电脑装配网

网络防病毒技术概述

 人阅读 | 作者xiaofeng | 时间:2022-12-18 14:19

640.webp (3).jpg

1988年11月2日17时1分59秒,美国康奈尔大学的计算机科学系研究生,23岁的莫里斯(Morris)将其编写的蠕虫程序输入计算机网络,这个网络连接着大学、研究机关的155000多台计算机,在几小时内导致了Internet堵塞。这件事就像是计算机界的一次大地震,产生了巨大反响,震惊了全世界,引起了人们对计算机病毒的恐慌,也使更多的计算机专家重视和致力于计算机病毒的研究。

 

随着计算机和Internet的日益普及,计算机病毒已经成为了当今信息社会的一大顽症,借助于计算机网络可以传播到计算机世界的每一个角落,并大肆破坏计算机数据、更改操作程序、干扰正常显示、摧毁系统,甚至对硬件系统都能产生一定的破坏作用。计算机病毒的侵袭,会使计算机系统速度降低、运行失常、可靠性降低,有的系统被破坏后可能无法工作。从第一个计算机病毒问世以来,在世界范围内由于一些致命计算机病毒的攻击,已经消耗了计算机用户大量的人力和财力,甚至对人们正常工作、企业正常生产以及国家的安全都造成了巨大的影响。因此,网络防病毒技术已成为计算机网络安全研究的重要课题。

 

1、计算机病毒

 

(1)计算机病毒的定义

 

计算机病毒借用了生物病毒的概念。众所周知,生物病毒是能侵入人体和其他生物体内的病原体,并能在人群及生物群体中传播,潜入人体或生物体内的细胞后就会大量繁殖与其本身相仿的复制品,这些复制品又去感染其他健康的细胞,造成病毒进一步扩散。计算机病毒和生物病毒一样,是一种能侵入计算机系统和网络、危害其正常工作的“病原体”,能够对计算机系统进行各种破坏,同时能自我复制,具有传染性和潜伏性。

 

早在1949年,计算机的先驱者冯·诺依曼(Von Neumann)在一篇名为《复杂自动装置的理论及组织的进行》的论文中就已勾画出了病毒程序的蓝图:计算机病毒实际上就是一种可以自我复制、传播的具有一定破坏性或干扰性的计算机程序,或是一段可执行的程序代码。计算机病毒可以把自己附着在各种类型的正常文件中,使用户很难察觉和根除。

 

人们从不同的角度给计算机病毒下了定义。美国加利福尼亚大学的弗莱德·科恩(Fred Cohen)博士对计算机病毒的定义是:计算机病毒是一个能够通过修改程序,并且自身包括复制品在内去“感染”其他程序的程序。美国国家计算机安全局出版的《计算机安全术语汇编》中,对计算机病毒的定义是:计算机病毒是一种自我繁殖的特洛伊木马,它由任务部分、触发部分和自我繁殖部分组成。我国在《中华人民共和国计算机信息系统安全保护条例》中,将计算机病毒明确定义为:编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

 

(2)计算机病毒的特点

 

无论是哪一种计算机病毒,都是人为制造的、具有一定破坏性的程序,有别于医学上所说的传染病毒(计算机病毒不会传染给人),然而,两者又有一些相似的地方。计算机病毒具有以下特征。

 

传染性。传染性是病毒最基本的特征。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,可得到大量繁殖,并使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。一台计算机染毒,如果不及时处理,病毒就会在这台机器上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续传染。大部分病毒不管是处在激发状态还是隐蔽状态,均具有很强的传染能力,可以很快地传染一个大型计算机中心、一个局域网和广域网。

 

隐蔽性。计算机病毒往往是短小精悍的程序,非常容易隐藏在可执行程序或数据文件当中。当用户运行正常程序时,病毒伺机窃取到系统控制权,限制正常程序的执行,而这些对于用户来说都是未知的。不经过代码分析,病毒程序和普通程序是不容易区分开的。正是由于病毒程序的隐蔽性才使其在发现之前已进行了广泛的传播,造成较大的破坏。

 

