计算机反病毒论文

开篇：写作不仅是一种记录，更是一种创造，它让我们能够捕捉那些稍纵即逝的灵感，将它们永久地定格在纸上。下面是小编精心整理的12篇计算机反病毒论文，希望这些内容能成为您创作过程中的良师益友，陪伴您不断探索和进步。

第1篇

关键字：计算机病毒   反病毒   网络病毒

一、计算机病毒

    计算机病毒对计算机网络影响是灾难性的。从80年的“蠕虫”“小球”病毒起至今，计算机使用者都在和计算机病毒斗争，创造了形形的病毒产品和方案。但是随着近年internet的发展，e-mail和一批网络工具的出现改变了人类信息的传播方式和生活，同时也使计算机病毒的种类迅速增加，扩散速度大大加快，出现了一批新的传播方式和表现力的病毒，对企业及个人用户的破坏性和传染力是以往的病毒类型所不可比拟的。病毒的主发地点和传播方式己经由以往的单机之间的介质传染完成了向网络系统的转化，类似于“cih，melisa，exploer”网络传染性质的病毒大量出现，一旦企业或单位被病毒侵入并发作，造成的损失和责任是难以承受的。病毒和防病毒之间的斗争已经进入了由“杀”病毒到“防”病毒的时代。企业或单位只有拒病毒于网络之外，才能保证数据的真正安全。

二、几种反病毒技术研究

1.cpu反病毒

之所以病毒和黑客能非常容易地攻击计算机，原因在于网络都是互通的，交换信息的过程中，计算机网络中会建立许多通道，但是设计者并没有过多考虑这个问题，所以只要是信息在通道中通过，都可能被认为是安全信息给予“放行”，

所以这就给计算机带来了极大风险。经过多年努力，俄罗斯科学院计算系统微处理研究所的鲍利斯·巴巴扬通讯院士开发出了一种新型微处理器（cpu），被反病毒界认为成功实现了cpu反病毒，这种cpu可以识别病毒程序，对含有病毒程序的信息给予“抵抗”，同时将这些含有病毒的程序“监禁”起来，同时还可以给这些病毒程序一些数据让它去执行，以免因为空闲而危害计算机，所以这种方法基本上隔离了病毒，让病毒失去了传播的机会。

2.实时反病毒

实时反病毒技术一向为反病毒界所看好，被认为是比较彻底的反病毒解决方案。多年来其发展之所以受到制约，一方面是因为它需要占用一部分系统资源而降低系统性能，使用户不堪忍受；另一方面是因为它与其他软件（特别是操作系统）的兼容性问题始终没有得到很好的解决。

    实时反病毒概念最大的优点是解决了用户对病毒的“未知性”，或者说是“不确定性”问题。不借助病毒检测工具，普通用户只能靠感觉来判断系统中有无病毒存在。而实际上等到用户感觉系统中确实有病毒在做怪的时候，系统已到了崩溃的边缘。而实时反病毒技术能及时地向用户报警，督促用户在病毒疫情大规模爆发以前采取有效措施。

实时监测是先前性的，而不是滞后性的。任何程序在调用之前都先被过滤一遍。一有病毒侵入，它就报警，并自动杀毒，将病毒拒之门外，做到防患于未然。相对病毒入侵甚至破坏以后再去采取措施来挽救的做法，实时监测的安全性更高。

3.虚拟机技术

    事实上，更为智能的做法是：用程序代码虚拟一个系统运行环境，包括虚拟内存空间、cpu的各个寄存器，甚至将硬件端口也虚拟出来。用调试程序调入需调试的程序“样本”，将每一条语句放到虚拟环境中执行，这样我们就可以通过内存、寄存器以及端口的变化来了解程序的执行。这样的一个虚拟环境就是一个虚拟机。虚拟现实技术在系统底层也借鉴了虚拟机技术。

    既然虚拟机中可以反映程序的任何动态，那么，将病毒放到虚拟机中执行，病毒的传染动作一定可以反映出来。如果能做到这样，未知病毒的查出概率将有可能大大提高。

    但是因为虚拟机太慢，大约会比正常的程序执行的速度慢几十倍甚至更多，所以事实上我们无法虚拟执行程序的全部代码。目前个别反病毒软件选择了虚拟执行样本代码段的前几k个字节，其查出概率已高达95%左右。

4.主动内核技术

    主动内核技术，用通俗的说法：是从操作系统内核这一深度，给操作系统和网络系统本身打了一个补丁，而且是一个“主动”的补丁，这个补丁将从安全的角度对系统或网络进行管理和检查，对系统的漏洞进行修补；任何文件在进入系统之前，作为主动内核的反毒模块都将首先使用各种手段对文件进行检测处理。

三、网络防病毒方案分析

1.病毒的预防

网络病毒的预防措施主要有：

（1）除非必要，尽可能地拆除工作站上的软盘驱动器，采用无盘工作站代替有盘工作站，这样能减少网络感染病毒的机会。

（2）如果软件运行环境许可，还可以进一步把工作站的硬盘拆除，使之成为一个真正的无盘工作站。只要在工作站的网卡上安装一块远程复位eprom芯片即可。开机后，工作站通过网卡上的这个芯片完成系统引导工作，并直接运行入网程序。这样，工作站既不能从服务器上拷贝文件，也不能向服务器拷贝文件，而只能运行服务器上的文件，杜绝了病毒通过工作站感染服务器的可能性，提高了系统的安全性。

（3）被当做网络服务器使用的机器只专门用来当作服务器，而不再作为工作站使用，也不作为单机使用。

（4）规定只有专业的网络管理人员使用超级用户用户名登录。因为超级用户对于整个网络系统拥有全部权力（包括读、写、建立、删除等），如果工作站上已经感染了病毒，再用超级用户登录，就会感染整个网络服务器。

（5）为用户规定不同的权限，实行专有目录专人使用，防止越权行为，这样即使服务器下的某个用户的子目录感染了病毒，其他的用户如果不执行这个目录下的文件，就不会被病毒感染。

2.病毒防火墙

病毒防火墙，实际上是“广义”防火墙中一个方面的具体实现。它是安装在用户计算机系统之中的反病毒监控软件，它在用户计算机本地系统与外部环境之间完成实时过滤有害病毒的工作，能够有效地阻止来自本地资源和外部网络资源的病毒侵害.病毒防火墙对病毒的“过滤”应当具有相当好的实时性，这种实时性表现在一旦病毒入侵系统或者从系统向其它资源感染，病毒防火墙会立刻检测到并加以清除。而传统的单机版反病毒软件则更注重于“静态”反病毒，即对本地和远程资源以静态分析扫描的方式检测、清除病毒。病毒防火墙的“双向过滤”保证了本地系统不会向远程网络资源传播病毒，这一特点是传统单机版反病毒产品根本无法实现的。

3.网络反病毒软件

反病毒解决方案要求包括一套统一全面的实施软件，能够进行中央控制，能对病毒特征码进行自动更新，并且要能支持多平台、多协议和多种文件类型。nai（美国网络联盟公司）反病毒软件产品占有国际市场超过60%的份额，它提供了适合各类企业网络及个人台式机全面的反病毒解决方案tvd（toltal virus defense） 。tvd包含3个套装软件：vss（virusscansecuritysuite），桌面反病毒解决方案；nss （netshieldsecuritysuite），服务器级反病毒方案；iss（internetsecuritysuite），internet网关反病毒解决方案。tvd中所具有的分发控制台（distributionconsole），可以自动接收来自nai的最新病毒特征文件和升级软件。利用这些套装软件，可以建立符合企业需求的病毒防御系统。

参考文献：

[1]陈荻玲，web服务安全通信机制的研究和实现，北京航天航空大学硕士论文，2003 

[2]mark o’ neil等著，冉晓呈，郭文伟译，web服务安全技术与原理，北京，清华大学出版社，2003 

第2篇

一只可爱的熊猫，举着三炷香。2006年底，曾经憨态可掬的“国宝”一夜之间成了广大电脑用户谈之色变的主角――因为这一形象已经有了新的含义：“熊猫烧香”病毒（Worm.WhBoy.cw）。

这种病毒及其变种把感染的程序文件图标统统改成熊猫举着三根香的模样，还可以盗取用户账号、密码，并且破坏文件系统等。到2007年2月，已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏。

2月12日，湖北省公安厅宣布，已经成功侦破“熊猫烧香”病毒案，并抓获六名犯罪嫌疑人。但截至《财经》发稿，新的变种仍在出现，“熊猫烧香”仍然余烟缭绕。

其实何止“熊猫烧香”，如今电脑病毒已是一个进化得无比复杂和庞大的家族。它们是一个个程序，但可以自我复制，并且在电脑主人不注意或者未经许可的情况下，感染其他程序，进而自动寻找下一个宿主。因其病理学特征与在人体上肆虐的生物病毒一样，故而名之为“电脑病毒”。

大约20年前，当时更多地作为技术炫耀而产生的电脑病毒，如今却在如此深刻地影响着整个行业，乃至整个世界，并俨然已经形成一个自成一体的“黑色产业”。

“幽灵”兴起

早在1972年，美国著名科幻小说家大卫杰洛德（David Gerrold），就在一本小说中虚构了一种像真正的病毒一样运行的电脑程序“病毒”（Virus），并且引入了另外一种叫做“疫苗”（Vaccine）的程序与之相抗衡。

1982年，风靡一时的漫画书《X战警》（X-MEN）中，更是首次出现了“电脑病毒”（computer virus）这个名词。

但直到1983年，当时还在美国南加州大学攻读电子工程的弗雷德科恩（Fred Cohen）在其博士论文里，才给出了电脑病毒的第一个学术定义，这也是今天公认的标准。

不过，这一论文并没有引起太多人的注意，似乎只有他和很少一部分人认为这种可以自我复制的程序，日后会成为电脑世界的大患。

一般认为，早在1981年，在苹果电脑上就诞生了首个电脑病毒。这个病毒完全是一个美国高中生的恶作剧：病毒被附着在游戏上，游戏一旦启动50次后，就会出现黑屏，并且显示一首作者自创的诗歌。和早期其他病毒一样，这看上去更像技术爱好者的“行为主义”艺术，并不会对被感染的电脑造成实质性损害。

第一个针对个人电脑（PC）的病毒，是1986年一对巴基斯坦兄弟巴斯特（Basit）和阿姆贾德（Amjad）出于防止盗版的目的所写的C-BRAIN病毒。这段写在软盘启动扇区中的病毒，被称为“巴基斯坦”病毒。

一开始，电脑病毒被很多人看成仅仅是一种“创造性的娱乐”，并没有太多的恶意成分。但很快就显示出了其另一面――巨大的破坏性。

1988年，让人们至今记忆犹新的“黑色星期五”病毒（实际上叫耶路撒冷病毒）爆发。它可以感染所有后缀为.省略的可执行文件，并在每个是星期五的13号删除所有运行中的程序。

在这一年，中国也出现了“小球”病毒。

弗雷德科恩目前是美国纽黑文大学教授，还担任其创立的专业信息安全机构Fred Cohen & Associates的CEO。他在接受《财经》记者采访时表示，电脑病毒具有如此巨大的潜在破坏性，其实并不奇怪。由于个人电脑操作系统本身存在的漏洞，加之用户缺乏对系统文件有效的控制，病毒可以改写系统文件甚至操作系统本身。即便是安全系数较高的UNIX系统，在他看来，一个软件高手八个小时内就可以编制一个可以攻破它的病毒。

在上世纪80年代，电脑主要为DOS操作系统时期，病毒主要依存于.EXE、COM等可执行文件。进入90年代，微软公司的视窗（WINDOWS）逐渐成为个人电脑的标准操作系统之后，通过文档文件传播的宏病毒和专门针对32位文件的32位病毒也随之出现。

其中，最著名的32位病毒是台湾青年陈盈豪于1998年编写的CIH病毒。它在每个月26日发作，将用户的硬盘格式化，甚至还可能破坏主板BIOS内的资料，导致电脑无法开启。

互联网的兴起以及逐渐普及，则成为下一个转折点，通过网络传播的第二代病毒开始出现。其本质与基于文件的第一代病毒有很大差异，它的传播基于网络、邮件和浏览器，蠕虫（worm）和木马（Trojan horse）无疑更是网络病毒中的代表。

与通常需要依附在某个程序上不同，蠕虫是一段独立的代码，它像寄生虫一样生存在宿主计算机内部。它的“头部”是一段用以取得系统许可的密码或ID，可以利用宿主计算机的资源对自身进行改写，把其数据加到自己身上，让自己变得越来越大，并控制计算机上可以传输文件或信息的功能，而后继续沿着网络传播。蠕虫病毒一旦进入计算机网络中，就可能造成系统瘫痪、网络中断。

“木马病毒”是一些表面上看似有用的电脑软件，实际上却是危害计算机安全并导致严重破坏的程序。它可以成为别人控制这台计算机的“后门”，从而窃取用户的信息。

进化之路

目前已成长为电脑大国的中国，也成为电脑病毒的“主战场”之一。

根据国家计算机病毒应急处理中心的统计，截至2006年5月，感染病毒的电脑比例约为74%，比高峰时下降了14个百分点。但分析人士指出，随着电脑总量的迅速增加，以及互联网在中国社会、经济生活中的普及，电脑病毒尤其是通过网络传播的新型病毒的危害却更加严峻。

中国互联网络信息中心公布的最新数据显示，截至2006年上半年，中国的互联网用户已经接近1.4亿，上网电脑总量也接近了6000万台。与上一年同期相比，这两个数字都保持了两成以上的增速。这无疑为网络传播病毒的滋生和迅速蔓延提供了难得的温床。

国家计算机网络应急技术处理协调中心（CNCERT/CC）抽样监测结果显示，2006年，中国大陆地区约4.5万个IP 地址的主机被植入“木马”，与2005年同期相比增长一倍。

单纯从技术而言，自电脑病毒上世纪80年代被创造出来后，其本身并没有太多实质性的进步。科恩对《财经》记者指出，“在最近这15年里，病毒制造者从他们的知识上和技术上都没有明显的进步。”

但他也承认，从传播方式和手段上说，电脑病毒实现了一个质的飞跃。

以“熊猫烧香”病毒为例，北京盼达信息安全技术有限公司总经理金楷在接受《财经》记者采访时表示，“熊猫烧香”确实没有太多技术创意，之所以能够造成如此大的破坏，很大程度上是因为它感染了多个访问量高的大型门户网站和论坛，并通过这些网站大面积传播，造成了此次大规模的爆发。

“它主要是利用了这个特殊的位置，而没有革命性的技术。”金楷强调。

显然，虽然技术上没有革命性的突破，但电脑病毒本身也在不断进化，以便更好地适应新的传播途径，以及生存环境。

金山软件股份有限公司反病毒实验室主管戴光剑告诉《财经》记者，“熊猫烧香”病毒在很短的时间内就出现了120多个变种。这种“自我更新机制”使得不少反病毒软件都难以一一应对。

除了自我更新，病毒还通过欺骗、伪装等手段来增加其生存能力。一些论坛上的帖子，会要求打算浏览特定图片的用户点击下载一个压缩包；但这些貌似图片的东西，其实是“灰鸽子病毒”，用户一旦中毒，释放“灰鸽子”的人就可以远程控制这台计算机。这种社会工程学类型的攻击方式，也会出现在游戏外挂、QQ等即时通信工具上。

在戴光剑看来，目前很多病毒都已经发展到了“混合型”的阶段，无论是在传播渠道还是制作水平上。

“熊猫烧香”就集合了多种不同的传播方式，包括U盘传染、文件感染、局域网感染等。它不仅可以实现多重目的，而且可以不断自我更新，这让反病毒软件难以锁定它的特征。

更重要的是，病毒制造和传播现在越来越容易，它已经不再是只有技术高手才能涉足的“禁地”了。

目前在黑客中间颇为流行的Rootkit，为网络攻击者提供了从获得网络上传输的用户名和密码，到安装“木马”程序、为攻击者提供后门，以至隐藏攻击者目录和进程的程序，甚至日志清理程序等一整套技术。

