《浅谈计算机病毒的正确防御探讨.doc》由会员分享,可在线阅读,更多相关《浅谈计算机病毒的正确防御探讨.doc(5页珍藏版)》请在三一办公上搜索。
1、浅谈计算机病毒的正确防御探讨目录前言.2 一、计算机病毒概述.3 1.1 计算机病毒的特点.3 1.2 计算机病毒所采用的技术.3二、计算机病毒对系统的危害.4 2.1 病毒直接对计算机数据信息进行破坏.4 2.2 破坏磁盘的引导区.4 2.3 抢占系统资源.4 2.4 影响计算机运行速度.4 2.5 计算机病毒对系统兼容性的影响.4 2.6 计算机病毒在经济方面的危害.4三、 计算机病毒的防御方法.5 3.1 设计病毒阶段的防御措施.5 3.2 病毒传播阶段的防御措施.5 3.3 病毒运行阶段的防御措施.5四、 非授权Web访问.6五、 总结与展望.6前言摘要:随着计算机在工作已经生活中进一
2、步广泛的应用,计算机病毒的危害也在与日俱增。如何正确防范计算机病毒是一个长期而艰巨的课题,计算机病毒大部分都采用了反代码分析、欺骗隐身、规避检测以及暴力对抗等先进技术对抗安全软件,反病毒技术与计算机病毒之间的斗争将更加激烈。 计算机病毒借助网络的发展,呈现出爆发流行的趋势,如CIH病毒、“爱虫”病毒,曾经给广大的计算机用户带来极大的损失。计算机病毒一旦侵入没有副本的文件,并进行破坏后,可能导致数据丢失,造成严重的后果。计算机病毒的隐蔽性和多态性使用户难以检测。在用户与计算机病毒的斗争中,如果用户能采取有效的防范措施,可以使系统中毒的几率降到最低,并减少病毒造成的损失。1 计算机病毒概述计算机病
3、毒可以通过复制自身来感染其他软件的程序。当被感染的程序运行时,嵌入在其中的病毒也随之运行并有可能感染其他程序。少数病毒不会对系统或数据产生危害,但更多的病毒携带毒码,一旦被事先设定好的环境所激发,就可以感染和破坏系统。计算机病毒防御,是通过建立有效的计算机病毒防范体系和制度,第一时间发现计算机病毒侵入,并立即采取有效的措施阻止计算机病毒的传播和破坏,并恢复受影响的系统和数据。计算机病毒防御工作,首先是防御体系的建设和制度的建立。只有一个完善的防范体系和制度,才能有效的将病毒挡在系统大门之外。1.1 计算机病毒的特点狭义的计算机病毒是指将自身嵌入其他程序或文件的一种程序,广义的计算机病毒包括逻辑
4、炸弹,特洛伊木马以及系统陷阱入口等等。计算机病毒虽是一个很小的程序,但它和普通的计算机程序有很大不同,并且具有以下特点:1) 计算机病毒有自我复制的功能,并且可以隐藏在合法程序的内部,并随着用户的操作而不断地进行自我复制。2) 计算机病毒能破坏系统程序或系统数据,并且有可能造成硬件设备的损坏。3) 计算机病毒不像生物病毒一样自然产生,它是由人为故意编制而成,并且为了达成一定的目的,如灰鸽子软件,既可用于远程控制,也可作为病毒。4) 计算机病毒有潜在的破坏能力。在系统遭受病毒感染后,病毒一般不会立即发作,而是潜藏在系统中,等满足病毒中设置的条件时,则立即发作,给系统带来灾难性的破坏。5) 计算机
5、病毒具有传染性,通过非法拷贝或网络进行传染。计算机病毒通常附着在其他软件上,在病毒发作时,有一些病毒是进行自我复制,并在一定条件下通过网络、U盘等传染给其他计算机,另一部分则在特定条件下执行某种特殊的行为。1.2 计算机病毒所采用的技术反病毒技术与计算机病毒在激烈的斗争中各自不断的发展。行为判断(generic)、启发式杀毒(heuristic)、特征码扫描、入侵保护系统(HIPS)、主动防御(Proactive Defense)、网络防火墙等安全产品的应用越来越广泛,但是计算机病毒技术在攻防大战中不断升级,病毒技术更加复杂,普遍具备对抗性、欺骗性等特点。以下分析病毒的工作原理,为正确防治病毒
