网络病毒的特点及其防治策略
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
methods are introduced and an example is given. 【 Key words】 Computer virus; Network; Character; Method of preventing virus; Example
随着计算机网络应用的深入,计算机病毒对信息安全的 威胁日益增加。特别是在网络环境下,多样化的传播途径和 应用环境更使得病毒的发生频率高、潜伏性强、覆盖面广, 从而造成的损失也更大。网络病毒的防治和信息安全问题已 成为计算机领域的研究热点。
(下转第75页)
—7—
对电子商务安全的正确认识,为研究和实施电子商务的安全 提供借鉴和参考。
(5) 编写方式多样化,病毒变种多。网络环境下除了传 统的汇编语言、C语言等,以JavaScript与VBScript为首的脚 本语言已成为最流行的病毒语言。利用新的编程语言与编程 技术实现的病毒更易于被修改以产生新的变种,从而逃避反 病毒软件的搜索。另外,已经出现了专门生产病毒的"病 毒 生产机"程序,使得新病毒出现的频率大大提高。
(6)触发条件增多,感染与发作的几率增大。 (7) 智能化,隐蔽化。目前网络病毒常常用到" 隐形" 技 术、反跟踪技术、加密技术、自变异(Mutation Engine) 技
—6—
术、自我保护技术、针对某种反病毒技术的反措施技术以及 突破计算机网络防护措施的技术等,这使得网络环境下的病 毒更加智能化、隐蔽化。
作 者 简 介 :韩 杨(1978~),女,硕士生,研究方向为计算机网络 及其应用;李俊娥,副教授 收 稿 日 期 :2002-04-30 修 回 日 期 :2002-06-19
和应用程序漏洞。 封堵漏洞,查杀病毒是对抗病毒最有效的手段。网络环
境下,病毒的查杀方法较多,它们各有其优缺点。 2.2.1 访问控制
网 络 病 毒 的 防 治 策 略 可 以 从 以 下 3个 方 面 入 手 : (1)数 据 备 份; (2)封堵漏洞,查杀病毒; (3)灾难恢复。数据备份是降 低病毒破坏性的最有效方法。经常进行数据备份,这样即使 遭受病毒攻击,也不至于丢失关键数据。对付病毒一方面要 封堵系统及应用程序漏洞,另一方面还要积极地、经常性地 查杀病毒。但由于在网络环境下还没有完全的抗病毒方案和 产品,因此,灾难恢复同样是防治病毒的一个重要措施。用 户系统发生意外、数据遭受破坏后,应立即关闭系统,以防 止更多的数据遭受破坏,然后根据具体情况选择合适的方案 进行数据恢复。 2.2 网 络 病 毒 的 防 治 和 查 杀 方 法
在网络环境下,对用户来讲,降低病毒破坏程度的最佳 策略是防患于未然,即采取有效措施,尽最大可能地防止计 算机感染病毒。由于病毒大多是利用系统或应用程序漏洞进 行攻击和破坏的,因此封堵漏洞可以减少遭受病毒攻击的几 率。封堵漏洞要从3个方面着手:(1)要对网络和每台计算机 正确配置,特别要注意安全权限等关键配置,防止因配置疏 忽留下漏洞而给病毒可乘之机;(2) 对不需要或不安全的功 能性应用程序尽量不安装或者关闭;(3) 要经常从相关的网 站下载补丁程序,及时完善系统和应用程序,尽量减少系统
1 网络病毒发展的特点与趋势
计算机病毒是指能够破坏计算机功能、修改或删除计算 机数据、影响计算机性能并能自我复制的一组计算机指令或 者代码。网络环境下的计算机病毒不仅包括传统的病毒程 序,还包括网络蠕虫和木马程序。网络病毒的发展呈现出新 的特点和趋势:
(1) 传播介质与攻击对象多元化,传播速度更快,覆盖 面更广。网络病毒的传播不仅可利用磁介质,更多的是通过 各种通信端口、网络和邮件等迅速传播。攻击对象由单一的 个人电脑变为所有具备通信机制的工作站、服务器甚至掌上 型移动通信工具和PDA。
