中级通信互联网技术知识点精讲之计算机病毒检测与防范技术

       下面是由希赛小编整理的中级通信互联网技术知识点精讲之计算机病毒检测与防范技术，希望能帮助学友们。具体内容如下：

       计算机病毒检测与防范技术

       计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能、毁坏数据、影响计算机使用，并能自我复制的一组计算机指令或者程序代码。是否具有传播性是判别一个程序是否为计算机病毒的最重要条件。正常的计算机程序是不会将自身的代码强行连接到其他程序之上的。而计算机病毒的再生机制，即它的传播机制却是使计算机病毒代码强行传染到一切可传染的程序之上，迅速地在一台计算机内，甚至在一群计算机之间进行传播、扩散。每一台被感染了计算机病毒的计算机，本身既是一个受害者，又是一个新的计算机病毒传染源。

       “计算机病毒”和生物世界的病毒一样，都有其的生命周期，包括创造期、投放期、潜伏感染期、发作期和治疗期，并且由上述几个步骤组成一个循环。

       计算机病毒的核心特性归纳起来有：传播性、隐蔽性、潜伏性、破坏性、针对性、衍生性、寄生性和不可预见性。

       计算机病毒具有自我复制和传播的特点，因此，研究计算机病毒的传播途径是极为重要的。从计算机病毒的传播机理分析可知.只要是能够进行数据交换的介质都可能成为计算机病毒传播途径。Internet是信息传播的高速公路，也是计算机病毒传播的便捷通道。

       计算机病毒检测方法有很多，常用的有以下几种方法。

       (1)比较法：用原始备份与被检测引导扇区或文件作比较。看长度，内容变化。简便，不需专用软件。但无法确认病毒的种类名称。

       (2)综合对比法：将每个程序的文件名、大小、时间、日期及内容，综合为一个检查码，附于程序后：再利用此对比系统，追踪记录每个程序的检查码是否遭更改，判断是否感染病毒。

       (3)搜索法：用每一种病毒体含有的特定字符串对被检测的对象进行扫描。如果在对象内部发现了某一种特定字节串，就表明发现了该字节串所代表的病毒。

       (4)分析法：静态分析和动态分析。利用反汇编工具和DEBUG等调试工具进行防病毒专业技术人员所使用的一整套剖析方法。可发现新病毒，提取特征字串，制定防杀措施方案。

       (5)人工智能陷阱技术和宏病毒陷阱技术：监测计算机行为的常驻式扫描技术。它将所有病毒所产生的行为归纳起来，一旦发现内存中的程序有任何不当的行为，系统就会有所聱觉，并告知使用者。优点是速度快、操作简便，可侦测到各式病毒；缺点是程序设计难，且不易考虑周全。宏病毒陷阱技术（MacroTrap)是结合了搜索法和人工智能陷阱技术，依靠行为模式来侦测已知及未知的宏病毒。

       (6)软件仿真扫描法：专门用来对付多态变形病毒。该病毒在每次传染时，都将自身以不同的随机数加密于每个感染的文件中，传统搜索法根本就无法找到它。软件仿真技术则是成功地仿真CPU执行，在DOS虚拟机下伪执行病毒程序，安全并确实地将其解密，使其显露本来的面目，再加以扫描。

       (7)先知扫描法：是继软件仿真后的一大技术突破。既然软件仿真可以建立一个保护模式下的DOS虚拟机，仿真CPU动作并伪执行程序以解开多态变形病毒，那么应用类似的技术也可以用来分析一般程序，检査可疑的病毒代码。因此，先知扫描技术是专业人员用来判断程序是否存在病毒代码的方法，分析归纳成专家系统和知识库，再利用软件模拟技术伪执行新的病毒，超前分析出新病毒代码，对付以后的病毒。

