病毒防范范文-盘古文库

病毒防范范文

来源：盘古文库

作者：漫步者

2025-09-15

病毒防范范文（精选12篇）

病毒防范第1篇

随着计算机在社会生活各个领域的广泛运用，计算机病毒攻击与防范技术也在不断拓展。据报道，世界各国遭受计算机病毒感染和攻击的事件屡屡发生，严重地干扰了正常的人类社会生活，给计算机网络和系统带来了巨大的潜在威胁和破坏。同时随着互联网的迅猛发展，电子邮件成为人们相互交流最常使用的工具，于是它也成电子邮件型病毒的重要载体。最近几年，出现了许多危害极大的邮件型病毒，如LOVEYOU病毒、网银大盗以及求职信病毒等，这些病毒主要是利用电子邮件作为传播途径，利用Outlook的可编程特性完成发作和破纠。因此，防范计算机病毒将越来越受到世界各国的高度重视。

2 计算机病毒

计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里，当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。广义的计算机病毒还包括逻辑炸弹、特洛伊木马和系统陷阱入口等等。计算机病毒具有以下特点。

(1)计算机病毒的可执行性：计算机病毒与其他合法程序一样，是一段可执行程序，但它不是一个完整的程序，而是寄生在其他可执行程序上，因此它享有—切程序所能得到的权力。

(2)计算机病毒的传染性：传染性是病毒的基本特征，计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。

(3)计算机病毒的潜伏性：一个精巧的病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中。对其他系统进行传染，而不被人发现。

(4)计算机病毒的可触发性：病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性。

(5)计算机病毒的破坏性：主要包括系统崩溃、网络瘫痪、系统设置被修改、电脑使用受限、数据丢失。

(6)攻击的主动性：病毒对系统的攻击是主动的，计算机系统无论采取多么严密的保护措施都不可能彻底排除病毒对系统的攻击，而保护措施充其量是一种预防的手段而已。

(7)病毒的针对性：计算机病毒是针对特定的计算机和特定的操作系统的。例如小球病毒是针对IBMPC机及其兼容机上的DOS操作系统的。

3 防范措施

计算机网络中最主要的软硬件实体就是服务器和工作站，所以防治计算机网络病毒应该首先考虑这两部分，另外加强综合治理也很重要。

3.1 基于工作站的防治技术

工作站就像是计算机网络的大门。只有把好这道大门，才能有效防止病毒的侵入。工作站防治病毒的方法有三种：一是软件防治，即定期不定期地用反病毒软件检测工作站的病毒感染情况。二是在工作站上插防病毒卡。防病毒卡可以达到实时检测的目的，但防病毒卡的升级不方便，从实际应用的效果看，对工作站的运行速度有一定的影响。三是在网络接口卡上安装防病病毒芯片。它将工作站存取控制与病毒防护合二为一，可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题;而且对网络的传输速度也会产生一定的影响。

3.2 基于服务器的防治技术

网络服务器是计算机网络的中心，是网络的支柱。网络瘫痪的—个重要标志就是网络服务器瘫痪。网络服务器—旦被击垮，造成的损失是灾难性的。目前基于服务器的防治病毒的方法大都采用防病毒可装载模块(NLM)，以提供实时扫描病毒的能力。有时也结合利用在服务器上的插防毒卡等技术。

3.3 加强计算机网络的管理

计算机网络病毒的防治，单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的，只有把技术手段和管理机制紧密结合起来，提高人们的防范意识，才有可能从根本上保护网络系统的安全运行。目前在网络病毒防治技术方面，基本处于被动防御的地位，但管理上应该积极主动。应从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度，对网络系统的管理员及用户加强法制教育和职业道德教育，规范工作程序和操作规程，严惩从事非法活动的集体和个人尽可能采用行之有效的新技术、新手段，建立“防杀结合、以防为主、以杀为辅、软硬互补、标本兼治”的最佳网络病毒安全模式。

4 病毒发展的趋势

4.1 病毒与黑客程序相结合

随着网络的普及和网速的提高，计算机之间的远程控制越来越方便，传输文件也变得非常快捷，正因为如此，病毒与黑客程序(木马病毒)结合以后的危害更为严重，病毒的发作往往伴随着用户机密资料的丢失。

4.2 蠕虫病毒更加泛滥

其表现形式是邮件病毒会越来越多，这类病毒是由受到感染的计算机自动向用户的邮件列表内的所有人员发送带毒文件，只要有一个用户受到感染，就可以形成一个非常大的传染面。

4.3 病毒破坏性更大

计算机病毒不再仅仅以侵占和破坏单机的资料为目的。木马病毒的传播使得病毒在发作的时候有可能自动联络病毒的创造者(如爱虫病毒)，或者采取DoS(拒绝服务)的攻击(如红色代码病毒)。一方面可能会导致本机机密资料的泄漏，另一方面会导致一些网络服务的中止。而蠕虫病毒则会抢占有限的网络资源，造成网络堵塞(如Nimda病毒)，还会破坏本地的资料(如针对911恐怖事件的Vote病毒)。

4.4 制作病毒的方法更简单

由于网络的普及，使得编写病毒的知识越来越容易获得。同时，各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。

4.5 病毒传播速度更快，传播渠道更多

目前上网用户已不再局限于收发邮件和网站浏览，此时，文件传输成为病毒传播的另一个重要途径。随着网速的提高，在数据传输时间变短的同时，病毒的传送时间会变得更加微不足道。同时，其他的网络连接方式如ICQ、IRC也成为了传播病毒的途径。

4.6 病毒的实时检测更困难

众所周知，对待病毒应以预防为主，如果发生了病毒感染，往往就已经造成了不可挽回的损失，因此对网上传输的文件进行实时病毒检测成了亟待解决的重要问题。

4.7 网关防毒已成趋势

如果等病毒已经进入局域网后再作剿杀，显然为时已晚。因此，通过网关把病毒拒绝在网络之外是最好的解决办法。这种办法还可以防止将网络内部受到感染的病毒文件传到其他的网络当中，使得各个网络能够互相独立。

5 网络病毒防治的发展趋势

针对病毒的发展趋势，从根本防治病毒的角度出发，防病毒产品至少要在两个方面做进一步工作：

对病毒特征库进行在线升级，提高产品的实效性。

病毒的传播都利用了系统漏洞，要在病毒出现之前就斩断传播的途径，防病毒产品应该和其它安全产品相结合，如系统扫描，在一定程度上做到防患于未然。

参考文献

[1]电脑报.2003合订本.北京:电子工业出版社,2003.