校 验 信 息 也 叫 循 环 冗 余 校 验 码 (Cyclic Redundancy Check, CRC),是一种对文件中的数据进行验证的数学方 法。它是用数字来表示文件的内容。若文件内部有一个字节 发生了变化,校验信息值就会改变,而文件大小可能还是相 同的。一般,未被病毒感染的系统首先会生成一个基准记 录,然后规律性地使用CRC方式检查文件的改变情况。
(8)一些病毒兼有病毒、蠕虫和后门( 黑客)程序的功能, 破坏性更大。如2001年流行的 Nimda 就兼具三者的功能。
(9) 攻击目的明确化。一些高级病毒出于某种经济或政 治上的目的,被研制出来扰乱或破坏社会信息、政治、经济 秩序,甚至是作为一种"信息战略武器"。
2 网络病毒的防治
2.1 网 络 病 毒 的 防 治 策 略 由于病毒防治的根本目的是保护用户的数据安全,因此
运用CRC检查病毒有 3种方法:
(1)在检测病毒工具中纳入CRC法,对被查的对象文件计算其正 常状态的校验信息值并将其写入被查文件中或检测工具中,而后进 行比较。
(2)在应用程序中,放入CRC自我检查功能,将文件正常状态的 校验信息写入文件本身中,每当应用程序启动时,比较现行校验信 息与原校验信息,实现应用程序的自检测功能。
(2) 破坏性更强。网络病毒的破坏性日益增强,它们可 以造成网络拥塞,甚至瘫痪,重要数据丢失,机密信息失 窃,甚至通过病毒完全控制计算机信息系统和网络。
(3) 难以控制和根治。在网络中,只要有一台计算机感 染病毒,就可通过内部机制很快使整个网络受到影响甚至瘫 痪或拥塞。
(4) 病 毒 携 带 形 式 多 样 化 。 在 网 络 环 境 下 , 可 执 行 程 序、脚本文件、HTML页面、电子邮件、网上贺卡、卡通图 片、ICQ、 OICQ等都有可能携带计算机病毒。
进程监视法又称为行为监测法,具体做法是通过监视系 统进程,发现系统的可疑行为以便拦截,或者设定行为特征 来监测病毒。用于监测病毒的行为特征主要如下:
(1)截获INT 13H 所有的引导型病毒,都攻击引导扇区或主引导扇区以获 得执行权。一般引导扇区病毒都会截获INT 13H功能,在其 中放置病毒所需的代码。DOS也会截获INT 13H的功能,但 设置的INT 13H向量处于内存低端,而病毒则往往将自己定 位于640kB常规内存的高端,并将INT 13H指向位于该段的 病毒代码。 (2)减少常规内存总量
网络病毒的特点及其防治策略
韩 杨,李俊娥 (武汉大学计算中心,武汉 430072) 摘 要:介绍了网络环境下病毒的特点与发展趋势,给出了网络环境下病毒的防治策略和方法,并以一个局域网实例给出了具体的病毒防治 措施。 关 键 词 :计算机病毒;网络;特点;防治措施;实例
The Characteristics and Preven源自文库ion Policies of Network Virus
引导型病毒驻留内存的高端后,为了防止其数据区被覆 盖,必须修改系统内存总量,位于BIOS数据区域的[40:13] 单元中。通常可以利用调试工具Debug进行:
C:\>debug
-d 40:13 L 2
0040:0010 80 02
-q (3)COM、EXE文件作写入动作 病毒要感染系统,必须写入COM、 EXE文 件 。 写 入 后,病毒往往还会恢复文件的日期/时间属性。 (4)对主引导区的写入动作 多数台式计算机的BIOS 都有一些防病毒设置,当这些 设置打开时,计算机就会拦截所有对系统主引导记录进行写 入的企图。若引导扇区型病毒试图把自身存储在这一区域 时,BIOS会拦截这一请求,并要求用户进行确认。 行为监测法的优点是可发现多数未知病毒,缺点是可能 误报警、不能识别病毒名称,实现时有一定的技术难度。 2.2.4 病毒扫描程序 这是最常用的方法。病毒扫描程序一般使用特征文件在 被传染的文件中查找病毒,用户通过更新特征文件来更新软 件,以查找最新病毒。多数扫描程序在发现病毒后会执行一 个独立的进程,对病毒进行清除。