潜伏性。计算机的潜伏性是指病毒具有依附于其他媒体而寄生的能力。一个编制精巧的计算机病毒程序进入系统之后一般不会马上发作,可以在几周或者几个月内,甚至几年内隐藏在合法文件中,传染其他系统,而不被人发现。例如,在每年4月26日发作的CIH病毒、每逢13号的星期五发作的“黑色星期五”病毒等。病毒的潜伏性越好,其在系统中的存在时间就会越长,病毒的传染范围就会越大。潜伏性的第一种表现是:病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地在磁盘或磁带里躲上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。潜伏性的第二种表现是:计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不进行什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、加密数据文件、封锁键盘以及使系统死锁等。

 

触发性。病毒的触发性是指病毒在一定的条件下通过外界的刺激而被激活,发生破坏作用。触发病毒程序的条件是病毒设计者安排、设计的,这些触发条件可能是时间/日期触发、计数器触发、输入特定符号触发、启动触发等。病毒运行时,触发机制检查预定条件是否满足,如果满足,就启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,则病毒继续潜伏。

 

破坏性。计算机病毒的最终目的是破坏用户程序及数据,计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒制作者的主观愿望和所具有的技术能量。如果病毒设计者的目的在于彻底破坏系统的正常运行,那么这种病毒对于计算机系统造成的后果是难以设想的,可以破坏磁盘文件的内容、删除数据、抢占内存空间,甚至对硬盘进行格式化,造成整个系统崩溃。有时几种本没有多大破坏作用的病毒交叉感染,也会导致系统崩溃等。

 

衍生性。由于计算机病毒本身是一段可执行程序,同时又由于计算机病毒本身是由几部分组成的,所以可以被恶作剧者或恶意攻击者模仿,甚至修改计算机病毒的几个模块,使之成为一种不同于原病毒的计算机病毒。例如,曾经在Internet上影响颇大的“震荡波”病毒,其变种病毒就有A、B、C等好几种。

 

(3)计算机病毒的分类

以前,大多数计算机病毒主要通过软盘传播,但是当Internet成为人们的主要通信方式以后,网络又为病毒的传播提供了新的传播机制,病毒的产生速度大大加快,数量也不断增加。据国外统计,计算机病毒以10种/周的速度递增;另据我国公安部统计,国内计算机病毒以4~6种/月的速度递增。目前,全球的计算机病毒有几万种,对计算机病毒的分类方法也存在多种,常见的分类有以下几种。

 

1)按病毒存在的媒体分类

 

① 引导型病毒。引导型病毒是在系统引导时出现的病毒,依托的环境是BIOS中断服务程序。引导型病毒是利用了操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理地址为依据,而不是以操作系统引导区的内容为依据,因而病毒占据该物理位置后即可获得控制权,而将真正的引导区内容转移或替换。待病毒程序被执行后,再将控制权交给真正的引导区内容,使这个带病毒的系统表面上看似正常运转,但实际上病毒已经隐藏在了系统中,伺机传染、发作。引导型病毒主要感染软盘、硬盘上的引导扇区(Boot Sector)上的内容,使用户在启动计算机或对软盘等存储介质进行读、写操作时进行感染和破坏活动,而且还会破坏硬盘上的文件分区表(File Allocation Table,FAT)。此类病毒有Anti-CMOS、Stone等。

 

② 文件型病毒。文件型病毒主要感染计算机中的可执行文件,使用户在使用某些正常的程序时,病毒被加载并向其他可执行文件传染,如随着微软公司Word字处理软件的广泛使用和Internet的推广普及而出现的宏病毒。宏病毒是一种寄生于文档或模板的宏中的计算机病毒。一旦打开这样的文档,宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会感染上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到其他计算机上。

 

③ 混合型病毒。混合型病毒是指同时具有引导型病毒和文件型病毒寄生方式的计算机病毒,综合利用以上病毒的传染渠道进行传播和破坏。这种病毒扩大了病毒程序的传染途径,既感染磁盘的引导记录,又感染可执行文件,并且通常具有较复杂的算法、使用非常规的办法侵入系统,同时又使用了加密和变形算法。当感染了此种病毒的磁盘用于引导系统或调用执行染毒文件时,病毒都会被激活。因此在检测、清除混合型病毒时,必须全面彻底地根治。如果只发现该病毒的一个特性,将其只当成引导型或文件型病毒进行清除,虽然好像是清除了,但是仍留有隐患,这种经过杀毒后的“洁净”系统往往更有攻击性。此类病毒有Flip病毒、新世纪病毒、One-half病毒等。

