病毒防范技术及应用

本论文在其他论文栏目，由论文格式网整理,转载请注明来源www.lwgsw.com,更多论文,请点论文格式范文查看摘要: 随着Internet的迅速发展，信息安全问题面临新的挑战。信息安全技术和理论的发展,已经逐步形成了一个共识:安全问题是一个动态的、整体的、持续性的问题。当计算机系统或文件染有计算机病毒时，需要检测和消除。因此，必须有一个功能完善的病毒防护体系，保证整个网络的安全系统。
关键词:病毒防范，信息安全,完整性。
随着计算机及计算机网络的发展，伴随而来的计算机病毒传播问题越来越引起人们的关注。随因特网的流行，有些计算机病毒借助网络爆发流行，如CIH计算机病毒、"爱虫"病毒等，它们与以往的计算机病毒相比具有一些新的特点，给广大计算机用户带来了极大的损失。
　　当计算机系统或文件染有计算机病毒时，需要检测和消除。但是，计算机病毒一旦破坏了没有副本的文件，便无法医治。隐性计算机病毒和多态性计算机病毒更使人难以检测。在与计算机病毒的对抗中，如果能采取有效的防范措施，就能使系统不染毒，或者染毒后能减少损失。
计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。
一个和Internet相连的企业，最主要的病毒入口就是Internet，主要的传染方式是群件系统；控制Internet入口处的病毒侵入，就抑制了最主要的病毒源；好的群件系统防病毒系统，将病毒的传染域隔离到孤立的某一台机器，这样病毒的破坏就会控制到最小范围。在大的企业里，为了保证防病毒系统的一致性、完整性和自升级能力，必须有一个完善的病毒防护管理体系，负责病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理、保证整个企业范围内病毒防护体系的一致性和完整性。
一、完整的产品体系和高的病毒检测率
一个好的防病毒系统应该能够覆盖到每一种需要的平台。我们都知道，病毒的入口点是非常多的。我们一般需要考虑在每一种需要防护的平台上都部署防病毒软件。大体上分为以下几类平台：
1．客户端。不管客户端使用什么操作系统，都必须具有相应的防病毒软件进行安装防范。
2．邮件服务器。电子邮件目前已经成为病毒传播的重要途径。对邮件服务器进行集中邮件病毒防范是非常有意义的。一个好的邮件或群件病毒防范系统可以很好地和服务器的邮件传输机制结合在一起，完成在服务器上对病毒的清除工作。另外，由于目前邮件病毒的传输方式已经从以前的单纯附件携带方式扩展为内容携带方式，所以一个好的邮件防病毒系统应该具有清除邮件正文中的病毒的能力。
3．其他服务器。网络中除了邮件服务器外，还存在大量的其他服务器如文件服务器、应用服务器等等。用户在日常工作时会经常同这些服务器进行文件传输等工作，也就形成了另外一种病毒的传播途径。这些服务器也需要安装相应的防病毒软件。
4．网关。网关是隔离内部网络和外部网络的设备如防火墙、代理服务器等。在网关级别进行病毒防范可以起到对外部网络中病毒进行隔离的作用。
比如，NAI公司的McAfee AVD(Active Virus Defense)网络防病毒系统就是典型的例子，该系统包括桌面防病毒产品、服务器防病毒产品、邮件防病毒产品等，其全球用户数目已达到了6千万以上。当然，一个好的防病毒软件必须具备极高的病毒检测率和清除率。另外，防病毒软件还必须能够对各种格式的文件包括各种格式的压缩文件进行病毒的清除。
二、功能完善的防病毒软件控制台
所谓网络防病毒所讲的不仅仅是可以对网络服务器进行病毒防范，更加重要的是能够对防病毒软件通过网络进行集中的管理和统一的配置。一个能够完成集中分发软件、进行病毒特征码升级的控制台是非常必要的。为了方便集中管理，防病毒软件控制台首先需要解决的就是管理容量问题。也就是每一台控制台能够管理到的客户机的最大数目。另外，对于一个企业内部的不同部门，我们有可能需要设置不同的防病毒策略。一个好的控制台应该允许管理员按照IP地址、计算机名称、子网甚至NT域进行安全策略的分别实施。