病毒防范第2篇

本文主要列举说明一些需要注意和检测的系统位置，以防范常见的抗杀软类病毒。

一：Run键值

典型病毒：AV终结者变种

目的现象：开机启动双进程坚守、关闭杀毒程序等。

检测位置：

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

补充说明：该位置属于常规启动项，很多程序会写。

二：执行挂钩

典型病毒：大量恶意软件以及病毒均会写入

目的现象：杀毒软件难于清理、关闭杀毒程序等。

检测位置：

HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks

补充说明：很少有正常程序会写入该位置，病毒几率非常大。典型例外：瑞星反病毒软件

三：Appinit_dlls

典型病毒：机器狗新变种、磁碟机变种。

目的现象：安全模式也加载、关闭杀毒程序等。

检测位置：

HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWindowsAppinit_Dlls

补充说明：很少有正常程序会写入该位置，病毒几率变态大。典型例外：AVG互联网安全套装

四：服务以及驱动

典型病毒：灰鸽子变种

目的现象：难于发现与清理、关闭杀毒程序等。

检测位置：

HKLMSystemCurrentControlSetServices

补充说明：病毒写入底层服务与rootkits驱动，导致清除困难。

五：映像劫持

典型病毒：大多数AV病毒均会写入此位置

目的现象：简单粗暴地让某个特定文件名的文件无法执行

检测位置：

HKLMSoftwareMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions

补充说明：被劫持的文件不一定是exe文件，

如Papa在处理恐怖鸡感染号病毒时，为了防止ani.ani还原病毒主文件，便劫持ani.ani文件。

六：目前已知删除安全软件文件的检测位置

典型病毒：飘雪变种

目的现象：杀毒软件安装文件被删除、sreng改名后运行立即被删除等。

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler

HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad

补充说明：已知变种均会修改hosts文件、在QQ目录下写入隐藏的病毒dll并且修改APIHOOH。

七：Boot.ini文件

典型病毒：磁碟机变种

目的现象：独占访问Boot.ini文件，导致未更新的grub重启删除工具失效。

检测位置：Boot.ini

补充说明：在Vista操作系统下对该项检测没有意义。

小结：检测报告的分析工作需要具备常用软件以及操作系统丰富的使用经验，才可以比较迅速准确地定位到具体问题。本文仅将对抗杀软类病毒常见的关注位置找出来供大家参考。其实还有很多病毒会加载的位置本文不做详述，请具体问题具体分析。

PapaCheck检测工具v3.0目前可以比较全面地检测到包括对抗杀毒软件、删除安全工具病毒在内的非感染型病毒的写入位置。如在Vista下面使用时，需要右键单击该文件后点击“以管理员身份运行”。

防范“肠病毒”侵袭第3篇

感染肠病毒71型常见症状

高烧超过39度，且超过3天。

手、脚或口腔黏膜出现针状大小的红点或小水泡。

严重的可能出现神经并发症，如嗜睡、意识不清、活力不佳、手脚无力等。

什么情况要立刻送往医院就医？

家中幼儿感染肠病毒时，自症状开始后7天内，要特别注意观察病童是否出现肠病毒重症前兆病征，如有出现下面所列之一者，应迅速送往大医院就医，以避免小朋友的病情恶化。

嗜睡、意识改变、活力不佳、手脚无力

除了一直想睡外，病童显得意识模糊、眼神呆滞或疲倦无力，原来活泼的小孩体温正常时也会变得安静不想动。

肌跃型抽搐

通常是在睡眠中出现被惊吓或突然间全身肌肉收缩，随着病情的加重，在清醒时也会出现。另外，病童可能因肌跃型抽搐症状而变得无法入眠。

持续呕吐

呕吐可为脑压上升的症状表现之一，呕吐次数愈多愈要注意，尤其是伴随嗜睡、活力下降，或只有呕吐而无腹痛、腹泻等肠胃炎症状时，需要特别注意。

呼吸急促或心跳加快

幼儿安静且体温正常时，心跳每分钟120次以上。

肠病毒如何预防？

勤洗手，养成良好的个人卫生习惯。

均衡饮食、适度运动及充足睡眠，以提升免疫力。

生病时，应尽快就医，请假在家多休息。

注意居家环境的卫生清洁及通风。

病毒流行期间，避免出入人潮拥挤，空气不流通的公共场所。

尽量不要让孩子与疑似病患接触，尤其是年龄较小的幼儿。

肠病毒预防如何正确消毒？

肠病毒对酸及许多化学药物具有抵抗性，如抗微生物制剂、清洁消毒剂及酒精，均无法杀死肠病毒，一般不需要大规模喷药消毒，只需对孩子常接触的物体表面做重点性消毒即可。

户外紫外线、紫外线杀菌灯、氯及煮沸等方法，均能有效杀灭肠病毒，衣物等物品可使用沸水浸泡或曝晒等消毒方式。

含酒精成分的消毒液、乙醚、氯仿、酚类（如：来舒）等常见消毒剂对肠病毒杀灭效果不佳，请避免使用。

建议使用浓度为500ppm漂白水，配置方法如下：5汤匙市售家庭用漂白水，加入10公升的自来水中，搅拌均匀即可，且于24小时内使用。

被病童口鼻分泌物或排泄物污染的物品或表面，建议使用1000ppm漂白水擦拭。

虽然肠病毒目前并没有特效药，但绝大多数患者会在发病后7～10天内自行痊愈。肠病毒传染力虽然很强，但透过以上简单的卫生保健动作，仍可达到降低感染的机会。

ARP病毒攻击及其防范第4篇

网络飞速发展的今天,网络已经完完全全进入到人们生活,但是病毒却时时刻刻威胁着计算机用户,ARP病毒已经不是新病毒了,但是它是基于TCP/IP协议低层的病毒,变种繁殖能力特别强,并且在用户中毒之后自己又会变成病毒源,给网络管理员查找病毒源、查杀都造成特别大的困难。

