计算机病毒过滤

① 网络病毒过滤规则 国外发展趋势

随着网络技术的不断发展，出现了大量的基于网络的服务，网络安全问题也就变得越来越重要。ACL即访问控制列表，它是工作在OSI参考模型三层以上设备，通过对数据包中的第三、四层中的包头信息按照给定的规则进行分析，判断是否转发该数据包。基于ACL的网络病毒的过滤技术在一定程度上可以比较好的保护局域网用户免遭外界病毒的干扰，是一种比较好的中小型局域网网络安全控制技术。
本设计重点从计算机网络病毒的出现、基本特征以及发展现状的角度出发，比较深入的研究了相关网络安全技术，深入分析了当前几种严重影响网络性能的网络病毒，结合ACL的工作原理，制定了相应的访问控制规则列表，并且通过模拟实验，对ACL的可行性进行了相应的测试。

关键词：ACL 访问控制列表 网络安全 路由器 防火墙
目录
中文摘要 2
ABSTRACT 3
1． 绪言 4
1.1 计算机病毒的出现 4
1.2 反病毒的发展 4
1.2.1 病毒制造者的心态分析 4
1.2.2 反病毒行动 5
2． ACL的发展，现状，将来 8
2.1 什么是ACL 8
2.1.1 ACL的工作流程及分类 8
2.1.2 ACL应用举例 10
2.2 当前的网络安全技术 10
2.3 ACL的未来 14
3． 基于ACL的网络病毒过滤的研究 16
3.1 "计算机病毒"的分类 16
3.2 部分病毒档案 16
3.2.1 示例一：Worm.Msblast 17
3.2.2 示例二：Worm.Sasser 18
3.2.3 示例三：Worm.SQLexp.376 19
3.2.4 示例四：Worm_Bagle.BE 20
3.2.5 示例五：Worm.MyDoom 21
3.2.6 示例六：Code Red & Code Red II 23
3.2.7 示例七：Worm.Nimda 24
4． 基于网络病毒过滤的ACL规则的制定与测试 27
4.1 制定基于网络病毒过滤的ACL规则 27
4.2 ACL规则实验室测试 27
结束语 30
致谢 32
参考文献 33
附录 1 34
附录 2 35

② 任何计算机病毒都能找到发现和清除的办法

答：对的。
1关于发现：
因为计算机病毒是程序也由地址码和操作码构成，同时也有其病毒的特点，传染是程序就会占用CPU、内存、硬盘的资源
在进程中可以找到病毒进程，即使被隐藏也是有进程的。
既然占用资源就可以查到。例如硬盘中总存软件变大，或者硬盘容积变小，等等
内存被其它非激活程序占用等，体现的是变慢。
内存和硬盘都是用于存储信号的, 由每8个连续的"位"BIT构成最小的可承载信息BYTE构成。文件由二进制位构成例如10101111
如果原来干净的文件为10101111，被感染后变成 101011111010101010101
那么1010101010101就是病毒，当然实际病毒比这复杂，但是我们可以提出可以区别正常文件的特征码（相当于公安部每天发布的通缉令给全国各个派出所），用这个特征码就可以在内存和硬盘中过滤出连续的文件来，这个文件就是病毒编码。
当然这个特征码必须区别普通文件否则就会造成错误杀毒，杀掉正常文件。
杀内存中毒就是把内存中有病毒的BIT全部变成111111111，或者00000000使其失去地址及操作码，也就达到清毒的目的。内存杀毒通过BIT位置放电加点。

硬盘要通过磁头加磁清除。硬盘上面的有病毒的地方被查出后磁头加磁使盘面实现消磁即可。基本原理和内存是一样的。

内存病毒通过关机也可以清除，但是关键前病毒会写入硬盘，开机瞬间又会自动由硬盘调入内存。这些都是病毒特点。

以上是本人浅见，希望楼主指正。

③ 如何预防计算机病毒

推荐你可以访问腾讯电脑管家官网，安装电脑管家来保护你的系统，电脑管家的实时防护部分含有16层防御体系，对于木马病毒可能入侵系统的途径都进行了防御，可以有效抵御各种木马病毒的感染，它更是有黑客入侵防护，可以让你免受黑客入侵的困扰