但目前已有一些病毒扫描 程序不再局限于特征码匹配。例如,在瑞星杀毒软件2002版 中就采用了一种叫"病毒行为分析判断"的技术,它从病毒的 行为而不是特征码入手来判断并查杀病毒,即使对于未知病 毒也可以有效查杀。 病毒扫描程序的形式呈多样化发展趋势: (1) 按需扫描型:需手工启动或由一个自动进程启动运 行。这种程序启动后,一般会在整个驱动器或系统中查毒, 包括 RAM内存、硬盘、软盘等,用户也可选择查毒范围。 这种查毒方式一般是在事后工作,即系统先被感染了病毒之 后,然后才能被发现。 (2) 内存驻留型:它是一种在后台运行的程序。一般在 系统初始化时启动,然后一直在内存中保持激活状态。一旦 有文件访问活动,内存驻留的扫描程序就会拦截对文件的调 用,查看文件中是否有病毒,然后再决定是否允许文件装入 内存。虽然内存驻留型病毒扫描程序能够在病毒感染系统之 前就发现病毒,但会引起系统的性能下降,降低系统的响应 速度。 (3) 启发式扫描程序:它会进行统计分析以确定程序代 码中存在病毒的可能性。这种扫描程序不像病毒扫描程序那 样比较程序代码和特征文件,而是使用分级系统决定所分析 的程序代码是否有病毒程序的概率。若程序代码得到足够多 的点数,启发式扫描程序就会报警。目前的多数病毒扫描程 序都有启发式扫描功能。其优点是不需升级,可能发现新病 毒。缺点是可能误报。 (4) 应用程序级病毒扫描程序:不负责保护指定的系统 免受病毒侵袭,而是保护整个机构中的特定服务。 在较大系统的防火墙中通常包含病毒扫描功能。 2.3 病 毒 防 护 体 系 实 例 一个安全高效的防病毒系统应该能够覆盖到系统中的每 一种平台并且有较高的病毒检测率。在网络环境下,病毒的 入口点非常多,一般需要从工作站和服务器两方面考虑,特
真正的访问控制需要通过多用户操作系统实现,由系统 管理员为各个用户设置文件的许可权限。访问控制不会删除 甚至不会检测是否有恶意程序,它只是可以保护用户系统不 被病毒感染。例如,多数病毒程序都利用了被感染系统拥有 对所有文件的完全控制权限(如NT的缺省许可权设置)。
这种办法不是对所有可执行文件都有效。有些程序需要 在运行过程中对自身做修改,用户需要拥有对这些可执行程 序的写入权,而且文件的时间和日期标志也会规律性地变 动。通常,用户无法确定哪些程序需要写入权,致使无法有 效实施访问控制策略。不过,这种需要自行写入的可执行文 件较少,用户不会经常碰到。 2.2.2 校验信息的验证
(3)将CRC检查程序常驻内存,每当应用程序开始运行时,自动 比较检查应用程序内部或别的文件中预留保存的校验信息。
该方法有两个缺点:首先,CRC实际不能检测文件是否 被病毒感染,它只是查找变化,也就是说具有自我写入操作 的可执行文件无法通过规律性的校验与检查。即使发现病毒 造成了文件的改变,CRC也无法将病毒清除。其次,已有许 多病毒可以骗过 CRC,使之认为文件没有改变。
第 29卷 第 1期 Vol.29 № 1
计 算 机 工 程 Computer Engineering
2003年 1月 January 2003
· 发 展 趋 势 热/ 点 技 术 · 文 章 编 号 : 1000— 3428(2003)01 — 0006—02
文献标识码:A
中 图 分 类 号 : TP309.5
HAN Yang,LI Jun'e
(Computer Center, Wuhan University, Wuhan 430072) 【 Abstract】After describing the characteristics and developing directions of computer virus in network environment, the prevention policies and