6、做好准备。1) 反代码分析,代码分析师通过逆向工程来分析病毒样本、提取病毒的特征码、破解病毒的行为,是检测、防范和清除的前提基础。为了避开被反病毒软件检测出来,病毒从一开始就试图通过各种手段避开代码分析,包括:加密加壳,现在的病毒普遍采用了加壳(packer)的技术,在压缩文件长度的同时,转换病毒的特征码,以规避安全软件的检测;反内存泻出,通过自解除封锁、二进制代码模糊处理、页面重定向方式等技术手段来针对内存泻出;反调试技术;虚拟机检测技术。2) 规避检测技术,病毒软件并不修改系统,而是通过各种方式来避开检测,使安全软件无法检测其存在,包括:特殊文件格式,病毒采用特殊的文件格式使其存在于系统中
7、,利用系统的文件系统缺陷使其对系统透明,如NTFS的交替数据流技术;多媒体文件链接,病毒被嵌入到图片、音频、视频等文件中,病毒不以文件的方式存放于磁盘上,从而绕过安全软件的哈希过滤器和字符串匹配检测;驻留磁盘扇区,病毒通过驻留在磁盘扇区,而不以文件的形式存在,安全软件对其无法检测;冒充系统文件,病毒程序运行的过程中以系统程序的身份运行,达到混淆视听的目的。3) 欺骗隐身技术,病毒使用先进、底层的技术,通过修改系统的参数结构,并设置系统钩子( HOOK ),隐藏进程、文件、注册表项、服务、键值和通信端口,使系统对其不可见(Stealth)。4) 暴力对抗技术,安全软件和病毒使用同样的技术,病毒针
8、对杀毒软件的特点所采取的暴力手段进行反制,破解杀毒软件的防护,包括:终止杀毒软件运行,通过FindWindowA来查找杀毒软件在系统中的窗口句柄,并使用SendMessage函数来发送关闭消息,以达到关闭杀毒软件的目的;镜像劫持,通过修改注册表键值,使杀毒软件不能正常运行。2 计算机病毒对系统的危害在计算机病毒感染宿主计算机后,会对宿主计算机的系统安全,数据安全造成极大的危害,包括系统崩溃,数据丢失,网上银行账户被盗等。2.1 病毒直接对计算机数据信息进行破坏大多数病毒在激活的时候会对计算机系统的重要数据信息进行直接破坏,通过利用各种技术手段如:格式化磁盘、删除重要文件、用垃圾数据改写数据文件
9、、破坏CMOS设置、修改文件分配表和目录区等。此类病毒如典型的磁盘杀手(DISK KILLER)在感染后,会改写硬盘数据。2.2 破坏磁盘的引导区引导型病毒通过病毒本身占据磁盘的引导扇区,而将原有的引导区转移到其他扇区,也就是覆盖原有的引导区。被覆盖的引导区数据将会永久性丢失,而无法恢复,对系统的危害非常大,可能导致系统的崩溃。2.3 抢占系统资源除了少数病毒如VIENNA、CASPER之外,大部分病毒都是常驻内存中的,这就导致系统资源的浪费。病毒在内存中所占用的空间与病毒本身长度相当,在病毒抢占内存空间后,导致内存空间减少,一部分软件因为缺乏内存而无法运行,正在运行的软件因为CPU占用而变慢
10、。病毒除了抢占内存外,还会抢占中断系统,从而干扰系统的运行。操作系统很多的系统功能都是通过中断调用来实现的。病毒为了自我传播,会修改一些有关的中断地址,从而在正常的系统中断中,加入病毒,达到传播的目的。2.4 影响计算机运行速度病毒在内存中驻留后,不但干扰系统运行,占用内存空间,同时也影响系统运行速度。首先,病毒为了触发传染条件,会一直对计算机的运行状态进行监控,这必然导致系统运行速度减缓。其次,有些病毒在磁盘上以静态加密数据的状态保持,在加载到内存中后,会动态的处于加密状态,CPU每次在运行病毒代码前,都必须将这段代码重新解密,这样就增加了数千条甚至上万条CPU指令。再次,病毒在传染的同时要
