计算机病毒的防治策略
计算机病毒的预防、检测和解除
计算机病毒的防治要从防毒、查毒、解毒三方面来进行;系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。 “防毒”是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。
“查毒”是指对于确定的环境,能够准确地报出病毒名称,该环境包括,内存、文件、引导区(含主导区)、网络等等。
解毒”是指根据不同类型病毒对感染对象的修改,按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括:内存、引导区(含主引导区)、可执行文件、文档文件、网络等。
防毒能力是指预防病毒侵入计算机系统的能力。通过采取防毒措施,应该可以准确地实时监测预警经由光盘、软盘、硬盘不同目录之间、局域网、因特网(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下载等多种方式进行的传输;能够在病毒侵入系统时发出警报,记录携带病毒的文件,即时清除其中的病毒;对网络而言,还应该能够向网络管理员发送关于病毒入侵的信息,记录病毒入侵的工作站,必要时还要能够注销染毒的工作站,隔离病毒源,切断病毒传播途径。
查毒能力是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计算机系统是否感染有病毒,并准确查找出病毒的来源,并能给出统计报告;查毒能力应由查毒率和误报率来评判。 解毒能力是指从被感染对象中清除病毒,恢复被病毒感染前的原始信息的能力;解毒能力应用解毒率来评判。
反病毒技术
病毒行为语言
从程序语言角度来讲,计算机病毒是一段有规律的代码,通常查找病毒的过程就是查找病毒所用的代码。病毒行为语言使用一种数学的计算方法对病毒代码算出一个公式,用这个公式可以准确的描述病毒,这种描述计算机病毒的方法具有描述精确、查找迅速、误报率低等特点。
数据描述解毒技术
病毒寄生在系统中的过程是对文件和扇区的一种数学变换,从宏观上来讲可以看成是一段数据运算,它的逆运算就是数据解毒技术(注:这里所指的“文件” 是磁盘逻辑结构单位,通常用于保存程序、数据库、文本和其它数据。这里所指的“扇区”是在格式化磁盘时产生,是磁盘上最小的分配单位)。这种技术解毒具有解毒准确、解毒效率高、解毒效果好等特点。
病毒家族分类法:
“家族”是指几种或数十种病毒均由同一种病毒发展而来,它们的性质相近,表现方法相近,甚至连检测、消除的方法都十分相象。对同一家族的病毒指定相同的基名称,并冠以不同的副名称,基名称与副名称之间用小数点分开,这样可以有效的对种类繁多的计算机病毒进行科学有效的分类。
数据代码分离技术
数据代码分离技术把对一种病毒的查解分成了两类,一种是病毒符合标准的查毒解毒算法,只要增加有关这种病毒的几个数据(只有几个字节),就可查解这种病毒;另一种是不符合标准解毒算法的病毒,只要增加有关这种病毒的查解代码(只有几十个字节),就可增加这类病毒的查解算法。这种方法的特点是在系统文件版本不变的情况下,只要追加新的病毒资料,就不仅可以对一般新病毒有效查解,并且能对新一代病毒自动升级查解,解决了反病毒软件升级中对新病毒的即要查找又要消除的问题。
病毒的检测与解除
(1) 文件型病毒解除
在计算机病毒中绝大部分是文件型。所谓文件型病毒是指此类病毒寄生在可执行文件上,并依靠可执行文件来传播。从数学角度而言,解除这种病毒的过程实际上是病毒感染过程的逆过程。通过检测工作、(跳转、解码),已经得到了病毒体的全部代码,用于还原病毒的数据肯定在病毒体内,只要找到这些数据,依照一定的程式或方法即可将文件恢复,也就是说可以将病毒解除。
