计算机网络安全基础第06章.pptVIP

6.5 病毒的预防、检查和清除 作为应急措施，网络系统管理员应牢记下列几条。 （1）在因特网中，由于不可能有百分之百的把握来阻止某些未来可能出现的计算机病毒的传染，因此，当出现病毒传染迹象时，应立即隔离被感染的系统和网络并进行处理。不应让系统带病毒继续工作下去，要按照特别情况查清整个网络，使病毒无法反复出现来干扰工作。 （2）由于计算机病毒在网络中传播得非常迅速，很多用户不知应如何处理。因此，应立即请求专家的帮助 （3）注意观察下列现象： ●文件的大小和日期是否变化； ●系统启动速度是否比平时慢； ●不做写操作时出现“磁盘有写保护”信息； * 计算机网络安全基础 6.5 病毒的预防、检查和清除 ●对贴有写保护的软盘操作时声音很大； ●系统运行速度异常慢； ●用MI检查内存发现不该驻留的程序已驻留； ●键盘、打印或显示有异常现象； ●有特殊文件自动生成； ●磁盘空间自动产生坏簇或磁盘空间减少； ●文件莫名其妙地丢失； ●系统异常死机的次数增加。 * 计算机网络安全基础 6.5 病毒的预防、检查和清除 6.5.2 病毒的检查 计算机病毒要进行传染，必然会留下痕迹。检测计算机病毒，就是要到病毒寄生场所去检查，发现异常情况，并进而验明“正身”，确认计算机病毒的存在。病毒静态时存储于磁盘中，激活时驻留在内存中，因此对计算机病毒的检测分为对内存的检测和对磁盘的检测。 1．病毒的检查方法 检测的原理主要是基于下列四种方法，比较被检测对象与原始备份的比较法，利用病毒特征代码串的搜索法，病毒体内特定位置的特征字识别法以及运用反汇编技术分析被检测对象，确认是否为病毒的分析法。 * 计算机网络安全基础 6.5 病毒的预防、检查和清除 （1）比较法 比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较。 （2）搜索法 搜索法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。 （3）计算机病毒特征字的识别法 计算机病毒特征字的识别法是基于特征串扫描法发展起来的一种新方法。它工作起来速度更快、误报警更少。特征字识别法只需从病毒体内抽取很少几个关键的特征字来组成特征字库。 * 计算机网络安全基础 6.5 病毒的预防、检查和清除 （4）分析法 本方法由专业反病毒技术人员使用。 分析法的目的在于： ①确认被观察的磁盘引导区和程序中是否含有病毒； ②确认病毒的类型和种类，判定其是否是一种新病毒； ③搞清楚病毒体的大致结构，提取特征识别用的字节串或特征字，用于增添到病毒代码库供病毒扫描和识别程序用； ④详细分析病毒代码，为制定相应的反病毒措施制定方案。 * 计算机网络安全基础 6.5 病毒的预防、检查和清除 2．病毒扫描程序 这种程序找到病毒的主要办法之一就是寻找扫描串，也被称为病毒特征。这些病毒特征能唯一地识别某种类型的病毒，扫描程序能在程序中寻找这种病毒特征。 3．完整性检查程序 另一类反病毒程序，它是通过识别文件和系统的改变来发现病毒，或病毒的影响。 4．行为封锁软件 该软件的目的是防止病毒的破坏。通常，这种软件试图在病毒马上就要开始工作时阻止它。每当某一反常的事情将要发生时，行为封锁软件就会检测到病毒并警告用户。 * 计算机网络安全基础 6.5 病毒的预防、检查和清除 6.5.3 计算机病毒的免疫 计算机病毒的免疫，就是通过一定的方法，使计算机自身具有防御计算机病毒感染的能力。 1．建立程序的特征值档案 2．严格内存管理 3．中断向量管理 * 计算机网络安全基础 6.5 病毒的预防、检查和清除 6.5.4 计算机感染病毒后的恢复 1．防止和修复引导记录病毒 防止软引导记录、主引导记录和分区引导记录病毒的较好方法是改变计算机的磁盘引导顺序，避免从软盘引导。必须从软盘引导时，应该确认该软盘无毒。 （1）修复感染的软盘 （2）修复感染的主引导记录 （3）利用反病毒软件修复 2．防止和修复可执行文件病毒 * 计算机网络安全基础 6.5 病毒的预防、检查和清除 6.5.5 计算机病毒的清除 1．使用DOS命令处理病毒 2．引导型病毒的处理 与引导型病毒有关的扇区大概有下面三个部分。 （1）硬盘的物理第一扇区，即0柱面、0磁头、1扇区是开机之后存放的数据和程序是被最先访问和执行的。这个扇区成为“硬盘主引导扇区”。在该扇区的前半部分，称为“主引导记录”（Master Boot Record），简称 MBR。 （2）第二部分不是程序，而是非执行的数据，记录硬盘分区的信息，即人们常说的“硬盘分区表”（Partition Table），从偏移量1BEH开始，到1FDH结束。 * 计算机网络安全基础 6.5 病毒的预防、检查和清除 （3）硬盘活动分区