信息安全产品配置与应用补交材料182防病毒产品和技术.pptxVIP

信息安全产品配置与应用Configuration and Application of Information Security Products重庆电子工程职业学院| 路亚二、病毒的防治网络环境下的病毒防治原则与策略防重于治，防重在管：制度；注册、权限、属性、服务器安全；集中管理、报警。综合防护：木桶原理；防火墙与防毒软件结合最佳均衡原则：占用较小的网络资源管理与技术并重正确选择反毒产品多层次防御：病毒检测、数据保护、实时监控注意病毒检测的可靠性：经常升级；两种以上。二、病毒的防治防毒：预防入侵； 病毒过滤、监控、隔离查毒：发现和追踪病毒； 统计、报警解毒：从感染对象中清除病毒；恢复功能病毒检测的方法直接观察法： 根据病毒的种种表现来判断特征代码法 ：采集病毒样本，抽取特征代码特点：能快速、准确检验已知病毒，不能发现未知的病毒。校验和法： 根据文件内容计算的校验和与以前的作比较。优点：能判断文件细微变化，发现未知病毒。缺点：当软件升级、改口令时会产生误报；不能识别病毒名称；对隐蔽性病毒无效。行为监测法： 基于对病毒异常行为的判断特点：发现许多未知病毒；可能误报，实施难软件模拟法：一种软件分析器，用软件方法来模拟和分析程序的运行。 特点：可用于对付多态病毒。反病毒软件的选择1）扫描速度 30秒能扫描1000个以上文件2）识别率3）病毒清除测试著名杀毒软件公司冠群金辰/ KILL瑞星/ RAV北京江民/ KV3000信源/ LAN VRV赛门铁克/ Norton Anti Virus时代先锋（行天98） / 反病毒软件工作原理1）病毒扫描程序 串扫描算法:与已知病毒特征匹配；文件头、尾部 入口扫描算法：模拟跟踪目标程序的执行 类属解密法：对付多态、加密病毒2）内存扫描程序：搜索内存驻留文件和引导记录病毒3）完整性检查器：能发现新的病毒；但对于已被感染的系统使用此方法，可能会受到欺骗。4）行为监测器：是内存驻留程序，监视病毒对可执行文件的修改。防止未知的病毒三、几种常见的病毒宏病毒宏(Macro)：为避免重复操作而设计的一组命令。在打开文件时，先执行“宏”，然后载入文件内容。因此如果“宏”带有病毒，则在编辑文件时病毒自动载入。宏病毒的症状：1）用Word或Excel打开文件时，出现“文档未打开”、“内存不够”、“WordBasic Err=514”等；2）保存文件时，强制将文件按“.dot”类型存储，或强制在指定目录存放。3）宏病毒的版本兼容问题几种宏病毒：AAAZAO Macro：Concept病毒，第一个宏病毒；Taiwan NO.1：第一个中文word病毒；Rainbow Macro：能改变桌面颜色；FormatC：格式化C盘，第一个木马型宏病毒；Hot Macro：第一个调用Windows API的宏病毒；Nuclear Macro:第一个干扰打印机、硬盘的宏病毒。宏病毒分类：公用宏病毒：以Auto开头的宏，附在normal.dot或Personal.xls 等模板上。私用宏病毒：宏病毒的危害1）传播迅速：因为文件交流频繁；2）制造及变种方便：Word Basic编程容易3）危害大： Word Basic可调用Windows API、DLL、DDE宏病毒的防治除杀毒软件以外，还可尝试下列方法：1）按住Shift键再启动Word，禁止宏自动运行；2）工具?宏，检查并删除所有可能带病毒的宏；3）使用Disable AutoMacros宏4）将模板文件如normal.dot的属性设为只读。三、几种常见的病毒CIH病毒台湾陈盈豪编写，一般每月26日发作。不仅破坏硬盘的引导扇区和分区表，还破坏系统Flash BIOS芯片中的系统程序，导致主板损坏。病毒长1KB，由于使用VXD技术，只感染32位Windows 系统可执行文件中的.PE格式文件。修复硬盘分区表：信源公司()的免费软件VRVFIX.EXE；CIH疫苗:CIH作者的Ant-CIHv1.0； 美国Symantec公司的Kill_CIH四、网络病毒含义1：在网上传播、并对网络进行破坏的病毒。含义2：专指HTML、E-mail、Java等Internet病毒。例：蠕虫病毒，木马程序等。2001年9月18日，Nimda worm 在Internet上迅速传播。该病毒感染Windows 系列多种计算机系统，其传播速度之快、影响范围之广、破坏力之强都超过其前不久发现的Code Red II。特点：网上蔓延，危害更大。1）网上传染方式多，工作站、服务器交叉感染2）混合特征：集文件感染、蠕虫、木马等于一身3）利用网络脆弱性、系统漏洞4）更注重欺骗性5）清除难度大，破坏性强。网络病毒的防范：具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测；在工作站上用防病毒芯片和对网