2 病毒的表现

首先我们看一下大部分中了ARP病毒和遭到攻击的主机,上网特别慢,不停的跳出网站,每打开一个网页都会出现同一个浮动框,如果其中加入木马病毒还会窃取用户密码,如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,给用户造成了很大的不便和巨大的经济损失。用ARP–a命令查看主机ARP缓存,会发现有多个IP地址对应的MAC地址一样,那么基本上可以判断,你的主机已经被ARP病毒攻击。用抓报工具检测,它不停的发送ARP报文,源地址都是网关的地址,造成整个局域网网络欺骗,严重干扰其他用户的网络使用,如果这台主机关机或重启就会造成其他主机不能上网,要等到ARP刷新正确的MAC地址之后才能正常。

还用一种,中了病毒和遭到攻击的主机上网慢,不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。在网关上用ARP–a命令查看主机ARP缓存,会发现所有IP地址对应的MAC都被改成病毒主机的MAC地址。用抓报工具检测,发现它不停的发送ARP报文,目的地址只有一个就是网关,而IP源地址却是本网络的所有IP地址,源MAC地址只有他自己的MAC地址。

3 ARP病毒攻击原理

其实这种病毒攻击利用TCP/IP低层协议的自动学习功能。一般情况下在每台安装有TCP/IP协议的主机里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的,它会根据网络的变化不停自动更新。一台主机A要和另外一台主机B通信,如果在同一个局域网里,很好办,直接把数据包通过交换机发到主机B的通信接口上不在同一局域网就麻烦一些,要通过路由器转发,就是A先将数据发送到路由器上,路由器再将数据转发到主机B,而路由器是三层设备,识别IP地址,所以,路由器中也存在ARP缓存表。

按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。ARP病毒通过发送虚假的ARP报文来欺骗其他的主机,使其他主机建立错误的ARP表,这样就其他用户无法正常通信。

例如如图1所示,Host A和Host C通过Switch进行通信。此时,如果有黑客(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,Host A和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。

这种技术最早出现在网络管理软件,如:网络执法官,他利用对其他主机的欺骗,将主机发往网关的数据,发到他的主机上,对其他用户进行监控和管理。而后就出现了由软件利用这个原理对其他用户的正常上网数据进行篡改,在其中加入病毒代码和网站链接,造成其他用户通信故障。

还有一种叫ARP地址攻击,同样中病毒的主机会不停的网关发送,整个网段的IP地址或者一部分IP地址的MAC为病毒主机MAC,对网关进行欺骗,他发送的频率远远高于正常主机发送正确报文的频率,这样在这个网段中大部分主机都不能正常通信。

例如图2所示,A为合法用户,通过交换机G与外界通讯:攻击者B通过伪造A的ARP报文,使得G设备上A的ARP表项中的相应信息被修改,导致A与G的通讯失败。

4 具体防范方案

4.1 通过绑定实现防范

在小型网络中可以实现,一种是单向绑定,在每一台主机上用ARP–add命令绑定网关的IP地址和MAC地址,这样就可以防止ARP攻击,因为静态ARP表优先级高于动态ARP表,当受到ARP攻击的时候,只是添加优先级低动态ARP表,不会影响正常使用。另一种叫双向绑定,他不单单要在主机上绑定网关的IP地址和MAC地址,同时还要在网关上绑定每一台主机的IP地址和MAC地址,这样IP地址攻击也不会影响到网络。

在主机数很小的时候,很容易做,但主机数上百,上千台,这样做是不现实的,当网关需要更换时,所有的主机都必须要重写静态ARP。当一台主机是一台移动设备时,基本上没办法在其他网络上使用。

4.2 杀毒软件

各杀毒软件推出了防止ARP病毒攻击的软件,如Anti ARP、360安全卫士、金山ARP防火墙、CHX-I V3、瑞星个人防火墙2008版、风云防火墙等等。这些软件使用起来比较方便,具有一定的智能,也是现在防止ARP攻击的主要方法。

他们都需要用户安装软件和对软件进行一定的设置,才会起到防止ARP攻击的效果。有的软件采用比ARP病毒还要快的广播速度,来淹没ARP病毒的广播报文,造成整个网络的瘫痪。而且他们都是软件都会影响计算机的速度,同时他要对所有收到的数据进行检测,也会影响上网的速度。并且他不能防止IP地址的攻击,一旦出现IP地址攻击还是影响整个网络。而且这种分散的管理模式也不便于网络管理员查找病毒主机,使网络管理和维护无法下手。

4.3 端口隔离和ARP入侵检测

有的交换机为了防止ARP攻击采用端口隔离的方法来解决,但是这样就造成个端口之间不能相互通信,这样做不能防止其他交换机用户的攻击,而且还会造成同一交换机下的用户QQ文件不能互传,视频聊天等一系列服务都不能正常使用。

有的交换机采用ARP入侵检测,这个功能对网络有一定的要求,要么使用了DHCP功能,而且所有用户都是自动获取的IP地址,要么就必须手动添加IP静态绑定表,使用起来很不方便,而且网络用户一旦有变化就不能正常使用,在有主机发出大量的ARP报文的时候就会造成交换机的死机,后果更加严重。

4.4 三层隔离互联

针对以上问题,我们在实际工作中采取了细化VLAN,将每一个二层交换机的每一个端口划分为独立的VLAN,然后在三层交换机上做路由,他们之间不但能够相互通信,同时也避免了ARP攻击和IP地址攻击。比如说一台主机中毒,他发的ARP欺骗报文只会在自己的VLAN中发送,而这个VLAN中只有它一个端口,病毒不会影响到其他主机,而且他发的ARP错误报文会在三层交换机上留下真实记录,方便网络管理员对病毒机器的查找。不管是ARP攻击还是IP地址攻击都是基于二层协议漏洞产生的,我们让每个端口的主机不在同一广播域中,各个主机也就收不到二层报文,也就从根本上解决ARP攻击和ARP地址攻击,也不会影响各个主机之间的通信。

这种方案会增加投资,对网络管理人员有一定得技术要求,同时增加了网络中的VLAN个数,而且有一些需要在局域网里使用的软件将无法实现功能。

5 结束语

不管哪种解决方法都有欠缺之处,所谓尺有所长、寸有所短。在ARP病毒爆发的时候,不管是硬件厂商,还是软件厂商,不管是杀毒公司,还是民间高手,都提出了自己的解决方案,各有利弊。在使用的时候因势而定,没有一个通用的办法,也许你会用到一个,或者多个,不管你用到哪一种解决方案,只要能解决问题,就是好方案.