CRC虽然不是最有效的查病毒方法,但它在检查特洛伊 木马程序时很有效。木马的文件代码 (如Telnet或 FTP客 户 和 服务器软件)不是简单地插入已有文件;它会替代这些文件 中的部分代码。如果程序代码中没有与某种病毒类似的特征 串,病毒扫描程序可能会完全忽略这种情况,但这种文件替 代现象却会被校验和检查出来。 2.2.3 进程监视
随着计算机网络应用的深入,计算机病毒对信息安全的 威胁日益增加。特别是在网络环境下,多样化的传播途径和 应用环境更使得病毒的发生频率高、潜伏性强、覆盖面广, 从而造成的损失也更大。网络病毒的防治和信息安全问题已 成为计算机领域的研究热点。
(下转第75页)
—7—
对电子商务安全的正确认识,为研究和实施电子商务的安全 提供借鉴和参考。
(5) 编写方式多样化,病毒变种多。网络环境下除了传 统的汇编语言、C语言等,以JavaScript与VBScript为首的脚 本语言已成为最流行的病毒语言。利用新的编程语言与编程 技术实现的病毒更易于被修改以产生新的变种,从而逃避反 病毒软件的搜索。另外,已经出现了专门生产病毒的"病 毒 生产机"程序,使得新病毒出现的频率大大提高。
(6)触发条件增多,感染与发作的几率增大。 (7) 智能化,隐蔽化。目前网络病毒常常用到" 隐形" 技 术、反跟踪技术、加密技术、自变异(Mutation Engine) 技
—6—
术、自我保护技术、针对某种反病毒技术的反措施技术以及 突破计算机网络防护措施的技术等,这使得网络环境下的病 毒更加智能化、隐蔽化。
作 者 简 介 :韩 杨(1978~),女,硕士生,研究方向为计算机网络 及其应用;李俊娥,副教授 收 稿 日 期 :2002-04-30 修 回 日 期 :2002-06-19
和应用程序漏洞。 封堵漏洞,查杀病毒是对抗病毒最有效的手段。网络环
境下,病毒的查杀方法较多,它们各有其优缺点。 2.2.1 访问控制
网 络 病 毒 的 防 治 策 略 可 以 从 以 下 3个 方 面 入 手 : (1)数 据 备 份; (2)封堵漏洞,查杀病毒; (3)灾难恢复。数据备份是降 低病毒破坏性的最有效方法。经常进行数据备份,这样即使 遭受病毒攻击,也不至于丢失关键数据。对付病毒一方面要 封堵系统及应用程序漏洞,另一方面还要积极地、经常性地 查杀病毒。但由于在网络环境下还没有完全的抗病毒方案和 产品,因此,灾难恢复同样是防治病毒的一个重要措施。用 户系统发生意外、数据遭受破坏后,应立即关闭系统,以防 止更多的数据遭受破坏,然后根据具体情况选择合适的方案 进行数据恢复。 2.2 网 络 病 毒 的 防 治 和 查 杀 方 法
在网络环境下,对用户来讲,降低病毒破坏程度的最佳 策略是防患于未然,即采取有效措施,尽最大可能地防止计 算机感染病毒。由于病毒大多是利用系统或应用程序漏洞进 行攻击和破坏的,因此封堵漏洞可以减少遭受病毒攻击的几 率。封堵漏洞要从3个方面着手:(1)要对网络和每台计算机 正确配置,特别要注意安全权限等关键配置,防止因配置疏 忽留下漏洞而给病毒可乘之机;(2) 对不需要或不安全的功 能性应用程序尽量不安装或者关闭;(3) 要经常从相关的网 站下载补丁程序,及时完善系统和应用程序,尽量减少系统
1 网络病毒发展的特点与趋势
计算机病毒是指能够破坏计算机功能、修改或删除计算 机数据、影响计算机性能并能自我复制的一组计算机指令或 者代码。网络环境下的计算机病毒不仅包括传统的病毒程 序,还包括网络蠕虫和木马程序。网络病毒的发展呈现出新 的特点和趋势:
(1) 传播介质与攻击对象多元化,传播速度更快,覆盖 面更广。网络病毒的传播不仅可利用磁介质,更多的是通过 各种通信端口、网络和邮件等迅速传播。攻击对象由单一的 个人电脑变为所有具备通信机制的工作站、服务器甚至掌上 型移动通信工具和PDA。
校 验 信 息 也 叫 循 环 冗 余 校 验 码 (Cyclic Redundancy Check, CRC),是一种对文件中的数据进行验证的数学方 法。它是用数字来表示文件的内容。若文件内部有一个字节 发生了变化,校验信息值就会改变,而文件大小可能还是相 同的。一般,未被病毒感染的系统首先会生成一个基准记 录,然后规律性地使用CRC方式检查文件的改变情况。