这些未知的病毒，很难通过以病毒特征为主要手段的常规方式加以预防。虽然众多厂商已经推出了实时扫描用户电脑等服务，但由于会对电脑本身的运行速度造成影响，所以，还无法取代传统的杀毒手段。

黑色产业

在科恩看来，对于电脑病毒，也许最严峻的挑战还不是因传播方式变化而带来的质变，而是传播目的所发生的变化。

他对《财经》记者指出，当病毒从破坏文件系统演化到窃取商业信息以后，实质上“就已经从一个技术游戏变成了一个犯罪工具”。

如今，越来越多的新病毒被设计用来传播间谍软件、制造垃圾邮件、实施“钓鱼”欺诈等。现在病毒制造者是出于个人的私利，而不是技术探索目的，来编写病毒。

“现在病毒爆发同以往最大的变化，是病毒制造者从单纯的炫耀技术，转变成以获利为目的；前者希望病毒尽量被更多的人知道，但后者希望最大程度地隐蔽病毒，以更多地获利。”金楷说。

金山反病毒实验室主管戴光剑则对《财经》记者透露，在业界，一个可以被控制的电脑被叫做“肉鸡”。在国内可以卖到0.5元到1元人民币一只，这样的“肉鸡”可以使用几天；如果可以使用半个月以上，则可以卖到几十元一只。对于病毒制造者和“经纪人”而言，如果控制了几十万甚至上百万台这样的“肉鸡”，盈利空间是可以想象的。

这样的“肉鸡”构成的“僵尸网络”（BotNet）既可以用来对企业网络实施集中攻击，还可以发送垃圾邮件，以及点击广告等。

CNCERT/CC抽样监测发现，中国大陆地区约有1000多万个IP地址的主机被植入僵尸程序；境外约1.6万个IP对中国境内的僵尸主机实施控制，这些IP主要位于美国、韩国和中国台湾等。

“熊猫烧香”病毒可以实现的一个重要功能，就是盗取用户账号和密码，从而窃取用户的虚拟财产；而一旦盗取了诸如装备、点卡等虚拟财产，就可以通过很多网上交易平成“销赃”，并从中获利。

据悉，2006年金山截获的各类病毒中，专门盗取网银/网游等网络财产和QQ号的“木马”占了51％。病毒的绝大多数变化都围绕此中心展开，已成为众多网民面临的第一大威胁。

北京江民新科技术有限公司技术总监严绍文在接受《财经》记者采访时强调，金钱诱惑往往比个人爱好更持久、更有吸引力，这也在很大程度上导致了现在病毒遍地开花的严峻局面。

与此同时，部分杀毒软件厂商，到底在这个“黑色产业”中扮演着什么样的角色？电脑病毒市场上是否也在真实演绎着另类“无间道”，这或许仍然是个谜团。

长期以来，不少网络用户一直在指责某些杀毒软件厂商实际上在暗地参与制造以及传播新的电脑病毒，从而维持公众对于病毒的“恐慌心态”，以便从中获利。

毕竟，根据上海艾瑞市场咨询有限公司(iResearch)的研究，与电脑病毒的斗争也意味着一个同样庞大的市场。据其预测，到2007年，网络版和单机版杀毒软件的市场规模有望超过30亿元人民币。

但无论如何，电脑病毒的威胁都将长期存在。

一种悲观的理论是，电脑病毒将与电脑同在，就像人类永远无法彻底消除生物病毒这个幽灵一样。

第3篇

一位腿脚不便但身板硬朗的中年男子,揣着一沓说明书挨个儿向柜台商推介:“哎,伙计,有一款杀毒软件,一次性出售版权一百二十万元,前八十万元一次付清,后四十万元卖了再结,有兴趣吗?”

有人摇头,有人奚落。

见状,中年男子失望极了:“唉,偌大的一个中关村,竟然没有一个识货的,还是我自己来卖吧……”

这位推售杀毒软件的中年男子,就是后来享誉软件业界且被称为“杀毒王”的王江民先生。

一

1951年10月,王江民出生于山东烟台。

日闻螺号,夜枕潮声。年幼的王江民,躺在母亲的臂弯里,骑在父亲的脖子上,游走在这座秀丽的小城里,常常兴奋得手舞足蹈。谁知道,三岁时,一场小儿麻痹症让王江民的腿落下了残疾,无奈他只得与床做伴――很多时候,实在寂寞了,就一点一点挪腾到窗边,或者望着大街上来来往往的人群,呆呆地出神;或者找来一张草纸撕成条条绺绺,玩“放转转”。

转眼,就到了读书的年龄。由于行动不便,王江民吃尽了苦头:有一次,在上学的路上,因为躲闪不及,腿脚被骑自行车的人轧断了;又一次,为了写作文,和同学们一起站在小桥上观察河里的鱼,不料被人挤碰了一下,就一头栽了下去;还有一次,为了亲密接触海燕,他爬上了一块礁石,听到有人喊涨潮了慌忙往岸边“跑”,但终究没有跑过凶猛的浪头,呛了一肚子苦涩的海水……好在,王江民从书中读到了高尔基的“人都是在不断地反抗自己周围的环境中成长起来的”,遂对人生有了新的认识:“我要增强自己的意志力,适应社会,适应环境,征服人生道路上的坎坷与磨难。”结果,他不但学会了骑自行车、游泳,而且还倒腾出了一些小发明,诸如晶体管收音机、无线电收发机、电唱机等。

读完初中,懂事的王江民寻思着帮父母减轻一些负担,就四处找活儿。只是,人家一看他是个行动不便的人,立时婉言回绝了。这让他伤心极了。

1971年4月,磨破了嘴皮子,一家由街道创办的机械厂终于勉强松了口:“那你就过来做学徒吧……”王江民很争气,仅仅用了一年多的时间,就熟稔了各个环节的活儿,成了厂里的技术骨干,又用三年的时间一边读各种学习班一边刻苦钻研技术,成了厂里的革新能手。

看王江民是个人才,机械厂领导把他提升为生产负责人。这下子,王江民愈发地来劲儿了,带着大伙儿加班加点地干起来,很快就因产品性能优越而引起了山东省机械厅的注意。不久,王江民被调至烟台光学仪器厂。在这里,端的是铁饭碗,但他继续刻苦努力,不但修理光学仪器,而且还尝试着研制起了光学仪器――于是,一番“敲敲打打”过后,大地测量仪器、激光医疗设备、手术机、手术刀、激光测量仪等便横空出世了。

1979年,凭借着在机械和激光方面的多项先进科研成果,二十八岁的王江民被评为全国首批一百零五个新突击手标兵之一,他顿时热泪盈眶:“不管曾经失去了多少,最终能成为全国一百零五分之一,我的努力值了!”

四年后,王江民进入烟台轴承仪器总厂担任高级工程师。

二

在实际工作中,王江民慢慢地意识到:搞光机电自动化,必须依靠计算机来控制,不学计算机肯定要落后的!

这一天,王江民正一门心思地摆弄计算机时,已读小学一年级的儿子蹦蹦跳跳跑过来了,小手一伸:“爸爸,你给我出的试题呢?”他愣了愣:“出题?”这才想起来,老师为了加强和家长的互动,给学生下达了一项任务:回去之后,让你们的爸爸妈妈出一套试题,做完后交上来。为了完成给儿子出题的任务,王江民陷入了沉思:出这套试题,必须得符合逻辑性,不能简单地列举二加三等于几、二十加三十等于几;另外还得考虑接受性,不能想当然地列举自认为是简单的东西……快要想破脑袋的时候,一道灵光倏地划过了脑海:如果我编个出题程序的话……王泽民立时欢呼雀跃起来:“对嘛,有了出题程序,就可以通过计算机打印出源源不断的题目来,就连以后再出试题的麻烦也省掉了,好事啊!”一番折腾,王江民如愿编写出一款软件来:数学练习,由浅至深,包括加法、减法、乘法、除法、混合运算等;语文练习,循序渐进,包括默认生字、给汉字注音、拼音注汉字等。而且,把这套教学辅助软件通过《电脑报》推向市场后,不但赚回了当初买计算机的钱,而且还在全国教育类软件评选中获得了第一名,从而成为中国教育类软件里第一个登记版权的软件。

尝到了甜头,王江民从此迷上了编写程序。

就在这个时候,有媒体报道了病毒的消息。其时,王江民还不知道什么叫病毒,只是在编写程序的时候总是发现有异常程序导致计算机无法正常运行,心里甚是苦恼和纳闷。后来,眼见越来越多的人抱怨病毒,遂生起了心思来:姑且试试吧,能搞出来个杀毒的软件也不错嘛!

说干就干。一会儿翻阅资料,一会儿研究病毒,王江民很快就编写出一段程序来,起名Debug,专杀当时比较猖獗的“1741”病毒。跟着,他又编写出了另外几段程序,用以查杀其他的病毒。与此同时,他还把自己编写的程序写成文章发表在报刊上,以帮助更多的人有效地对付病毒的袭扰。

1992年,当市面上开始流行防病毒卡时,王江民提出了自己的看法:就像最好的防守是进攻一样,装防病毒卡终究不如装杀毒软件来得干脆、利索!为此,他把自己此前编写的六个查杀病毒的程序集成起来,命名为KV6,通过报刊推介给大家,提倡走杀病毒的路子。

无奈,世人并不领情,王江民无计可施。

恰在此时,武汉大学篮球教研室的老师慕名找上门来:“王老师,这儿有一个变形病毒,您看……”对于这个在中国第一个出现的变形病毒,王江民冥思苦想了好一阵子,毅然决定采用“广谱过滤法查杀病毒”,结果如愿以偿。在此基础上,他结合又掌握的几个变形病毒,从理论上总结归纳出了变形病毒的特性,继而开创了独特的“广谱过滤法”,在全国计算机专业学术交流会上斩获优秀论文奖。

有了理论基础,王江民开始尝试着把自己的反病毒软件大众化,于是KV6高调复出,并迅速根据病毒特性更新升级到了KV8、KV12、KV18、KV20、KV50,在烟台及其周边地区的用户中深受好评。

1994年,王江民把杀毒软件升级到了KV100。这个时候,一位远在北京的嗅觉灵敏的经销商摸了过来:“王先生,您的杀毒软件是个好东西,能不能别再免费赠送了,让我来帮您卖吧?”想了想,王江民点头同意了。

就这样,KV100卖到了中关村,并且一炮打响,成为中国首款专业杀毒软件。

立时,大大小小的经销商一窝蜂地挤上门来,申请许可经销权。经慎重考察,王江民许可了四家,约定:许可费两万元,一次性付清。只提供一个版本的防盗版加密技术,至于刻盘、包装、生产、销售,一概不管。由是,王江民从杀毒软件中赚到了第一桶金――八万元许可经销费。

只是,王江民万万没有想到,四家经销商回去之后,为了争夺市场不惜大打价格战,很快就把市场折腾得乌烟瘴气。

没辙,在把杀毒软件升级到KV200后,王江民咬咬牙只许可了一家经销商,心想:就一家生产和销售,回报的利润肯定会更大一些吧!谁知,过了一月又一月,任凭KV200卖得风生水起,王江民就是拿不到一分转让费――找到那家经销商讨说法,却被一嘴唾沫星子给堵了回来:“球,卖得是火,但钱都没收回来,你就等着吧……”

也懒得理论了,王江民起身就走:“老子不跟你合作了,看你还卖啥!”

认真地想了半天,王江民主动出击了。

1996年8月,顶着一头烈日,王江民携新升级的KV300坐着一辆黄色面的来到了中关村,挨个儿向柜台商推介:“哎,伙计,这儿有一款最新的杀毒软件,一次性出售版权一百二十万元,前八十万元一次付清,后四十万元卖了再结,有兴趣吗?”

此时此刻,在中关村乃至全中国尚没有哪个软件的版权能卖到一百万元。因而,对于王江民的示好,有人摇头:“俺是小本生意,拿不出那么多本钱。”有人奚落:“啥软件,值一百二十万元?”有人冷哼:“瞧你这模样,怕是想钱想疯了吧?”

见状,王江民失望极了:“唉,偌大的一个中关村,竟然没有一个识货的,还是我自己来卖吧!”

就这样,1996年9月15日,在办理了停薪留职手续后,王江民飞到了北京,在大华写字楼租赁了一套三十多平方米的房间,正式挂出了“北京江民新科技术有限公司”的牌子。

三

一脚踏入专业反病毒的“战场”,王江民立刻就感受到了火药味的浓重与搏杀的惨烈。

在中关村,王江民是“外来户”,因而一天到晚受到别人的压制、逼迫和要挟:“喂,姓王的,自觉一点,趁早卷铺盖走人,别逼爷们动手……”对此,他一边以“这边撵我,我去那边;那边撵我,我来这边”的游击战术应之,一边以“有钱大订,无钱小订;独包欢迎,‘拼货’也可”的实利战诱之。结果,短短七天,就接了两个“拼货”单子和一个单子,合同额高达一百五十万元。

只是,想象不到的麻烦还在后头。

1996年10月3日,有个脑瓜聪明的外地病毒作者,在把KV300解密之后,随手嵌入了自己美其名曰“合肥1号”的病毒,然后放到了BBS上进行传播。于是,1997年1月1日,当合肥1号病毒发作后,该作者就在网上泼起了脏水:“不好了,KV300藏有病毒啊,大家小心喽!”王江民微微一笑,信手就把合肥1号查杀了。不想该作者立刻又跳了出来:“来啊,大家都瞧瞧,为什么只有王江民能杀这个病毒,而别人就杀不了呢?很简单,是王江民自己编写了这个病毒。叫啥呢?KV300病毒呗!”一边嚷嚷着,一边又炮制出了合肥2号病毒。不过,很快就被王江民给查杀了。这下子,该作者才遁了形。不独于此,往王江民身上泼脏水的还有上海1号病毒。上海1号一出来,KV300上海技术中心马上就收集到了该病毒的样本,王江民立刻就把它杀了。紧接着上海2号出现,还把病毒发作的显示信息改成了KV300C,但同样还没有离开上海市就又被王江民给消灭了。连失两招,病毒作者顿时恼羞成怒,遂于1997年2月编写出了上海3号病毒,而且干脆把病毒发作信息写成“王江民”的拼音字母“Wangjiangmin”。不过,对于王江民来说,还是小菜一碟:他把三个病毒归纳了一下,立时发现了病毒作者的写作思路与代码格式,就出了一组反上海病毒的广谱代码,瞬间把上海号病毒打进了万劫不复之地。不过,这也并不代表着王江民就“游刃有余”了:接下来,他接连不断遇到了多款病毒,最终虽然都攻克了,但他也付出了加倍的努力。当然,这样的努力又带给他更多的惊喜。

一天,王江民正趴在计算机前研究病毒,电话突然急促地响了起来:“哎,老王,摩托罗拉中国分公司的二十多台计算机全部感染病毒瘫痪了,好几个亿的合同打印不出来,正四处找人杀毒哩,你要不要过来小露一手?”是一个有着很好的合作关系的朋友打来的。略作思考,王江民回了一句:“好,就过去瞧瞧吧!”没想到,赶到地儿的时候,正撞上人家公司的领导“抛绣球”:“现在我宣布,谁帮助我们公司解决了这个问题,立即支付三万美元!”一位外籍反病毒专家“嗖”地站了出来:“我来吧!”但折腾了一个多小时,却见他抱着膀子做出了无奈状:“没办法了,你格式化吧……”王江民不紧不慢地走上前去,简单进行了几个操作,当即笑了:“嘿,这是火炬病毒!发作的时候,只抹去硬盘分区表,不破坏数据……”说着,噼噼啪啪地敲了一阵子键盘,就站了起来:“喏,好了!”果然,计算机启动开了,一切正常。一伙儿摩托罗拉中国分公司的员工高兴得一跳老高:“噢,看到数据了,看到数据了!”