参考文献

[1]Stevens W R.TCP/IP详解[M].北京:机械工业出版社,2004.

[2]高林,马永强,李辉,唐六华.VLAN的局限性及其发展[J].通信与信息技术,2005(1):31-34.

[3]赵志旺.二层VLAN端口隔离的方法[P].中国:200310101883.7,2003,10.

病毒分析报告病毒防范第5篇

# by:∮明天去要饭

# yaofan.me

+——————————————————–+

+ 样本个数: x 个 +

+ 提交日期: 200X-XX-XX +

+ 样本提交: XXX +

+——————————————————–+

1. 目录

+ 文件夹

├ xxx1.exe <—– xxx1的说明

├ xxx2.exe <—– xxx2的说明

2. 详细内容

+——————————————————–+

+ 样本编号: 2.1 +

+ 样本名称: xxx.exe +

+ 样本大小: xxx 字节 +

+ 样本MD5 : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx +

+——————————————————–+

1. 进程

创建(隐藏)进程:

%SYSTEMROOT%system32xxx.exe user

2. 文件行为

释放如下文件:

%SYSTEMROOT%system32xxxadd1.exe

%SYSTEMROOT%system32xxxadd2.exe

删除如下文件:

%SYSTEMROOT%system32xxxdel1.exe

%SYSTEMROOT%system32xxxdel2.exe

感染如下文件:

%SYSTEMROOT%system32xxxappend1.exe

%SYSTEMROOT%system32xxxappend2.exe

3. 网络行为

3.1 解析域名

www.xxx.com —–>xxx.xxx.xxx.xxx

3.2 数据交互

访问如下链接:

www.xxx.com/xxx.exe

4. 启动方式

4.1 系统服务

显示名称: xxx

服务名: xxx

服务描述: xxx

文件路径: %SYSTEMROOT%system32xxx.exe

启动类型: 自动

4.2 注册表

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下添加如下项/键:

项/键名: xxx

路径: %SYSTEMROOT%system32xxxadd1.exe

5. 自我保护

5.1 注入到xxx进程

5.2 自动关闭xxx杀毒软件或防火墙

6. 总结

该样本是/不是恶意软件.

计算机病毒与防范第6篇

关键词计算机技术病毒防范杀毒

进入二十一世纪，计算机技术和网络技术飞速发展，计算机已成为人类办公和生活必不可少的工具。但随着计算机技术的发展，人类在领略计算机工作便捷的同时也在为计算机病毒的侵犯而苦恼着。什么是计算机病毒呢？计算机病毒是一种人为制作的，通过非授权入侵而隐藏在可执行程序或数据文件中的特殊计算机程序。它占用系统空间，降低计算机运行速度，甚至破坏计算机系统的程序和数据，造成极大损失。

及早发现计算机病毒是减少病毒传染和危害的最好方法。如何判断计算机是否中了病毒呢？可以根据下列异常表现，初步判断计算机是否感染病毒：

（1）计算机无缘无故死机。

（2）正常关机后，无法正常启动。

（3）系统运行速度明显变慢。

（4）系统的时间、日期发生变化。

（5）计算机打开网页后自动链接到其它网页。

（6）计算机磁盘空间迅速减小。

以上症状只是计算机感染病毒后可能出现的情况，并不表示这个情况一定是病毒，但是如果计算机同时出现了以上多种症状，那么计算机感染病毒的可能性就非常大。

那么对计算机病毒如何防范呢？我想从以下几个方面来防范，基本可以杜绝病毒对电脑的入侵：

1．一般不要打开来历不明邮件的附件。对可疑的邮件附件要自觉不予打开。由于Windows允许用户在文件命名时使用多个后缀，所以当你看到有些文件你认识时也可能是多个扩展名，而许多电子邮件程序只显示第一个后缀。

2．安装杀毒软件，并及时更新病毒库，定期杀毒。一旦发现计算机运行异常，就立即查杀病毒，不要等病毒发作，造成不必要的损失。

3．使用可移动存储设备时，一定要先杀毒再打开，以防把病毒带进你的系统。

4．软件不要到不可靠的网站上下载。当然，什么网站可靠，这个很难说，一般知名的网站较为可靠，比如天空软件，华军软件等。不管你在哪个网站下载，一定要先查杀后再使用。

5．不要轻易接收陌生人传给你的文件。比如QQ等聊天软件上，有人给你发的文件，有可能就是木马程序或是嵌着木马的文件。

6．上网浏览时，不要随便点击非法或陌生的网站，以免遭到病毒侵害。

7．利用Windows Update功能打全系统补丁，避免病毒从网页木马的方式入侵到系统中。

8．定期做好重要资料的备份，以免造成重大损失。

计算机用户只要注意以上几点操作，病毒对你的电脑几乎是束手无策。计算机病毒主要靠传播途径来传播，那么我们的目标就是切断这些途径，让病毒无法传播。只要对计算机病毒有一个全面认识，然后做好防御工作，那么我们的计算机系统就会是一个较安全的环境，我们利用计算机工作会更有效率。当然，一旦发现你的计算机系统异常，不必害怕，要立即更新杀毒软件，全盘查杀，及时清除病毒，以绝后患。