 

2)按病毒的破坏能力分类

 

① 良性病毒。良性病毒是指那些只是为了表现自身,并不彻底破坏系统和数据,但会大量占用CPU时间、增加系统开销、降低系统工作效率的一类计算机病毒。这种病毒多数是恶作剧者的产物,其目的不是破坏系统和数据,而是为了让使用感染有病毒的计算机用户通过显示器或扬声器看到或听到病毒设计者的编程技术。但是良性病毒对系统也并非完全没有破坏作用,良性病毒取得系统控制权后会导致整个系统运行效率降低、系统可用内存容量减少、某些应用程序不能运行。良性病毒还与操作系统和应用程序争夺CPU的控制权,常常导致整个系统锁死,给正常操作带来麻烦。有时,系统内还会出现几种病毒交叉感染的现象,一个文件不停地反复被几种病毒感染。例如,原来只有10 KB的文件变成约90 KB,就是被几种病毒反复感染了多次。这不仅消耗了大量宝贵的磁盘存储空间,而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。典型的良性病毒有小球病毒、救护车病毒、Dabi病毒等。

 

② 恶性病毒。恶性病毒是指那些一旦发作,就会破坏系统或数据,造成计算机系统瘫痪的一类计算机病毒。这类病毒危害性极大,一旦发作,给用户造成的损失可能是不可挽回的。例如,黑色星期五病毒、CIH病毒、米开朗基罗病毒(也叫米氏病毒)等。米氏病毒发作时,硬盘的前17个扇区将被彻底破坏,使整个硬盘上的数据无法被恢复,造成的损失是无法挽回的。有的病毒还会对硬盘进行格式化等破坏。这些操作代码都是刻意编写进病毒的,这是其本性之一。

 

3)按病毒传染的方法分类

① 驻留型病毒。驻留型病毒感染计算机后把自身驻留在内存(Random Access Memory,RAM)中,这一部分程序挂接系统调用并合并到操作系统中,并一直处于激活状态。

 

② 非驻留型病毒。非驻留型病毒是一种立即传染的病毒,每执行一次带毒程序,就自动在当前路径中搜索,查到满足要求的可执行文件即进行传染。该类病毒不修改中断向量,不改动系统的任何状态,因而很难区分当前运行的是一个病毒还是一个正常的程序。典型的病毒有Vienna/648。

 

4)按照计算机病毒的链接方式分类

 

① 源码型病毒。这类病毒较为少见,主要攻击高级语言编写的源程序。源码型病毒在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件。最终所生成的可执行文件便已经感染了病毒。

 

② 嵌入型病毒。这种病毒将自身代码嵌入到被感染文件中,将计算机病毒的主体程序与其攻击的对象以插入的方式链接。这类病毒一旦侵入程序体,查毒和杀毒都非常不易。不过编写嵌入式病毒比较困难,所以这种病毒数量不多。

③ 外壳型病毒。外壳型病毒一般将自身代码附着于正常程序的首部或尾部,对原来的程序不做修改。这类病毒种类繁多,易于编写也易于发现,大多数感染文件的病毒都是这种类型。

 

④ 操作系统型病毒。这种病毒用自己的程序意图加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。这种病毒在运行时,用自己的逻辑部分取代操作系统的合法程序模块,对操作系统进行破坏。

 

2、网络病毒的危害及感染网络病毒的主要原因

 

网络病毒是指通过计算机网络进行传播的病毒,病毒在网络中的传播速度更快、传播范围更广、危害性更大。随着网络应用的不断拓展,计算机网络的病毒防护技术也被越来越多的企业IT决策人员、MIS人员以及广大的计算机用户所关注。

 

网络病毒的危害。随着互联网的发展,近几年来计算机病毒呈现出异常活跃的态势。目前,全球超过200个国家均出现了移动恶意威胁。受到病毒攻击的各种平台里,微软的IE浏览器首当其冲,占总数的37%;其次是Adobe Reader,占28%;第三是甲骨文的Sun Java,占26%。另外,用户广泛使用的Office办公软件也为宏病毒文件的传播提供了基础,大大加快了宏病毒文件的传播。还有,Java和Active X技术在网页编程中应用得也十分广泛,在用户浏览各种网站的过程中,很多利用其特性写出的病毒网页可以在用户上网的同时被悄悄地下载到个人计算机中。虽然这些病毒不破坏硬盘资料,但在用户开机时,可以强迫程序不断开启新视窗,直至耗尽系统宝贵的资源为止。

