浅谈互联网背景下的病毒防治

顾汉现

浅谈互联网背景下的病毒防治


[ 09-08-18 14:45:00 ]    作者：连程杰


　　[论文关键词]互联网 病毒 防治  

　　[论文摘要]随着互联网的迅猛发展，计算机病毒对信息安全的威胁日益增加。特别是在网络环境下，传播途径和应用环境的多样化使得网络计算机病毒的发生频率较普通计算机病毒更高、潜伏性更强、影响面更广，破坏性更大。网络病毒的防治和信息安全问题已成为计算机领域的重点研究对象。  
　　　　　　  
　　一、计算机病毒的定义  
　　国内通常用1994年颁布的《中华人民共和国计算机信息系统安全保护条例》第一十条中的定义，即“计算机病毒，是指编制或者在计算程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能够自我复制或者在计算程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能够自我复制的一组计算机指令或者程序代码”。  
　　
　　二、互联网病毒的特点  
　　随着互联网的风靡，给病毒的传播又增加了新的途径，它的发展使病毒可能成为灾难，病毒的传播更迅速，反病毒的任务更加艰巨。Internet带来两种不同的安全威胁，一种威胁来自文件下载，这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数互联网邮件系统提供了在网络间传送附带格式化文档邮件的功能，因此，遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。网络环境下的计算机病毒不仅包括传统的病毒程序，还包括网络蠕虫和木马程序。网络病毒的发展呈现出新的特点和趋势：  
　　（一）病毒表现形式多样化  
　　在网络环境下，可执行程序、脚本文件、HTML页面、电子邮件、网上贺卡、卡通图片、ICQ，OICQ等都有可能携带计算机病毒。  
　　（二）破坏性更大更强  
　　网络病毒的破坏性日益增强，它们可以造成网络的拥塞、瘫痪，网络终端的数据丢失，机密信息失窃，甚至通过病毒控制计算机终端和网络。越来越多的网络病毒兼有病毒、蠕虫和后门黑客程序的功能，破坏性更大。如2001年流行的“尼姆达”病毒就兼具三者的功能。  
　　（三）病毒清除的难度日益增大  
　　在网络中，只要有一台计算机感染病毒，就可迅速通过内部网络很快使整个网络上的终端受到影响，使网络拥堵，严重的甚至引起网络瘫痪或终端的崩溃。  
　　（四）传播介质与攻击对象多元化，传播速度更快，覆盖面更广  
　　网络病毒利用网络上的各种通信端口和邮件等迅速传播。攻击对象由传统的个人电脑变为所有具备通信机制的工作站、服务器乃至掌上型移动通信工具PDA和手机。  
　　（五）病毒种类层出不穷，且向智能化和隐蔽化发展  
　　网络环境下除了传统语言编写的病毒外，越来越多的出现用新的编程语言与编程技术实现的病毒更易于被修改以产生新的变种，从而逃避反病毒软件的搜索。并且，开始出现了专门生产病毒的病毒生产机程序，使得新病毒出现的频率大大提高。网络病毒开始向智能化和隐蔽化发展，甚至能自动关闭杀毒软件，伪装成正常的程序，给网络病毒的防治带来了极大的困难。  
　　
　　三、网络病毒的防治  
　　病毒防治的根本目的是保护用户的数据安全，因此网络病毒的防治可以从以下3个方面入手：（1）数据备份；（2）封堵漏洞，查杀病毒；（3）灾难恢复。数据备份是降低病毒破坏性的最有效方法。定期进行数据备份，这样即使遭受病毒攻击，也可以恢复关键数据。对付病毒一方面要封堵系统及应用程序漏洞，另一方面还要定期地更新病毒库和查杀病毒。由于在网络环境下不存在完全的抗病毒方案和产品，因此，灾难恢复是防治病毒的一个重要措施。用户系统发生意外、数据遭受破坏后，应立即关闭系统，以防止更多的数据遭受破坏，然后根据具体情况选择合适的方案进行数据恢复。  
　　（一）构建基于网络的多层次的病毒防护  
　　多层防御的网络防毒体系应该由用户桌面、服务器、网关和病毒防火墙组成，具有层次性、集成性和自动化的特点。  
　　1．要保证账号与密码的安全，特别要注意安全权限等关键配置，防止因配置疏忽留下漏洞而给病毒可乘之机，保证文件系统的安全。  
　　2．及时升级系统最新系统平台，对BUG进行修补，要经常从相关的网站下载补丁程序，及时完善系统和应用程序，尽量减少系统和应用程序漏洞。无论是系统软件还是应用软件，它们本身的安全都是至关重要的。操作系统是计算机必备的软件，所以操作系统的安全是计算机安全的核心。由于各种原因，Windows9X和NT本身都存在着一些错误（即Bug），这些Bug使得非法用户可以从“后门”侵入系统，应用软件本身也可能因为开发的疏漏而产生“后门”。有此开发人员在编制软件时，为了方便调试和观察注册表安全，留下“后门”。  
　　3．禁用不必要的服务，对不需要或不安全的功能性应用程序尽量不安装或者关闭，重要服务器要专机专用，通过服务管理器或注册表禁用不需要的服务。
　　（二）定期进行数据备份以确保数据安全  
　　对于一个应用系统而台，没有任何一个措施比数据备份更能够保系统的安全。因为在一个开放的网络环境下随时会因为各种原因而使计算机系统拒绝服务。这种原因可能来自硬件，也可能来自软件；可能是人为的，也可能是客观因素造成的。故障是绝对的，安全是相对的。不管怎样，当这种灾难来临时，应该进行的处理就是尽快恢复系统的运行，为用户提供正常的服务。一般来讲，这种备份应该是动态的备份，比如采用磁盘阵列（RAID）进行数据的镜像，也可以定时静态备份。备份时，最好能够通过网络将重要的数据备份到远程的客户机上，这样做可以使备份数据和主机分开，确保数据的安全。  

