课件：IDS计算机病毒.pptVIP

* 免疫技术缺点 对不设有感染标识的病毒不能达到免疫目的。 当出现这种病毒的变种不再使用这个免疫标志时，或出现新病毒时，免疫标志发挥不了作用。 某些病毒的免疫标志不容易仿制，非要加上这种标志不可，则对原来的文件要做大的改动。 * 免疫技术缺点 不可能对一个对象加上各种病毒的免疫标识。 这种方法能阻止传染，却不能阻止已经感染的病毒的破坏行为。 * 免疫方法。 2．基于自我完整性检查的病毒的免疫方法。 为可执行程序增加一个免疫外壳，同时在免疫外壳中记录有关用于恢复自身的信息。 执行具有这种免疫功能的程序时，免疫外壳首先得到运行，检查自身的程序大小、校验和，生成日期和时间等情况，没有发现异常后，再转去执行受保护的程序。 * 缺点和不足： 每个受到保护的文件都要增加1KB-3KB，需要额外的存储空间。 现在使用中的一些校验码算法不能满足防病毒的需要，被某些种类的病毒感染的文件不能被检查出来。 无法对付覆盖方式的文件型病毒。 * 缺点和不足： 有些类型的文件不能使用外加免疫外壳的防护方法，这样将使那些文件不能正常执行。 当某些尚不能被病毒检测软件检查出来的病毒感染了一个文件，而该文件又被免疫外壳包在里面时，这个病毒就像穿了“保护盔甲”，使查毒软件查不到它，而它却能在得到运行机会时跑出来继续传染扩散。 * 数字免疫系统 数字免疫系统 是 IBM开发的一种全面而广泛的病毒保护措施。 但是正如 [CHES97] 中指出的, 近来网络的两种主要技术 对于病毒传播率的提高有着越来越大的影响： * 数字免疫系统 集成邮件系统（Integrated mail systems）：诸如 Lotus Notes 和 Microsoft Outlook 这样的系统,向任何人发送任何内容或者对接收到的客体进行操作都变得非常简单。 移动程序系统（Mobile-program systems）：诸如Java和ActiveX 等提供的机制允许程序自主地从一个系统转移到另外的系统。 * 数字免疫系统 为了应对这些以互联网为基础的威胁 ，IBM已经开发了一个原型的数字免疫系统。 * 数字免疫系统 当一个新病毒进入一个组织的网络系统时，免疫系统会自动地对其进行捕获、分析、检测、屏蔽和清除操作。 并能够向运行IBM反病毒软件的系统报告该病毒信息，从而使这种病毒在广泛传播之前就可以被检测出来。 * 行为阻断软件 与启发式或基于特征码的扫描不同， 行为阻断软件与主机操作系统相结合，实时地监控恶意的程序行为。 在检测到恶意的程序行为后，行为阻断软件将在潜在的恶意行为对实际系统实施攻击之前将其阻止。 * 行为阻断软件 行为阻断软件所检测的行为包括以下几点： 试图 打开、查看、删除、添加或修改文件。 试图格式化磁盘以及其他不可恢复的磁盘操作。 修改可执行文件或宏的逻辑机制。 修改 关键系统设置（如启动设置）。 * 行为阻断软件 电子邮件脚本或即时消息客户脚本发送可执行内容。 初始化网络连接。 * 病毒解决方案和策略 病毒解决方案 病毒解决策略 * 企业网络中的病毒漏洞 File Server Mail Server Client Internet Gateway Firewall Internet 企业网络基本结构 网关（Gateway) 服务器（Servers) 邮件服务器 文件/应用服务器 客户端（clients) * 趋势整体防病毒解决方案 Firewall Internet File Server Client Internet Gateway InterScan VirusWall ServerProtect for NTfor NetWare Central Control TVCS Mail Server ScanMail for Exchangefor Lotus Notes OfficeScan Clients OfficeScan Server OfficeScan Server 趋势整体防病毒解决方案 1 网关级解决方案 InterScan Viruswall