 

 

网络感染病毒的主要原因。网络病毒的危害是人们不可忽视的现实。据统计,目前70%的病毒发生在网络上,人们在研究引起网络病毒的多种因素中发现,将移动存储设备带到网络上运行后,使网络感染上病毒的事件约占病毒事件总数的50%左右,从网络电子广告牌上带来的病毒约占8%,从软件商的演示盘中带来的病毒约占6%,从系统维护盘中带来的病毒约占6%。从统计数据中可以看出,引起网络病毒感染的主要原因在于网络用户自身。

 

因此,解决网络病毒问题只能从采用先进的防病毒技术与制定严格的用户使用网络的管理制度两方面入手。对于网络中的病毒,既要高度重视,采取严格的防范措施,将感染病毒的可能性降低到最低程度,又要采用适当的杀毒方案,将病毒的影响控制在较小的范围内。

 

3、网络防病毒软件的应用

 

目前,用于网络的防病毒软件很多,这些防病毒软件可以同时用来检查服务器和工作站的病毒。其中,大多数网络防病毒软件是运行在文件服务器上的。由于局域网中的文件服务器往往不止一个,因此为了便于检查服务器上的病毒,通常可以将多个文件服务器组织在一个域中,网络管理员只需在域中主服务器上设置扫描方式与扫描选项,就可以检查域中多个文件服务器或工作站是否带有病毒。

网络防病毒软件的基本功能是:对文件服务器和工作站进行查毒扫描,发现病毒后立即报警并隔离带毒文件,由网络管理员负责清除病毒。

 

网络防病毒软件一般提供以下3种扫描方式。

 

实时扫描。实时扫描是指当对一个文件进行“转入”(checked in)、“转出” (checked out)、存储和检索操作时,不间断地对其进行扫描,以检测其中是否存在病毒和其他恶意代码。

 

预置扫描。该扫描方式可以预先选择日期和时间来扫描文件服务器。预置的扫描频率可以是每天一次、每周一次或每月一次,扫描时间最好选择在网络工作不太繁忙的时候。定期、自动地扫描服务器能够有效提高防毒管理的效率,使网络管理员更加灵活地采取防毒策略。

 

人工扫描。人工扫描方式可以要求网络防病毒软件在任何时候扫描文件服务器上指定的驱动器盘符、目录和文件。扫描的时间长短取决于要扫描的文件和硬盘资源的容量大小。

4、网络工作站防病毒的方法

 

网络工作站防病毒可从以下几个方面入手:采用无盘工作站、使用带防病毒芯片的网卡和使用单机防病毒卡。

 

采用无盘工作站。采用无盘工作站能很容易地控制用户端的病毒入侵问题,但用户在软件的使用上会受到一些限制。在一些特殊的应用场合,如仅录入数据时,使用无盘工作站是防病毒最保险的方案。

 

使用带防病毒芯片的网卡。带防病毒芯片的网卡一般是在网卡的远程引导芯片位置插入一块带防病毒软件的EPROM。工作站每次开机后,先引导防病毒软件驻入内存。防病毒软件将对工作站进行监视,一旦发现病毒,就立即处理。

 

使用单机防病毒卡。单机防病毒卡的核心实际上是一个软件,事先固化在ROM中。单机防病毒卡通过动态驻留内存来监视计算机的运行情况,根据总结出来的病毒行为规则和经验来判断是否有病毒活动,并可以通过截获中断控制权来使内存中的病毒瘫痪,使其失去传染其他文件和破坏信息资料的能力。装有单机防病毒卡的工作站对病毒的扫描无须用户介入,使用起来比较方便。但是,单机防病毒卡的主要问题是与许多国产的软件不兼容,误报、漏报病毒的现象时有发生,并且病毒类型千变万化,编写病毒的技术手段越来越高,有时根本就无法检查或清除某些病毒。因此,现在使用单机防病毒卡的用户在逐渐减少。

 


文章标签:

本文链接:『转载请注明出处』