腾讯电脑管家企业平台：http://..com/c/guanjia/

④ 计算机病毒检测技术主要分为哪几个方面

【热心解答】

常见的计算机病毒的检测技术的分类：

1. 自动防御检测技术

2. 启发式病毒扫描检测技术

3. 智能型广谱式的病毒检测技术

4. 特征码计算机病毒检测技术

   拓展阅读参考：

   http://wenku..com/view/80d1030bbed5b9f3f90f1cd2.html
   

⑤ 怎样过滤文件的病毒

你好：

你可以先把文件下载下来，但是不要打开

使用电脑管回家的杀毒功能来查答杀一下看看

电脑管家的杀毒部分含有管家第二代反病毒引擎鹰眼，它有机器学习技术，CPU虚拟执行技术，可以在杀毒的同时，修复染毒的文件

如果以后有什么问题，欢迎再来电脑管家企业平台询问，我们会尽心为您解答

⑥ 目前,最难清除的计算机病毒,用什么杀毒软件可以彻底清除

愿我的答案 能够解决您的烦忧

腾讯电脑管家

第一，杀毒很牛我自己就在用，而且操作很简单，小白也能轻松上手。

第二，建议您现在立刻下载腾讯电脑管家“8.2”最新版，对电脑首先进行一个体检，打开所有防火墙避免系统其余文件被感染。

第三，打开杀毒页面开始查杀，切记要打开小红伞引擎。

第四，如果普通查杀不能解决问题，您可以打开腾讯电脑管家---工具箱---顽固木马专杀- 进行深度扫描。

第五，查杀处理完所有病毒后，立刻重启电脑，再进行一次安全体检，清除多余系统缓存文件，避免二次感染。

⑦ 计算机病毒的特点可分哪四大类

今年国内电脑病毒呈现四大显著特点:通过网页、邮件、漏洞等网络手段进行传播的网络型病毒成为发作病毒的主流，它们扩散范围更广、危害更大;病毒向多元化、混合化发被过滤广告
展，“偷窃”是未来趋势;这种病毒的最终目的不仅仅是为了瘫痪用户的计算机系统，对于攻击者来说，用户存储在计算机上的机密资料对于他们更有价值;利用漏洞的病毒越来越多，漏洞是操作系统致命的安全缺陷，如果系统存在漏洞，即使有杀毒软件的保护，病毒依然可以长驱直入，对系统造成破坏;专门针对QQ、MSN等即时通讯软件的病毒极速增加，已占到普通病毒的10%以上。

⑧ 如何防范计算机病毒、计算机木马

你好，要想防范病毒木马的入侵，需要你具有良好的安全意识，需做到下面几点：

1.及时安装系统安全更新。很多病毒木马会利用系统漏洞来攻击你的电脑，比如一些黑客会在扫描到你的电脑中有未修复的漏洞时会远程连接到你的电脑并上传木马，或者是在你访问了一些含有恶意代码甚至是挂马的网站时，某些木马会利用系统漏洞入侵你的电脑，很多木马还是盗号木马，疯狂窃取你的QQ账号、游戏账号，包括游戏中的装备，和网银密码，转走你的网银资金。此时至少得开启系统自带的Windows Update功能安装系统安全更新。但建议你安装诸如腾讯电脑管家这样的软件，你点击“漏洞修复”选项即可为你检查是否存在系统安全漏洞并提示你安装所需更新，而且会在微软每月第二周发布安全更新之时，主动提示你安装更新。而且，它还会为你安装Adobe Flash控件及Acrobat Reader等软件的重大安全更新。

2.安装一款杀毒软件。未安装过杀毒软件的电脑远比已安装过杀毒软件的电脑中木马病毒的可能性高得多。而腾讯电脑管家其实已经属于杀毒软件行列，它拥有4+1核心杀毒引擎，已经连续数次通过VB100、AV-C等国际权威认证，防杀病毒的能力也很强大，且它首创了“杀毒+管理”2合1模式，无需额外安装其它管理软件，降低了系统资源占用率。

3.不要轻易接收QQ等软件上发来的文件，除非你确认是安全的，而且对方也事先通知过你，也不要轻易打开邮件附件，特别是一些明显是垃圾邮件的附件更加不能打开，这些附件里很可能含有病毒。想下载软件时，千万不要去下载那种要求你安装时关闭杀毒软件的所谓软件，现在流行的“弼马温”网银盗号木马就是这样，伪装成播放器诱骗你下载，而且还要求你关闭杀毒软件，一旦运行之后，该木马就会在你进行网银转帐或支付之时，在你毫无知觉的情况下篡改网银支付页面，把资金转入盗号者在云端服务器配置的账号中。也不要随意点击QQ等软件中发来的安全性未知甚至提示为危险的网址链接，这也同样会让你的电脑存在中毒风险。不过在电脑管家中，由于默认已经默认开启了上网安全防护、应用入口防护和系统底层防护，能够很好地保护你上网时的安全。

4.为计算机中的用户，尤其是管理员用户设置强壮的密码。黑客很是偏爱使用空密码或弱密码的计算机，这样他们的入侵更为方便，所以一定要设置一个强壮的密码，建议使用由数字、英文大小写字母及符号组成的大于或等于8位的密码，这样黑客会因为破解密码的时间太长而放弃对你计算机的攻击。不过也请你牢记这个密码，别连着自己也给挡在门外了。