有一次,王江民给一个杀毒软件展销会捧场,正进行至处,几个人拨开人群冲了过来,心急火燎地问着:“打扰了,哪位是王江民先生?”王江民应道:“我就是……”还没反应过来呢,就被人家连拖带拽地塞进了一辆汽车里,径直拉到了一家证券公司。一位老板模样的人一把抓住王江民的手:“王先生,求您了,快把天杀的病毒干掉吧,不然大伙儿非吃了我这个经理不可……”坐下来,王江民很快就查明,证券公司一百多台计算机感染的是1150夜贼病毒,遂安慰道:“甭急,甭急,半个小时就好!”吃中午饭的时候,证券公司的经理对王江民说:“王先生,您是个实在人,如果您先讲条件,开口要两万元,我也得老老实实赶紧给您,因为我今天弄不好计算机的话,要损失的不止十多万,还有我在股民中的信誉。我们想聘请您作为我们证券公司的特别安全顾问!”

就是这两次火线救急,奠定了王江民在中关村乃至全中国反病毒领域的地位。

四

当王江民慢慢地站稳脚跟的时候,中关村的那些专事兜售伪劣产品的不法商贩觊觎起KV300的高额利润了,开始制造盗版软件,混淆市场。

起初,王江民大度地一笑了之。但,眼见北京、成都、哈尔滨、深圳、广州等地的公安局、工商管理局查出了越来越多的盗版KV300,眼见一拨又一拨的不法商贩叫嚣着要在一至三个月内用假冒的KV300挤垮真KV300,眼见一个又一个或远或近的压根就没打过交道的印刷厂打来的“喂,王先生,你们公司委托的十万个KV300包装和说明书已经印刷好了,快来提货吧”的电话,眼见摆放在柜台上的货真价实的KV300的批发量和销售量“一下子掉了下来”,眼见受骗的用户拿着假冒的KV300要求江民新科技术给出说法,他坐不住了:“不行啊,得反击一下!”

想了想,王江民实施了一个两步走的战略:先在报刊上刊登广告进行警告,说假冒KV300不能升级,相反制造假冒者还会死机!接着,在KV300L++升级版本中加入了“主动逻辑锁”――这个“逻辑锁”确认计算机在用盗版工具MK300V4做出的假KV300时,会把计算机加密锁住,从而致使用户计算机无法运行,只能采用江民新科技术的软件进行破解。可想而知,就是这个“主动逻辑锁”,一共在网上放了六天,就把制造假冒者装的满满一硬盘各种各样盗版软件的硬盘给锁住了,直把各地的盗版商气得哇哇吐血,却又无计可施。

就这样,在忍无可忍之时无奈出手,王江民干净利索地把一伙儿杀毒软件盗版商打回了原形,直接带动了KV300销量的直线上升,直至占据了杀毒软件市场百分之八十的份额,从而“把全中国人的钱都赚走了”。

一时间,无人不识王江民。

五

几年间,王江民起早贪黑地刻苦钻研科学技术,带领着北京江民新科技术有限公司走出了一条“异彩飞扬”的发展道路。

与之相伴,王江民本人也先后被北京工业大学、辽宁对外经贸学院等多所院校聘为教授,并当选亚洲反病毒大会理事和获得“中国软件杰出贡献奖”、“北京市有突出贡献的科学、技术、管理人才”荣誉称号,且在2008年北京奥运会时受邀负责信息与网络安全。尤其是2009年3月,王江民喜获“中关村二十年突出贡献奖”表彰。

王江民凭借着自身的努力,塑造了一个反病毒专家的美丽传奇。

2010年4月4日10时许,北京西信翔鱼池,正在休憩钓鱼的王江民突发心脏病,转至医院后抢救无效而逝。

第4篇

论文关键词： 病毒 进程间通信 程序自我保护

1.引言

在计算机和网络技术日益发展的今天，病毒这个字眼越来越多地出现在了媒体和人们的言论中。计算机病毒的发展必然会促进计算机反病毒技术的发展，新型病毒的出现向以行为规则判定病毒的预防产品、以病毒特征为基础的检测产品，以及根据计算机病毒传染宿主程序的方法而消除病毒的产品提出了挑战，致使原有的反病毒技术和产品在新型的计算机病毒面前无能为力。这样，势必使人们认识到现有反病毒产品在对抗新型的计算机病毒方面的局限性，迫使人们在反病毒的技术和产品上进行新的更新和换代。要打败对手，就要从了解对手开始，本文从模拟病毒隐藏性和寄生性的角度出发，以进程通信、进程快照、多线程等技术基础，利用Visual C++的MFC窗口界面设计了一组程序自我保护软件，经过测试实现了程序的稳定运行。

2.进程的概念

当一个程序开始运行时，它就是一个进程，进程所指包括运行中的程序和程序所使用到的内存和系统资源。因此定义进程（Process）是具有一定独立功能的程序关于某个数据集合上的一次运行活动，是系统进行资源分配和调度的一个独立单位。程序只是一组指令的有序集合，它本身没有任何运行的含义，只是一个静态实体。而进程则不同，它是程序在某个数据集上的执行，是一个动态实体。它因创建而产生，因调度而运行，因等待资源或事件而被处于等待状态，因完成任务而被撤销，反映了一个程序在一定的数据集上运行的全部动态过程。

进程由两个部分组成：

（1）操作系统用来管理进程的内核对象。内核对象也是系统用来存放关于进程的统计信息的地方。

（2）地址空间。它包含所有可执行模块或DLL模块的代码和数据。它还包含动态内存分配的空间，如线程堆栈和堆分配空间。

目前常用的操作系统都是并行的，就是多个进程可以同步运行，这时就会牵扯到进程间通信这个概念。所谓进程通信，就是不同进程之间进行一些“接触”，这种接触有简单，也有复杂。机制不同，复杂度也不一样。通信是一个广义上的意义，不仅仅指传递一些信息。举个例子来说明：比如说在使用IE上网时，你想将网页上的一段文字保存至你的电脑上，这时有一种简单的方法，就是复制粘贴。将你想保存的文字选中，然后将其复制，接下来将所复制的文字粘贴到.TXT文档中，这时就形成了两个进程之间的通信，这里的通信媒介是剪贴板。

3.线程的概念

为了对线程模式有一定的理解，我们可以将其想象为把一所屋子里的东西搬到另一所屋子。如果采用单线程方法，则需要自己完成从打包到扛箱子再到拆包的所有工作。如果使用单元线程模式，则表示邀请了好朋友来帮忙。每个朋友在一个单独的房间里工作，并且不能帮助在其他房间工作的人。他们各自负责自己的空间和空间内的物品搬运。如果采用自由线程方法，仍然邀请相同的朋友来帮忙，但是所有朋友可以随时在任何一个房间工作，共同打包物品。与此类似，房子就是运行所有线程的进程，每个朋友都是一个代码实例，搬运的物品为应用程序的资源和变量。

有了上面的例子，便能容易理解线程（Thread）是一个能独立于程序的其他部分运行的作业，是进程的一个实体，是CPU调度和分派的基本单位。线程不能够独立执行，必须依存在应用程序中，由应用程序提供多个线程执行控制。线程是程序中的一个执行流，每个线程都有自己的专有寄存器（栈指针、程序计数器等），但代码区是共享的，即不同的线程可以执行同样的函数。一个线程可以执行应用程序代码的任一部分，包括正在由另一线程执行的代码。

线程由两个部分组成：

（1）线程的内核对象，操作系统用它来对线程实施管理。内核对象也是系统用来存放线程统计信息的地方。

（2）线程堆栈，它用于维护线程在执行代码时需要的所有参数和局部变量。

线程属于一个过程，操作系统为每一个运行线程安排一定的CPU时间——时间片，线程是操作系统分配CPU时间的基本单位。系统通过一种循环的方式为线程提供时间片，线程在自己的时间内运行，因时间片相当短，因此，给用户的感觉，就好像线程是同时运行的一样。如果计算机拥有多个CPU，线程就能真正意义上同时运行了。

4.进程与线程的关系

根据操作系统的定义，进程是系统资源管理的最小单位，线程是程序执行的最小单位。进程是不活泼的，进程可以理解为是线程的容器。若要使进程完成某项操作，它必须拥有一个在它的环境中运行的线程，此线程负责执行包含在进程的地址空间中的代码。单个进程可能包含若干个线程，这些线程都“同时”执行进程地址空间中的代码。每个进程至少拥有一个线程，来执行进程的地址空间中的代码。当创建一个进程时，操作系统会自动创建这个进程的第一个线程，称为主线程。此后，该线程可以创建其他的线程。

线程是属于进程的，它没有自己的独立的数据地址空间，线程运行在进程空间内，因此线程的切换速度比较快。同一进程所产生的线程共享同一内存空间，而这些线程的执行由系统调度程序控制，调度程序决定哪个线程可执行以及什么时候执行线程。线程有优先级别，优先权较低的线程必须等到优先权较高的线程执行完后再执行。当进程退出时该进程所产生的线程都会被强制退出并清除。线程可与属于同一进程的其他线程共享虚地址空间、全局变量，以及该进程所拥有的全部资源，包括打开的文件、信号标志及动态分配的内存等。但是其本身基本上不拥有系统资源，只拥有一点在运行中必不可少的信息（如程序计数器、一组寄存器和栈）。

线程有点像进程身体内的细胞，我们通常听过多进程多线程，单进程多线程。这就是说，一个系统内有几个进程，如果进程是多个，就是多进程的，如果进程内有多个线程，那就是多线程的，多进程多线程的系统比单进程多线程的系统速度慢，但是可靠性高。

5.程序的设计与实现

程序的自我保护是一个大的概念，其中有多种方式和手段来实现自身的保护。比如隐藏、自我复制、注册为服务，等等。我们实现的程序自我保护实际上是一个相互监督的过程。其中包括了程序之间的监督和报警，监听程序的隐藏与保护。

5.1监督

所谓监督，是利用进程枚举的方法，让所有程序在运行同时不停地对进程列表进行快照，并检查目标进程是否存在的过程。

在Windows环境下可以通过调用ToolHelp API函数来达到枚举系统进程的目的。微软的Windows NT开发小组因为不喜欢ToolHelp函数，所以没有将这些函数添加给Windows NT，所以开发了自己的Process Status函数，就是PSAPI。但是后来微软已经将ToolHelp函数添加给了Windows 2000。ToolHelp32库函数在KERNEL32.dll中，它们都是标准的API函数。

ToolHelp32库中有各种各样的函数可以用来枚举系统中的进程、线程，以及获取内存和模块信息。其中枚举进程只需用如下三个的函数：CreateToolhelp32Snapshot（）、Process32First（）和Process32Next（）。

使用ToolHelp32函数的第一步是用CreateToolhelp32Snapshot（）函数创建系统信息“快照”。这个函数可让你选择存储在快照中的信息类型。如果你只是对进程信息感兴趣，那么只要包含TH32CS_SNAPPROCESS标志即可。CreateToolhelp32Snapshot（）函数返回一个HANDLE，完成调用之后，必须将此HANDLE传给CloseHandle（）。

接下来是调用一次Process32First函数，从快照中获取进程列表，然后重复调用Process32Next，直到函数返回FALSE为止。这样将遍历快照中进程列表。这两个函数都带两个参数，它们分别是快照句柄和一个PROCESSENTRY32结构。

调用完Process32First或Process32Next之后，PROCESSENTRY32中将包含系统中某个进程的关键信息。它的具体内容如下：

typedef struct tagPROCESSENTRY32{

DWORD dwSize；

DWORD cntUsage；

DWORD th32ProcessID；

DWORD th32DefaultHeapID；

DWORD th32ModuleID；

DWORD cntThreads；

DWORD th32ParentProcessID； 转贴于

LONG pcPriClassBase；

DWORD dwFlags；

TCHAR szExeFile；

DWORD th32MemoryBase；

DWORD th32AccessKey；

}PROCESSENTRY32；

其中进程ID就存储在此结构的th32ProcessID。此ID可以被传给OpenProcess（）API以获得该进程的句柄。对应的可执行文件名及其存放路径存放在szExeFile结构成员中。在该结构中还可以找到其他一些有用的信息。

5.2报警

这里的报警就涉及了进程间通信的概念。本文中涉及的进程间通信是用剪贴板的方法，剪贴板在我们实际应用中是用得比较多的，它实际上是系统维护管理的一个内存区域，当我们在一个程序中复制数据的时候，实际上是将这些数据放入了内存，相反，当我们在另一个程序中粘贴数据时实际上是从内存取出数据。下面介绍一下使用剪贴板时的主要函数：打开剪贴板OpenClipboard（），不管是对剪贴板的读还是写，都要首先调用此函数，以判断是否可以对剪贴板进行操作。此函数是BOOL型的，如果调用成功就返回非零，否则返回零。清空剪贴板EmptyClipborad（），每次对剪贴板的写入操作之前，都应该调用此函数，这个函数的作用不仅是清空剪贴板，而且起到获得剪贴板的使用权的作用。同样，这个函数也是BOOL型的，如果调用成功就返回非零，否则返回零。对剪贴板写入SetClipboardData（UINT uFormat，HANDLE hMem），这个函数有两个参数，第一个参数用来表示写入剪贴板数据的格式，第二个参数接收一个句柄值，在这里它接收一个指向内存对象的句柄，这个内存对象中存放着准备写入剪贴板的数据内容。在调用SetClipboardData（UINT uFormat，HANDLE hMem）之前还需要调用GlobalAlloc（UINT uFlags，SIZE_T dwSytes）这样一个函数，它专门用来为将要写入的数据分配一块内存空间。这个函数接收两个参数，第一个参数表示如何来分配内存空间，这里我们将它设置为GMEM_MOVEABLE，表示动态分配内存。第二个参数是表示分配内存空间的大小。GlobalAlloc（UINT uFlags，SIZE_T dwSytes）返回一个句柄，我们无法使用句柄来间接的将数据放入内存，这时就需要调用另一个函数GlobalLock（HGLOBAL hMem），这个函数获得一个内存对象的句柄，将这块内存加锁，返回一个指针，这时我们就可以给指针所指向的这块内存写入数据了。这个函数使用一个内存计数，计数器基数为零，每调用一次计数器加一，所以每调用一次的同时还需要调用另外一个函数GlobalUnlock（HGLOBAL hMem）来给计数器减一，相当于取消对这块内存的锁定。本文设计的程序实现报警功能就是在枚举进程之后发现目标进程被终止，从而在剪贴板中写入信息的过程。

5.3监听

所谓监听，就是报警的反方向，即从剪贴板中读出信息。从剪贴板读取数据的函数GetClipboardData（UINT uFormat）。这个函数只接收一个参数，参数指定读取的格式。读取信息之后，我们还要对信息进行if判断，如果信息是我们预留的某个进程被结束的话，我们就启动保护措施。

5.4保护和隐藏

这里的保护是指监听程序对其他程序的保护，方法非常简单，只需要利用WinExec函数来实现目标进程的启动就可以。而隐藏是指监听程序自身的隐藏，只要在OnPaint（）函数里调用ShowWindow（SW_HIDE）函数就可以了，同时将监听程序命名为smss，就可以避免其被强行终止。

第5篇

关键词：计算机病毒 检测技术 预防

中图分类号：TP393 文献标识码：A 文章编号1672-3791（2014）07（c）-0026-01

计算机在人们生活中占有重要的位置，给人们生活带来了很大的便利，但是随着计算机网络中存在的利益价值，就有人通过制造和传播计算机病毒来摧毁他人的计算机程序或窃取机密资料，谋取个人的利益。而计算机病毒的传播给网络安全带来了巨大的隐患，严重威胁人们的财产安全与信誉。计算机的种类多变、传播的途径多，具有复制和传播的功能，破坏其他计算机，传播的形式有图片传播、邮件传播和文件传播，有的还在下载的文件中进行传播，不仅传播的速度快，而且带来的危害大，及时的检测对于计算机病毒的预防有重要的作用。

