网络安全技术第七章.pptVIP

一、病毒诊断技术原理 3、病毒扫描法诊断的原理 扫描法是用每一种病毒体还有的特定字符串对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定字符串，就表明发现了该字符串所代表的病毒。 扫描法包括特征代码扫描法和特征字扫描法。 扫描法的优点是可以识别病毒的名称、误报警率低、依据检测结果可以做杀毒处理。 一、病毒诊断技术原理 4、病毒行为检测法诊断的原理 利用病毒的特有行为特性监测病毒的方法称做行为监测法。 行为监测法的长处在于不仅可以发现已知病毒，而且可以相当准确地预报多数未知病毒。但行为监测法也有短处，即可能误报警和不能识别病毒名称，而且实现起来有一定难度。 监测病毒的行为特征可列举如下： （1）占用INT13H：所有的引导型病毒都攻击BOOT扇区或主引导扇区。 （2）修改DOS系统数据区的内存总量：病毒常驻内存后，为了防止DOS系统将其覆盖，必须修改内存总量。 （3）对COM和EXE文件做写入操作：病毒要进行感染，必须写COM和EXE文件。 （4）病毒程序与宿主程序的切换染毒程序运行时，先运行病毒，而后执行宿主程序。在两者切换时，有许多特征行为。 一、病毒诊断技术原理 5、病毒行为感染实验法诊断的原理 感染实验是一种简单实用的病毒检测方法，采用感染实验法可以检测出病毒检测工具不认识的新病毒，从而摆脱对病毒检测工具的依赖，自主地检测可疑的新病毒。这种方法的原理就是利用了病毒的最重要的特征——感染特性。 一、病毒诊断技术原理 6、病毒行为软件模拟法诊断的原理 软件模拟法是一种软件分析器，用软件方法来模拟和分析程序的运行。新型检测工具纳入软件模拟法，该类工具开始运行时使用特征代码法检测病毒，如果发现有隐性病毒或多态性病毒嫌疑时，启动软件模拟模块监视病毒的运行，代病毒自身的密码译码后，再运用特征代码法来识别病毒的种类。 一、病毒诊断技术原理 7、病毒分析法诊断的原理 通常使用分析法的人不是普通用户，而是反病毒技术人员。使用的目的在于： （1）确认被观察的磁盘引导区和程序中是否含有病毒。 （2）确认病毒的类型和种类，判定其是否为一种新病毒。 （3）搞清楚病毒体的大致结构，提取特征识别用的字符串或特征字，用于增添到病毒代码库供病毒扫描和识别程序使用。 （4）详细分析病毒代码，为制订相应的反病毒措施制订方案。 二、网络反病毒的基本技术措施 1．针对网络硬件的措施 网络反病毒在硬件方面采取的措施主要是： （1）基于工作站的DOS系统防范病毒。工作站防病毒的方法，一是使用病毒防杀软件；二是在网络工作站上安装防毒芯片，随时保护工作站及其通往服务器的路径。 （2）服务器NLM防病毒技术。目前基于服务器的反病毒技术都以可装载模块技术NLM（netware loadable modu1e）进行程序设计，提供实时扫描病毒能力。 二、网络反病毒的基本技术措施 2．安装网络反毒软件 （1）在网关和防火墙安装反毒软件 （2）在工作站上安装反毒软件 （3）在电子邮件服务器安装反毒软件 （4）在所有文件服务器安装反毒软件 二、网络反病毒的基本技术措施 3．清除网络中的病毒 一旦发现或怀疑网络中存在病毒，应及早检测、清除。主要步骤是： （1）立即在网上用命令通知包括系统管理员在内的所有用户退网，也可以在控制台删除当前所有注册用户，然后关闭文件服务器。 （2）用系统盘启动系统管理员工作站，检查有无病毒感染，如有应先行清除。 （3）用系统盘启动文件服务器，在系统管理员登录后，使用系统命令禁止其他用户登录上网。 （4）为防止在杀毒过程中出现意外，先将文件服务器硬盘中的重要文件、数据备份到干净的软盘上，并且注意此时千万不要执行硬盘中的程序，也不要进行向硬盘中拷贝文件等操作，以免破坏可能已被病毒弄乱的硬盘文件、数据的结构。 （5）用网络杀毒软件扫描各种服务器上所有卷的文件，恢复或删除被病毒感染的文件，重新安装被删文件。 （6）为防止病毒漏网，再使用杀毒软件对所有可能染上病毒的软盘和备份文件的软盘检测一遍。 （7）通知各联网用户对所有的有盘工作站进行杀毒处理。 （8）只有当确认病毒己被彻底清除后，方可重新开启网络服务器。 （9）最好再检查一下病毒的来源或病毒是从何处进入网络的，以堵住漏洞。 二、网络反病毒的基本技术措施 4．网络反毒技术的新特征 随着网络技术的发展，反毒技术也在不断发展，其主要特征是： （1）配合紧密，层次更深 （2）实时化反毒 （3）检测压缩文件中的病毒 三、网络反病毒技术与方案介绍 1．局域网反毒技术体系 2．病毒防火墙 3．NAF多层病毒防御体系 三、网络反病毒技术与方案介绍 1．局域网反毒技术体系 （1）