顾汉现

浅谈互联网背景下的病毒防治（２）


　　（三）定期进行病毒扫描  
　　采用防毒软件定期进行扫描是最常用的防范方法。病毒扫描程序一般使用特征文件在被传染的文件中查找病毒，用户通过更新特征文件来更新软件，以查找最新病毒。多数扫描程序在发现病毒后会执行一个独立的进程，对病毒进行清除或隔离。但目前已有一些病毒扫描程序不再局限于特征码匹配。例如，目前在瑞星杀毒软件中就采用了一种叫“病  
　　  
　　毒行为分析判断“的技术，它从病毒的行为而不是特征码入手来判断并查杀病毒，即使对于未知病毒也可以有效查杀。  
　　病毒扫描程序的形式目前主要有以下几类：  
　　1．手动扫描型  
　　需手工启动或由一个自动进程启动运行。这种程序启动后，一般会在整个驱动器或系统中查毒，包括RAM内存、硬盘、软盘等，用户也可选择查毒范围。这种查毒方式一般是在事后工作，即系统先被感染了病毒之后，然后才能被发现，此方式适合定期对系统驱动器的杀毒。  
　　2．内存驻留型  
　　它是一种在后台运行的程序。一般在系统初始化时启动，然后一直在内存中保持激活状态。一旦有文件访问活动，内存驻留的扫描程序就会拦截对文件的调用，查看文件中是否有病毒，然后再决定是否允许文件装入内存。内存驻留型病毒扫描程序能够在病毒感染系统之前就发现病毒，但会引起系统的性能下降，降低系统的响应速度。  
　　3．启发式扫描程序  
　　此类型的防毒软件会进行统计分析以确定程序代码中存在病毒的可能性。这种扫描程序不像病毒扫描程序那样比较程序代码和特征文件，而是使用分级系统决定所分析的程序代码是否有病毒程序的概率。若分析某程序代码携带病毒的可能性足够大，启发式扫描程序就会报警。目前的多数病毒扫描程序都有启发式扫描功能。其优点是不需升级，就可能发现新病毒，缺点是可能误报。  
　　4．应用程序级病毒扫描程序  
　　不负责保护指定的系统免受病毒侵袭，而是保护整个机构中的特定服务。在较大系统的防火墙中通常包含病毒扫描功能。  
　　（四）培养良好的防范病毒的习惯  
　　除了积极采取病毒防治措施外，更重要的是还要建立良好的病毒防范意识，培养防范病毒的习惯，系统当中最脆弱的是人的因素，再安全的系统如果系统操作者没有良好的安全防范意识，都会使系统处于非常危险的情况，因此必须重视人防因素。如：不从任何不可靠的渠道下载软件；不打开来历不明邮件的附件；及时更新最新的病毒库；经常进行彻底的病毒扫描等。  
　　
　　四、结束语  
　　网络病毒防御是一个长期的过程，一方面要掌握对当前计算机病毒的防范措施，合理的应用防范技术组建安全的防范系统。另一方面还要加强对新型病毒的关注和研究，及时的采取应对措施，做到防患于未然。