1 常见的计算机病毒分析

许多国家对于计算机都有自己的定义，能够威胁到计算机程序的编码也被当做病毒，当前比较常见的计算机病毒主要有四种类型：其一，蠕虫病毒，其传播的方式主要是通过网络复制和邮件发送，当蠕虫病毒被激活后，其形态像虫子，可以吃掉屏幕上的所有字母；其二，木马病毒，作为最为常见的一种病毒，也是计算机杀毒软件检测的主要项目，用户一般都是在无意中点击激活，并且难以制止，木马病毒会损坏计算机程序，使某些功能丧失；其三，黑客程序，黑客一般是获取权限，可以攻击他人的电脑，正常使用对方的电脑，如某些网站受到攻击之后，可以更改页面信息；其四，脚本病毒，顾名思义，脚本病毒就是破坏其他电脑的脚本来达到目的，常见的脚本有HTML等。

2 常见的计算机病毒计算检测技术

2.1 自动防御检测

一般在电脑中安装常规的自动检测软件，具有自动检测防御的功能，当软件发现有程序可疑，会提醒用户停止运行会中止程序。其判断的机理类似于犯罪病人的非正常表现，当一些程序不符合规范时，运行的轨迹可疑，有破坏计算机的倾向，则自动防御技术会弹出提示框，提出警告或中止程序。其基本步骤是在计算机中安装建立好应用程序的调用接口，杀毒软件进行全盘的扫描检测，但程序符合规范则放行，发现可疑的程序或文件时就弹出警告窗，但是自动防御技术是通过分析程序行为是否正常来评估的，具有误杀的可能性，此外，对于某些比较高技术的病毒则无能为力。

2.2 启发式病毒扫描检测

启发式的病毒扫描检测即是在杀毒软件内置一个记忆功能，类似于建立一个库，其中存储了各种计算机病毒的类型，一旦计算机中出现类似于库中的病毒形式则马上会弹出提示框，提示用户存在病毒的可能性，及时终止程序。这种检测技术和自动防御类似，扫描全盘的程序，对可能有病毒特征的程序进行查杀。但是这种扫描检测技术也有出现误报的情况，尤其是对于一些模棱两可的程序，如在编辑杀毒软件中存储熊猫烧香的病毒类型，当出现类似于熊猫烧香的病毒程序就进行记忆分析，弹出警告框，提示用户终止程序。

2.3 智能型广谱式的病毒检测

这种检测技术对于高变种的病毒有较好的效果，尤其是病毒的类型具有转变性大、非连续性的特点时，可以对程序的所有字节进行分析整合。由于当前的计算机病毒的变种多，形式多样，而传统的病毒在很多杀毒软件中都有资料，检测起来比较快速。但病毒编制者为了让杀毒软件无法快速查处，会不断的转变病毒的形式，常规的检测技术具有一定的局限性，识别能力也较差，而智能型广谱式的病毒检测技术通过不同段的分析，对自己进行检测，当发现代码中出现两个以上的病毒编码则定义为病毒，找出病毒的准确性高，速度快，并且会主动移除病毒。

2.4 特征码计算机病毒检测

与启发式和自动防御有类似之处，以已知的病毒为识别的基础，存储在杀毒软件中，其步骤为专业人员对已知的病毒特征进行提取，然后根据原有的病毒进行扫描，具有相同的特征码的病毒则会被识别出来。但是此类检测技术对任意变形的病毒无能为力，只能进行有特征码的病毒检测工作。

3 计算机病毒预防分析

3.1 病毒检测

如上述内容介绍的，病毒的检测是预防病毒的重要手段，在被病毒感染的系统上通过查找踪迹来检测病毒存在与否。在计算机中，被病毒修改的部分有ROM通讯区、中断向量表、DOS通讯区等。常用的病毒检测方式有快照技术和扫描法，快照法是在系统初始化时记录关键信息，并加以存储，一旦发现有不同的情况，则可以定义为病毒；而扫描法通过扫描病毒的关键字来判断系统是否感染病毒，效率较高。

3.2 病毒识别

病毒识别是计算机感染病毒之后的重要操作手段，在系统的每个区域寻找具体的病毒代码，版权标志、病毒标记等特定的文件名，具有病毒特征，如果发现这些特征，则进行消除。识别并分离病毒的特征后才能开发一个消毒程序，对于大量的感染磁盘系统，用诸如反病毒软件和病毒杀手具有相当的速度。但是此类病毒程序的可靠性难以确定，尤其是对于有变种能力的病毒，效果较小，此外，在识别之前，如果系统被破坏，其识别程序的效用则会受到限制。

3.3 病毒监视

病毒监视有系统控制结构和监视系统表，并核对系统设备的请求，在系统启动后常驻内存监视其他程序。在系统启动时驻入内存，首先要执行病毒的预防程序，然后进行终端处理，当系统被感染时，病毒预防程序会发出警告。目前比较常用的方式是选择病毒感染特征区进行区分，正常时不对主引导扇区进行操作，但在主引导扇区进行文件的读写操作时，一般可以认为是非法的操作，并且向用户发出警告。这种监视功能对防止病毒扩散具有良好的效果。

4 结语

计算机技术已经融入了各个领域，推动了社会的进步，但是计算机病毒计算机和网络安全带来了巨大的威胁，造成巨大的财产损失，影响计算机网络的正常发展，论文分析常见的计算机病毒，并分析其检测技术和预防的技术，为相关的研究提供参考。

参考文献

[1] 胡慧雅.计算机病毒的技术预防措施[J].科技经济市场，2008，6（3）：56-58.

[2] 余斌，刘宏培.浅析计算机病毒检则方法[J].福建电脑，2009，10（8）：98-99.

第6篇

关键词：计算机；安全漏洞检测技术；应用

中图分类号：TP393.08

在网络的覆盖范围越来越广泛的今天，人们在互联网上的活动与交流越来越频繁，甚至网络已经成为了绝大部分人生活中必不可少的一部分。计算机网络在国家、国家与国家、地区与地区之间的管理和联系也起着重要作用，并且现在的经济交流、国防建设、政治管理等方面都离不开计算机网络。计算机网络虽然是一个虚拟的平台，但是不可否认计算机网络一个对人类发展起着强大的促进作用，在这个平台中人们能够进行很多的经济活动、人际交往、教育教学等。现在的计算机网络设计到很多的重要信息，对于个人和国家都有很重要的意义，所以无论是个人还是国家都对计算机网络的可靠性格外重视。

计算机网络虽然发展非常迅速，但是还是存在着很多的不足，在人们对计算机网络依赖性越来越高的今天，计算机网络可靠性成为了众多计算机用户共同关心的话题。计算机网络的稳定性还不能够满足诸多用户的需求，这就导致计算机网络可靠性出现问题，会导致一些用户数据、信息的丢失，或者网络活动终止等问题。

1 计算机安全漏洞产生的原因及表现形式

产生漏洞的原因主要有以下几种：（1）操作系统存在安全漏洞。由于操作系统在设计编程过程中存在着一定的缺陷或者不足，导致了操作系统存在着一定的漏洞。（2）网络协议的安全存在安全漏洞。由于在进行网络通讯时需要用网络协议来进行信息的转换，而网络协议在设计过程中存在着一定的漏洞，导致了协议的安全系数较低。（3）应用程序的安全漏洞。应用程序的编写过程不够严谨导致了应用程序存在着一定的安全漏洞。

计算机安全漏洞的表现形式主要有以下几种：（1）计算机系统存在着一定的安全隐患和漏洞，而且普遍存在，系统的整体安全系数较低，容易受到威胁和攻击。（2）合法用户在未经授权的情况下能够提高访问权限，甚至能够具备最高的访问权限，获取最机密的信息，计算机系统在授权访问权限方面存在着一定的不足。（3）计算机系统在限制非法用户访问权限的能力上存在一定的缺陷，导致了非法用户存在获取系统访问权的可能性，使计算机系统的安全受到了一定程度上的威胁。

2 计算机安全所受到的威胁

当前计算机安全所受到的威胁种类形式比较多，主要表现为以下几种：

2.1 电子邮件攻击。当前随着人们交流方式的越来越多样化，电子邮件成为了一种重要的网络交流方式，而且十分的方便和快捷，所以许多不法分子看重这一点，通过大量发送垃圾信息邮件的方式来使用户的邮箱因为存储空间的不足而处于运行反应缓慢的状态，严重的话会导致邮件系统的瘫痪崩溃，严重威胁电子计算机的安全。

2.2 病毒攻击。病毒攻击是计算机网络安全问题的最常见的威胁，对于计算机系统的损害十分巨大。病毒的本质是程序，通过网络、磁盘等形式进行传播。病毒具备很强的破坏性和隐蔽性，一般用户很难发现，而且病毒一旦对计算机系统进行破坏，所导致的后果十分巨大，往往会带来不可估量的损失。

2.3 黑客攻击。黑客原本是高水平的电脑专家，但是今天则多指对计算机系统和用户进行攻击破坏的人，而且由于他们具备很高的电脑知识水平，善于发现计算机网络和软件的漏洞，所以对于计算机所存储的机密信息是很大的潜在威胁，令计算机用户防不胜防。

2.4 木马攻击。木马与病毒在本质上类似，均属于程序的范畴，通过伪装成用户常用的程序软件来进行攻击。由于用户缺乏足够的防范意识，一旦启动就会将用户的个人信息盗走，通过修改电脑参数的方式来获取重要的文件信息，在实际网络信息传播过程中，木马攻击与病毒攻击往往结合电子邮件攻击来进行。

3 提高计算机安全系数的措施

为了提高计算机的安全系数，检测弥补相关的漏洞，需要从以下几个方面来努力：

3.1 提高计算机程序编写人员的综合能力，提高系统的安全系数。程序编写人员编写能力的强弱决定着程序的质量和安全系数，针对当前有些黑客会根据程序编写员编写的程序而寻找到攻击系统的弱点，一方面要提高计算机程序编写人员的程序编写能力，减少程序的漏洞，防止黑客借助系统漏洞对计算机系统和用户信息进行攻击。另一方面要提高程序编写人员的思想觉悟水平，要认识到自身工作的重要性，使自己能够尽职尽责的工作，严格约束自己的行为，禁止出现违反职业道德的行为，从根本上保护计算机系统的安全性。

3.2 增强设备性能，优化计算机网络设计。计算机网络可靠性提高需要增强使用设备的性能，并且优化计算机网络的设计。一方面，使用设备要跟上时代步伐，具备较强的适应性，能够承担越来越多用户带来的负担，设备在运行过程中要减少局部出现故障的现象，以防止由于设备原因影响计算机网络可靠性的情况。另一方面，计算机网络的设计要进一步的改进，使计算机网络一旦出现问题能够更加智能的采取一系列的补救措施，使损失降到最低。如在计算机网络设计中采取双网络结构设计，一旦主网络不能够实用，另一层网络能够维持整个网络的正常运行。

3.3 规范计算机用户的上网行为，提高防范意识，抵制不良诱惑。在实际上网行为中，许多情况是因为计算机用户主动打开了某些程序而导致了系统受到攻击，所以计算机用户要具备较强的防范意识，对于危险的程序要具备一定的判断能力，自觉抵制不良信息网站的诱惑，减少木马病毒的传播概率。同时要定期对电脑进行漏洞扫描和病毒查杀，要采用比较正规的杀毒软件，提高杀毒的质量。

3.4 净化计算机网络的环境，严厉打击网络违法犯罪行为。国家要加大监督执法力度，规范大众的上网行为，净化计算机网络环境，对于那些网络违法行为要予以严厉的打击，起到警示的作用，以减少犯罪行为的发生。同时要加大健康文明上网的宣传力度，唤起全民抵制违法犯罪的思想认识，监督并及时制止危害计算机系统安全的行为，树立起良好的社会风气。

4 结束语

在信息化时代的今天，计算机网络在社会主义发展建设的各个领域都占有者十分重要的地位，所以提高计算机安全系数，及时地找出并弥补系统漏洞，具有十分重要的现实意义。作为一项任务艰巨而又长期的工作，需要从多方面进行努力，才能实现真正的网络系统安全。

参考文献：

[1]陈骏铭，王景中.一种基于SNMP协议网络安全管理平台反病毒模块的设计[A].2006北京地区高校研究生学术交流会――通信与信息技术会议论文集（上）[C].2006.

[2]韩春晓，常泽威，刘永强.三网融合下的网络安全问题研究[A].2011年通信与信息技术新进展――第八届中国通信学会学术年会论文集[C].2011.

[3]文齐，印桂生，杨光.基于端口扫描和插件的网络漏洞扫描器的设计[A].2006北京地区高校研究生学术交流会――通信与信息技术会议论文集（下）[C].2006.

[4]李国兵.探讨计算机网络安全应用的相关问题[J].城市建设理论研究，2012（04）.

第7篇

关键词：网络;病毒;防范

Abstract: This paper analyzes the current computer virus in the net age characteristics, and put forward the corresponding preventive measures, on the future of the virus prevention trend forecast and judgement.

Key words: network; virus; guard against

中图分类号：G623.58

引言：随着计算机在 社会 生活各个领域的广泛运用，计算机病毒攻击与防范技术也在不断拓展。据报道，世界各国遭受计算机病毒感染和攻击的事件屡屡发生，严重地干扰了正常的人类社会生活，给计算机网络和系统带来了巨大的潜在威胁和论文破坏。同时随着网际互联网的迅猛 发展 ， 电子 邮件成为人们相互交流最常使用的工具，于是它也成电子邮件型病毒的重要载体，最近几年，出现了许多危害极大的邮件型病毒，如“LOVEYOU"病毒、“库尔尼科娃”病毒、“Homepage”病毒以及“求职信”病毒等，这些病毒主要是利用电子邮件作为传播途径，而且一般都是选择Microsoft Outlook侵入，利用Outlook的可编程特性完成发作和破纠。因此，防范计算机病毒将越来越受到世界各国的高度重视。

1、计算机病毒的特点

计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里，当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。广义的计算机病毒还包括逻辑炸弹、特洛伊木马和系统陷阱入口等等。计算机病毒虽是一个小小程序，但它和通的计算机程序不同，具有以下特点。

(1)计算机病毒的程序性(可执行性)计算机病毒与其他合法程序一样，是一段可执行程序，但它不是一个完整的程序，而是寄生在其他可执行程序上，因此它享有—切程序所能得到的权力;

(2)计算机病毒的传染性：传染性是病毒的基本特征，计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。病毒程序代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的;

(3)计算机病毒的潜伏性：一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中。对其他系统进行传染，而不被人发现;

(4)计算机病毒的可触发性：病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性;

(5)计算机病毒的破坏性系统被病毒感染后，病毒一般不即时发作，而是潜藏在系统中，等条件成熟后，便会发作，给系统带来严重的破坏;

(6)攻击的主动性：病毒对系统的攻击是主动的，计算机系统无论采取多么严密的保护措施都不可能彻底地排除病毒对系统的攻击，而保护措施充其量是一种预防的手段而已;

(7)病毒的针对性计算机病毒是针对特定的计算机和特定的操作系统的。例如，有针对IBM PC机及其兼容机的，有针对Apple公司的Macintosh的，还有针对UNIX操作系统的。例如小球病毒是针对IBMPC机及其兼容机上的DOS操作系统的。

2、计算机病毒的技术分析

长期以来,人们设计计算机的目标主要是追求信息处理功能的提高和生产成本的降低,而对于安全问题则重视不够。计算机系统的各个组成部分,接口界面,各个层次的相互转换,都存在着不少漏洞和薄弱环节。硬件设计缺乏整体安全性考虑,软件方面也更易存在隐患和潜在威胁。对计算机系统的测试,目前尚缺乏自动化检测工具和系统软件的完整检验手段,计算机系统的脆弱性,为计算机病毒的产生和传播提供了可乘之机;全球万维网(www)使“地球一村化”,为计算机病毒创造了实施的空间;新的计算机技术在电子系统中不断应用,为计算机病毒的实现提供了客观条件。国外专家认为,分布式数字处理、可重编程嵌入计算机、网络化通信、计算机标准化、软件标准化、标准的信息格式、标准的数据链路等都使得计算机病毒侵入成为可能。

实施计算机病毒入侵的核心技术是解决病毒的有效注入。其攻击目标是对方的各种系统,以及从计算机主机到各式各样的传感器、网桥等,以使他们的计算机在关键时刻受到诱骗或崩溃,无法发挥作用。从国外技术研究现状来看,病毒注入方法主要有以下几种:

