因此,杀此类病毒应在Windows安全模式下进行。在Windows安全模式下,这些病毒都不会在启动时被激活。因此,我们就能放心地杀毒了。
5.3系统文件内病毒
这类病毒比较难缠,所以在操作前请先备份。杀此类病毒一定要在干净的DOS环境下进行。有时候还要反复查杀才能彻底清除。
5.4网络病毒(特别是通过局域网传播的病毒)
此类病毒必须在断网的情况下才能清除,而且清除后很容易重新被感染。要根除此类病毒必需靠网络管理员的努力。
5.5感染杀毒厂家有提供专用杀毒工具的病毒
杀灭此类病毒好办,只需下载免费的专用杀毒工具就行了。专用杀毒工具杀毒精确性相对较高,因此推荐在条件许可的情况下使用专用杀毒工具。
6.结语
计算机病毒表现出的众多新特征和发展趋势表明,目前我国计算机网络安全形势仍然十分严峻,反病毒业者面临的挑战十分艰巨,需要不断地研发推出更加先进的计算机反病毒技术,才能应对和超越计算机病毒的发展,为电脑和网络用户提供切实的安全保障。电脑用户更应当增强安全意识,多学习和了解基本的计算机和网络安全防范知识和技术,做到不登陆和点击不明网站和链接,每日升级杀毒软件病毒库和修复操作系统漏洞,尽量使用最新版本的应用软件等安全防范。
参考文献:
[1][美]Stanley B著.Lippman,Josée LaJoie,Barbara E.Moo,李师贤译.C++Primer中文版(第4版)[M].人民邮电出版社,2006.3.
[2][美]Mark Allen Weiss.数据结构与算法分析――C语言描述[M].机械工业出版社,2004.1.
[3]丁秀峰.间谍软件之危害及其防范对策[J].期刊大众科技,2005.7.
[4]杨珂,房鼎益,陈晓江.间谍软件和反间谍软件的分析与研究[J].微电子学与计算机,2006.8.
[5][美]Jeffrey Richter,Christophe Nasarre.Windows核心编程(第5版)[M].清华大学出版社,2008.9.
1.1自然灾害计算机网络的运行需要较为稳定的环境,所以其网络安全受到自然环境的影响较大,例如:湿度、温度、冲击、振动等,目前很多的计算机机房没有足够抵抗自然灾害的能力,主要体现在防火、防震、防电磁泄漏、接地等不足,一旦发生自燃灾害,硬盘的资料损失的可能性很大。
1.2软件漏洞软件漏洞往往是常常被黑客攻击利用,软件在进行编程的过程中,因为编制语言的漏洞,以及编程者自己留下的后门,这就是使得软件容易从外界被入侵,而且入侵以后,隐蔽性很强。
1.3黑客的攻击和威胁黑客的攻击和威胁是目前世界网络共同应对的大问题,当前,黑客攻击的事件频频发生,黑客的攻击具有一定的经济性和技术性,目前大多数的黑客攻击只是黑客充分的发现和利用漏洞上面。信息网络的脆弱性是目前广泛被关注的话题。
1.4计算机病毒计算机病毒是当今网络安全的头号强敌,病毒的更新很快,而且形式也呈现多样化,其能够对数据进行破坏,且自我复制能力强,具有感染速度快、破坏性强,且传播形式复杂,很难彻底清除,可以轻易对硬盘、光驱、主板等造成破坏等特点。计算机病毒若在网络传播开来,则网络一般都会陷入瘫痪状态,严重的影响网络的正常运行。
2计算机病毒
2.1计算机病毒的症状计算机病毒出现的时候,可能会有类似与计算机硬软件故障的情况,如果没有正确的进行区分,很难彻底的清除,同时也对系统的硬软件造成了较大的损害。计算机病毒都是凭借系统的软件或者用户程序进行扩散传播的,计算机被病毒感染后,具有一定的规律性症状,主要的症状包含以下几个方面:其一,计算机的屏幕上面往往会出现异常,例如:字符跳动、屏幕混乱、无缘无故地出现一些询问对话框等;其二,在没有用户操作的情况下,系统有自动读写的情况;其三,在进行磁盘故障排除的时候,用户数据丢失;其四,磁盘文件的长度以及属性发生了变化;其五,系统的基本内存无缘无故被占用;其六,磁盘出现莫名其妙的坏块,或磁盘卷标发生变化;其七,系统在运行的过程中,系统经常的自动启动;其八,程序的启动速度明显的降低,当计算机出现这些情况的时候,就需要考虑感染计算机病毒的情况了。
2.2计算机病毒的特征根据对主流病毒的分析,发现病毒主要有以下六个特征:其一,病毒的传染性较强,病毒可以通过多种渠道进入到计算机中去,然后感染某个程序又继而感染其他的程序;其二,具有一定的潜伏期,病毒能够长时间的隐藏在计算机中,隐藏的时间越长,传染的范围就越大;其三,可触发性,其可在一定的条件下激活;其四,隐蔽性,病毒在程序中运行不容易被察觉;其五,破坏性,病毒会破坏正常的软件的运行,破坏系统数据,降低系统的工作效率。其六,病毒具有衍生性的特点,其能够衍生出新的计算机病毒。病毒的这些特征决定了其破坏性强,难以根除的特点。