顾汉现

浅析计算机病毒


[ 09-07-19 15:07:00 ]    作者：叶文胜　张捷


　　摘 要：计算机网络安全一直是计算机良性发展的关键。非法截取军事机密、商业秘密、个人隐私；冒名顶替、未授权访问网络；黑客入侵、病毒肆虐、黄毒泛滥都是我们要解决的问题，这其中尤其以计算机病毒的危害最大，本文从计算机病毒的基本概念入手，使大家对其有充分的认识，达到防范于未然的目的。
　　关键词：安全；病毒；特征；防御
　　
　　1 计算机病毒的概念及特征
　　
　　按照“中华人民共和国计算机信息系统安全保护条例”对计算机病毒的概念定义为：是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。此定义具有法律性、权威性。其特征有：传染性、隐蔽性、潜伏性、破坏性、针对性、衍生性（变种）、寄生性、不可预见性。
　　
　　2 计算机病毒发作的征兆
　　
　　我们如何指导自己的计算机系统已经感染了病毒呢？可以从下面现象去发现。①系统不认识磁盘或是硬盘不能开机。
　　②整个目录变成一堆乱码。
　　③硬盘的指示灯无缘无故亮了。
　　④计算机系统蜂鸣器出现异常声响。
　　⑤没做写操作时出现“磁盘写保护”信息。
　　⑥异常要求用户输入口令。
　　⑦程序运行出现异常现象或不合理的结果。
　　
　　3 计算机病毒的触发
　　
　　潜伏在计算机中的病毒是怎么爆发的？其导火线有：时间、日期作触发条件；计数器作触发条件；键盘字符输入作触发条件；特定文件出现作触发条件；综合触发条件。计算机软硬件产品的脆弱性是病毒产生的根本技术原因，计算机的广泛应用是计算机病毒产生的必要环境，特殊的政治、经济和军事目的是计算机病毒产生的加速器。
　　
　　4 计算机病毒的种类
　　
　　4.1 开机感染型
　　（1）硬盘分割区式：STONE, 米开朗基罗，FISH
　　（2）启动软盘式：C-BRAIN，DISK-KILLER
　　4.2 文档感染型
　　（1）非常驻型:VIENNA (维也纳)
　　（2）常驻型: TSR如：黑色星期五，红色九月
　　4.3 复合型病毒: Natas, MacGyver
　　4.4 隐秘型病毒
　　（1）使用复杂编码加密技巧,每一代的代码都不同，无特征样本可循。
　　（2）以拦截功能及显示假象资料蒙蔽用户。
　　（3）不影响功能的情况下,随机更换指令顺序。
　　
　　5 计算机病毒的新特点
　　
　　①基于视窗的计算机病毒越来越多。
　　②新计算机病毒种类不断涌现，数量急剧增加。
　　③传播途径更多，传播速度更快。
　　④计算机病毒造成的破坏日益严重。
　　⑤电子邮件成为计算机传播的主要途径。
　　
　　6 当前病毒发展趋势
　　
　　①蠕虫越来越多，宏病毒退而居其次。
　　②黑客程序与病毒的结合。
　　③主动传播，基于网络的病毒越来越多。