1.无线电方式。主要是通过无线电把病毒码发射到对方电子系统中。此方式是计算机病毒注入的最佳方式,同时技术难度也最大。可能的途径有:①直接向对方电子系统的无线电接收器或设备发射,使接收器对其进行处理并把病毒传染到目标机上。②冒充合法无线传输数据。根据得到的或使用标准的无线电传输协议和数据格式,发射病毒码,使之能够混在合法传输信号中,进入接收器,进而进入信息网络。③寻找对方信息系统保护最差的地方进行病毒注放。通过对方未保护的数据链路,将病毒传染到被保护的链路或目标中。

2.“固化”式方法。即把病毒事先存放在硬件(如芯片)和软件中,然后把此硬件和软件直接或间接交付给对方,使病毒直接传染给对方电子系统,在需要时将其激活,达到攻击目的。这种攻击方法十分隐蔽,即使芯片或组件被彻底检查,也很难保证其没有其他特殊功能。目前,我国很多计算机组件依赖进口,困此,很容易受到芯片的攻击。

3.后门攻击方式。后门,是计算机安全系统中的一个小洞,由软件设计师或维护人发明,允许知道其存在的人绕过正常安全防护措施进入系统。攻击后门的形式有许多种,如控制电磁脉冲可将病毒注入目标系统。计算机入侵者就常通过后门进行攻击,如目前普遍使用的WINDOWSXP,就存在这样的后门。

4.数据控制链侵入方式。随着因特网技术的广泛应用,使计算机病毒通过计算机系统的数据控制链侵入成为可能。使用远程修改技术,可以很容易地改变数据控制链的正常路径。

3、计算机病毒的防范措施

计算机网络中最主要的软硬件实体就是服务器和工作站，所以防治计算机网络病毒应该首先考虑这两个部分，另外加强综合治理也很重要。

2.1基于工作站的防治技术

工作站就像是计算机网络的大门。只有把好这道大门，才能有效防止病毒的侵入。工作站防治病毒的方法有三种：一是软件防治，即定期不定期地用反病毒软件检测工作站的病毒感染情况。软件防治可以不断提高防治能力，但需人为地经常去启动软盘防病毒软件，因而不仅给工作人员增加了负担，而且很有可能在病毒发作后才能检测到。二是在工作站上插防病毒卡。防病毒卡可以达到实时检测的目的，但防病毒卡的升级不方便，从实际 应用 的效果看，对工作站的运行速度有一定的 影响 。三是在网络接口卡上安装防病病毒芯片。它将工作站存取控制与病毒防护合二为一，可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的 问题 ;而且对网络的传输速度也会产生一定的影响。

3.2 基于服务器的防治技术

网络服务器是计算机网络的中心，是网络的支柱。网络瘫痪的—个重要标志就是网络服务器瘫痪。网络服务器—旦被击垮，造成的损失是灾难性的、难以挽回和无法估量的。目前 基于服务器的防治病毒的方法大都采用防病毒可装载模块(NLM)，以提供实时扫描病毒的能力。有时也结合利用在服务器上的插防毒卡等技术，目的在于保护服务器不受病毒的攻击，从而切断病毒进一步传播的途径。

3.3 加强计算机网络的管理

计算机网络病毒的防治，单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的，只有把技术手段和管理机制紧密结合起来，提高人们的防范意识，才有可能从根本上保护网络系统的安全运行。目前在网络病毒防治技术方面，基本处于被动防御的地位，但管理上应该积极主动。应从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度、对网络系统的管理员及用户加强法制教育和职业道德教育，规范工作程序和操作规程，严惩从事非法活动的集体和个人尽可能采用行之有效的新技术、新手段，建立”防杀结合、以防为主、以杀为辅、软硬互补、标本兼治”的最佳网络病毒安全模式。

第8篇

[论文摘要]随着网络技术越来越广泛的应用于经济、政治和军事等各领域，其安全性问题也日益被重视。本文首先从“以传翰协议为途径发动攻击”等五个方面论述了计算机网络应用中的常见安全问题，随后从“运用入侵检测技术”等四个方面论述了相关防护策略。

引言:随着万维网wWw的发展，Internet技术的应用已经渗透到科研、经济、贸易、政府和军事等各个领域，电子商务和电子政务等新鲜词汇也不再新鲜。网络技术在极大方便人民生产生活，提高工作效率和生活水平的同时，其隐藏的安全风险问题也不容忽视。因为基于TCP/IP架构的计算机网络是个开放和自由的网络，这给黑客攻击和人侵敞开了大门。传统的病毒借助于计算机网络加快其传播速度，各种针对网络协议和应用程序漏洞的新型攻击方法也日新月异。因此计算机网络应用中的安全问题就日益成为一个函待研究和解决的问题。

1.计算机网络应用的常见安全问题

计算机网络具有大跨度、分布式、无边界等特征，为黑客攻击网络提供了方便。加上行为主体身份的隐匿性和网络信息的隐蔽性，使得计算机网络应用中的恶意攻击性行为肆意妄为，计算机网络应用中常见的安全问题主要有:①利用操作系统的某些服务开放的端口发动攻击。这主要是由于软件中边界条件、函数拾针等方面设计不当或缺乏限制，因而造成地址空间错误的一种漏洞。如利用软件系统中对某种特定类型的报文或请求没有处理，导致软件遇到这种类型的报文时运行出现异常，从而导致软件崩溃甚至系统崩溃。比较典型的如OOB攻击，通过向Windows系统TCP端口139发送随机数来攻击操作系统，从而让中央处理器(CPU)一直处于繁忙状态。②以传输协议为途径发动攻击。攻击者利用一些传输协议在其制定过程中存在的一些漏洞进行攻击，通过恶意地请求资源导致服务超载，造成目标系统无法正常工作或瘫痪。比较典型的例子为利用TCP/IP协议中的“三次握手”的漏洞发动SYN Flood攻击。或者，发送大量的垃圾数据包耗尽接收端资源导致系统瘫痪，典型的攻击方法如ICMP F1ood}Connection Floa等。③采用伪装技术发动攻击。例如通过伪造IP地址、路由条目、DNS解析地址，使受攻击的服务器无法辨别这些请求或无法正常响应这些请求，从而造成缓冲区阻塞或死机;或者，通过将局域网中的某台机器IP地址设置为网关地址，导致网络中数据包无法正常转发而使某一网段瘫痪。④通过木马病毒进行人侵攻击。木马是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点，一旦被成功植人到目标主机中，用户的主机就被黑客完全控制，成为黑客的超级用户。木马程序可以被用来收集系统中的重要信息，如口令、帐号、密码等，对用户的信息安全构成严重威胁。⑤利用扫描或者Sniffer(嗅探器)作为工具进行信息窥探。扫描，是指针对系统漏洞，对系统和网络的遍历搜寻行为。由于漏洞普遍存在，扫描手段往往会被恶意使用和隐蔽使用，探测他人主机的有用信息，为进一步恶意攻击做准备。而嗅探器(sni$}er)是利用计算机的网络接口截获目的地为其它计算机的数报文的一种技术。网络嗅探器通过被动地监听网络通信、分析数据来非法获得用户名、口令等重要信息，它对网络安全的威胁来自其被动性和非干扰性，使得网络嗅探具有很强的隐蔽性，往往让网络信息泄密变得不容易被用户发现。

2.计算机网络安全问题的常用策略

2. 1对孟要的信息数据进行加密保护

为了防止对网络上传输的数据被人恶意窃听修改，可以对数据进行加密，使数据成为密文。如果没有密钥，即使是数据被别人窃取也无法将之还原为原数据，一定程度上保证了数据的安全。可以采用对称加密和非对称加密的方法来解决。对称加密体制就是指加密密钥和解密密钥相同的机制，常用的算法为DES算法，ISO将之作为数据加密标准。而非对称加密是指加密和解密使用不同的密钥，每个用户保存一个公开的密钥和秘密密钥。公开密钥用于加密密钥而秘密密钥则需要用户自己保密，用于解密密钥。具体采取那种加密方式应根据需求而定。

2. 2采用病毒防护技术

包括:①未知病毒查杀技术。未知病毒技术是继虚拟执行技术后的又一大技术突破，它结合了虚拟技术和人工智能技术，实现了对未知病毒的准确查杀。②智能引擎技术。智能引擎技术发展了特征码扫描法的优点，改进了其弊端，使得病毒扫描速度不随病毒库的增大而减慢。③压缩智能还原技术。它可以对压缩或打包文件在内存中还原，从而使得病毒完全暴露出来。④病毒免疫技术。病毒免疫技术一直是反病毒专家研究的热点，它通过加强自主访问控制和设置磁盘禁写保护区来实现病毒免疫的基本构想。⑤嵌人式杀毒技术。它是对病毒经常攻击的应用程序或对象提供重点保护的技术，它利用操作系统或应用程序提供的内部接口来实现。它对使用频度高、使用范围广的主要的应用软件提供被动式的防护。如对MS一Office， Outlook， IE， Winzip， NetAnt等应用软件进行被动式杀毒。

2. 3运用入俊检测技术

人侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。人侵检测系统的应用，能使在人侵攻击对系统发生危害前，检测到人侵攻击，并利用报警与防护系统驱逐人侵攻击。在人侵攻击过程中，能减少人侵攻击所造成的损失。在被人侵攻击后，收集人侵击的相关信息，作为防范系统的知识，添加人知识库内，以增强系统的防范能力。

根据采用的检测技术，人侵检测系统被分为误用检测( Misuse Detec-lion )和异常检测(Anomaly Detection)两大类。误用检测根据事先定义的人侵模式库，人侵模式描述了人侵行为的特征、条件、排列以及事件间关系，检测时通过将收集到的信息与人侵模式进行匹配来判断是否有人侵行为。它的人侵检测性能取决于模式库的完整性。它不能检测模式库中没有的新入侵行为或者变体，漏报率较高。而异常检测技术则是通过提取审计踪迹(如网络流量、日志文件)中的特征数据来描述用户行为，建立典型网络活动的轮廓模型用于检测。检测时将当前行为模式与轮廓模型相比较，如果两者的偏离程度超过一个确定的闽值则判定为人侵。比较典型的异常检测技术有统计分析技术、机器学习和数据挖掘技术等。二者各有优缺点:误用检测技术一般能够较准确地检测已知的攻击行为并能确定具体的攻击，具有低的误报率，但面对新的攻击行为确无能为力，漏报率高;而异常检测技术具有发现新的攻击行为的能力，漏报率低，但其以高的误报率为代价并不能确定具体的攻击行为。现在的人侵检测技术朝着综合化、协同式和分布式方向发展，如NIDES，EMER-ALD，Haystack都为误用与异常检测的综合系统，其中用误用检测技术检测已知的人侵行为，而异常检测系统检测未知的人侵行为。

2. 4利用网络防火墙和防毒墙技术

防火墙是一种隔离控制技术，通过预定义的安全策略，对内外网通信强制实施访问控制，常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。以包过滤技术为例，它是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据据流中的每个数据包，根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过。。防火墙能够对网络数据流连接的合法性进行分析，但它对从允许连接的电脑上发送过来的病毒数据流却是无能为力的，因为它无法识别合法数据包中是否存在病毒这一情况;防毒墙则是为了解决防火墙这种防毒缺陷而产生，它是指位于网络人口处，用于对网络传输中的病毒进行过滤的网络安全设备。防毒墙使用签名技术在网关处进行查毒工作，阻止

第9篇

关键词：计算机 网络 安全 防范措施

随着计算机技术和Internet建设的发展与完善，计算机网络安全问题逐步成为人们关注和讨论的焦点。计算机网络技术已经深入到社会的各个领域，比如政府机关、学校、医院、社区及家庭等，人们对计算机网络的依赖性越来越大，但随之而来的是，计算机网络安全也受到前所未有的威胁，计算机病毒无处不在，黑客的猖獗，都防不胜防。本文分析了影响网络安全的主要因素及攻击的主要方式，从管理和技术两方面就加强计算机网络安全提出相应的安全防范措施。

1 计算机网络安全的定义

国际标准化组织（ISO）将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。计算机网络安全包括物理安全、软件安全、数据安全和运行安全四个方面。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。软件安全是指网络软件以及各主机、服务器、工作站等设备所运行的软件安全。信息安全是指网络中所存储和传输的数据的安全。运行安全是指网络中各个信息系统能正常运行并能正常地通过网络交流信息。

网络安全的目的就是为了确保网络系统的保密性、完整性和可用性。保护计算机、网络系统的硬件、软件及其系统中的数据，使之不遭到破坏、更改、泄露，确保系统能连续可靠正常地运行，使网络服务不中断。

2 计算机网络面临的威胁

计算机网络所面临的威胁是多方面的，既包括对网络内部的威胁，也包括对网络外部的威胁，同时也与计算机操作系统本身有关。归结起来，主要有以下几方面：

2.1 计算机网络的脆弱性

计算机系统的脆弱性主要来自计算机操作系统的不安全性，在网络环境下，还来源于网络通信协议的不安全性，有的操作系统根本就没有安全防护措施，如dos、windows95等操作系统，它们不能作为安全性要求高的服务器的操作系统。Unix和windows nt/2000server/2003

serve/2005serve操作系统主要用于服务器上，但它们也存在着安全漏洞，都存在着超级用户，如果入侵者得到了超级用户口令，那么整个系统将完全受制于人，这样系统就面临巨大的危险。

2.2 内部网用户的安全威胁

来自内部用户的安全威胁远大于外部网用户的安全威胁，这些用户缺乏安全意识，无意识的操作失误，使系统或网络误操作而崩溃，或安全意识不强，将用户帐号泄漏，或操作员对系统安全配置不当造成安全漏洞等都会对网络安全带来威胁和隐患，给他人带来可乘之机，对网络系统造成危害。

2.3 网络外部的安全威胁

除了受到网络内部的安全威胁，网络还受到外界的各种各样的威胁：

2.3.1 物理威胁：有偷窃、垃圾搜寻和间谍活动。偷窃办公室电脑是偷窃者的主要目标，计算机中存储的数据信息的价值远远超过设备的价值，因此，必须做好严格的防盗措施保证计算机不被偷。有时办公垃圾也会泄露商业机密。

2.3.2 网络威胁：如局域网的电子窃听，如假冒网站电子欺骗，网络设备的因素也可以构成网络的安全威胁，如通过电话线入侵网络用户等。

2.3.3 身份鉴别：是指计算机判断用户是否使用它的一种过程，它普遍存在于计算机系统中，实现的方式各种各样，有的功能十分强大，有的比较脆弱。其中，口令就是一种比较脆弱的身份鉴别手段，功能不是很强，但实现起来比较简单，所以被广泛采用。身份鉴别造成的威胁有口令圈套、口令破解和算法缺陷等。口令圈套是网络安全的一种诡计，与冒名顶替有关，靠欺骗来获取口令。比如登录欺骗，它通过编写一个代码模块，运行起来和登录屏幕一模一样，并把它插入到登录过程之前，这样用户就会把用户名和登录口令告知程序，这个程序就会把用户名和口令保存起来，然后告诉用户登录失败，并启动真正的登录程序，这样用户就不容易发现这个欺骗。口令破解是用密码字典或其他工具软件来暴力破解口令。如口令用生日、电话号码、名字等很容易被破解。口令输入过程必须满足一定条件才能正常工作，当条件变化时，口令算法程序就可能工作不正常了，很容易被人破解，并进入系统，这就是算法缺陷带来的安全隐患。

2.3.4 编程。是指通过编制程序代码实施对系统的破坏。编程威胁主要有计算机病毒和特洛伊木马等。病毒是一种能自我复制的程序代码，具有感染性和破坏性，使系统瘫痪，也能在网络上不断传播，危害Internet的安全。特洛伊木马程序一旦被安装到计算机上，便可按编制者的意图行事。能摧毁数据，创建新用户和口令等。

2.3.5 系统漏洞。系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或错误，被不法者利用，通过网络植入木马、病毒等方式来攻击或控制整个电脑，窃取您电脑中的重要资料和信息，甚至破坏您的系统。在不同种类的软、硬件设备，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。产生漏洞的原因可以分成下面三种因素：