计算机病毒与防范第7篇

关键词：计算机病毒,病毒的防范

1 计算机病毒的定义

目前国内外对计算机病毒的定义多种多样, 其中《中华人民共和国计算机系统安全保护条例》对病毒的定义是:“编制或在计算机程序中插入的破坏计算机功能或者数据, 影响计算机使用, 并且能够自我复制的一组计算机指令或者程序代码”。

2 计算机病毒的特征

计算机病毒程序具有特殊性。除可进行运行、存储外, 其还具有其他特征, 如破坏性、潜伏性、感染性、衍生性及可触发性等。

(1) 破坏性。制造计算机病毒的人的水平、目的, 决定了病毒程序的破坏性, 它可抢占系统资源, 对计算机硬件及其数据信息造成直接的破坏, 从而影响计算机的运行。 (2) 潜伏性。计算机病毒的潜伏性是指其依附于其他媒介而寄生的能力, 通过对其他程序的修改而使自身的复制体嵌入并寄生在硬盘主引导区及其他程序、磁盘的引导区内。 (3) 感染性。计算机病毒的感染性亦称寄生性, 是指计算机病毒程序嵌入到宿主程序中, 依赖宿主程序的进行而产生的特性。 (4) 隐蔽性。这是计算机病毒的基本特性之一。 (5) 衍生性。计算机病毒的衍生性是指制造计算机病毒的人按照其愿望, 修改某一已知病毒程序而衍生出另外的源自同一病毒, 却又与源病毒程序不同的病毒程序, 即源病毒程序的变种, 它可能是一种, 也可能是多种的。 (6) 可触发性。往往使计算机病毒触发的条件只有一个:有的触发将其感染, 即在一定的条件下将一个病毒的感染机制激活并将其感染;有的触发使其发作, 即在一定的条件下激活病毒的表现攻击破坏部分。

3 计算机病毒防范

目前在我国, 病毒疫情的趋势有两种:一是国外流行的网络化病毒对我国的计算机网络带来严重的侵袭;二是很多本土病毒相继产生, 且有不可小觑的破坏性及传播力。所有计算机使用者都应对病毒的防范工作积极参与, 以提升防御计算机病毒的能力, 尽量防范和避免其造成的危害。

3.1 国内邮件服务提供商需提升自身的安全性。

当前, 电子邮件是传播多数计算机病毒的主要媒介。特别是近些年, 本土制造的病毒越来越多。国内邮件服务器中的安全漏洞常被作为此类病毒传播的跳板。所以, 邮件服务提供商必须安装使用邮件防病毒系统, 收发邮件的身份认证流程要严格执行, 建立和国家计算机病毒应急处理中心的交流机制, 挖掘以邮件为媒介进行传播的计算机病毒, 做出的防范举措要及时, 对病毒的传播的根源进行阻断及防治。防并降低病毒的破坏。要认真分析病毒爆发及病毒防护系统被突破的缘由, 对病毒防治策略及时的作出修改和调整, 且要二次评估经调整的防范病毒的策略, 保证其已恢复, 以降低损失。若病毒侵害一旦出现, 则需启动灾难恢复计划, 最大限度降低病由毒带来的破坏, 且尽快恢复系统使其照常运行。

3.2 不断加强计算机技术防范措施。

作为计算机用户, 在软件供应商的协助下, 及时升级杀毒软件, 下载、安装安全补丁程序, 安装使用连接互联网与计算机的防火墙, 提升系统的安全指数。及时升级新安装的系统或新购置的计算机, 确保安全漏洞已全部修补完毕。最好选用难于猜测的高强度的口令, 账号不同采用的口令也应不同。常将重要数据做备份, 且要校验备份, 选用和安装的防病毒软件必须经公安部门认证, 对整个硬盘做定期的病毒检测和清除, 以降低病毒事故的破坏。

3.3 加强反病毒安全法制建设。

依照形势的进展, 使信息安全的法规及政策不断完善。加强防范并打击通过计算机病毒进行信息盗取、盗窃等犯罪活动。最好对网上违法犯罪活动进行严打的同时, 加强侦查、挖掘及防治这类病毒, 并针对电子政务及商务、网上交易时运用相应的的防范举措, 对其加强宣传。

3.4 建立计算机病毒预警系统。

我国的主干网络及专业网络, 如政府、税务、电子、金融、证券等, 需设立病毒预警系统。利用此系统对整个网络的病毒传播情况实施监控, 发现并拦堵产生的新的计算机病毒及一般的病毒。单位应建立病毒应急体系, 和信息交流机制, 保持与国家及当地公安机关的计算机病毒应急体系的交流, 任何机构和个人应及时上报发现病毒疫情。此外, 还应对国家计算机病毒应急处理中心发布的病毒疫情提起重视, 病毒疫情爆发时以便更好的预

除上文提及的防范措施, 在计算机的日常使用中, 还应对以下几点提起重视:

(1) 重要资料要及时备份, 避免发生重大损失。

(2) 培养定时对最新系统安全漏洞补丁进行下载的习惯, 根本上杜绝黑客利用病毒通过系统漏洞破坏用户计算机的现象。做好防范病毒每日的必修课, 及开启病毒时时监控及对杀毒软件进行升级。

(3) 选用的杀毒软件最好具有“网页防火墙”功能, 每天对杀毒软件病毒库进行升级, 及时查杀计算机进行病毒, 浏览网页时开启杀毒软件全部监控。

(4) 及时对计算机防病毒软件进行更新, 安装补丁程序和防火墙。

(5) 升级包括IM即时通讯工具、下载工具、播放器软件、搜索工具条等多种工具的应用软件, 使其达到最新版本。

(6) 切忌随便打开来源不详的文档, 如Excel、Word等, 且要及时升级病毒库, 进行时时监控, 避免病毒的破坏。

(7) 为防止病毒利用网页木马的途径侵入系统, 需利用Windows Update功能打全系统补丁。

(8) 必须在杀毒软件的时时监控功能开启后, 再上网浏览, 切忌随便点击陌生且安全系数不高的网站, 防止病毒的侵害。

参考文献

[1]韩莜卿.计算机病毒分析与防范大全[M].北京:电子工业出版社.2006.