5.关闭系统自动播放功能。现在有很多利用U盘传播的病毒，在未关闭自动播放的情况下，插入U盘后就可能中招。你即使重装系统，如果其它分区中的病毒激活文件及autorun.inf并未被清除的话，一旦点击其它分区就有可能再次中毒。关闭自动播放功能也很轻松，在电脑管家“设置中心”的“U盘、下载”中确认已经选中禁用Windows系统的自动播放功能（重启后生效），点击应用后重启电脑即可。

6.若你不在局域网中，可以关闭135、139、445等端口。你在“控制面板”/“管理工具”/“本地安全策略”中右击IP安全策略，在本地计算机，选择创建IP安全策略，按照向导提示操作，选择所有网络连接，源计算机为所有网络上的计算机，目标计算机为本地计算机，并添加135、139、445等端口，操作方式设置为阻止。创建完成后激活策略使其生效。

7.若以后需要重装系统，不建议使用GHOST版系统，虽然它安装简单，但现在的GHOST版本已经越来越让人不放心了，制作者往往会出于经济利益的考虑，植入广告软件、恶意软件，甚至病毒木马，哪怕是宣称为纯净版的。建议使用官方原版。

8.不要忽视软件的更新。所有的软件在编制过程中难免出现考虑不周的问题，或者是出现BUG，甚至会出现安全漏洞，而在装机量大的软件上，一旦出现安全漏洞，就有可能被黑客利用。你在电脑管家的软件管理中点击软件升级，即会列出所有可供升级的软件，你可选择升级，软件管家会为你区分免费正式版、测试版和收费版，且会告诉你是否有插件，一般正式版你均可放心升级，对于有插件的，在安装过程中只要注意不是一味地点下一步，把相应插件的复选框清除即可避免把你不需要的软件也安装进电脑。

如果你还有其它电脑问题，欢迎你在电脑管家企业平台提出，我们将尽力为你解答。

⑨ 计算机病毒入侵计算机有哪些方式

计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。数以万计不断发展扩张的病毒，其破坏行为千奇百怪，不可能穷举其破坏行为，而且难以做全面的描述，根据现有的病毒资料可以把病毒的破坏目标和攻击部位归纳如下：
攻击系统数据区，攻击部位包括：硬盘主引寻扇区、Boot扇区、FAT表、文件目录等。迫使计算机空转，计算机速度明显下降。
攻击磁盘，攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。
扰乱屏幕显示，病毒扰乱屏幕显示的方式很多，可列举如下：字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写、吃字符等。
键盘病毒，干扰键盘操作，已发现有下述方式：响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱等。喇叭病毒，许多病毒运行时，会使计算机的喇叭发出响声。有的病毒作者通过喇叭发出种种声音，有的病毒作者让病毒演奏旋律优美的世界名曲，在高雅的曲调中去杀戮人们的信息财富，已发现的喇叭发声有以下方式：演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声等。
攻击CMOS ， 在机器的CMOS区中，保存着系统的重要数据，例如系统时钟、磁盘类型、内存容量等。有的病毒激活时，能够对CMOS区进行写入动作，破坏系统CMOS中的数据。
干扰打印机，典型现象为：假报警、间断性打印、更换字符等。