2.3计算机病毒的分类计算机病毒经过多年的发展,已经呈现了多种形式,以前的病毒主要是通过文件,然后在软盘的交换之间传播,现在以为计算机文件传输方式的改变,一般的病毒都是通过互联网,然后凭借公司网络、电子邮件以及WEB浏览器等漏洞进行漏洞的传播,计算机病毒一般分为以下三个类别:其一,磁盘引导区传染的计算机病毒,通过取代正常的引导记录,具有传染性较大;其二,应用程序传染的计算机病毒,这种型式的病毒主要是攻击应用程序,然后将病毒程序寄托在应用程序中,然后获得控制权,此种病毒的传播性较大;其三,特洛伊木马病毒,这种病毒不具有感染的特性,其只是经过伪装成为合法的软件,然后在系统中恶意的执行软件;其四,蠕虫病毒,蠕虫程序是一种通过间接方式复制自身的非感染性病毒,其主要在计算机之间传播,具有传染性大的特点。
3计算机网络安全和计算机病毒的防范措施
计算机网络安全和计算机病毒的防范措施主要包括:加密技术、防火墙技术、物理隔离网闸、计算机病毒的防范,其中计算机病毒的防范最为复杂,下面进行简要的介绍。
3.1加密技术数据的加密技术是一种算法,这种算法能够将数据进行加密,使得在传输的过程中,即使数据被劫持,数据也能够保证其隐蔽性,这样能够有效的保证数据的保密性,保证互联网传播信息的安全性。目前使用的加密算法主要有以下两种:其一,对称加密算法,即加密解密的钥匙相同;其二,非对称加密算法,此种算法的保密性比对称加密算法的高,一般在重要的文件传输中使用,但是随着互联网技术的快速发展,对称加密算法已慢慢的被取代。
3.2防火墙技术防火墙技术是对外的保护技术,其能够有效的保证内网资源的安全,主要任务是用于网络访问控制、阻止外部人员非法进入。防火墙在工作的时候,其对数据包中的源地址和目标地址以及源端口和目标端口等信息进行检测,然后通过相应的算法进行匹配,若各种条件均符合就让数据通过,反之则丢弃数据包,这样就能够阻止非法侵入软件程序。目前应用最为广泛的防火墙是状态检测防火墙,防火墙最大的缺陷就是对外不对内。
3.3物理隔离网闸物理隔离网闸的是进行信息的安全防护使用的,通过控制固态开关,保证对相对独立的主机系统进行一定的读写分析,不存在物理连接和逻辑连接,物理隔离网能够有效的预防黑客的攻击。
3.4计算机病毒的防范计算机病毒从其研发开始,杀毒软件也就开始进行被广泛的使用了。随着互联网技术的快速发展,病毒的更新很快,而且病毒的手段也越来越隐蔽。目前反病毒防御技术还存在缺陷且DOS系统安全防护机制的漏洞,所以病毒能够在一台机器上存活进行破坏,虽然如此,但是若从软硬方面同时入手,就能够有效的阻止病毒对信息的危害。
3.4.1利用反病毒技术和管理技术进行病毒的防范对于WindowsNT网络,在对每台计算机进行防护以外,针对WindowsNT网络的特点,WindowNT网络的防毒还应采取如下措施:其一,服务器必须全部为NTFS分区格式,这样能够弥补DOS系统的缺陷,防止病毒感染造成系统无法运行的情况;其二,严格控制外来光盘的使用;其三,用户的权限和文件的读写属性要加以控制;其四,选择合适的杀毒软件,并且需要定期的进行软件的更新,以更新病毒库;其五,安装基于WindowsNT服务器上开发的32位的实时检查、实时杀毒的服务器杀毒软件;其六,不直接在WindowsNT服务器上运行如各类应用程序,例如office之类的办公自动化软件,防止病毒感染造成重要文件误删的情况的发生;其七,服务器在物理上需要保证绝对的安全,因为目前有些工具能够在DOS下直接读写NTFS分区。
3.4.2利用硬盘的保护产品——“还原卡”技术进行病毒的防范还原卡是一种硬件,其在计算机上面的主要作用是:上机人员对计算机系统做相应的更改以后,以及病毒对计算机的软件进行相应的更改以后,对计算机进行重启,还原卡就能够发挥他的作用,对原有的系统进行恢复,使得硬盘能够恢复到原始的状态,这样的防护措施对病毒是最有效的。目前,还原卡的发展从最初的完全备份型发展到智能保护型,随着还原卡技术的逐渐发展,目前的还原卡开始向网络型发展,即保护卡与网络卡的结合。还原卡在进行计算机的病毒防护的过程中,不需要人工的干预,其是当今为止最好的防护工具。但是使用还原卡会带来一个弊端,那就是影响到硬盘的读写速度和计算机运行速度,这点在低端计算机上面更为明显,在较高档的赛杨700以上的微机上用,这点就没那么明显了,这是因为高档机的速度和硬盘容量是已具备,所以在计算机防病毒方面,对还原卡进行资金的投入是必要的,而且还原卡的智能还原讲是以后发展的方向。
4结语
