《信息安全概论》——第五章 16.docVIP

《信息安全概论》教案第五章 病毒与反病毒技术简介 什么是病毒？病毒的种类有多少？病毒如何工作？病毒如何危害信息系统？如何发现病毒？如何预防和防止病毒？这些问题是每一个计算机网络用户所关心的问题。本章试图用比较形象的语言，对这些问题进行解答。 病毒概论 计算机病毒程序的概念早在第一部商用计算机诞生之前就已经被计算机先驱约翰·范纽曼在他的一篇论文“复杂自动装置的理论及组织的进行”中提出来了。到了1983年，计算机病毒的存在性被科恩·汤普逊在他的颁奖典礼上向外界正式公开，同时科恩·汤普逊还告诉听众怎样去写病毒程序。从此，计算机病毒的广泛流传便一发不可收拾。特别是随着网络化步伐的加快，病毒借助于网络爆炸式地传播，使得很多毫无防备的信息系统惨遭破坏，造成了巨大的损失。现在，社会上，对病毒几乎到了谈虎色变的地步。 病毒的概念 “计算机病毒”这一名词，正式出现于1985年3月的《科学美国人》杂志上。计算机病毒与医学中的生物病毒具有很多相似之处。比如：都具有传染性、破坏性、变异性和进化性等。特别是变异性和进化性可以使计算机病毒逃避各种反病毒程序的检测。当然，计算机病毒绝非医学中的生物病毒。 病毒是一种特殊的计算机程序，它可以隐藏在看起来无害的程序中，也可以生成自身的拷贝并插入到其他程序中。病毒通常会进行一些恶意的破坏活动或恶作剧，使用户的网络或信息系统遭受浩劫。比如，格式化用户的硬盘、删除程序文件、往文件中加入垃圾、破坏磁盘上的目录和FAT表，甚至摧毁计算机硬件和软件的能力等。 病毒是一种基于硬件和操作系统的程序。任何一种病毒都是针对某种处理器和操作系统编写的，所以一个Intel处理器上的DOS病毒就不能在Apple公司的Macintosh机器上运行。一般病毒只感染可执行代码，包括引导程序和可执行文件。当然，还有一些特殊的病毒，如word宏病毒。常见的病毒可分为引导型病毒、文件型病毒和混合型病毒。 正如不可能研究出一种能包治人类百病的灵丹妙药一样，要研制出万能的防范计算机病毒的程序也是不可能的。但针对病毒的特点，完全可以在现有技术的基础上开发出新的技术，从而有效地防御病毒。 病毒的预防 通过技术和管理两个方面的努力，病毒是完全可以防范的。虽然不断地会有采用更隐秘手段的新病毒出现，并可能在短时间内造成破坏，但是只要在思想上有反病毒的警惕性，依靠技术和管理措施，就完全可以限制其传播。“预防为主，治疗为辅”这一方针也完全适合于计算机病毒的处理。最重要的是思想上要重视计算机病毒可能会带来的危害。随时警惕病毒在传染时和传染后留下的蛛丝马迹，并运用一些现存的病毒检测程序或人工检测方法，完全可以及时发现病毒，并在造成损失前解决问题。 2．1 病毒的表现 病毒的蛛丝马迹可能隐含在下列现象之中：文件的大小和日期发生变化，系统启动速度比平时慢，没做写操作时出现“磁盘有写保护”信息，对贴有写保护的软盘操作时音响很大，系统运行速度异常慢，用MI检查内存会发现不该驻留的程序已驻留，键盘、打印、显示有异常现象，有特殊文件自动生成，磁盘空间自动产生坏簇或磁盘空间减少，文件莫名其妙丢失，系统异常死机的次数增加等等。当然，这些异常情况并不一定说明系统内肯定有病毒，而需要进一步进行检查。 2．2 预防病毒的措施 下面是一系列被实践证明行之有效的预防措施： （l）新购置的计算机中可能携带有病毒。因此，建议对新购置的计算机系统用检测病毒软件检查是否有已知病毒，用人工检测方法检查是否有未知病毒。在确保没有病毒之后，再使用计算机。 （2）新购置的硬盘或出厂时已格式化的软盘中可能有病毒。对硬盘可以进行检测或进行低级格式化。对硬盘只做DOS的FORMAT格式化不能去除主引导区（分区表扇区）病毒。对软盘做DOS的FORMAT格式化可以去除病毒。 （3）对新购置的计算机软件也要进行病毒检测。 （4）如果硬盘确无病毒，最好直接用硬盘引导启动计算机，尽量不要用软盘去启动。在不联网的情况下，软盘是传染病毒的最主要渠道。很多以80586为CPU芯片的PC机中，可以通过设置CMOS参数，使启动时直接从硬盘引导启动，而根本不去读A盘。 （5）定期与不定期地进行磁盘文件备份工作。当然备份前要保证没有病毒，不然也会将病毒备份。不要等到由于病毒破坏，PC机硬件或软件故障使用户数据受到损坏时再去急救。特别是，重要的数据应当及时进行备份。 （6）对于软盘，要尽可能将数据和程序分别存放。装程序的软盘要贴有写保护签。 （7）自己的软盘在别人的机器上使用过之后，在自己的机器上使用之前应进行病毒检测。在自己的机器上使用别人的软盘之前，也应进行病毒检查。对重点保护的机器应做到专机、专人、专盘、专用。封闭的