⑩ 什么叫计算机病毒

计算机病毒及防治
计算机病毒从它诞生之日起到现在,已成为了当今信息社会的一个癌症,它随着计算机网络的发展,已经传播到信息社会的每一个角落,并大肆破坏计算机数据,改变操作程序,摧毁计算机硬件,给人们造成了重大损失.为了更好地防范计算机及网络病毒,必须了解计算机病毒的机制,同时掌握计算机病毒的预防和清除办法.
8.1 计算机病毒概述
返回本章首页
http://old.ddvip.net/virus/elements/
8.1.1 计算机病毒的定义
"计算机病毒"最早是由美国计算机病毒研究专家F.Cohen博士提出的. "计算机病毒"有很多种定义,国外最流行的定义为:计算机病毒,是一段附着在其他程序上的可以实现自我繁殖的程序代码.在《中华人民共和国计算机信息系统安全保护条例》中的定义为:"计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码".
返回本节
8.1.2 计算机病毒的发展历史
1.计算机病毒发展简史
世界上第一例被证实的计算机病毒是在1983年,出现了计算机病毒传播的研究报告.同时有人提出了蠕虫病毒程序的设计思想;1984年,美国人Thompson开发出了针对UNIX操作系统的病毒程序.
1988年11月2日晚,美国康尔大学研究生罗特·莫里斯将计算机病毒蠕虫投放到网络中.该病毒程序迅速扩展,造成了大批计算机瘫痪,甚至欧洲联网的计算机都受到影响,直接经济损失近亿美元.
2.计算机病毒在中国的发展情况
在我国,80年代末,有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题. 1982年"黑色星期五"病毒侵入我国;1985年在国内发现更为危险的"病毒生产机",生存能力和破坏能力极强.这类病毒有1537,CLME等.进入90年代,计算机病毒在国内的泛滥更为严重. CIH病毒是首例攻击计算机硬件的病毒,它可攻击计算机的主板,并可造成网络的瘫痪.
3.计算机病毒发展的10个阶段
(1)DOS引导阶段
(2)DOS可执行文件阶段
(3)混合型阶段
(4)伴随型阶段
(5)多形型阶段
(6)生成器,变体机阶段
(7)网络,蠕虫阶段
(8)Windows阶段
(9)宏病毒阶段
(10)Internet阶段
返回本节
计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物.其产生的过程可分为:
程序设计→传播→潜伏→触发,运行→实行攻击.
究其产生的原因不外乎以下几种:
(1)一些计算机爱好者出于好奇或兴趣
(2)产生于个别人的报复心理
(3)来源于软件加密
(4)产生于游戏
(5)用于研究或实验而设计的"有用"程序
(6)由于政治经济和军事等特殊目的
8.1.3 计算机病毒的分类
病毒种类众多,分类如下:
1.按传染方式分为引导型,文件型和混合型病毒
2.按连接方式分为源码型,入侵型,操作系统型和外壳型病毒
3.按破坏性可分为良性病毒和恶性病毒
4.网络病毒
返回本节
8.1.4 计算机病毒的特点
(1)传染性(自我复制能力 )
(2)非授权性(夺取系统控制权 )
(3)隐蔽性
(4)潜伏性
(5)刻意编写,人为破坏
(6)不可预见性
返回本节
8.1.5 计算机病毒的隐藏之处和入侵途径
1.病毒的隐藏之处
(1)可执行文件.
(2)引导扇区.
( 3)表格和文档.
(4)Java小程序和ActiveX控件.
2.病毒的入侵途径
(1)传统方法 (磁盘,光盘等)
(2)Internet
返回本节
8.1.6 现代计算机病毒的流行特征
1.攻击对象趋于混合型
2.反跟踪技术
3.增强隐蔽性
4.加密技术处理
5.病毒繁衍不同变种
增强隐蔽性:
(1)避开修改中断向量值
(2)请求在内存中的合法身份
(3)维持宿主程序的外部特性
(4)不使用明显的感染标志
加密技术处理 :
(1)对程序段动态加密
(2)对显示信息加密
(3)对宿主程序段加密
返回本节
8.1.7 计算机病毒的破坏行为
(1)攻击系统数据区
(2)攻击文件
(3)攻击内存
(4)干扰系统运行,使运行速度下降
(5)干扰键盘,喇叭或屏幕
(6)攻击CMOS
(7)干扰打印机
(8)网络病毒破坏网络系统
返回本节
8.1.8 计算机病毒的作用机制
一个引导病毒传染的实例
假定用硬盘启动,且该硬盘已染上了小球病毒,那么加电自举以后,小球病毒的引导模块就把全部病毒代码1024字节保护到了内存的最高段,即97C0:7C00处;然后修改INT 13H的中断向量,使之指向病毒的传染模块.以后,一旦读写软磁盘的操作通过INT 13H的作用,计算机病毒的传染块便率先取得控制权,它就进行如下操作:
1)读入目标软磁盘的自举扇区(BOOT扇区).
2)判断是否满足传染条件.
3)如果满足传染条件(即目标盘BOOT区的01FCH偏移位置为5713H标志),则将病毒代码的前512字节写入BOOT引导程序,将其后512字节写入该簇,随后将该簇标以坏簇标志,以保护该簇不被重写.
4)跳转到原INT 13H的入口执行正常的磁盘系统操作.
一个文件病毒传染的实例
假如VVV.COM(或.EXE)文件已染有耶路撒冷病毒,那么运行该文件后,耶路撒冷病毒的引导模块会修改INT 21H的中断向量,使之指向病毒传染模块,并将病毒代码驻留内存,此后退回操作系统.以后再有任何加载执行文件的操作,病毒的传染模块将通过INT 21H的调用率先获得控制权,并进行以下操作:
1)读出该文件特定部分.
2)判断是否传染.
3)如果满足条件,则用某种方式将病毒代码与该可执行文件链接,再将链接后的文件重新写入磁盘.
4)转回原INT 21H入口,对该执行文件进行正常加载.
计算机病毒的一般构成
计算机病毒在结构上有着共同性,一般由引导部分,传染部分,表现部分三部分组成.
1 . 引导部分
也就是病毒的初始化部分,它随着宿主程序的执行而进入内存,为传染部分做准备.
2 . 传染部分