三、减少通过广域网进行管理的流量
在一个需要通过广域网进行管理的企业中，由于广域网的带宽有限，防病毒软件的安装和升级流量问题也是必须要考虑到的。好的防病毒软件应从各个方面考虑，尽量减少带宽占用问题。首先，自动升级功能允许升级发生在非工作时间，尽量不占用业务需要的带宽；其次，对于必须频繁升级的特征码，应采用必要的措施将其进行压缩，比如增量升级方式等。
四、方便易用的报表功能
一个网络中的病毒活动状况对于网络管理员来说是非常重要的。通过了解网络中的病毒活动情况，管理员可以了解哪些病毒活动比较频繁、哪些计算机或者用户的文件比较容易感染病毒以及发现的病毒的清除情况等等，以便修改病毒防范策略以及了解病毒的来源情况，方便进行用户、文件资源的安全管理。实用、界面友好的报表是一个网络防病毒软件必备的功能。
五、对计算机病毒的实时防范能力
传统意义上的实时计算机病毒防范是指防病毒软件能够常驻内存，对所有活动的文件进行病毒扫描和清除。这当然是一个防病毒软件必备的功能。这里说的防范能力是另外一种意义的自动病毒防范能力。目前由于病毒活动频繁，再加上网络管理员一般都工作忙碌，有可能会导致病毒特征码不能及时更新。这就需要防病毒软件本身能够具有一定程度的未知病毒识别能力。
六、快速及时的病毒特征码升级
能够提供一个方便、有效和快速的升级方式是防病毒系统应该具备的重要功能之一。正是由于防病毒软件需要不断进行升级，所以对防病毒软件厂商的技术力量和售后服务的要求也是格外重要。
与以往的平台相比，Windows 95/98/NT/2000引入了很多非常有用的特性，充分利用这些特性将能大大地增强软件的能力和便利。应该提醒的是，尽管windows 95/98/NT/2000平台具备了某些抵御计算机病毒的天然特性，但还是未能摆脱计算机病毒的威胁。防范计算机病毒，一是要在在思想重视、管理上到位；二是依靠防杀计算机病毒软件。
1、选择一个功能完善的防杀计算机病毒软件
一个功能较好的防杀计算机病毒软件应能满足下面的要求：　　　
（1）拥有计算机病毒检测扫描器。
　检测计算机病毒有两种方式，对磁盘文件的扫描和对系统进行动态的实时监控。同时提供这两种功能是必要的，实时监控保护更不可少。一种是DOS平台的计算机病毒扫描器：由于系统引导过程中，Windows 95/98未能提供任何保护。因此，在Windows 95/98启动之前，有必要通过autoexec.bat或config.sys载入DOS平台的计算机病毒扫描器，对引导扇区、内存或主要的系统文件进行扫描，确保无毒后才继续系统的启动。同时，在系统由于感染计算机病毒而崩溃或在内存发现计算机病毒时，通过“干净的”系统引导软盘启动，DOS扫描器便成为主要的杀毒工具。不过，在Windows 95/98下“重新引导并切换到MS－DOS方式”对大多数防杀计算机病毒软件来说存在漏洞。此时针对Windows 95/98的监视已失效，只有少数软件在Windows 95/98目录下的dosstart.bat里加入了DOS指令扫描器。我们自己可以将DOS指令扫描器添加到dosstart.bat去，增加DOS下的保护；另一种是32位计算机病毒扫描器：供用户对本地硬盘或网络进行扫描。它是专门为Windows 95/98/NT/2000而设计的32位软件，从而支持长文件名及确保发挥最高的性能。
（2）实时监控程序：通过动态实时监控来进行防毒。一般是通过虚拟设备程序（VxD）或系统设备程序（Windows NT/2000下的SYS）形式而不是传统的驻留内存方式（TSR）进行实时监控。实时监控程序在磁盘读取等动作中实行动态的计算机病毒扫描，并对计算机病毒和一些类似计算机病毒的活动发出警告。