①人为因素：编程人员在编写程序过程中，为了实现一些特殊的目的，有意在程序代码的隐藏处保留后门。

②能力因素：受编程人员的能力、经验和当时安全技术所限，在程序中难免会有不足之处，轻则影响程序效率，重则导致非授权用户的权限提升。

③硬件因素：由于硬件的原因，使编程人员无法弥补硬件的漏洞，从而使硬件的问题通过软件表现出来，例如软件的不兼容问题。

3 计算机网络安全的防范措施

3.1 操作系统安全技术

首先，及时安装“补丁”程序。当系统后，发现有些程序中有漏洞，能被黑客利用而攻击用户，所以相应的措施来对付这些黑客，用一些应用程序来修复这些漏洞，称为“补丁程序”，安装这些补丁程序后，黑客就不会利用这些漏洞来攻击用户，从而杜绝同类型病毒的入侵。

其次，做好系统安全设置。如停掉guest帐号，限制不必要的用户数量，创建两个管理员帐号，将系统默认帐号改名，创建一个陷阱帐号（将默认管理员帐号的权限设置最低，什么事都干不了的那种），使用安全密码，合理设置浏览器的安全属性，彻底删除掉缺省共享，停掉不必要的服务等。

3.2 防火墙应用技术。防火墙是目前最为流行、使用最广泛的一种安全技术，它的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。它将内部网和外部网分开，限制被保护的网络与互联网及其他网络之间进行信息存取、传输等操作。它一方面对经过他的网络通信进行扫描，过滤掉一些可能攻击内部网络的数据。另一方面可以关闭不使用的端口，禁止特定端口监听通信，封锁特洛伊木马。可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

3.3 网络病毒的防范。与传统类型的病毒相比，网络类型病毒有其特殊性，在网络环境下，网络病毒可以按指数增长模式进行传播。病毒侵入计算机网络，可以导致计算机效率急剧下降、系统资源遭到严重破坏，短时间内造成网络系统瘫痪。因此网络环境下的病毒防治已经成为计算机防毒领域的研究重点。我们除了安装全方位的网络反病毒软件，养成定期升级软件和扫描文件系统的好习惯外，还应该对移动存储设备，在使用前进行查毒，对从网上下载的文件和电子邮件中的附件打开前也要杀毒，不使用或下载来源不明的软件，不上不正规的网站。一旦在网上发现病毒，立即通知所有用户下网，关掉文件服务，设法立即清除，确信病毒被彻底清除后，重新启动网络和工作站。

3.4 数据加密技术。数据加密技术是对信息进行重新编码，从而隐藏信息内容，使非法用户无法获取信息的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采取的主要手段之一。数据加密技术按作用不同可分为数据存储，数据传输、数据完整性的鉴别，以及密钥的管理技术。数据存储加密技术是防止在存储环节上的数据丢失为目的，可分为秘文存储和存取两种，数据传输加密技术的目的是对传输中的数据流加密。数据完整性鉴别是对介入信息的传送、存取，处理人的身份和相关数据内容进行验证，达到保密的要求，系统通过对比验证对输入的特征值是否符合预先设定的参数，实现对数据的安全保护。

3.5 网络访问控制。访问控制室网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

3.6 数据库的备份和恢复。数据库的备份和恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略：只备份数据库、备份数据库和事务日志、增量备份。

3.7 防止黑客攻击的措施。在网络环境下，由于种种原因，网络被入侵和攻击是难免的，可谓是防不胜防，为了避免可能因入侵和攻击而造成的各种损失，我们最好是防止其入侵，防患于未然，如果我们经常注意下面这些情况，我们就可以大大降低被木马攻击的几率：不要执行任何来历不明的软件；不轻信他人；不要随便下载软件；不要随便留下自己的个人资料；谨慎使用自己的邮箱；最好使用第三方邮件程序；始终显示文件的扩展名；运用反木马实时监控程序；给电子邮件加密；隐藏ip地址；不共享文件。当我们发现有黑客入侵后，我们一般采取的措施是：首先要杀死这个进程，切断黑客与系统的联系。必要时切断网络，同时注意保存现场，以便事后调查原因，或进行分析。其次，使用安全工具跟踪这个链接，找出黑客的来路和身份，询问其要做什么，并发出警示，如果破坏严重时，可向公安部门和信息安全部门报告，通过司法手段解决问题。再次，管理员也可以使用一些工具来监视黑客，观察他们在做什么。还有就是修复安全漏洞并恢复系统，不给黑客可乘之机。

4 结束语

网络安全问题是一个综合性的问题，它涉及到技术、管理和使用等多方面的因素，因此网络安全问题的解决方案也应该综合多方面来考虑实施，不但有物理方面的措施，还要有逻辑技术方面的措施，当然还有系统本身的安全问题。只有完备的系统开发过程、严密的网络安全风险分析、严谨的系统测试、综合的防御技术实施、严格的保密政策、明晰的安全策略以及高素质的网络管理人才等各方面的综合应用，才能保证信息的完整性和正确性，为网络提供强大的安全服务，这也是网络安全领域的迫切需要。

参考文献：

[1]高永强等.网络安全应用技术大典.北京：人民邮电出版社，2007.

[2]龙冬阳.网络安全技术及应用[M].广州：华南理工大学出版社，2006.

第10篇

    论文摘要:随着电子商务的发展和网络会计的逐步实施,企业会计核算与会计管理的内部外部环境发生了巨大变化,传统会计电算化系统的内部控制机制和手段很难适应互联网环境。建立适应于互联网环境下的内部控制体系是企业急需解决的问题。 

    基于互联网的会计信息系统,由于其在系统的开放性、处理的分散性、数据的共享性等方面大大超过了以往任何类型的系统,极大地改变了以往计算机系统的应用模式,扩展了系统运行的内容和方法。因此,我们需要根据互联系统的特点及其风险来源,重新确立系统的控制点,并建立相应的控制体系。 

    1 基于企业内部网的控制措施 

    1.1 会计信息资源控制。 

    会计信息来源于网络服务器的数据库系统中,因而网络数据库系统是整个网络会计系统控制的重点目标。对数据库系统的安全威胁主要有两个方面:一是网络系统内外人员对数据库的非授权访问,二是系统故障、误操作或人为破坏数据库造成的物理损坏。针对上述威胁,会计信息资源控制应采取以下措施:采用三层式客户机/服务器模式组建企业内部网,即利用中间服务器隔离客户与数据库服务器的联系,实现数据的一致性;采用较为成熟的大型网络数据库产品并合理定义应用子模式,子模式是全部数据资料中面向某一特定用户或应用项目的一个数据处理集,通过它可以分别定义面向用户操作的用户界面,做到特定数据面向特定用户开放;建立会计信息资源授权表制度;采取有效的网络数据备份、恢复及灾难补救计划。 

    1.2 系统开发控制。 

    系统开发控制是一种预防性控制,目的是确保网络会计系统开发过程及内容符合内部控制的要求。财务软件的开发必须遵循国家有关部门制订的标准和规范。在网络会计系统开发之初,要进行详细的可行性研究;在系统开发过程中,内审和风险管理人员要参与系统控制功能的研究与设计,制定有效的内部控制方案,并将定制的控制方案在系统中实现;在系统测试运行阶段,要加强管理与监督,严格按照《商品化会计核算软件评审规则》等各种标准进行。 

    1.3 系统应用控制。 

    应用控制是指具体的应用系统中用来预防、检测和更正错误,以及防止不法行为的内部控制措施。在输入控制中,要求输入的数据应经过必要的授权,并经有关内部控制部门检查,还要采用各种技术手段对输入数据的准确性进行校验;在处理控制中,对数据进行有效性控制和文件控制,有效性控制包括数字的核对、字段和记录长度检查、代码和数值有效范围的检查、记录总数的检查等,文件控制包括检查文件长度、标识和是否染毒等;在输出控制中,一要验证输出结果是否正确和是否处于最新状态,以便用户随时得到最新准确的会计信息,二要确保输出结果能够送发到合法的输出对象,文件传输安全正确。 

    1.4 系统维护控制 

    系统维护包括软件修改、代码结构修改和计算机硬件与通讯设备的维修等,涉及到系统功能的调整、扩充和完善。对网络会计系统进行维护必须经过周密计划和严格记录,维护过程的每一环节都必须设置必要的控制,维护的原因和性质要有书面形式的报告,经批准后才能实施修改。软件修改尤为重要,网络会计系统操作员不能参与软件的修改,所有与系统维护有关的记录都应该打印后存档。 

    1.5 管理控制。 

    管理控制是指企业为加强和完善对网络会计系统涉及的各个部门和人员的管理和控制所建立的内部控制制度。由于网络会计系统是一种分布式处理结构,计算机网络分布于企业各业务部门,实现财务与业务协同处理,因此原来集中处理模式下的行政控制转变为间接业务控制。主要应采取如下几方面的措施:设置适应于网络下作业的组织机构并设置相应的工作站点;合理建立上机管理制度,包括轮流值班制度、上机记录制度、完善的操作手册和上机时间安排并保存完备的操作日志文件等;建立完备的设备管理制度。 

    2 基于企业外部网的控制措施 

    2.1 周界控制 

    周界控制是通过对安全区域的周界实施控制来达到保护区域内部系统的安全性目的,它是预防一切实行外来攻击措施的基础,主要内容包括:设置外部访问区域,明确企业内部网络的边界,防止"黑客"通过电话网络进入系统;建立防火墙,在内部网和外部网之间的界面上构造保护屏障,防止非法入侵、非法使用系统资源,执行安全管理措施,记录所有可疑事件。 

    2.2 大众访问控制。 

    大众访问包括文件传递、电子邮件、网上会计信息查询等,由于互联网络系统是一个全方位开放的系统,对社会大众的网上行为实际上是不可控的。因此,企业应在网络会计系统外部访问区域内采取相应防护措施。外部网络的访问控制主要有:在网络会计系统中设置多重口令,对用户的登录名和口令的合法性进行检查;合理设置网络资源的属主、属性和访问权限,资源的属主体现不同用户对资源的从属关系,如建立者、修改者等,资源的属性表示资源本身的存取特性,如读、写或执行等,访问权限体现用户对网络资源的可用程度;对网络进行实时监视,找出并解决网络上的安全问题,如定位网络故障点、捉住非法入侵者、控制网络访问范围等;审计与跟踪,包括对网络资源的使用、网络故障、系统记帐等方面的记录和分析。 

    2.3 电子商务控制 

    网络会计是电子商务的基石,是电子商务的重要组成部分,对电子商务活动也必须进行管理与控制。主要措施有:建立与关联方的电子商务联系模式;建立网上交易活动的授权、确认制度,以及相应的电子会计文件的接收、签发验证制度;建立交易日志的记录与审计制度。 

    2.4 远程处理控制 

    网络会计系统的应用为跨国企业、集团企业实现远程报表、远程报帐、远程查帐、远程审计以及财务远程监控等远程处理功能创造了条件。这些功能的启用也必须采取进行相应的控制措施,主要有:合理设计网络会计系统各分支系统的安全模式并实施;进行远程处理规程控制。 

    2.5 数据通讯控制 

    数据通讯控制是企业为了防止数据在传输过程中发生错误、丢失、泄密等事故而采取的内部控制措施,企业应采取各种有效手段来保护数据在传输过程中准确、安全、可靠。主要措施有:保证良好的物理安全,在埋设地下电缆的位置设立标牌加以防范,尽量采用结构化布线来安装网络;采用虚拟专用网(VPN)线路传输数据,开辟安全数据通道;对传输的数据进行加密与数字签名,在系统的客户端和服务器之间传输的所有数据都进行两层加密保证数据的安全性,使用数字签名确保传输数据的保密性和完整性2.6 防病毒控制 

    在系统的运行与维护过程中应高度重视计算机病毒的防范及相应的技术手段与措施。可以采用如下控制措施:对不需要本地硬盘和软盘的工作站,尽量采用无盘工作站;采用基于服务器的网络杀毒软件进行实时监控、追踪病毒;在网络服务上采用防病毒卡或芯片等硬件,能有效防治病毒;财务软件可挂接或捆绑第三方反病毒软件,加强软件自身的防病毒能力;对外来软件和传输的数据必须经过病毒检查,在业务系统严禁使用游戏软件;及时升级本系统的防病毒产品。 

    参考文献 

    [1]严绍业.互联网改变财务软件的十个方面[J].中国会计电算化,2000,(1). 

    [2]许永斌.基于互联网的会计信息系统控制[J].会计研究,2000,(8). 

    [3]黄正瑞.论计算机会计的内部控制及其审计[J].财务与会计,2001,(2). 

第11篇

论文摘要：文章针对计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、怪客、恶意软件和其他不轨的攻击的安全和保密问题，归纳并提出了一些网络信息安全防护的方法和策略。

近年来，伴随着互联网技术在全球迅猛发展，人们在提供了极大的方便，然而，信息化在给人们带来种种物质和文化享受的同时，我们也正受到日益严重的来自网络的安全威胁，诸如网络的数据窃贼、黑客的侵袭、病毒者，甚至系统内部的泄密者。尽管我们正在广泛地使用各种复杂的软件技术，如防火墙、服务器，但是，无论在发达国家，还是在发展中国家，黑客活动越来越猖狂，他们无孔不入，对社会造成了严重的危害。与此同时，更让人不安的是，互联网上黑客网站还在不断增加，学习黑客技术、获得黑客攻击工具变得轻而易举。这样，使原本就十分脆弱的互联网越发显得不安全。针对各种来自网上的安全威胁，怎样才能确保网络信息的安全性，尤其是网络上重要的数据的安全性。

1 计算机网络信息安全面临的威胁

计算机网络所面临的威胁大体可分为两种：①对网络中信息的威胁；②对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使有，归结起来，针对网络安全的威胁主要有以下几方面：

1.1 人为的无意失误

如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。

1.2 人为的恶意攻击

这是计算机网络所面临的最大威胁，敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。

1.3网络软件的漏洞和“后门”

网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件，这些事件的大部分就是因为安全措施不完善所招致的苦果。另外，软件的“后门”都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。

2 计算机网络存在的安全问题

导致计算机网络信息安全受到威胁的根本原因在于网络存在安全问题，归纳为以下几点：

2.1 固有的安全漏洞

现在，新的操作系统或应用软件刚一上市，漏洞就已被找出。没有任何一个系统可以排除漏洞的存在，想要修补所有的漏洞很难。

2.1.1 缓冲区溢出。这是攻击中最容易被利用的系统漏洞。很多系统在不检查程序与缓冲区间的变化的情况下，就接收任何长度的数据输入，把溢出部分放在堆栈内，系统还照常执行命令。这样破坏者便有机可乘。他只要发送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。假如破坏者特别配置一串他准备用于攻击的字符，他甚至可以访问系统根目录。

2.1.2 拒绝服务。拒绝服务(DoS)攻击的原理是搅乱TCP/IP连接的次序。典型的DoS攻击会耗尽或是损坏一个或多个系统的资源(CPU周期、内存和磁盘空间)，直至系统无法处理合法的程序。这类攻击的例子是Synflood攻击。发动Synflood攻击的破坏者发送大量的不合法请求要求连接，目的是使系统不胜负荷。其结果是系统拒绝所有合法的请求，直至等待回答的请求超时。

2.2 合法工具的滥用

大部分系统都配备了用以改进系统管理及服务质量的工具软件，但遗憾的是，这些工具同时也会被破坏者利用去收集非法信息及加强攻击力度：

例如：NBTSTAT命令是用来给系统管理员提供远程节点的信息的。但是破坏者也用这一命令收集对系统有威胁性的信息，例如区域控制软件的身份信息、NetBIOS的名字、IIS名甚至是用户名。这些信息足以被黑客用来破译口令。

另一个最常被利用的工具是网包嗅探器(PacketSniffer)。系统管理员用此工具来监控及分发网包，以便找出网络的潜在问题。黑客如要攻击网络，则先把网卡变成功能混杂的设备，截取经过网络的包(包括所有未加密的口令和其他敏感信息)，然后短时间运行网包嗅探器就可以有足够的信息去攻击网络。