顾汉现

浅析计算机病毒（２）


　　7 计算机病毒的传播途径
　　
　　计算机病毒的传播途径是多种多样的。主要有：数据机连线；启动DOS模式；使用软盘 ；Internet/E-Mail连线；网络连线；；网络共用档案夹；使用CD-ROM；直接缆线连接档案传输等。
　　而且互联网的病毒正日夜虎视眈眈着你的系统，他们主要通过使用网上工具时(ftp、netant、icq等)、邮件及群件系统、浏览网页时被病毒感染。
　　
　　8 计算机病毒的防御
　　
　　8.1 用计算机常识进行判断
　　决不打开来历不明邮件的附件或你并未预期接到的附件。对看来可疑的邮件附件要自觉不予打开。千万不可受骗，认为你知道附件的内容，即使附件看来好象是.jpg文件——因为Windows允许用户在文件命名时使用多个后缀，而许多电子邮件程序只显示第一个后缀，例如，你看到的邮件附件名称是wow.jpg，而它的全名实际是wow.jpg.vbs，打开这个附件意味着运行一个恶意的VBScript病毒，而不是你的.jpg察看器。
　　8.2 安装防病毒产品并保证更新最新的病毒定义码
　　建议你至少每周更新一次病毒定义码，因为防病毒软件只有最新才最有效。需要提醒你的是，你所是购买的诺顿防病毒软件，不仅是更新病毒定义码，而且同时更新产品的引擎，这是与其它防病毒软件所不一样的。这样的好处在于，可以满足新引擎在侦破和修复方面的需要，从而有效地抑制病毒和蠕虫。例如，赛门铁克的所有产品中都有“实时更新”功能。
　　8.3 首次安装防病毒软件时，一定要对计算机做一次彻底的病毒扫描
　　当你首次在计算机上安装防病毒软件时，一定要花费些时间对机器做一次彻底的病毒扫描，以确保它尚未受过病毒感染。功能先进的防病毒软件供应商现在都已将病毒扫描做为自动程序，当用户在初装其产品时自动执行。
　　8.4 插入软盘、光盘和其他可插拔介质前，一定对它们进行病毒扫描。
　　确保你的计算机对插入的软盘、光盘和其他的可插拔介质，及对电子邮件和互联网文件都会做自动的病毒检查。
　　8.5 不要从任何不可靠的渠道下载任何软件
　　这一点比较难于做到，因为通常我们无法判断什么是不可靠的渠道。比较容易的做法是认定所有较有名气的在线图书馆未受病毒感染，但是提供软件下载的网站实在太多了，我们无法肯定它们一定都采取了防病毒的措施，所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。
　　8.6 警惕欺骗性的病毒
　　如果你收到一封来自朋友的邮件，声称有一个最具杀伤力的新病毒，并让你 将这封警告性质的邮件转发给你所有认识的人，这十有八九是欺骗性的病毒。建议你访问防病毒软件供应商，如赛门铁克的网站 www.symantec.com/avcenter， 证实确有其事。这些欺骗性的病毒，不仅浪费收件人的时间，而且可能与其声称的病毒一样有杀伤力
　　8.7 使用其它形式的文档，如.rtf（Rich Text Format）和.pdf（Portable Document Format）
　　常见的宏病毒使用Microsoft Office的程序传播，减少使用这些文件类型的机会将降低病毒感染风险。尝试用Rich Text存储文件，这并不表明仅在文件名称中用.rtf后缀，而是要在Microsoft Word中，用“另存为”指令，在对话框中选择Rich Text形式存储。尽管Rich Text Format依然可能含有内嵌的对象，但它本身不支持Visual Basic Macros或Jscript。而pdf文件不仅是跨平台的，而且更为安全。当然，这也不是能够彻底避开病毒的万全之计。
　　8.8 不要用共享的软盘安装软件，或者更为糟糕的是复制共享的软盘
　　这是导致病毒从一台机器传播 到另一台机器的方式。同时，该软件没有注册也会被认为是非正版软件，而我们基本可以较为合理地推断，复制非法软件的人一般对版权法和合法使用软件并不在 乎，同样，他们对安装和维护足够的病毒防护措施也不会太在意。盗版软件是病毒传染的最主要渠道。
　　8.9 禁用Windows Scripting Host
　　Windows Scripting Host(WSH) 运行各种类型的文本，但基本都是VBScript或Jscript。换句话说，Windows Scripting Host在文本语言之间充当翻译的角色，该语言可能支持ActiveX Scripting界面，包括VBScript, Jscript或Perl，及所有Windows的功能，包括访问文件夹、文件快捷方式、网络接入和Windows注册等。许多病毒/蠕虫，如 Bubbleboy和KAK.worm使用Windows Scripting Host，无需用户点击附件，就可自动打开一个被感染的附件。
　　8.10 使用基于客户端的防火墙或过滤措施
　　如果你使用互联网，特别是使用宽带，并总是在线，那就非常有必要用个人防火墙保护你的隐私并防止不速之客访问你的系统。如果你的系统没有加设有效防护，你的家庭地址、信用卡号码和其它个人信息都有可能被窃取。
　　对计算机病毒有一个全面认识，然后做好防御工作，那么我们的计算机系统就会是一个较安全的环境，我们利用计算机来辅助工作完成才会更有效率。
　　
　　参考文献
　　［1］张世永.网络安全原理与应用［M］.北京：科学出版社，2003，（5）. 转贴于 中国论文下载中心 http://www.studa.net