计算机网络安全CH3病毒知识介绍.ppt

3.2.3 网络病毒的防治 1．基于工作站的防治技术 工作站就像是计算机网络的大门。只有把好这道大门，才能有效防止病毒的侵入。工作站防治病毒的方法有3种。一是软件防治，即定期不定期地用反病毒软件检测工作站的病毒感染情况。软件防治可以不断提高防治能力，但需人为经常去启动防病毒软件，因此不仅给工作人员增加了负担，而且很有可能在病毒发作后才能检测到。二是在工作站上插防病毒卡。防病毒卡可以达到实时检测的目的，但防病毒卡的升级不方便，从实际应用的效果看，对工作站的运行速度有一定的影响。三是在网络接口卡上安装防病病毒芯片。它将工作站存取控制与病毒防护合二为一，可以更加实时有效地保护工作站及通向服务器的桥梁，但这种方法同样也存在芯片上的软件版本升级不便的问题，而且对网络的传输速度也会产生一定的影响。 2．基于服务器的防治技术 网络服务器是计算机网络的中心，是网络的支柱。网络瘫痪的一个重要标志就是网络服务器瘫痪。网络服务器一旦被击垮，造成的损失是灾难性的，是难以挽回和无法估量的。目前基于服务器的防治病毒的方法大都采用防病毒可装载模块（NLM），以提供实时扫描病毒的能力。有时也结合利用在服务器上的插防毒卡等技术，目的在于保护服务器不受病毒的攻击，从而切断病毒进一步传播的途径。 3．个人用户防范网络病毒时注意事项 （1）安装杀毒软件。 （2）下载常识。 （3）电子邮件。 （4）使用基于客户端的防火墙或硬件过滤措施，可以增强计算机对黑客和恶意代码的攻击的免疫力，不过不太适用于家庭用户。 （5）欺骗性广告。 （6）网页病毒。 （7）其他形式的文档。 （8）及时打补丁。 病毒防治，重在防范。随着计算机技术的发展，计算机病毒的传播途径和破坏手段也在逐渐的升级。作为使用者，面对纷繁复杂的网络世界时，一定要倍加小心，随时更新自己的杀毒软件，了解病毒发展的最新动态，做到防患于未然。 3.2.4 网络反病毒技术的特点 网络反病毒技术包括预防病毒、检测病毒和杀毒3种技术。 （1）预防病毒技术。它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术包括加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡）等。 （2）检测病毒技术。它是通过对计算机病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化等。 （3）杀毒技术。它通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件。 根据众多计算机病毒在网络上传播、破坏的情况，以及对目前计算机网络防病毒产品性能测试的综合评价，不难得出，区别于单机反病毒技术，计算机网络反病毒技术至少具备如下三个特点。 1．网络反病毒技术的安全度取决于“木桶理论” 被计算机安全界广泛采用的著名的“木桶理论”认为，整个系统的安全防护能力取决于系统中安全防护能力最薄弱的环节。计算机网络病毒防治是计算机安全极为重要的一个方面，它同样也适用于这一理论。一个计算机网络对病毒的防御能力取决于网络中病毒防护能力最薄弱的一个节点。 2．网络反病毒技术尤其是网络病毒实时监测技术应符合“最小占用”原则。 3．网络反病毒技术的兼容性是网络防毒的重点与难点。 3.2.5 病毒防火墙反病毒的特点 病毒防火墙就是杀毒软件里的实时监控、自动防护系统。病毒防火墙被称为“病毒实时检测和清除系统”，是反病毒软件的工作模式之一。当它们运行的时候，会把病毒特征监控的程序驻留内存中，随时查看系统的运行中是否有病毒的迹象。一旦发现有携带病毒的文件，它们就会马上激活杀毒处理模块，先禁止带毒文件的运行或打开，再马上查杀带毒的文件。 3.3 典型病毒介绍 3.3.1 宏病毒 宏病毒是一种寄存在文档或模板的宏中的计算机病毒。Microsoft Word中对宏定义为：“宏就是能组织到一起作为一独立的命令使用的一系列Word命令，它能使日常工作变得更容易。” Word使用宏语言WordBasic将宏作为一系列指令来编写。 一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板。从此以后，所有自动保存的文档都会感染上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。 宏病毒具有一些共性。 （1）以往病毒只感染程序，不感染数据文件，而宏病毒专门感染数据文件，彻底改变了人们的“数据文件不会传播病毒”的错误认识。宏病毒会感染.doc文档文件和.dot模板文件。被它感染的.doc文档属性必然会被改为模板而不是文档，但不一定修改文件的扩展名。而用户在另存文档时，就无法将该文档转换为任何其他方式，而只能用模板方式存盘。这一点在多种文本编辑器需转换文档时是绝对不允许的。 （2）染毒文档无法使用“另存为”修改路径以保