(2)引导型病毒的解除
这类病毒的种类也比较多,我国发现的第一例病毒--“小球”病毒就是引导型病毒,它们占据软盘或硬盘的第一个扇区,在开机后先于操作系统得到对计算机的控制,影响系统的I/O存取速度,干扰系统的正常运行;此类病毒可用地址法、相对法、逻辑法、覆盖法、特殊法予以解除。
(3)内存解毒
因为内存中的活病毒体会干扰反病毒软件的检测结果,所以几乎所有反病毒软件设计者都要考虑到内存解毒。新的内存解毒技术是找到病毒在内存中的位置,重构其中部分代码,使其传播功能失效。
(4)未知病毒的检测
通过对大量病毒的分析,可以掌握病毒的共性,并按照其发展衍生规律进行分类,总结病毒常用代码(这些代码是病毒存在、传播和发作的根本),以文件中包含这些代码的加权统计值作为对未知病毒检测的依据,使用可执行文件格式知识分析启始代码,通过一定程度的反汇编和预测跳转,综合结果报告未知病毒。这种方法是建立在独特病毒描述语言基础上的,具有描述准确、误报率低等特点。
(5)包裹文件病毒检测
包裹程序是一些常见的工具软件,它可以包裹可执行文件,减小磁盘占用空间,加快运行速度。但把一个病毒包裹后,病毒就会被保护起来,使得各种反病毒软件无法查到。已被包裹并含有病毒的可执行文件在执行时,病毒会到处传播,使用反病毒软件将病毒解除之后,被包裹的可执行文件中的病毒却保留下来,危害较大。通过特有的解包裹模块,可以即查解被包裹后的病毒,又不破坏被包裹后没有病毒的可执行文件。 (6)检测被压缩工具处理过的文件
磁盘上经常会有一些被压缩工具处理过的文件,这样做可以节省磁盘空间,便于保密和携带。但如果有人无意将病毒传染的文件使用压缩工具压缩了,那么一般反病毒软件就无法将病毒从压缩文件中查出,采用解压缩算法和流程处理可以根治这种病毒。
网络病毒防治
对于单机病毒防治,运用以上技术或使用具有相应功能的反病毒软件即可基本保障计算机系统不受病毒的侵扰。相对于单机病毒的防护来说,网络病毒的防治具有更大的难度,网络病毒防治应与网络管理集成。网络防病毒最大的优势在于网络的管理功能,如果没有把管理功能加上,很难完成网络防毒的任务,只有管理与防范相结合,才能保证系统的良好运行。
管理功能就是管理全部的网络设备和操作:从Hub、交换机、服务器到PC,包括软盘的存取、局域网上的信息互通及与Internet的接驳等所有病毒能够感染和传播的途径。
一般来讲,计算机病毒的防治在于完善操作系统和应用软件的安全机制,但在网络环境下,应该相应采取新的防范手段。 在网络环境下,病毒传播扩散快,仅用单机反病毒产品已经难以清除网络病毒,必须有适用于局域网、广域网的全方位反病毒产品。
为实现计算机病毒的防治,可在计算机网络系统上安装网络病毒防治服务器;可在内部网络服务器上安装网络病毒防治软件;可在单机上安装单机环境的反病毒软件
安装网络病毒防治服务器的目标是以实时作业方式扫描所有进出网络的文件。使本地网络与其它网络(包括INTERNET和各种局域网)间的数据交换、本地网络工作站与服务器间的数据交换、本地网络各工作站之间的数据交换都要经过网络病毒防治服务器的检测与过滤,这样就保证了网络病毒的实时防治与查杀, 其常见功能如下:
1 持续扫描
能保持全天24小时监控,实时扫描所有进出网络的文件。
2强大的病毒查解功能
可查解绝大多数已知病毒和一定数量的未知病毒。
3能提供强大的网络管理功能
4 功能强大的扫描日志与报告
追踪并记录规定时间内网络所有病毒的活动,可给出扫描报告、扫描日志等多种报告。
5自动报警功能
发现病毒时可立即产生报警,通知管理员,并可追踪病毒来源。
6 能够检查和解除在内存中驻留的病毒
7扫描包裹和压缩文件病毒能力强
8升级快速
9可以按照需要自行设置
10提供友好的帮助系统和病毒信息资料
温馨提示:答案为网友推荐,仅供参考