（3）未知计算机病毒的检测：新的计算机病毒平均以每天4－5个的速度出现，而计算机病毒特征代码库的升级一般每月一次，这是不够的。理想的防杀计算机病毒软件除了使用特征代码来检测已知计算机病毒外，还可用如启发性分析（Heuristic Analysis）或系统完整性检验（Integrity Check）等方法来检测未知计算机病毒的存在。然而，要100%地区分正常程序和计算机病毒是不大可能的。在检测未知计算机病毒时，最后的判断工作常常要靠用户的经验。
（4）压缩文件内部检测：从网络上下载的免费软件或共享软件大部分都是压缩文件，防杀计算机病毒软件应能检测压缩文件内部的原始文件是否带有计算机病毒。　　　　
（5）文件下载监视：相当一部分计算机病毒的来源是在下载文件中，因此有必要对下载文件，尤其是下载可执行程序时进行动态扫描。
（6）计算机病毒清除能力：仅仅检测计算机病毒还不够，软件还应该有很好的清除计算机病毒能力。
（7）计算机病毒特征代码库升级：定时升级计算机病毒特征代码库非常重要。当前通过因特网进行升级已成为潮流，理想的是按一下按钮便可直接连线进行升级。
（8）重要数据备份：对用户系统中重要的数据进行备份，以便在系统受计算机病毒攻击而崩溃时进行恢复。通常数据备份在可启动的软盘上，并包含有防杀计算机病毒软件的DOS平台计算机病毒扫描器。
（9）定时扫描设定：对个人用户来说，这一功能并不重要，但对网络管理员来说，它可以避开高峰时间进行扫描而不影响工作。　　　　
（10）支持FAT32和NTFS等多种分区格式：Windows 95 OSR2以后版本中增加了FAT32分区格式的支持，从而增加了硬盘的利用率，但同时也禁止了某些低级存取方式，而传统的软件大多使用低级存取方式检测或消除计算机病毒。如果软件不支持FAT32，便很难充分发挥其功能甚至误报。对于运行Windows NT/2000的计算机来说，支持NTFS也是防杀计算机病毒软件必须支持的。
（11）关机时检查软盘：这一功能便是利用了关机的漫长时间，再次对A盘的引导区进行检测，以防止下次引导时的计算机病毒入侵。
（12）还必须注重计算机病毒检测率：检测率是衡量防杀计算机病毒软件最重要的指标。
这里只能引用一个间接参考标准：美国ICSA（国际计算机安全协会，原名国家计算机安全协会NCSA）定期对其AVPD会员产品进行测试，要求对流行计算机病毒检测率为100%，（参照JoeWell的流行计算机病毒名单WildList）对随机抽取的非流行计算机病毒检测率为90%以上。
2、主要的防护工作
1) 安装较新的正式版本的防杀计算机病毒软件，并经常升级。
2) 备份系统中重要的数据和文件。
3) 在IE或Netscape等浏览器中设置合适的因特网安全级别，防范来自ActiveX和Java Applet的恶意代码。
4) 对外来的软盘、光盘和网上下载的软件等都应该先进行查杀计算机病毒，然后在使用。
5）启用防杀计算机病毒软件的实时监控功能。
计算机病毒在网络中泛滥已久，而其在局域网中也能快速繁殖，导致局域网计算机的相互感染，下面将为大家介绍有关局域网病毒的入侵原理及防范方法。
一般来说，计算机网络的基本构成包括网络服务器和网络节点站（包括有盘工作站、无盘工作站和远程工作站）。计算机病毒一般首先通过各种途径进入到有盘工作站，也就进入网络，然后开始在网上的传播。具体地说，其传播方式有以下几种。
(1）病毒直接从工作站拷贝到服务器中或通过邮件在网内传播；
(2）病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器；