2.3 不正确的系统维护措施

系统固有的漏洞及一大堆随处可见的破坏工具大大方便了黑客的攻击，但无效的安全管理也是造成安全隐患的一个重要因素。当发现新的漏洞时，管理人员应仔细分析危险程度，并马上采取补救措施。

有时候，虽然我们已经对系统进行了维护，对软件进行了更新或升级，但由于路由器及防火墙的过滤规则过于复杂，系统又可能会出现新的漏洞。所以，及时、有效地改变管理可以大大降低系统所承受的风险。

2.4 低效的系统设计和检测能力

在不重视信息保护的情况下设计出来的安全系统会非常“不安全”，而且不能抵御复杂的攻击。建立安全的架构一定要从底层着手。这个架构应能提供实效性的安全服务，并且需要妥善的管理。

3 计算机网络信息安全的防护策略

尽管计算机网络信息安全受到威胁，但是采取恰当的防护措施也能有效的保护网络信息的安全。文章总结了以下几种方法并加以说明以确保在策略上保护网络信息的安全：

3.1 隐藏IP地址

黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用服务器。使用服务器后，其他用户只能探测到服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。

3.2 关闭不必要的端口

黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序(比如Netwatch)，该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，用“NortonInternetSecurity”关闭用来提供网页服务的80和443端口，其他一些不常用的端口也可关闭。

3.3 更换管理员账户

Administrator账户试图获得Administrator账户的密码，所以要重新配置Administrator账号。首先是为Administrator账户设置一个强大复杂的密码，然后我们重命名Administrator账户，再创建一个没有管理员权限的Administrator账户欺骗入侵者。这样一来，入侵者就很难搞清哪个账户真正拥有管理员权限，也就在一定程度上减少了危险性。

3.4 杜绝Guest账户的入侵

Guest账户即所谓的来宾账户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门！禁用或彻底删除Guest账户是最好的办法，但在某些必须使用到Guest账户的情况下，就需要通过其他途径来做好防御工作了。首先要给Guest设一个强壮的密码，然后详细设置Guest账户对物理路径的访问权限。3.5封死黑客的“后门”

俗话说“无风不起浪”，既然黑客能进入，那我们的系统一定存在为他们打开的“后门”，我们只要将此堵死，让黑客无处下手。

3.5.1 删掉不必要的协议。

对于服务器和主机来说，一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NetBIOS是很多安全缺陷的源泉，对于不需要提供文件和打印共享的主机，可以将绑定在TCP/IP协议的NetBIOS给关闭，避免针对NetBIOS的攻击。

3.5.2 关闭“文件和打印共享”。

文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，它也是引发黑客入侵的安全漏洞。所以在没有必要“文件和打印共享”的情况下，可以将其关闭。即便确实需要共享，也应该为共享资源设置访问密码。

3.5.3 禁止建立空连接。在默认的情况下，任何用户都可以通过空连接连上服务器，枚举账号并猜测密码。因此必须禁止建立空连接。

3.5.4 关闭不必要的服务。服务开得多可以给管理带来方便，但也会给黑客留下可乘之机，因此对于一些确实用不到的服务，最好关掉。比如在不需要远程管理计算机时，就将有关远程网络登录的服务关掉。去掉不必要的服务停止之后，不仅能保证系统的安全，同时还可以提高系统运行速度。

3.6 做好IE的安全设置

ActiveX控件和JavaApplets有较强的功能，但也存在被人利用的隐患，网页中的恶意代码往往就是利用这些控件编写的小程序，只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择，具体设置步骤是：“工具”“Internet选项”“安全”“自定义级别”。另外，在IE的安全性设定中只能设定Internet、本地Intranet、受信任的站点、受限制的站点。

3.7 安装必要的安全软件

应在电脑中安装并使用必要的防黑软件，杀毒软件和防火墙都是必备的。在上网时打开它们，这样即使有黑客进攻，安全也是有保证的。

3.8 防范木马程序

木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：①在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。②在“开始”“程序”“启动”或“开始” “程序”“Startup”选项里看是否有不明的运行项目，如果有，删除即可。③将注册表里KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。

3.9 不要回陌生人的邮件

有些黑客可能会冒充某些正规网站的名义，然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码，如果按下“确定”，你的账号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件，即使他说得再动听再诱人也不上当。

3.10 防范间谍软件

如果想彻底把Spyware拒之门外，请按照这几个步骤来做：①断开网络连接并备份注册表和重要用户数据。②下载反间谍工具。③扫描并清除。④安装防火墙。⑤安装反病毒软件。

3.11 及时给系统打补丁

最后，建议大家到微软的站点下载自己的操作系统对应的补丁程序，微软不断推出的补丁尽管让人厌烦，但却是我们网络安全的基础。

第12篇

作为互联网的使用者，我们不得不无休止地为电脑操作系统打补丁，以及定期用更新过的反病毒、反间谍软件对电脑进行常规扫描。而就在我写这篇文章时，我的电脑还是遭到了特洛伊木马病毒(Trojan.Winloginhook.Delf.A)的攻击。由于该木马刚刚开始传播，所以我的反病毒软件并不能及时捕捉它。我们暂且不管它是不是先前某木马的最新变种，或是一种完全新型的攻击，有一点可以肯定的是：不管我们的安全防范意识如何加强，病毒攻击的脚步并不会因此停止。

事实上，我们虽然不能做到百分之百的防范，但可以把这种风险降低到最低。而要达到这一目的，首先要做的就是明确我们所面对的威胁有哪些。为了让大家对目前的网络安全有深入的了解，我整理了一张“你必须知道的十大网络安全风险”清单。如果想进一步保护系统安全，你还必须知道如何为您的电脑系统打补丁，还有定期更新安全软件工具。另外，我还为大家提供了一些解决方案和防范措施，以帮助大家规避这些新威胁，或者在您正遭遇攻击时减少损失。

僵尸电脑大军兵临城下

危害等级: 高 易受攻击程度: 高 目标: Windows用户

僵尸网络是指接入互联网的计算机被病毒或蠕虫感染后，受控于黑客，可以随时按照黑客的指令展开DoS攻击，或者发送垃圾邮件、实施网络钓鱼，真正的用户却毫不知情，就仿佛“僵尸”一般。而现在，即使电脑初学者也可以生成自己的僵尸网络，控制不知情人的电脑，原因是狡猾的病毒创建者将僵尸网络制造工具当作商品来贩卖。

现在有很多人都在通过贩卖僵尸网络软件工具渔利。这些工具包的出售价格从20美元到3000美元不等，能够帮助“放牧人”(操控僵尸电脑的人称为放牧人)达到不可告人的目的，例如传播恶意软件、在其他电脑上安装键盘记录软件等。“现在有大量类似的软件工具――50种、60种、甚至上百种不同的工具包。”Sunbelt软件公司的研究调查组副总裁Eric Sites表示。Sunbelt是一家设计反间谍软件程序的公司。

攻击实例:僵尸网络如何通过简单工具传播

猾的网络控制

目前，这种情况变得更加糟糕。一旦黑客创建了一种新的僵尸病毒并将这种病毒植入到电脑中，他们就能够使用诡异的指挥控制工具，轻而易举控制你的电脑。

近日，Sunbelt公司的网络团队和iDefense Labs安全公司的快速应急团队发现了一个基于网络的新型僵尸网络控制工具，他们将其命名为Metaphisher。与通过发送文本命令实现控制不同，使用Metaphisher时，“放牧人”可以通过其图形用户界面实现直观的控制，更易掌控受感染的电脑。

据iDefense Labs表示，Metaphisher僵尸病毒到目前为止已经感染了全世界超过100万台电脑。“现在的黑客越来越聪明，聪明到有些让人捉摸不透。例如，我们发现僵尸‘放牧人’和监控软件之间的通信，或是监控软件之间的通信都进行了加密操作，这一点让我们始料不及。另外，监控软件总是及时地把受感染电脑的信息传输给‘放牧人’，这些信息包括电脑的地理位置、用户是否及时为Windows打上安全补丁，以及除了IE浏览器以外，电脑上是否还安装了其他浏览器。”iDefense Labs表示。

在最近的犯罪调查中还发现，正是由于这些容易使用的工具包和控制装置，使得有如此多的电脑受到僵尸网络的感染，以至于执法人员一时间无从下手。例如，21岁的加利福尼亚人Jeanson James Ancheta因向黑客、散布垃圾邮件者及间谍程序作者出租僵尸网络系统而获刑57个月。这是美国判刑僵尸电脑黑客的首例，也是美国出现病毒罪名以来获刑最久的一位。Jeanson James Ancheta是在去年11月被美国联邦调查局逮捕的，他挟持了超过40万台电脑组建的僵尸网络，并以每笔交易3000美元把这些僵尸网络租赁给其他黑客。另外，去年秋天也有3名“放牧人”在荷兰落网，因为他们控制了超过150万台的僵尸电脑。

由于在散布僵尸网络时，并没有多大的障碍，所以，即使执法人员逮捕了一些“放牧人”，一些新的“放牧人”很快又会把这一缺口补上，几乎是每天都有人加入到“放牧人”的行列。“由于很多人看到做这一行(散布僵尸网络)能够创造利润，所以每天都有人卷入到运行僵尸网络的漩涡中。”管理安全服务公司Lurhq的高级安全研究员Joe Stewart表示。

您被盗的数据在网上免费传播

危害等级: 高 易受攻击程度: 中等 目标: Windows用户

当一个诈骗犯使用键盘记录程序盗取了您的银行账号和密码，这肯定是一件十分糟糕的事情。而更糟糕的事情是您被盗的敏感信息被公布在无保护的FTP网站上，而这些被公布的信息是任何一个进入到该网站的人都能够看到的。

其实，这样的事情早有发生，很多安全调查人员在过去的几年内就已经意识到它们的存在。反间谍软件供应商Sunbelt公司的首席执行官Alex Eckelberry向我们介绍了他们在调查键盘记录程序时发现的一台这样的FTP服务器，该服务器位于华盛顿，上面有1GB被盗取的私人信息，而这个数字仅仅是4月份的被盗取信息数量。

键盘记录程序通过不同管道植入用户电脑以后，可以记录用户由键盘键入的文字资讯，例如各式账号、密码等个人资料，然后再将这些资料传送到黑客手上。它除了能够记录文字资讯以外，还能捕捉电脑的屏幕信息。另外，它还能从Windows Protected Storage空间内收集数据，而这一空间主要用来储存本地密码和网上服务密码。

我们在Alex Eckelberry提供的FTP服务器中发现了这样一个日志文档，该文档包括了很多美国银行的密码和的密码，以及Yahoo、Hotmail和其他电子邮件的账号、用户名和密码，并提供了一些网络娱乐场所的账号细节和其他网站的账号细节。不仅如此，这些危害甚至还在走国际化路线，因为这些日志记录还包括多国语言――德语、西班牙语、匈牙利语土耳其语和日语等等。另外，该日志还把全世界各国受感染的电脑IP地址公布出来。

Eckelberry表示当他们公司一年前发现最初被隐藏的键盘记录数据时，他们就向机密信息被盗取的银行和企业发出了警报。

Tim Brown是Kingdom Sewing公司的所有者，他也是得到Sunbelt公司安全警报的人之一。Tim Brown表示他在哥斯达黎加的一次旅行中，使用旅馆的电脑核对了一下他的银行账号，之后他的银行信息就通过键盘记录程序被盗用了。但实际上，Tim Brown家里的电脑也并不见得十分安全。“在这之前，在我的电脑上，我并没有安装任何的反病毒软件和垃圾邮件清除软件。但是吃一堑，长一智，现在这些软件我都安装好了。” Tim Brown表示。

Tim Brown相对来说还是比较幸运的，因为被盗信息在被他人利用之前，Tim Brown就得到了警告，于是他立即修改了他的银行账号信息。然而，成千上万的潜在受害者不会像Tim Brown这样幸运。最近，Sunbelt公司发现了太多被盗的数据，以至于不能应付，所以他们停止了和FBI一直保持的联系。

因为信息盗窃者已经掌握了足够多的信息，足够他们忙上一阵子，所以Sunbelt公司认为他们暂时不会再创建新的键盘记录程序。“在今年4月份我们发现了180种键盘侧录程序，而去年4月份仅仅发现77种，但这个数据较之前3个月发现的键盘记录程序已经有了轻微的下降。”反网络钓鱼组织APWG(Anti-Phishing Working Group)的最新统计指出。

Sunbelt公司推断这些犯罪分子正在集中处理这些被盗取的丰富信息。“这些被收集、归类和处理的键盘记录数据目前正被他们调入到SQL数据库，”Eric Sites表示，“然后犯罪分子通过整理这些数据，去寻找他们想要的重要信息。这个后端系统复杂得令人惊叹”。

网络钓鱼者绞尽脑汁模仿合法网站

危害等级：高 易受攻击程度：高 目标：所有网络用户

网络钓鱼是最有效的盗取有用信息的方式，所以它发展得十分迅速。反网络钓鱼组织APWG最新的报告统计指出，在2006年4月份，有记录的网络钓鱼网站就达到了11121个，而在2005年4月份，网络钓鱼网站仅仅只有2854个。

也许，您会认为创建这些网络钓鱼网站的罪犯只不过是一些业余选手，只需通过他们不经意的拼写错误，或是一些粗糙的图形界面，就能识别它们网站的真假。其实这种想法是错误的，因为现在的网络钓鱼者也在不断创新，他们已经很少手工去仿冒现有的银行合法网页。现在的诈骗团伙一般都使用服务器端软件，该软件可以直接把目标银行网站的文本、图形和链接牵引过来。一旦登入到这样的网站，您根本辨别不出网站的真假。而只要您输入登录信息，这些信息就会径直传到网络钓鱼者手上。

现在的网络钓鱼网站变得十分狡猾，它们甚至能够设圈套算计那些谨慎且有经验的网络用户。就在今年4月份，哈佛大学以及加州大学伯克利分校的专家联合发表了题为“Why Phishing Works(网络钓鱼为什么能够取得成功)”的论文，他们对一小群随机的人群进行取样分析，研究他们对一封高危的钓鱼电子邮件能否通过简单判断来辨别真假，或是区别合法网站和诈骗网站。调查结果发现有很多的参与者不能辨别出来。该论文中还指出，伪装好的网络钓鱼网站甚至骗过了超过90%参与者的眼睛。

攻击实例:网络钓鱼网站如何模仿银行网站诈骗用户信息

浏览重导向令你防不胜防

通常情况下，诱骗者总是使用电子邮件并利用一些借口，如：他们的银行记录资料需要更新，或由于安全程序的改变需要重新核实用户资料等，以骗取用户账号和相关的密码口令。如果您在毫无怀疑的情况下点击了诱骗者提供的链接，以核查您的账号信息，您的银行信息就被“钓”去了。但是现在，诱骗者会采用更有说服力的手段引导你浏览他们的网站。

最近，出现了一种叫着智能重导向(smart redirection)的恶意软件，即使您在浏览器中输入了正确的银行网站地址，该软件同样可以把这个地址导向到诱骗者的网站上。为什么会出现这种情况呢？这是因为该恶意软件在您的电脑上监控了几十个，甚至上百个可用的伪造银行网站，只要您尝试登录到银行网站，该软件就会把浏览的地址导向到一个可用的伪造网站上。即使您随后关闭了这个网站，受感染系统中的智能重导向软件同样也能把您的相关信息发送到伪造的网站。

其实，只要用网络钓鱼的方式能够获得非法利润，罪犯就会一如既往地完善他们的钓鱼手段，就像智能重导向软件一样。“据我们所知，一张信用卡的信息可以卖到70美元。”安全硬件制造商CounterStorm公司的Michael Rothschild表示，“更何况罪犯可以把这些信用卡信息卖两次，如此大的利润就是驱使如此多的人加入到网络钓鱼者行列的原因。

”