11、插入非法的额外操作,必然占用CPU的运行时间。2.5 计算机病毒对系统兼容性的影响由于计算机系统中存在多种软件,兼容性称为计算机软件的一项重要指标,兼容性好的软件可以在各种计算机环境下运行,反之,兼容性差的软件则容易造成系统内存泄露,软件异常退出等问题,对计算机正常运行造成不利的影响。因为病毒不会在各种计算机环境下进行测试,所以病毒的兼容性较差,常常会导致计算机死机。2.6 计算机病毒在经济方面的危害由于电子商务的发展,在网上购物的人也越来越多,计算机病毒会对网上银行账户造成极大的威胁,并可能窃取网上银行的密码,对计算机用户造成巨大的经济损失。 3 计算机病毒的防御方法要正确的防御计算机病毒带
12、来的威胁,必须建立健全的计算机安全体系,养成良好的计算机使用方法,定期的更换安全账户的密码等。计算机病毒与普通的生物病毒一样,也有一定的生命周期,包括四个部分:利用漏洞设计病毒、病毒潜伏和传播、病毒运行、反病毒软件查杀。通过了解软件病毒的生命周期,从而更好的对其进行预防。3.1 设计病毒阶段的防御措施计算机病毒软件在设计阶段,会根据现有系统中的漏洞,来对计算机系统进行攻击。在本阶段的防御工作主要包括:1) 使用正版的系统软件。由于正版软件授权需要一定的费用,盗版软件在市场上横行,这在一定程度上助长了计算机病毒的传播和发展。盗版系统软件一般得不到厂商的有效技术支持,从而无法更新系统中的漏洞补丁,
13、这给计算机病毒的传播留下了巨大的空间。如果使用正版软件,系统可以得到有效的更新,则计算机病毒在一定程度上无法侵入系统,这在系统级别上给用户以安全保证。2) 及时更新系统漏洞补丁,大部分计算机病毒通过扫描系统漏洞,来对计算机系统进行攻击。如果用户及时更新系统安全补丁,则计算机病毒无法对系统进行有效的侵入,阻止了病毒对系统的进一步危害。3.2 病毒传播阶段的防御措施病毒之所以能大规模的爆发,一方面由于病毒利用了系统的安全漏洞,另一方面在于用户对计算机系统的使用方式。如果能正确的使用计算机,则能极大的降低病毒对计算机系统的感染几率。本阶段可以采用以下方式进行防御:1) 安装正版的杀毒软件。2) 不访
14、问陌生的、不安全的网站。3) 不运行网上不规范的可执行程序。3.3 病毒运行阶段的防御措施如果计算机病毒已经侵入到计算机系统中,则用户为了避免进一步的损失,应该及时对系统中的关键数据进行备份,并利用杀毒软件对计算机病毒进行查杀,尽可能的将损失降低。代理防火墙的攻击 代理防火墙运行在应用层,攻击的方法很多。这里就以WinGate为例。 WinGate是以前应用非常广泛的一种Windows95/NT代理防火墙软件,内部用户可以通过一台安装有WinGate的主机访问外部网络,但是它也存在着几个安全脆弱点。 黑客经常利用这些安全漏洞获得WinGate的非授权Web、Socks和Telnet的访问,从而
15、伪装成WinGate主机的身份对下一个攻击目标发动攻击。因此,这种攻击非常难于被跟踪和记录。 导致WinGate安全漏洞的原因大多数是管理员没有根据网络的实际情况对WinGate代理防火墙软件进行合理的设置,只是简单地从缺省设置安装完毕后就让软件运行,这就让攻击者可从以下几个方面攻击: 4非授权Web访问 某些WinGate版本(如运行在NT系统下的2.1d版本)在误配置情况下,允许外部主机完全匿名地访问因特网。因此,外部攻击者就可以利用WinGate主机来对Web服务器发动各种Web攻击( 如CGI的漏洞攻击等),同时由于Web攻击的所有报文都是从80号Tcp端口穿过的,因此,很难追踪到攻击者的来源5. 总结与展望该文介绍了计算机病毒的特征,计算机病毒所采用的技术,以及计算机病毒的防御方法。计算机病毒和反病毒之间是一场没有硝烟的战争,只有养成良好的使用习惯才能尽可能降低系统遭受病毒感染的几率。