(3）病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中
(4）如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算机上。而对于无盘工作站来说，由于其并非真的"无盘"（它的盘是网络盘），当其运行网络盘上的一个带毒程序时，便将内存中的病毒传染给该程序或通过映像路径传染到服务器的其他的文件上，因此无盘工作站也是病毒孽生的温床。
由以上病毒在网络上的传播方式可见，在网络环境下，网络病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外，还具有一些新的特点。
（1）感染速度快
在单机环境下，病毒只能通过介质从一台计算机带到另一台，而在网络中则可以通过网络通讯机制进行迅速扩散。根据测定，在网络正常工作情况下，只要有一台工作站有病毒，就可在几十分钟内将网上的数百台计算机全部感染。
（2）扩散面广
由于病毒在网络中扩散非常快，扩散范围很大，不但能迅速传染局域网内所有计算机，还能通过远程工作站将病毒在一瞬间传播到千里之外。
(3）传播的形式复杂多样
计算机病毒在网络上一般是通过"工作站"到"服务器"到"工作站"的途径进行传播的，但现在病毒技术进步了不少，传播的形式复杂多样。
（4）难于彻底清除e.
单机上的计算机病毒有时可以通过带毒文件来解决。低级格式化硬盘等措施能将病毒彻底清除。而网络中只要有一台工作站未能清除干净，就可使整个网络重新被病毒感染，甚至刚刚完成杀毒工作的一台工作站，就有可能被网上另一台带毒工作站所感染。因此，仅对工作站进行杀毒，并不能解决病毒对网络的危害。
（5）破坏性大
网络病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则使网络崩溃，破坏服务器信息，使多年工作毁于一旦。
（6）可激发性
网络病毒激发的条件多样化，可以是内部时钟、系统的日期和用户名，也可以是网络的一次通信等。一个病毒程序可以按照病毒设计者的要求，在某个工作站上激发并发出攻击。
（7）潜在性
网络一旦感染了病毒，即使病毒已被清除，其潜在的危险性也是巨大的。根据统计，病毒在网络上被清除后，85％的网络在30天内会被再次感染。
例如尼姆达病毒，会搜索本地网络的文件共享，无论是文件服务器还是终端客户机，一旦找到，便安装一个隐藏文件，名为Riched20.DLL到每一个包含"DOC"和"eml"文件的目录中，当用户通过Word、写字板、Outlook打开"DOC"和"eml"文档时，这些应用程序将执行 Riched20.DLL文件，从而使机器被感染，同时该病毒还可以感染远程服务器被启动的文件。带有尼姆达病毒的电子邮件，不需你打开附件，只要阅读或预览了带病毒的邮件，就会继续发送带毒邮件给你通讯簿里的朋友。
综上所述，目前的防病毒工作的意义早已脱离了各自为战的状况，技术也不仅仅局限在单机的防病毒。目前，如果需要对整个网络进行规范化的网络病毒防范，我们必须了解最新的技术，结合网络的病毒入口点分析，很好地将这些技术应用到自己的网络中去，形成一个协同作战、统一管理的局面，这样的病毒防范体系，才能够称得上是一个完整的、现代化的网络病毒防御体系。
参考文献：
[1]段云所、魏仕民、唐礼勇等.信息安全概论.高等教育出版社.2003
[2]俞承杭.信息安全技术.科学出版社.2006
[3]韩筱卿.计算机病毒分析与防范大全.电子工业出版社.2006
[4]张汉亭.计算机病毒与反病毒技术.青华大学出版社.1996
[5]王锡林等.计算机安全.人民邮电出版社.1995
[6]轧之英.计算机网络系统病毒防范技术的探讨.北京电子出版社.2005
[7]苏五荣.微机病毒防范与杀毒技术.福建科学技术出版社.2000