作用是将病毒代码复制到目标上去.一般病毒在对目标进行传染前,要首先判断传染条件是否满足,判断病毒是否已经感染过该目标等,如CIH病毒只针对Windows 95/98操作系统.
3 . 表现部分
是病毒间差异最大的部分,前两部分是为这部分服务的.它破坏被传染系统或者在被传染系统的设备上表现出特定的现象.大部分病毒都是在一定条件下才会触发其表现部分的.
计算机病毒的传染过程
计算机病毒的传染过程
1)驻入内存.
2)判断传染条件.
3)传染.
返回本节
计算机病毒的触发机制
感染,潜伏,可触发,破坏是病毒的基本特性.
目前病毒采用的触发条件主要有以下几种:
1.日期触发:许多病毒采用日期做触发条件.日期触发大体包括:特定日期触发,月份触发, 前半年后半年触发 等.
2.时间触发:时间触发包括特定的时间触发,染毒后累计工作时间触发,文件最后写入时间触发等.
3.键盘触发:有些病毒监视用户的击键动作,当发现病毒预定的键人时,病毒被激活,进行某些特定操作. 键盘 触发包括击键次数触发,组合键触发,热启动触发等.
4.感染触发:许多病毒的感染需要某些条件触发, 而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件,称为感染触发.它包括:运行感染文件个数触发,感染序数触发,感染磁盘数触发,感染失败触发等.
5.启动触发:病毒对机器的启动次数计数,并将此值作为触发条件称为启动触发.
6.访问磁盘次数触发:病毒对磁盘I/O访问的次数进行计数,以预定次数做触发条件叫访问磁盘次数触发.
7.调用中断功能触发:病毒对中断调用次数计数,以预定次数做触发条件.
8.CPU型号/主板型号触发:病毒能识别运行环境的CPU型号/主板型号,以预定CPU型号/主板型号做触发条件, 这 种病毒的触发方式奇特罕见.
病毒使用的触发条件是多种多样的,而且往往不只是使用上面所述的某一个条件,而是使用由多个条件组 合起来的触发条件.
计算机病毒的传染机制
1.计算机病毒的传染方式
被动传染 (用户在进行拷贝磁盘或文件 )
主动传染 (激活状态下自动传染 )
2.计算机病毒的传染过程
拷贝和内存传染.
3.病毒传染机理
见前面的实例
计算机病毒的破坏机制
破坏机制在设计原则,工作原理上与传染机制基本相同.
它也是通过修改某一中断向量入口地址(一般为时钟中 断INT 8H,或与时钟中断有关的其他中断,如INT 1CH),使该中断向量指向病毒程序的破坏模块.
病毒破坏目标和攻击部位主要是:系统数据区,文件,内存,系统运行,运行速度,磁盘,屏幕显示,键盘,喇叭,打 印机,CMOS,主板等.
计算机病毒的引导机制
1,病毒的寄生对象
磁盘的引导扇区;可执行文件
2,病毒的寄生方式
替代法(引导扇区);链接法(可执行文件)
3,病毒的引导过程
驻留内存;窃取系统控制权;恢复系统功能.
中断与计算机病毒
1.中断基本概念
什么是中断 先打个比方.当一个经理正处理文件时,电话铃响了(中断请求),不得不在文件上做一个记号(返 回地址),暂停工作,去接电话(中断),并指示"按第二方案办"(调中断服务程序),然后,再静下心来(恢复中 断前状态),接着处理文件…….
中断是CPU处理外部突发事件的一个重要技术.它能使CPU在运行过程中对外部事件发出的中断请求及时地进行处理, 处理完成后又立即返回断点,继续进行CPU原来的工作.
2.中断与计算机病毒
与病毒有关的重要中断有:
INT 08H和INT 1CH定时中断,有些病毒利用它们的记时判断激发条件.
INT 09H键盘输入中断,病毒用于监视用户击键情况.
INT 10H屏幕输入输出中断,一些病毒用于在屏幕上显示字符图形表现自己.
INT 13H磁盘输入输出中断,引导型病毒用于传染病毒和格式化磁盘.
INT 21H DOS功能调用,包含了DOS的大部分功能,已发现的绝大多数文件型病毒修改INT 21H中断, 因此也成为防 病毒的重点监视部位.
INT 24H DOS的严重错误处理中断,文件型病毒常进行修改,以防止传染写保护磁盘时被发现.
8.2.1 计算机病毒的检测
检测病毒方法有:
特征代码法
校验和法
行为监测法
软件模拟法
1,特征代码法
国外专家认为特征代码法是检测已知病毒的最简单,开销最小的方法.
特征代码法的实现步骤:
采集已知病毒样本;抽取特征代码;将特征代码纳入病毒数据库 ;打开被检测文件,搜索,检查文件中是否含有病毒数据库中的病毒特征代码.
特征代码法的优点是:
检测准确快速,可识别病毒的名称,误报警率低,依据检测结果,可做解毒处理.
其缺点是:
不能检测未知病毒;搜集已知病毒的特征代码,费用开销大;在网络上效率低(在网络服务器上,因长时间检索会使整个网络性能变坏).
特征代码法特点:
速度慢
误报警率低
不能检查多态性病毒
不能对付隐蔽性病毒
多态(形型)性病毒是指采用特殊加密技术编写的病毒,这种病毒在每感染一个对象时,采用随机方法对病毒主体进行加密.多形型病毒主要是针对查毒软件而设计的,所以随着这类病毒的增多,使得查毒软件的编写变得更困难,并还会带来许多的误报.
2,校验和法
计算正常文件的内容校验和,将该校验和写入文件中或写入别的文件中保存.在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法.
优点:
方法简单,能发现未知病毒,被查文件的细微变化也能发现.
缺点:
发布通行记录正常态的校验和,会误报警,不能识别病毒名称,不能对付隐蔽型病毒.
校验和法特点
既可发现已知病毒,又可发现未知病毒;
不能识别病毒类,不能报出病毒名称;
常常误报警;
影响文件的运行速度;
对隐蔽性病毒无效.
3,行为监测法
利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法.
有一些行为是病毒的共同行为,而且比较特殊.在正常程序中,这些行为比较罕见.当程序运行时,监视其行为,如果发现了病毒行为,立即报警.