[2]程胜利, 谈冉, 熊文龙等.计算机病毒与其防治技术[M].清华大学出版社, 2004, (9) :第一版.

计算机病毒分析与防范第8篇

2008年电脑病毒、木马的数量呈爆炸式高速增长,新病毒不断涌现,一些“老”病毒在大量下载器病毒的带动下也异常活跃。在新增的病毒、木马中,根据病毒危害程度、病毒感染率以及用户的关注度,计算出综合指数,木马为2008年最危险的病毒/木马。

首先,介绍一下几总典型的病毒/木马:

1)Online Games系列盗号木马:这是一类盗号木马系列的统称,这类木马的特点就是通过进程注入盗取流行的各大网络游戏(魔兽,梦幻西游等)的帐号从而通过买卖装备获得利益。这类病毒本身一般不会对抗杀毒软件,但经常伴随着AV终结者、机器狗等病毒出现。

2)SWFExploit病毒:SWFExploit生成器的产生:由于adobeflashplayer这个软件广泛存在于大多数电脑上,因此,当这个软件的漏洞一经公布,利用它的病毒就迅速爆发。这些病毒利用adobeflashplayer中一段有BUG的代码,精心构造数值。它们修改了adobe flashplayer中关于安全验证的模块的数据,让自己的代码可以绕过安全监控,直接在电脑中运行。这样一来,只要用户电脑中的adobe flashplayer没有打上补丁,那么当他们访问挂马网页时,病毒就会感染电脑,并下载其它的大量病毒程序到他们的电脑上运行。

3)机器狗病毒:“机器狗”病毒因最初的版本采用电子狗的照片做图标而被网民命名为“机器狗”,该病毒变种繁多,多表现为杀毒软件无法正常运行。该病毒的主要危害是充当病毒木马下载器,与AV终结者病毒相似,病毒通过修改注册表,让大多数流行的安全软件失效,然后疯狂下载各种盗号工具或黑客工具,给用户电脑带来严重的威胁。

4)Auto木马下载者:下载器病毒是近年来新出现的一种病毒类型。该类型病毒与木马不同,一般本身并不具备盗取用户信息等行为,而是通过破坏杀毒软件,然后再从指定的地址下载大量其他病毒、木马进入用户电脑,进而通过其他病毒木马实现其非法目的。

5)Rootkit系列病毒:这类病毒经常伴随着Online Games系列病毒出现。这类病毒使用Rootkit技术来隐藏加载Online Games系列病毒。还会通过驱动来恢复SSDTInline HOOK,使得杀毒软件失去对系统的保护功能。通过rootkit技术盗号木马能够更有效地盗取帐号密码。

1 计算机病毒、木马的特点分析

近年的一些流行病毒,如机器狗、磁碟机、AV终结者等等,无一例外均为对抗型病毒。对抗杀毒软件和破坏系统安全设置的病毒以前也有,但近年表现得尤为突出。主要是由于大部分杀毒软件加大了查杀病毒的力度,使得病毒为了生存而必须对抗杀毒软件。

从各大典型病毒可以看出“机器狗”、“磁碟机”、“AV终结者”等病毒,其程序的主要功能是破坏电脑“保安”系统,利用各种手段破坏杀毒软件,然后启用另一个主要功能:疯狂下载多种多样的木马,由攻击发起者定制下载列表,可随时更新所下载木马的版本和数量。下载器病毒可以说是病毒流程化入侵的第一步。一旦用户电脑遭遇下载器病毒入侵,通常电脑内将会发现几种甚至几十种木马,而且这些木马将几乎涉及市面上所有流行的在线游戏的盗号木马,危害非常严重。纵观这些病毒使用的方法也多种多样,如修改系统时间、结束杀毒软件进程、破坏系统安全模式、禁用windows自动升级等功能。病毒进入用户电脑后,首先终止安全软件的运行,使杀毒软件无法正常运行,进而下载大量其他病毒到用户电脑中,给用户的个人网络财产安全带来严重威胁。

2 病毒入侵的重要途径

在现在电脑普及的时代,病毒要入侵电脑不外符几个途经:利用软件捆绑、热点事件、通讯工具等等。一些病毒会感染或者修改正常共享软件的安装包,使得用户在网站下载安装这些软件时感染病毒。另外一些病毒则直接替换掉下载链接的文件。有些不法分子利用人的心理设下圈套,利用热点事件,如一些八卦新闻的网页带毒,让人防不胜防。

3 计算机病毒、木马的主动防御

如何预防病毒木马发起的第一波攻击,这是所有电脑使用者最关心的问题了。面对越来越多的未知病毒木马,杀毒软件能否做到防患于未然?还计算机的一片净土?主动防御的定义应当是采用动态仿真技术,模拟专家判定病毒的机理,自动准确判断新病毒,主动实时防御并查杀新病毒,第一时间把病毒拒之门外,把破坏降到最低,实时确保用户的安全。

目前,网络的飞速发展,使病毒木马借着这个载体散布得几乎无处不在,病毒木马的泛滥使电脑用户战战兢兢。通常情况下,普通电脑用户都会使用杀毒软件保障电脑安全,可是,现有的杀毒软件并不能抵御所有的病毒木马,尤其是对于那些未知病毒木马的攻击,许多杀毒软件束手无策。可见被动杀毒并不是唯一方法,主动防御才是对抗病毒第一波攻击、防范未知新病毒的有效方式。以前电脑和网络还未普及时,人们对电脑病毒木马也并不十分关心,病毒木马只是少数电脑高手交流技术的“小游戏“,功利性不强,攻击面不广,破坏性不大。但是,随着电脑互联网日益贴近百姓生活,病毒木马制造者的目的在发生转变。如果说原来他们只是兴趣使然,显示自己的技术才干,现在的病毒木马制造者则是利益趋使。病毒木马从破坏计算机,到泄露信息,再到现在的盗窃资产,正在经历质变,这也是人们谈“虎”色变的一个重要由来了。

计算机病毒是人为编制的,所以它的行为能力不会超出人的思维范畴。计算机病毒还有一个特殊的生存环境,那就是操作系统,它的行为规范受到操作系统所允许操作范围的限制。为了便于传播和隐藏,计算机病毒往往希望尽可能地缩小自身的尺寸,许多程序行为的实现都是通过调用操作系统的标准接口来完成的,于是更加限制了计算机病毒的行为能力。这样,就为人们设法解决计算机病毒的问题提供了一种可能。如果人们能够将计算机病毒有限的行为能力进行归纳、总结,设计出能够自动判断病毒的工具,那么对计算机病毒的主动防御就将成为现实。主动防御也不可能做到百分之百地抵御未知病毒木马,主动防御软件功能的完善还有很长的路要走。

参考文献

[1]周文.浅谈计算机病毒的诊断与防治[J].成都大学学报:自然科学版,1997(2).