人的易错性所导致的安全漏洞

危害等级：高 易受攻击程度：高 目标：所有

说到保护您的电脑，您可以更新Windows操作系统和应用程序，或是使用安全软件。但您千万不要认为做到这一点就可以高枕无忧了。您还忽视了最为重要的一点，那就是人的易错性，这不是打补丁就能避免的。

网络罪犯总是变着法子欺骗网络使用者，或是设下圈套让你钻。由于受金钱的驱使，他们变得越来越卑鄙，越来越让我们防不胜防。最近的eBay拍卖圈套就是最典型的一个网络犯罪案例。美国计算机紧急响应小组(US-CERT)和一些网络安全公司的报告显示，狡猾的网络钓鱼者利用eBay网站的漏洞，在eBay的页面上添加一些拍卖链接，这些拍卖链接会把完全没有防备的用户导向到一个新的网站，然后询问他的eBay登录信息。对那些随意发送的恶意电子邮件，你一定会持怀疑的态度，不会点击那些可疑的链接。而面对eBay认证页面上的链接，你很可能会放松警惕。

另一方面，你的电子邮件也没有逃脱攻击者的视线。狡猾的网络钓鱼者通过盗用和购买等方式得到大量的电子邮件地址，其目的不仅仅是发送垃圾邮件，还发送含有病毒的邮件，而发件人地址看上去就跟真的一样，让你不会起疑心。另外，邮件中还组合了个别公司的为人所熟知的电子邮件地址，这些带欺骗性质的电子邮件信息伪装得比较好，所以成功的几率也比单纯群发的方式要高。当你收到发送过来的Word文档或是电子邮件的链接，十有八九你会打开或点击它，之后你的电脑就中招了。

就在最近，发生了微软Word“零天攻击”(zero-day exploit)事件――即在漏洞发现的同一天就发生了攻击事件，而欺骗性质的电子邮件地址跟这也脱不了干系。受攻击的过程仅仅需要您打开一个扩展名为doc的附件。

网络犯罪者明白如果他们使用电子邮件或是网络钓鱼网站成功欺骗网络用户，他就将控制你的电脑。而俗话说得好：兵来将挡，水来土淹。下面的这2条防范建议是一个业内人士提供的，是用来防范网络攻击的最佳方式：

罪犯把浏览器重导向到欺诈网站

危害等级：高 易受攻击程度：高 目标：商业用户

你几乎每天都在使用域名解析(Domain Name System，DNS)服务器。DNS能够把人们熟悉的形如“.cn”这样的域名转换为IP地址。你的ISP有自己的DNS服务器，而很多公司也配备有DNS服务器。总之，互联网访问离不开DNS。

虽说DNS服务器支撑着互联网的运行，但在最近的调查中，互联网性能监测公司The Measurement Factory发现，75%的DNS服务器运行着过时和配置不当的域名解析软件。这样的DNS系统常遭受来自互联网的攻击，以至于SANS(电脑安全研究与教育组织)将其列为二十大互联网漏洞之一。2006年5月份，由于连续遭到网络罪犯“拒绝服务”式攻击，以色列反垃圾邮件公司Blue Security被迫关闭公司网站，其原因就是Blue Security使用了配置不当的DNS服务器。

其实，攻击DNS服务器的方式有很多种。其中的一种攻击方式就是“缓存中毒”，罪犯可以同时把攻击的目标瞄准所有使用DNS服务器的人。一次成功的攻击可以把使用过公司或是ISP服务器的用户成功导向到一个网络钓鱼网站，或是恶意病毒网站。也许您在浏览器中输入的是或，而最后出现的网站会在你的电脑上安装恶意软件和后门程序。

还有另外一种可以引发严重后果的攻击：当黑客向设有递归(recursive)功能的DNS服务器发送一些欺骗的请求时，服务器会做出反应，并把回复的信息发送到一个受陷害的用户那里。和原始的请求相比，服务器回复的内容包括更多的数据，这使得它所造成的危害更加严重。那些不幸的受害者会被这些垃圾数据淹没，而不能响应正常用户的真实请求。

Rootkit帮恶意软件打掩护

危害等级：高 易受攻击程度：中等 目标：Windows用户

说到Rootkit，它可谓是恶意软件作者的最终梦想，因为它可以帮助蠕虫、僵尸病毒和其他的恶意软件隐藏自己的踪迹。由于Rootkit并不会在Windows资源管理器中出现，运行时也不会显示在任务管理器中，所以很多的反病毒和反间谍软件都无法检测到被它隐藏的恶意程序，这就是如今越来越多的恶意软件作者使用Rootkit的原因。

去年11月份的索尼音乐CD事件就跟Rootkit软件有关。索尼为了隐藏版权保护文档，在音乐CD中安装了Rootkit软件。一些狡猾的网络罪犯很快就发现了这一点，并通过索尼音乐CD中的Rootkit软件来隐藏他们的恶意程序。索尼音乐CD中的文档和运行的过程都以“$sys$”开头，而恶意软件作者也把他们的文档名称改成相同的格式，以蒙骗过关。

今年3月粉，西班牙反病毒软件制造商熊猫软件公司表示他们发现了多种带有Rootkit功能的恶意Bagle蠕虫病毒。而更遭的是，和僵尸网络程序的制作者一样，Rootkit程序作者现在已经开始销售和免费分发相关的工具。对于恶意软件作者而言，这绝对值得庆贺，因为这样他们就更容易把Rootkit功能直接植入到像Bagle这样的蠕虫病毒或是新型恶意程序当中。

网络罪犯中的机会主义者使用现有的Rootkit，同时Rootkit更强大的功能也正在被开发出来。例如，安全公司eEye发现网络罪犯可以在硬盘的引导扇区隐藏恶意文档。来自NGSS(Next Generation Security Software)的安全顾问John Heasman也表示：“通过使用BIOS中的高级配置与电源接口配置，Rootkit甚至可以把恶意代码隐藏到电脑的BIOS中。”

最近，微软研究室与密西根大学的研究人员正在进行一项Rootkit方面的研究。这项研究模拟了一种“假启动”操作系统的情况，然后用名为SubVirt的软件在操作系统底层构建一个虚拟机监视器，直到操作系统发现，SubVirt一直正常运行，而且这种虚拟机可以完全控制操作系统，并能够非常好地隐藏自己。

幸运的是这项技术执行起来并没有那么简单，而且它会给用户提供线索，例如会造成系统运行速度减慢和生成日志文档。但到目前为止，这些极端的Rootkit还只是一个概念，所以恶意软件创建者要发起这样的攻击，估计还要一段比较长的时间。

Rootkit跟我们玩捉迷藏

仅仅是发现目前没有较大危害的Rootkit对于安全厂商来说就是一个严重的挑战。而发现和移除Rootkit只是一项基础的工作，即使是将Rootkit制服也不过是暂时的。如果要长期的和Rootkit斗争下去，可谓相当的困难。

其实，要想在装有Windows操作系统的电脑中检测到一个Rootkit程序并不简单，这跟在一个黑暗的房间内利用手电筒寻找目标不一样。现在安全厂商提供一些专用的Rootkit查杀工具，例如F-Secure的BlackLight、Sysinternals的RootkitRevealer，他们通过对电脑中的Windows文件系统和内存进行无规律的特征扫描，可以检测到遗留的Rootkit。

但是，这样的工具不可能在每一起案例中都起到作用。最近，臭名昭著的恶意广告程序Look2Me就成功地逃过了BlackLight的法眼，其原理是使一个关键的系统调用(System Call)无效。虽说这只是黑客偶然发现的，但是Rootkit创建者在下一轮的恶意攻击中，肯定会将目光死死盯住这一区域，这才是问题的关键。

攻击实例:恶意软件穿着隐形斗篷在你的电脑中扎营

病毒也会给您打电话

危害等级：中等

易受攻击程度：低(美国)，中等(欧洲和亚洲)

目标：手机和智能手机用户

在的电脑病毒似乎觉得自己不够坏，这些肮脏的程序已经把目标瞄准了你的手机。和电脑病毒一样，手机病毒同样会造成重大的危害。从构成危害的形式来看，手机病毒包括“软”伤害(如死机、关机、删除存储的资料、向外发送垃圾邮件、拨打电话等)和“硬”伤害(损毁SIM卡、操作系统和芯片)。

同样，很多的手机病毒也是以获得非法利润为目标。最近，一个木马程序就感染了很多俄罗斯人的手机。感染这种木马后，手机会发送一些文本信息到服务台，而发送这些信息要收取一定的费用。到目前为止，这种手机病毒还未向美国发起攻击，但在欧洲和亚洲已经造成了很大的危害。

就像真实世界中的生物战争一样，手机病毒的传播也需要“身体上”的接触。Mikko Hyppoenen是芬兰互联网安全公司F-Secure负责杀毒研究的专家，为了研究手机病毒，他经常用不安全的手机“作饵”，然后看有没有恶意程序进入。在一次伦敦的旅行中，Hyppoenen的手机受到了4次攻击，而攻击都是通过手机的蓝牙功能完成的(蓝牙的接收信号范围可达100米)。安全专家还表示，虽说现在很多的手机病毒都是通过蓝牙传播的，但这并不是唯一的传播途径。例如，Mabir病毒就是通过SMS信息传播的。

另外，最近还有一组数据显示，过半的手机病毒是把Symbian操作系统作为攻击目标，还有一小部分的攻击是针对使用Windows Mobile和基于Java的手机。而自从2004年6月份发现了首个手机病毒Cabir.A以后，手机病毒的数量一直在节节攀升。仅仅到2006年5月15日为止就发现了211种手机病毒，而在2005年才发现156种。

照中也有恶意软件?

危害等级：中等 易受攻击程度：低 目标: 大多数消费者

科技如此发达的今天，有人难免会问，我的护照、剃须刀片和宠物猫会不会携带有电脑病毒呢？也许，这样的问题显得有些牵强。但最近荷兰研究人员通过研究，发现这些事情是有可能发生的。

之所以会出现这样的危机，主要是因为RFID(Radio-Frequency Identification，射频识别)芯片的出现。RFID芯片是一种体积非常小而且便宜的设备，可植入到物品和宠物ID标签当中，不久以后还将用于司机的驾驶执照和美国的护照当中。而在过去，RFID芯片主要用于在较短的距离内传输电子信息，例如航运站的存货数据或是您的护照号码。

尽管RFID芯片有如此大的作用，但是RFID技术在执行方面存在安全缺陷。例如，一些标签上的信息可以被重写，还有一些标签可以通过长距离读取。在一项有关这种缺陷的实验中，荷兰大学的研究人员使用修改过的RFID标签以及貌似病毒的命令来尝试感染后端数据库，而数据库中储存着所有的标签记录。在理论层面上，RFID系统完全可以被作为病毒攻击的工具。RFID这项技术很有可能引起商界和政府的极度恐慌。

众多的电脑安全专家指出，一些体系设计比较完善的系统可以避免受到类似的攻击，而这些系统的标志就是在RFID读取设备和数据库之间还有“中间件”。安全专家还建议对重要的RFID芯片使用加密和屏蔽设计，以躲避未经请求的恶意病毒攻击。根据计划，美国护照将同时使用以上技术。

事实上，所有的研究都阐明了一个最基本的观点：几乎所有的系统都有其可利用的缺陷。所以，以后要千万留心您的宠物猫。

您的数据被绑架，罪犯向您勒索赎金

危害等级: 中等 易受攻击程度：低 目标: Windows用户

看到这个标题，好像就跟电影联系在一起，电影的情节大致如此：罪犯进入到您的电脑，再“绑架”电脑中的重要数据和文档，并以这些掌握的数据为“人质”，直到您把勒索赎金交给罪犯以后，他们才释放数据“人质”。虽说类似的勒索少之又少，但在世界各地都有发生。

Cryzip就是一款早期的敲诈软件。它会在宿主硬盘上搜索44种不同的文件类型(例如Word和Excel文档)，然后将这些文档打包成为一个加密的压缩文件。之后，软件通知受害者向一个随机选取的账户转入赎金。支付完成后，罪犯才会向受害者提供压缩文件的密码。

今年5月份，还出现了另一种敲诈软件――Arhiveus。和前者不同的是，罪犯并不是要受害者通过电子支付的方式支付赎金，而是指示受害者从某个在线药房购买处方药。受害者购买药品后，将订单ID通过邮件发送给攻击者，攻击者确认无误后将密码通过邮件回复给受害者。

然而，安全公司Lurhq发现了Cryzip和Arhiveus加密文件的口令。这个口令是在恶意程序的代码中发现的，没有加密。“受害者使用这个口令用ZIP工具就可以释放被‘绑架’的文件。” Lurhq公司的Joe Stewart表示。

机智的用户总能逃过一劫。Richmond Mathewson是保加利亚普罗夫迪夫市的一名软件开发者，他曾经成功地挽救了一个朋友绝大多数的数据。这些数据都保存在“我的文档”中，其中包括很重要的工作文档，而且没有备份。有一天，这些文档突然都不见了。Mathewson查看这台受感染的电脑时，发现了Arhiveus的敲诈信息。接下来，Mathewson利用他联网的Mac Mini以及删除文件恢复软件，奋战了4个小时。但他说他并没有成功恢复所有的文件，“还有5%的文档彻底找不回来了”。

不过幸运的是，勒索软件的攻击方式还比较简单，其活动的范围也相当有限。除了对文件进行加密外，Arhiveus还将受害者所有的文件放入到一个名为EncryptedFiles.als的长文件中。但实际上，该文档并没有加密。

“对于大多数的网络用户来说，这种威胁还没有那么严重，”Stewart表示，“我估计目前全世界只有几千台电脑受到这样的感染，这远远不能满足那些恶意软件作者广泛传播的目的。因为他们只有把目光瞄向更多对于被锁定数据毫无对策的用户，才能收到受害者支付的赎金。

“但这些看上去只是网络罪犯使用勒索软件的初级阶段，”Stewart补充道，“就和其他类型的攻击一样，勒索软件也会不断地进化，最终会走向完善。如果真的走到这一步，后果将不堪设想。”

攻击实例:勒索软件如何完成"不可能完成的任务"

病毒已经向各个平台撒网

危害等级：高 易受攻击程度：低 目标: Windows、Mac和Linux用户

长时间以来，很多Mac和Linux用户都在窃喜，并以自己作为一个Mac或Linux用户为荣。这主要是因为Windows用户总是遭受针对Windows的一个又一个漏洞的攻击。但是现在的Mac和Linux用户可能再也高兴不起来了，因为面向这些系统的安全威胁变得越来越多。

近日有报道称，黑客已将目光瞄准了70多个OS X安全漏洞。其中的一次攻击就发生今年2月份，一个叫着Oompa-loompa即时信息的蠕虫病毒攻击了OS X Tiger，这也是Tiger面临的第一次恶意软件入侵。

IE用户已经习惯于不断出现的浏览器漏洞报告，这些漏洞可以导致远端代码执行。但是这些并不是IE的专利，Mac用户现在也需要多一个心眼。就在最近，苹果就了3个安全漏洞补丁，其中的一个就是针对Safari浏览器中的安全漏洞推出的。

Linux也不例外。有数据表明，从2004年到2005年，攻击Linux操作系统的恶意软件数量翻了一番。上面提到过的Rootkit软件，不仅仅对Windows系统能造成威胁，甚至可以影响到服务器端，暗中控制Unix系统的管理员层面的用户。在利用开源程序建立个人网站的同时，黑客很可能会劫持你的网站，并进而控制你的PC。

而最近最令人头痛的则是跨平台恶意软件，也就是说一个单一的恶意程序可以攻击2个，或是更多类型的操作系统。今年4月份，出现了一种可以同时攻击Windows和Linux的病毒。该病毒名被称为Virus.Linux.Bi.a/ Virus.Win32.Bi.a。该病毒可以同时感染Linux和Windows操作系统中所使用的文件格式――ELF和PE。卡巴斯基表示，该病毒不会造成任何实际损害，病毒创建者只是为了展示自己的跨平台能力。

Windows的广泛使用使恶意软件有机会感染更多有漏洞的操作系统，而随着其他操作系统的逐渐流行，他们也变成了恶意软件所关注的目标。