监测病毒的行为特征
A,占有INT 13H (磁盘输入输出中断)
B,改DOS系统为数据区的内存总量 (为了防止DOS系统将病毒覆盖)
C,对COM,EXE文件做写入动作
D,病毒程序与宿主程序的切换
优点:
可发现未知病毒,可相当准确地预报未知的多数病毒.
缺点:
可能误报警,不能识别病毒名称,实现时有一定难度.
4,软件模拟法
它是一种软件分析器,用软件方法来模拟和分析程序的运行.
主要用于检测多态性病毒.作为特征代码法的补充.
5,先知扫描法
该技术是专门针对于未知的电脑病毒所设计的,利用这种技术可以直接模拟CPU的动作来侦测出某些变种病毒的活动情况,并且研制出该病毒的病毒码.由于该技术较其他解毒技术严谨,对于比较复杂的程序在比对上会耗费比较多的时间,所以该技术的应用不那么广泛.
6,实时I/O扫描
实时地对数据的输入/输出动作做病毒码对比的动作,希望能够在病毒尚未被执行之前,就能够防堵下来.
理论上,这样的实时扫描程序会影响到整体的数据传输速率.
8.2.2 异常情况判断
计算机工作出现下列异常现象,则有可能感染了病毒:
1)屏幕出现异常图形或画面,这些画面可能是一些鬼怪,也可能是一些下落的雨点,字符,树叶等,并且系统很难退出或恢复.
2)扬声器发出与正常操作无关的声音,如演奏乐曲或是随意组合的,杂乱的声音.
3)磁盘可用空间减少,出现大量坏簇,且坏簇数目不断增多,直到无法继续工作.
4)硬盘不能引导系统.
5)磁盘上的文件或程序丢失.
6)磁盘读/写文件明显变慢,访问的时间加长.
7)系统引导变慢或出现问题,有时出现"写保护错"提示.
8)系统经常死机或出现异常的重启动现象.
9)原来运行的程序突然不能运行,总是出现出错提示.
10)打印机不能正常启动.
8.2.3 计算机病毒的防治
1.建立,健全法律和管理制度
2.加强教育和宣传
3.采取更有效的技术措施
4.网络计算机病毒的防治
采取更有效的技术措施
(1)系统安全
(2)软件过滤
(3)文件加密
(4)过程控制
(5)后备恢复
(6)其他有效措施
其他有效措施
1)重要的磁盘和重要的带后缀.COM和.EXE的文件赋予只读功能,避免病毒写到磁盘上或可执行文件中.
2)消灭传染源.
3)建立程序的特征值档案.
4)严格内存管理.
5)严格中断向量的管理.
6)强化物理访问控制措施
7)一旦发现病毒蔓延,要采用可靠的杀毒软件和请有经验的专家处理,必要时需报告计算机安全监察部门,特别要注意不要使其继续扩散.
8.3 宏病毒
8.3.1 宏病毒的分类
8.3.2 宏病毒的行为和特征
8.3.3 宏病毒的特点
8.3.4 宏病毒的防治和清除方法
返回本章首页
8.3.1 宏病毒的分类
1.公(共)用宏病毒
这类宏病毒对所有的Word文档有效,其触发条件是在启动或调用Word文档时,自动触发执行.它有两个显著的特点:
1)只能用"Autoxxxx"来命名,即宏名称是用"Auto"开头,xxxx表示的是具体的一种宏文件名.如AutoOpen,AutoClose,AutoCopy等.
2)它们一定要附加在Word共用模板上才有"公用"作用.通常在用户不规定和另行编制其他的公用模板时,它们应是附加在Normal.dot模板上,或者首先要能将自己写进这样的模板才行.
2.私用宏病毒
私用宏病毒与公用宏病毒的主要区别是:前者一般放在用户自定义的Word模板中,仅与使用这种模板的Word文档有关,即只有使用这个特定模板的文档,该宏病毒才有效,而对使用其他模板的文档,私用宏病毒一般不起作用.
返回本节
8.3.2 宏病毒的行为和特征
宏病毒是一种新形态的计算机病毒,也是一种跨平台式计算机病毒.可以在Windows,Windows 95/98/NT,OS/2,Macintosh System7等操作系统上执行病毒行为.
宏病毒的主要特征如下:
1)宏病毒会感染.DOC文档和.DOT模板文件.
2)宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时,激活宏病毒.
3)多数宏病毒包含AutoOpen,AutoClose,AutoNew和AutoExit等自动宏,通过这些自动宏病毒取得文档(模板)操作权.
4)宏病毒中总是含有对文档读写操作的宏命令.
5)宏病毒在.DOC文档,.DOT模板中以BFF(Binary File Format)格式存放,这是一种加密压缩格式,每个Word版本格式可能不兼容.
6)宏病毒具有兼容性.
返回本节
8.3.3 宏病毒的特点
1.传播极快
2.制作,变种方便
3.破坏可能性极大
4 .多平台交叉感染
返回本节
8.3.4 宏病毒的判断方法
在打开"宏病毒防护功能"的情况下,如果您的OFFICE文档在打开时,系统给出一个宏病毒警告框,那么您应该对这个文档保持高度警惕,它已被感染的几率极大.
注意:简单地删除被宏病毒感染的文档并不能清除OFFICE系统中的宏病毒!
8.3.5 宏病毒的防治和清除方法
(1)首选方法:用最新版的反病毒软件清除宏病毒
(2)应急处理方法:用写字板或Word 6.0 文档作为清除宏病毒的桥梁.
(3)如果已经感染了宏病毒,可按下面的方法清除:
替换掉(或删除)通用模板Normal.dot文件;使用普通的杀毒软件对所有的Word 文件进行杀毒 .
(4)宏病毒的防范.
考虑到大部分Word 用户使用的是普通的文字处理功能,很少有人使用宏编程,因此,为了能及早发现该病毒,避免不必要的损失,平时可将一个干净的Normal.dot 文件和杀宏病毒软件保存在软盘中,并加上写保护.当发现通用模板已被感染时,可用保存在软盘中的Normal.dot 文件替换已被感染的模板文件,然后运行杀毒软件.
8.4 网络计算机病毒
8.4.1 网络计算机病毒的特点
8.4.2 网络对病毒的敏感性
8.4.3 网络病毒实例——电子邮件病毒
返回本章首页
8.4.1 网络计算机病毒的特点
在网络环境中,计算机病毒具有如下一些新的特点:
(1)传染速度快
(2)传染面广
(3)传染形式多
(4)清除难度大
(5)破坏性强
返回本节
8.4.2 网络病毒的传播方式
具体地说,其传播方式有:
1,病毒直接从有盘站拷贝到服务器中;
2,病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给服务器;
3,病毒先传染工作站,在工作站内存驻留,在病毒运行时直接通过映像路径传染到服务器中;
_4,如果远程工作站被病毒侵入,病毒也可以通过通讯中数据交换进入网络服务器中.
8.4.3 网络病毒实例
——蠕虫病毒
1.蠕虫的定义
Internet 蠕虫是无须计算机使用者干预即可运行的独立程序,它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播.
蠕虫与病毒的最大不同在于它不需要人为干预,且能够自主不断地复制和传播.
2.蠕虫的行为特征
2.1 蠕虫的工作流程
蠕虫程序的工作流程可以分为漏洞扫描,攻击,传染,现场处理四个阶段,如图2所示.
蠕虫程序扫描到有漏洞的计算机系统后,将蠕虫主体迁移到目标主机.然后,蠕虫程序进入被感染的系统,对目标主机进行现场处理.现场处理部分的工作包括:隐藏,信息搜集等.同时,蠕虫程序生成多个副本,重复上述流程.不同的蠕虫采取的IP生成策略可能并不相同,甚至随机生成.各个步骤的繁简程度也不同,有的十分复杂,有的则非常简单.
2.2 蠕虫的行为特征
自我繁殖:

蠕虫在本质上已经演变为黑客入侵的自动化工具, 当蠕虫被释放(release)后,从搜索漏洞,到利用搜索结果攻击系统,到复制副本,整个流程全由蠕虫自身主动完成.就自主性而言,这一点有别于通常的病毒.
利用软件漏洞:
任何计算机系统都存在漏洞,这些就蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限,使之进行复制和传播过程成为可能.这些漏洞是各种各样的,有操作系统本身的问题,有的是应用服务程序的问题,有的是网络管理人员的配置问题.正是由于漏洞产生原因的复杂性,导致各种类型的蠕虫泛滥.
造成网络拥塞:
在扫描漏洞主机的过程中,蠕虫需要:判断其它计算机是否存在;判断特定应用服务是否存在;判断漏洞是否存在等等,这不可避免的会产生附加的网络数据流量.同时蠕虫副本在不同机器之间传递,或者向随机目标的发出的攻击数据都不可避免的会产生大量的网络数据流量.即使是不包含破坏系统正常工作的恶意代码的蠕虫,也会因为它产生了巨量的网络流量,导致整个网络瘫痪,造成经济损失.
消耗系统资源:
蠕虫入侵到计算机系统之后,会在被感染的计算机上产生自己的多个副本,每个副本启动搜索程序寻找新的攻击目标.大量的进程会耗费系统的资源,导致系统的性能下降.这对网络服务器的影响尤其明显.
留下安全隐患:
大部分蠕虫会搜集,扩散,暴露系统敏感信息(如用户信息等),并在系统中留下后门.这些都会导致未来的安全隐患.
3,蠕虫病毒与一般病毒的异同
病毒类型:普通病毒 蠕虫病毒
存在形式:寄存文件 独立程序
传染机制:宿主程序运行 主动攻击
传染目标:本地文件 网络计算机
4,蠕虫的破坏和发展趋势
每一次蠕虫的爆发都会给社会带来巨大的损失.
目前蠕虫爆发的频率越来越快,技术越来越新,并与黑客技术相结合.尤其是近两年来,越来越多的蠕虫(如冲击波,振荡波等)出现.
对蠕虫进行深入研究,并提出一种行之有效的解决方案,为企业和政府提供一个安全的网络环境成为我们急待解决的问题.
5,企业防范蠕虫病毒措施
企业防治蠕虫病毒的时候需要考虑几个问题:

