【正文】 研究計(jì)算機(jī)病毒與預(yù)防有利于我們正確認(rèn)識、感知、防范計(jì)算機(jī)病毒的攻擊，以保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全，使得計(jì)算機(jī)網(wǎng)絡(luò)真正發(fā)揮其積極的作用，促進(jìn)人類經(jīng)濟(jì)、文化、軍事和社會活動的健康?，F(xiàn)代信息網(wǎng)絡(luò)面臨著各種各樣的安全威脅，有來自網(wǎng)絡(luò)外面的攻擊，比如網(wǎng)絡(luò)黑客、計(jì)算機(jī)病毒等。如 ：可以 將某些經(jīng)常使用的可執(zhí)行文件的屬性 更改為 只執(zhí)行方式。 （ 5） 嚴(yán)格限制遠(yuǎn)程工作站的登錄權(quán)限 ：一 些遠(yuǎn)程工作 站 由于分布范圍 廣泛以致 難以統(tǒng)一管理，是病毒入侵的一個入口，因此按指定目錄存放其發(fā)來的數(shù)據(jù)，待檢查后方可使用， 以 防帶入病毒。若他的工作站被病毒 侵入 ，有可能 會 感染整個網(wǎng)絡(luò)服務(wù)器中的可執(zhí)行文件。組目錄只允許含有數(shù)據(jù)文件 ， 要嚴(yán)格管理組中所有共享可執(zhí)行文件目錄，根據(jù)實(shí)際情況 可以 授予用戶最小的文件訪問權(quán) 。多個用戶對同一目錄有讀寫權(quán)利 也是不允許的 。 （ 3） 嚴(yán)格控制用戶的網(wǎng)絡(luò)使用權(quán)限 ： 這樣 可以 減少其它文件被傳染的機(jī) ， 只能在這一被病毒侵入的 用戶使用權(quán)限范圍內(nèi)傳染。 （ 2）盡量多用無盤工作站 ： 這種工作站完成系統(tǒng)引導(dǎo)工作 是 通過 網(wǎng)卡上的 遠(yuǎn)程復(fù)位PROM。一個用來備份或向服務(wù)器內(nèi)裝入軟件的工作站，另一個是是系統(tǒng)管理員操作的工作站。采用網(wǎng)絡(luò)目錄和文件安全性的方法對 預(yù)防 病毒起到 了 一定作用，但畢竟是基于網(wǎng)絡(luò)操作的安全性的設(shè)計(jì) 還 存在著局限性，現(xiàn)在還沒有一種網(wǎng)絡(luò)操作系統(tǒng)能夠完全抵御病毒侵染，從網(wǎng)絡(luò)安全性措施角度來看，在網(wǎng)絡(luò)上也是無法防止帶毒文件的入侵。 可以看出 ，網(wǎng)絡(luò)上共享目錄或公用目錄的安全性 措施 可以 防止病毒在網(wǎng)上傳播。如：公用目錄中的 工具軟件 和 系統(tǒng)文件 ，應(yīng)該只設(shè)置只讀屬性 ， 系統(tǒng)程序所在的目錄不授予 S 超級用戶權(quán)和 M 修改權(quán)。 網(wǎng)絡(luò)操作系統(tǒng) NetWare 中 ， 提供了目錄和文件訪問權(quán)限與屬性兩種安全性措施。 通過工作站的常駐掃描程序，隨時(shí)檢查工作站所執(zhí)行的程序是否為病毒攜帶者 ， 與服務(wù)器的監(jiān)控相輔相 成，達(dá)到 了 全面防毒效果。 使用者可以選擇將中毒文件更名為不可執(zhí)行文件，或 將中毒文件刪除 ，或是搬至指定目錄下。 經(jīng)過 NOVELL 實(shí)驗(yàn)室認(rèn)證的網(wǎng)絡(luò)防毒管理系統(tǒng) LANDesk Virus Protect 安裝于文件服務(wù)器上，可以保護(hù)網(wǎng)絡(luò)工作站，并隨時(shí)監(jiān)控工作站及文件服務(wù)器的病毒活動， 使 網(wǎng)絡(luò)管理者遠(yuǎn)離病毒的侵?jǐn)_。用戶隨時(shí)將遇到的帶毒文件， 然后 經(jīng)過病毒特征分析程序 后 自動將病毒特征加入特征庫，以隨時(shí)增強(qiáng)抗毒能力。同 DOS 防毒一樣，服務(wù)器 NLM 防毒也面臨防毒系統(tǒng)如何能夠?qū)Ω恫粩喑霈F(xiàn)的新病毒的問題。 