信息技术--赵泽茂--第十三章.pptVIP

　　CRC扫描就是完整性验证技术所采用的一种方法。CRC 扫描的原理是计算磁盘中的实际文件或系统扇区的 CRC 值(校验和)，这些 CRC 值被杀毒软件保存到它自己的数据库中，在运行杀毒软件时，用备份的 CRC 值与当前计算的值进行比较，可以知道文件是否已经被修改或被病毒感染。 　　CRC扫描是强有力的反病毒工具，100%的病毒都能在进入计算机时被检查出来。但这种杀毒方式天生就有一个缺点——效率很低。CRC 扫描在病毒已经渗透到计算机之后，并不能很快地检测到，只有过一段时间病毒开始传播时才会发现，而且不能检测新文件中的病毒(例如邮件、软件文件、备份恢复的文件或解压文件)，因为在它的数据库中没有这些文件的 CRC 值。此外，有的病毒也会利用 CRC 扫描的这种“弱点”，只在扫描之前感染新创建的文件。 　　4. 虚拟机技术　　虚拟机技术应用于反病毒领域，是反病毒技术的重大突破，它能模拟一个程序的运行环境，病毒在其中运行如同在真实的环境中一样，这样就不断显露出它的病毒特征，这是一种极为理想的反病毒方式，尤其是检测未知病毒。目前，反病毒虚拟机不同于 VMWare 和 Virtual PC 这些完全仿真计算机资源的虚拟机，它仅仅是一个虚拟 CPU 和部分系统功能的模拟，目标仅限于模拟可执行文件的运行，反病毒界又称之为通用解密器。 　　反病毒虚拟机最初用于对抗变形病毒，这类病毒能产生无数种变形，但其运行前会执行解密程序，并且同一种病毒的无数种变形解密后的病毒体明文是相同的，因此只要模拟病毒的解密过程，就能还原出病毒体明文，然后采用传统的特征值扫描技术进行扫描，反病毒虚拟机在这方面发挥了强大的功能。目前虚拟机的处理对象主要是文件型病毒。对于引导型病毒、Word/Excel 宏病毒和木马程序在理论上都是可以通过虚拟机来处理的，但目前的实现水平仍相距甚远。就像病毒编码变形使得传统特征值方法失效一样，针对虚拟机的新病毒可以轻易地使虚拟机失效。 　　虽然虚拟机也会在实践中不断得到发展，但是PC的计算能力有限，反病毒软件的制造成本也有限，而病毒的发展可以说是无限的，让虚拟技术获得更加实际的功效甚至要以此为基础来清除未知病毒的难度是相当大的。 　　5. 沙箱技术　　沙箱技术是根据系统中每一个可执行程序的访问资源以及系统赋予的权限建立应用程序的“沙箱”，限制计算机病毒的运行。每个应用程序都运行在自己的且受保护的“沙箱”之中，不能影响其他程序的运行。同样，这些程序的运行也不能影响操作系统的正常运行，操作系统与驱动程序也存活在自己的“沙箱”之中。加州大学 Berkeley 实验室开发了一个基于 Solaris 操作系统的沙箱系统，应用程序经过系统底层调用解释执行，系统自动判断应用程序调用的底层函数是否符合系统的安全要求，并决定是否执行。 　　对于每个应用程序，沙箱都为其准备了一个配置文件，用于限制该文件能够访问的资源与系统赋予的权限。Windows XP 操作系统提供了一种软件限制策略，隔离具有潜在危害的代码。这种隔离技术其实也是一种沙箱技术，可以保护系统免受通过电子邮件和 Internet 传染的各种计算机病毒的侵害。这些策略允许选择系统管理应用程序的方式: 应用程序既可以被“限制运行”，也可以被“禁止运行”。通过在“沙箱”中执行不受信任的代码与脚本，系统可以限制甚至防止计算机病毒对系统完整性的破坏。 　　目前，网络中的恶意代码开始威胁到网络系统的安全，一般分为如下几种: 　　(1) 消耗系统资源。通过不断消耗本机系统资源，使计算机不能处理其他进程，导致系统与网络瘫痪。这类病毒大多是利用JavaScript产生一个死循环，它可以在有恶意的网站中出现，也可以被当做邮件的附件发给用户，当用户打开 .htm、.vbs附件时，屏幕出现无数个浏览器窗口，使系统资源耗尽，最后不得不重新启动主机。 　　(2) 非法向用户的硬盘写入文件。这类主要是在网页或邮件附件中包含有可以格式化本地硬盘的恶意代码。　　(3) IE泄密及利用邮件非法安装木马。　　下面用VB Script实例来说明脚本病毒的编写方法。在记事本中输入编辑病毒程序，然后保存为以.vbs为后缀的文件，双击该文件即可。 　　例13-1 　删除日志。　　黑客入侵系统成功后，第一件事便是清除日志，日志也是一种运行服务，但不同于http、 ftp这样的服务，它可以在命令行下先停下，再删除。在命令行下用net eventlog是不能停止日志服务的，所以在命令行下删除日志是很困难的。如果利用VBS脚本编程就比较容易删除日志。 源代码如下:  strComputer= .　　Set objWMIService = GetObject(winmgmts: _ {imperson