(8)一些病毒兼有病毒、蠕虫和后门( 黑客)程序的功能, 破坏性更大。如2001年流行的 Nimda 就兼具三者的功能。
(9) 攻击目的明确化。一些高级病毒出于某种经济或政 治上的目的,被研制出来扰乱或破坏社会信息、政治、经济 秩序,甚至是作为一种"信息战略武器"。
2 网络病毒的防治
2.1 网 络 病 毒 的 防 治 策 略 由于病毒防治的根本目的是保护用户的数据安全,因此
运用CRC检查病毒有 3种方法:
(1)在检测病毒工具中纳入CRC法,对被查的对象文件计算其正 常状态的校验信息值并将其写入被查文件中或检测工具中,而后进 行比较。
(2)在应用程序中,放入CRC自我检查功能,将文件正常状态的 校验信息写入文件本身中,每当应用程序启动时,比较现行校验信 息与原校验信息,实现应用程序的自检测功能。
(2) 破坏性更强。网络病毒的破坏性日益增强,它们可 以造成网络拥塞,甚至瘫痪,重要数据丢失,机密信息失 窃,甚至通过病毒完全控制计算机信息系统和网络。
(3) 难以控制和根治。在网络中,只要有一台计算机感 染病毒,就可通过内部机制很快使整个网络受到影响甚至瘫 痪或拥塞。
(4) 病 毒 携 带 形 式 多 样 化 。 在 网 络 环 境 下 , 可 执 行 程 序、脚本文件、HTML页面、电子邮件、网上贺卡、卡通图 片、ICQ、 OICQ等都有可能携带计算机病毒。
进程监视法又称为行为监测法,具体做法是通过监视系 统进程,发现系统的可疑行为以便拦截,或者设定行为特征 来监测病毒。用于监测病毒的行为特征主要如下:
(1)截获INT 13H 所有的引导型病毒,都攻击引导扇区或主引导扇区以获 得执行权。一般引导扇区病毒都会截获INT 13H功能,在其 中放置病毒所需的代码。DOS也会截获INT 13H的功能,但 设置的INT 13H向量处于内存低端,而病毒则往往将自己定 位于640kB常规内存的高端,并将INT 13H指向位于该段的 病毒代码。 (2)减少常规内存总量
网络病毒的特点及其防治策略
韩 杨,李俊娥 (武汉大学计算中心,武汉 430072) 摘 要:介绍了网络环境下病毒的特点与发展趋势,给出了网络环境下病毒的防治策略和方法,并以一个局域网实例给出了具体的病毒防治 措施。 关 键 词 :计算机病毒;网络;特点;防治措施;实例
The Characteristics and Preven源自文库ion Policies of Network Virus
引导型病毒驻留内存的高端后,为了防止其数据区被覆 盖,必须修改系统内存总量,位于BIOS数据区域的[40:13] 单元中。通常可以利用调试工具Debug进行:
C:\>debug
-d 40:13 L 2
0040:0010 80 02
-q (3)COM、EXE文件作写入动作 病毒要感染系统,必须写入COM、 EXE文 件 。 写 入 后,病毒往往还会恢复文件的日期/时间属性。 (4)对主引导区的写入动作 多数台式计算机的BIOS 都有一些防病毒设置,当这些 设置打开时,计算机就会拦截所有对系统主引导记录进行写 入的企图。若引导扇区型病毒试图把自身存储在这一区域 时,BIOS会拦截这一请求,并要求用户进行确认。 行为监测法的优点是可发现多数未知病毒,缺点是可能 误报警、不能识别病毒名称,实现时有一定的技术难度。 2.2.4 病毒扫描程序 这是最常用的方法。病毒扫描程序一般使用特征文件在 被传染的文件中查找病毒,用户通过更新特征文件来更新软 件,以查找最新病毒。多数扫描程序在发现病毒后会执行一 个独立的进程,对病毒进行清除。但目前已有一些病毒扫描 程序不再局限于特征码匹配。例如,在瑞星杀毒软件2002版 中就采用了一种叫"病毒行为分析判断"的技术,它从病毒的 行为而不是特征码入手来判断并查杀病毒,即使对于未知病 毒也可以有效查杀。 