網(wǎng)絡(luò)管理員 可以 定期 檢測服務(wù)器中是否帶毒，可按每月、每星期、每天集中掃描一下網(wǎng)絡(luò)服務(wù)器，這樣網(wǎng)絡(luò)用戶擁有極大的操作選擇余地。 （ 2） 服務(wù)器掃描 ：這種方法是 對服務(wù)器中的所有 文件集中檢查是否帶毒。這是設(shè)計(jì)一個 NLM 最重要的部分，即多線索的調(diào)度， 實(shí)時(shí)在線掃描能 及時(shí)追蹤病毒的活動 ， 及時(shí)告之工作站用戶和網(wǎng)絡(luò)管理員。為了保證監(jiān)測 病毒的 實(shí)時(shí)性，通常 設(shè)計(jì)方法是 采用多線索的 ， 讓檢測程序 成為 一個隨時(shí)可以激活的功能模塊 。 但是目前 ， Chipway 對防止網(wǎng)絡(luò)上廣為傳播的文件型病毒能力還十分有限。這樣，將病毒保護(hù)能力與工作站存取 控制合二為一插在網(wǎng)卡的 EPROM 槽內(nèi) ，我們 也可以免除許多繁瑣的管理工作 。 （ 3） 在網(wǎng)絡(luò)接口卡上安裝防毒芯片 ： 這種方法是將防毒程序集成在一個芯片上，安裝在網(wǎng)絡(luò)工作站上，以便經(jīng)常性地保護(hù)工作站及其通往服務(wù)器的路徑。另一方面，將防毒卡與產(chǎn)品加密合二為一，這樣一個工作站必須安裝一個防毒卡，給 我們 帶來了許多不便 。 但與 DOS 防毒殺毒軟件一樣，防毒軟件有兼容性問題 ， 殺毒軟件有被動性問題。該程序用于掃描網(wǎng)絡(luò)文件服 務(wù)器，如果發(fā)現(xiàn)病毒也可用相應(yīng)的 CLEAN 清除病毒。 美國 McAfee Associates 防毒協(xié)會推出的掃毒軟件中也有一個網(wǎng)絡(luò)掃毒程序 ，該程序適用于 3COM, 3/Open 和 ATamp。 比如 ： CPAV 中的 VSAFE 就 能 探測網(wǎng)絡(luò) 的 安全 性 ，設(shè)置相應(yīng)的參數(shù)后， 只要 遇到網(wǎng) 絡(luò)訪問時(shí) ， 它 就 提供安全檢測。 基于工作站的 DOS 防毒技術(shù) 工作站是網(wǎng)絡(luò)的門，只要將這扇門戶關(guān)好，就能有效地防止病毒的入侵。三是計(jì)算機(jī)病毒的攻擊方式 ,重點(diǎn)研究網(wǎng)絡(luò)間無線傳遞數(shù)據(jù)的標(biāo)準(zhǔn)化 ,以及它的安全脆弱性和高頻電磁脈沖病毒槍置人病毒的有效性。實(shí)施跟蹤研究應(yīng)著重圍繞以下方面進(jìn)行：一是計(jì)算機(jī)病毒的數(shù)學(xué)模型。早在 1994 年 ,美國軟件工程學(xué)院就成立了計(jì)算機(jī)應(yīng)急反應(yīng)分隊(duì)。 13： 加強(qiáng)計(jì)算機(jī)應(yīng)急反應(yīng)分隊(duì)建設(shè)。 12： 防止電 磁輻射和電磁泄露。 11： 嚴(yán)把收硬件安全關(guān)。一是訪問控制層；二是病毒檢測層；三是病毒遏制層；四是病毒清除層；五是系統(tǒng)恢復(fù)層；六是應(yīng)急計(jì)劃層。 10： 建立有效的計(jì)算機(jī)病毒防護(hù)體系?？偨Y(jié)：及時(shí)打補(bǔ)丁，經(jīng)常升毒庫殺毒，不要打開不明的連接，上不安全的網(wǎng)站要調(diào)高級別，時(shí)常查看啟動項(xiàng)，不要打開或安裝來歷不明的文件，做好備份。 9：有能力的可以為系統(tǒng)盤做一個映象文件。 7：對電腦認(rèn)識有一定水平的人可以對電腦的進(jìn)行手動撿查方法：系統(tǒng)盤中的 windows 中的 和注冊表中 Run 啟動項(xiàng)說明（如果發(fā)現(xiàn)新的加載項(xiàng)目那你就得小心點(diǎn)了）。原因：殺毒軟件之間也可能有沖突，而且會占用較多的內(nèi)存。說明：所謂請神容易送神難，在按 ‘ 確定 ’ 前一定要想清楚。 所以說啊，不是說裝完了個殺毒軟件就萬事大吉了，不更新病毒庫等于沒裝??！ 5：不要安裝太多的 IE 的輔佐工具。 