病毒的查杀能力;
病毒的监控能力;
新病毒的反应能力.
推荐的企业防范蠕虫病毒的策略如下:
(1)加强网络管理员安全管理水平,提高安全意识.减少系统漏洞.
(2)建立病毒检测系统.能够在第一时间内检测到网络异常和病毒攻击.
(3)建立应急响应系统,将风险减少到最小!
(4)建立灾难备份系统.对于数据库和数据系统,必须采用定期备份,多机备份措施,防止意外灾难下的数据丢失!
对于局域网而言,可以采用以下一些主要手段:
(1)在因特网接入口处安装防火墙式防杀计算机病毒产品,将病毒隔离在局域网之外.
(2)对邮件服务器进行监控,防止带毒邮件进行传播!
(3)对局域网用户进行安全培训.
(4)建立局域网内部的升级系统,包括各种操作系统的补丁升级,各种常用的应用软件升级,各种杀毒软件病毒库的升级等等!
6,对个人用户产生直接威胁的蠕虫病毒
对于个人用户而言,威胁大的蠕虫病毒采取的传播方式一般为电子邮件以及恶意网页等等.即以各种各样的欺骗手段诱惑用户点击的方式进行传播!
威胁最大,难以根除,造成的损失也更大.
恶意网页确切的讲是一段黑客破坏代码程序,它内嵌在网页中,当用户在不知情的情况下打开含有病毒的网页时,病毒就会发作.
常常采取vb script和java script编程的形式!
个人用户对蠕虫病毒的防范措施
1.安装合适的杀毒软件
赛门铁克公司的Norton系列杀毒软件 ,瑞星,kv系列等杀毒软件.
2 .经常升级病毒库
杀毒软件对病毒的查杀是以病毒的特征码为依据的.
3.提高防杀毒意识
不要轻易点击陌生的站点,有可能里面就含有恶意代码! 将IE安全级别改为"高" .
4.不随意查看陌生邮件,尤其是带有附件的邮件
升级IE和OE程序,及常用的其他应用程序!