[2]傅秀芬.计算机病毒及防范技术[J].广东工业大学学报,1993(3).

蠕虫病毒分析及其防范措施浅析第9篇

1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机, 蠕虫病毒开始现身网络;而后来的红色代码, 尼姆达病毒疯狂的时候, 造成几十亿美元的损失。人们把这类通过分布式网络来扩散传播特定的信息或错误, 进而造成网络服务遭到拒绝并发生死锁的病毒统称为蠕虫病毒。

通过对蠕虫病毒的分析, 我们可以发现蠕虫发作的一些特点和发展趋势。

1.1 利用操作系统和应用程序的漏洞主动进行攻击

此类病毒主要是“红色代码”和“尼姆达”, 以及至今依然肆虐的“求职信”等。由于IE浏览器的漏洞, 使得感染了“尼姆达”病毒的邮件在不去手工打开附件的情况下病毒就能激活, 而此前即便是很多防病毒专家也一直认为, 带有病毒附件的邮件, 只要不去打开附件, 病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞来传播。Sql蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。

1.2 传播方式多样

如“尼姆达”病毒和“求职信”病毒, 可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。

1.3 病毒制作技术

与传统的病毒不同的是, 许多新病毒是利用当前最新的编程语言与编程技术实现的, 易于修改以产生新的变种, 从而逃避反病毒软件的搜索。另外, 新病毒利用Java、ActiveX、VB Script等技术, 可以潜伏在HTML页面里, 在上网浏览时触发。

1.4 与黑客技术相结合

潜在的威胁和损失更大, 以红色代码为例, 感染后的机器的web目录的scripts下将生成一个root.exe, 可以远程执行任何命令, 从而使黑客能够再次进入。

二、网络蠕虫病毒分析和防范

蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞, 这里的漏洞或者说是缺陷, 可以分为2种, 软件上的缺陷和人为上的缺陷。软件上的缺陷, 如远程溢出, 微软ie和outlook的自动执行漏洞等等, 需要软件厂商和用户共同配合, 不断地升级软件。而人为的缺陷, 主要指的是计算机用户的疏忽。这就是所谓的社会工程学, 当收到一封邮件带着病毒的求职信邮件时候, 大多数人都会报着好奇去点击的。对于企业用户来说, 威胁主要集中在服务器和大型应用软件的安全上, 而个人用户而言, 主要是防范第二种缺陷。

2.1 利用系统漏洞的恶性蠕虫病毒分析

在这种病毒中, 以红色代码, 尼姆达和sql蠕虫为代表, 他们共同的特征是利用微软服务器和应用程序组件的某个漏洞进行攻击, 由于网上存在这样的漏洞比较普遍, 使得病毒很容易的传播!而且攻击的对象大都为服务器, 所以造成的网络堵塞现象严重。

以2003年1月26号爆发的sql蠕虫为例, 爆发数小时内席卷了全球网络, 造成网络大塞车。亚洲国家中以人口上网普及率达七成的韩国所受影响较为严重。韩国两大网络业KFT及南韩电讯公司, 系统都陷入了瘫痪, 其它的网络用户也被迫断线, 更为严重的是许多银行的自动取款机都无法正常工作, 美国许美国银行统计, 该行的13000台自动柜员机已经无法提供正常提款。网络蠕虫病毒开始对人们的生活产生了巨大的影响。

2.2 个人用户对蠕虫病毒的防范措施

通过上述的分析, 我们可以知道, 病毒并不是非常可怕的, 网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学, 而不是利用系统漏洞, 所以防范此类病毒需要注意以下几点:

(1) 购合适的杀毒软件

网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍, 杀毒软件必须向内存实时监控和邮件实时监控发展。另外面对防不胜防的网页病毒, 也使得用户对杀毒软件的要求越来越高, 在杀毒软件市场上, 赛门铁克公司的Norton系列杀毒软件在全球具有很大的比例, 经过多项测试, Norton杀毒系列软件脚本和蠕虫阻拦技术能够阻挡大部分电子邮件病毒, 而且对网页病毒也有相当强的防范能力, 目前国内的杀毒软件也具有了相当高的水平。有些软件在杀毒的同时整合了防火强功能, 从而对蠕虫兼木马程序有很大克制作用。

(2) 经常升级病毒库

杀毒软件对病毒的查杀是以病毒的特征码为依据的, 而病毒每天都层出不穷, 尤其是在网络时代, 蠕虫病毒的传播速度快, 变种多, 所以必须随时更新病毒库, 以便能够查杀最新的病毒。

(3) 提高防杀毒意识

当运行IE时, 点击“工具→Internet选项→安全→Internet区域的安全级别”, 把安全级别由“中”改为“高”, 因为这一类网页主要是含有恶意代码的ActiveX或Applet、JavaScript的网页文件, 所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。具体方案是:在IE窗口中点击“工具”→“Internet选项”, 在弹出的对话框中选择“安全”标签, 再点击“自定义级别”按钮, 就会弹出“安全设置”对话框, 把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是, 这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。

(4) 不随意查看陌生邮件

由于有的病毒邮件能够利用ie和outlook的漏洞自动执行, 所以计算机用户需要升级ie和outlook程序, 及常用的其他应用程序。

网络蠕虫病毒作为一种互联网高速发展下的一种新型病毒, 必将对网络产生巨大的危险。在防御上, 已经不再是由单独的杀毒厂商所能够解决, 而需要网络安全公司, 系统厂商, 防病毒厂商及用户共同参与, 构筑全方位的防范体系。

摘要：本文介绍了蠕虫病毒的特点、发作机制, 并结合蠕虫病毒的特征和传播过程探讨了个人用户对蠕虫病毒的若干防护措施。

关键词：蠕虫病毒,分析,防范措施

参考文献

[1]赵圆圆.蠕虫病毒的运行机理与防范分析[J].科技创新导报, 2009.