       病毒感染后的一般修复处理方法如下。

       (1)对系统破坏程度先有一个全面了解，根据破坏程度决定方法对策：重装系统、启用杀毒软件或请防病毒专家进行清除和数据恢复操作。

       (2)修复前，尽可能再次备份重要的数据文件。不与平时的常规备份“混”在一起。

       (3)启动杀病毒软件，并对整个硬盘进行扫描。使用事先准备的“干净”系统盘启动系统。

       (4)如果可执行文件中的病毒不能被清除，一般应将其删除，然后重装相应的应用程序。

       (5)杀毒完成后，重启计算机，再次用杀毒软件检查系统。

       (6)对无法杀除的病毒，应将病毒样本送交杀毒软件厂商的研究中心，以供详细分析。

       计算机病毒是多变的，会有不断创造出来的新病毒出现，任何防毒技术都存在时间和技术上的局限性，不断升级仍是目前比较流行的好办法。

       目前流行的企业组网方式是整个网络分为内网（Intranet)和外网（Extranet)。内网和外网之间基本上是处于隔离状态，一般通过防火墙设备在内、外网之间建立一条受控的通路，从内网访问Internet-般采用代理的方式，外网通过路由器或直接与Internet相连。内网大多采用WindowsNT网络组建，分配虚拟地址，并安装有内部办公自动化信息系统，如LotusDomino或MicrosoftExchangeserver等:而外网一般多为UNIX/Linux网络,也有采用NetWare网络或WindowsNT网络的，分配实地址，并对外提供服务，外网一般安装有Web服务器、FTP服务器、电子函件服务器、域名服务器以及其他一些服务器等。从整个网络来看，可能有多个内网和一个外网构成，也有在外网中再划分子网的情况。

       对于这种网络的计算机病毒防护，除了要对各个内网严加防范，更重要的是要建立多层次的网络防范架构，并同网络管理软件结合起来。主要的防范点有：Internet接入口、外网上的服务器、各内网的中心服务器等。

       可以采用以下一些主要手段。

       (1)在Internet接入口处安装防火墙式防杀计算机病毒产品。

       (2)在外网单独设立一台服务器，安装服务器版的网络防杀计算机病毒软件，并对整个网络进行实时监控。

       (3)如果外网的服务器是基于WindowsNT操作系统的，那么需要在外网的各个服务器上安装相应的计算机病毒防护软件，如电子邮件服务器使用的是MicrosoftExchangeServer.那么就需要在该服务器上安装专为MicrosoftExchangeServer设计的防杀计算机病毒软件。

       (4)外网上如果有工作站，需要进行单机防范布防，并适当参考小型局域网的防范要点进行有选择的增加。

       (5)在每个内网参照小型局域网的防范要点布防。

       (6)内网中的工作站参考单机防范的重点，适当参考小型局域网的防范要点进行布防。

       (7)建立严格的规章制度和操作规范，定期检查各防范点的工作状态。

       黑客攻击、病毒入侵等是网络面临的主要安全威胁。在所有计算机安全威胁中，病毒是最为严重的，它不仅发生的频率高，损失大，而且潜伏性强，覆盖面广。部署安全高效的防病毒系统，主要考虑以下几方面。

       (1)系统防毒。从系统角度设计一套全面的防毒计划，主要有制定系统的防病毒策略、部署多层防御战略、定期更新防病毒定义文件和引擎、定期备份文件、预订可发布新病毒威胁警告的电子邮件警报服务等。

       (2)终端用户防毒。终端用户防毒可以从以下几方面参考：使用收件箱规则来处理可疑的电子邮件、使用数据写保护等。

       (3)服务器防毒。目前随着基于Web的电子邮件访问、公共文件夹以及访问存储器的映射网络驱动器等方式的出现，病毒可以通过多种方式进入电子邮件服务器。这时，就只有基于电子邮件服务器的解决方案才能够检测和删除受感染项，主要有拦截受感染的附件、安排全面随机扫描、重要数据定期存档等。

       返回目录：中级通信互联网技术知识点精讲之网络安全技术汇总

       相关推荐：

       中级通信工程师互联网技术考试教材推荐

       中级通信工程师互联网技术考试培训视频推荐

       中级通信工程师互联网技术考试大纲