4：經(jīng)常更新毒庫殺毒。下載軟件最好去官方。原因：或許你下載的網(wǎng)站不會放病毒的軟件，但不排除它可能被人入侵，然后被放置帶病毒的軟件，總之安全第一。說明：有些網(wǎng)頁是要使用正常的控件的，比如聽歌的看電影的網(wǎng)頁等等，這時(shí)你得把 ‘INTERNET 安全性屬性 ’ 調(diào)回中級。方法：雙擊 IE 右下方的小地球，按一下默認(rèn)級別，向上移動滑塊，然后確定。 當(dāng)然 360 的修復(fù)漏洞更方便，不過剛剛看到有網(wǎng)友說有時(shí)候不能及時(shí)檢查出漏洞，不知道大家有沒有遇到過。網(wǎng)絡(luò)使用的簡易性和開放性使得這種威脅越來越嚴(yán)重。另一種威脅來自電子郵件。 隨著 Inter 的風(fēng)靡，給病毒的傳播又增加了新的途徑，它的發(fā)展使病毒可能成為災(zāi)難，病毒的傳播更迅速，反病毒的任務(wù)更加艱巨。當(dāng)前，盜版光盤的泛濫給病毒的傳播帶來了很大的便利。 (3）通過光盤 因?yàn)楣獗P容量大，存儲了海量的可執(zhí)行文件，大量的病毒就有可能藏身于光盤，對只讀式光盤，不能進(jìn)行寫操作，因此光盤上的病毒不能清除。大量的軟盤交換，合法或非法的程序拷貝，不加控制地隨便在機(jī)器上使用各種軟件造成了病毒感染、泛濫蔓延的溫床。傳統(tǒng)渠道通常有以下幾種： (1）通過軟盤 通過使用外界被感染的軟盤，例如，不同渠道來的系統(tǒng)盤、來歷不明的軟件、游戲盤等是最普遍的傳染途徑。字段值為 0，表示病毒長度可變。由系統(tǒng)自動計(jì)算，不需要人工輸入或選擇。附屬名稱目 前有以下幾種： Client 說明：后門程序的控制端 KEY_HOOK 說明：用于掛接鍵盤的模塊 API_HOOK 說明：用于掛接 API 的模塊 Install 說明：用于安裝病毒的模塊 Dll 說明：文件為動態(tài)庫，并且包含多種功能 （空） 說明：沒有附屬名稱，這條記錄是病毒主體記錄 附屬名稱變種號 如果病毒的主行為類型、行為類型、宿主文件類型、主名稱、主名稱變種號、附屬名稱均相同，則認(rèn)為是同一家族的病毒，這時(shí)需要變種號來區(qū)分不同的病毒記錄。由系統(tǒng)自動計(jì)算，不需要人工輸入或選擇。 主名稱變種號 如果病毒的主行為類型、行為類型、宿主文件類型、主名稱均相同，則認(rèn)為是同一家族的病毒，這時(shí)需要變種號來區(qū)分不同的病毒記錄。 主名稱 病毒的主名稱是由分析員根據(jù)病毒體的特征字符串、特定行為或者所使用的編譯平臺來定的，如果無法確定則可以用字符串 ”Agent” 來代替主名稱，小于 10k 大小的文件可以命名為 “Small” 。一般都采用英文中的 26 個字母來表示，如 就 是指 振蕩波蠕蟲病毒的變種 B，因此一般稱為 “ 振 蕩波 B 變種 ” 或者 “ 振蕩波變種 B” 。 病毒名是指一個病毒的家族特征，是用來區(qū)別和標(biāo)識病毒家族的，如以前著名的CIH 病毒 的家族名都是統(tǒng)一的 “ CIH ” ，振蕩波蠕蟲病毒的家族名是 “ Sasser ” 。不同的種類的病毒，其前綴也是不同的。新型檢測工具納入 了軟件模擬法，該類工具運(yùn)行中使用特征代碼法了，如果發(fā)現(xiàn)有隱蔽病毒或多態(tài)病毒的嫌疑時(shí)就啟動軟件模擬板塊來監(jiān)視病毒的運(yùn)行，待病毒自身的密碼譯碼后用特征代碼法來識別病毒的類型。每次實(shí)施感染后的多態(tài)性病毒都會變化其病毒密碼。行為監(jiān)測法的優(yōu)點(diǎn)是能夠 發(fā)現(xiàn)未知病毒 ， 可相當(dāng)準(zhǔn)確地預(yù)報(bào)未知的多數(shù)病毒；行為監(jiān)測法的 缺點(diǎn)是不能識別病毒名稱，可能誤報(bào)警，實(shí)現(xiàn)時(shí)有一定難度。多年 對病 毒 的觀察、研究，人們發(fā)現(xiàn)病毒有一些 共同的行為 ，而且比較特殊。而且此種方法也會影響文件的運(yùn)行速度。但是，它不能識別病毒種類，不能報(bào)出病毒名稱。在文件使用過程中，