病毒扫描程序的形式呈多样化发展趋势: (1) 按需扫描型:需手工启动或由一个自动进程启动运 行。这种程序启动后,一般会在整个驱动器或系统中查毒, 包括 RAM内存、硬盘、软盘等,用户也可选择查毒范围。 这种查毒方式一般是在事后工作,即系统先被感染了病毒之 后,然后才能被发现。 (2) 内存驻留型:它是一种在后台运行的程序。一般在 系统初始化时启动,然后一直在内存中保持激活状态。一旦 有文件访问活动,内存驻留的扫描程序就会拦截对文件的调 用,查看文件中是否有病毒,然后再决定是否允许文件装入 内存。虽然内存驻留型病毒扫描程序能够在病毒感染系统之 前就发现病毒,但会引起系统的性能下降,降低系统的响应 速度。 (3) 启发式扫描程序:它会进行统计分析以确定程序代 码中存在病毒的可能性。这种扫描程序不像病毒扫描程序那 样比较程序代码和特征文件,而是使用分级系统决定所分析 的程序代码是否有病毒程序的概率。若程序代码得到足够多 的点数,启发式扫描程序就会报警。目前的多数病毒扫描程 序都有启发式扫描功能。其优点是不需升级,可能发现新病 毒。缺点是可能误报。 (4) 应用程序级病毒扫描程序:不负责保护指定的系统 免受病毒侵袭,而是保护整个机构中的特定服务。 在较大系统的防火墙中通常包含病毒扫描功能。 2.3 病 毒 防 护 体 系 实 例 一个安全高效的防病毒系统应该能够覆盖到系统中的每 一种平台并且有较高的病毒检测率。在网络环境下,病毒的 入口点非常多,一般需要从工作站和服务器两方面考虑,特
真正的访问控制需要通过多用户操作系统实现,由系统 管理员为各个用户设置文件的许可权限。访问控制不会删除 甚至不会检测是否有恶意程序,它只是可以保护用户系统不 被病毒感染。例如,多数病毒程序都利用了被感染系统拥有 对所有文件的完全控制权限(如NT的缺省许可权设置)。
这种办法不是对所有可执行文件都有效。有些程序需要 在运行过程中对自身做修改,用户需要拥有对这些可执行程 序的写入权,而且文件的时间和日期标志也会规律性地变 动。通常,用户无法确定哪些程序需要写入权,致使无法有 效实施访问控制策略。不过,这种需要自行写入的可执行文 件较少,用户不会经常碰到。 2.2.2 校验信息的验证
(3)将CRC检查程序常驻内存,每当应用程序开始运行时,自动 比较检查应用程序内部或别的文件中预留保存的校验信息。
该方法有两个缺点:首先,CRC实际不能检测文件是否 被病毒感染,它只是查找变化,也就是说具有自我写入操作 的可执行文件无法通过规律性的校验与检查。即使发现病毒 造成了文件的改变,CRC也无法将病毒清除。其次,已有许 多病毒可以骗过 CRC,使之认为文件没有改变。
第 29卷 第 1期 Vol.29 № 1
计 算 机 工 程 Computer Engineering
2003年 1月 January 2003
· 发 展 趋 势 热/ 点 技 术 · 文 章 编 号 : 1000— 3428(2003)01 — 0006—02
文献标识码:A
中 图 分 类 号 : TP309.5
HAN Yang,LI Jun'e
(Computer Center, Wuhan University, Wuhan 430072) 【 Abstract】After describing the characteristics and developing directions of computer virus in network environment, the prevention policies and
CRC虽然不是最有效的查病毒方法,但它在检查特洛伊 木马程序时很有效。木马的文件代码 (如Telnet或 FTP客 户 和 服务器软件)不是简单地插入已有文件;它会替代这些文件 中的部分代码。如果程序代码中没有与某种病毒类似的特征 串,病毒扫描程序可能会完全忽略这种情况,但这种文件替 代现象却会被校验和检查出来。 2.2.3 进程监视