[2]Page, Bob.A Report on the InternetWorm[C].1988.

[3]Sieberg, Daniel, et.al.“Code Red”impact felt at major companies[C], 2001.

[4]习雷.网络蠕虫病毒机理分析与防御措施研究[J], 软件导刊, 2007 (05) .

计算机网络的病毒防范第10篇

关键词：计算机网络安全,病毒防范,病毒解决方案

随着宽带业务的迅猛发展以及社会对网络的依赖, 来自互联网的网络安全问题日益突显。不管是网络运营商, 还是用户或企事业单位, 都会面临巨大的挑战。网络安全需要额外投资, 因为一些重点的系统可能缺乏必要的安全保护, 因此网络安全系统也会面临一些威胁。目前, 计算机网络安全已引起世界各国的广泛关注, 但是在怎样解决病毒的问题上还有待提高。深入防范计算机病毒越来越受到高度重视。计算机病毒防范工作, 应是建立在建设病毒防范体系的基础上的。

1 计算机病毒

1.1 什么是计算机病毒

计算机病毒是一个程序, 一段可执行码, 破坏计算机的正常运行, 使之无法正常使用甚至使整个操作系统或者硬盘损坏。就像生物病毒一样, 计算机病毒有独特的复制能力, 可以很快地蔓延, 常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制和传送时, 它们就随之一起蔓延开来。病毒程序不是独立存在的, 它隐蔽在其它可执行的程序之中, 既有破坏性又有传染性和潜伏性。轻则影响机器运行速度, 重则使机器处于瘫痪, 会给用户带来不可估量的损失。

1.2 计算机病毒的特性

计算机病毒具有如下特性:

隐蔽性指病毒的存在、传染和对数据的破坏过程不易为计算机操作人员发现;

寄生性计算机病毒通常是依附于其它文件而存在的;

传染性指计算机病毒在一定条件下可以自我复制, 能对其它文件或系统进行一系列非法操作, 并使之成为一个新的传染源。

触发性指病毒的发作一般都需要一个激发条件, 可以是日期、时间、特定程序的运行或程序的运行次数等;

破坏性指病毒在触发条件满足时, 立即对计算机系统的文件、资源等运行进行干扰破坏;

不可预见性指病毒相对于防毒软件永远是超前的, 理论上讲, 没有任何杀毒软件能将所有的病毒杀除。

2 几种常见的计算机病毒

2.1“QQ尾巴”

“QQ尾巴”俗称“QQ木马”, 属于特洛伊木马, 此病毒表现为随机发送一些消息。该病毒会偷偷藏在用户的系统中, 发作时会寻找QQ窗口, 给在线上的QQ好友发送诸如“快去这看看, 里面有蛮好的东西”之类的假消息, 诱惑用户点击一个网站, 如果有人信以为真点击该链接的话, 就会被病毒感染, 然后成为毒源, 继续传播。

2.2“蠕虫”病毒

“蠕虫”病毒是一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播, 传播途径是通过网络、电子邮件以及U盘、移动硬盘等移动存储设备进行传播。比如去年以来危害极大的“熊猫烧香”病毒就是“蠕虫”病毒的一种。“蠕虫”病毒主要利用系统漏洞进行传播。它通过网络、电子邮件和其他的传播方式, 像生物蠕虫一样将病毒从一台计算机传染到另一台计算机。因为“蠕虫”病毒使用多种方式进行传播, 所以“蠕虫”病毒的传播速度是非常大的。

3 如何防范计算机病毒

3.1 物理层的防范

严把物理硬件安全关。采用国家的机密信息系统所用设备和系列产品;对引进的计算机系统和软件要在进行安全性检查后才能启用, 以预防和限制计算机病毒伺机入侵。

3.2 系统层的防范

3.2.1 操作系统本身安全防范。

系统方面服务器端系统采用Windows Server2003 Enterprise Edition, 工作站系统采用Windows XP Professional的正版操作系统。由于Windows操作系统的安全问题越来越受到大家的关注, 每隔一段时间, 微软就会发布修复系统漏洞的补丁, 在网络中架设微软提供的软件升级服务器 (Microsoft Windows Server Update Services) , 使客户机定期自动执行升级操作。随着技术的发展, 各种黑客和木马工具层出不穷, 密码很容易被窃取。通过Windows的域管理和域策略的制定, 实现域用户的智能卡登录功能很好地解决了这个问题。可以使用CA认证系统通过与Windows系统的无缝链接, 利用CA系统的硬件密钥, 成功解决上述问题。

通过Windows的域管理的具体设置实现目录和文件权限的访问控制。

3.2.2 操作系统的安全配置存在病毒隐患。

版本的选择Windows XP有各种语言的版本, 可以选择英文版或简体中文版, 在语言不成为障碍的情况下, 使用英文版。组件的定制Win2000在默认情况下会安装一些常用的组件, 但是正是这个默认安装是极度危险的, 应该确切地知道需要哪些服务, 而且仅仅安装确实需要的服务, 根据安全原则:最少的服务+最小的权限=最大的安全。

端口配置端口是计算机和外部网络相连的逻辑接口, 也是计算机的第一道屏障, 端口配置正确与否直接影响到主机的安全, 仅开启需要使用的端口会防御利用这些端口进行攻击的病毒。

3.3 网络层的防范

网络层的防范问题主要体现在网络信息的安全性。在网络核心交换机上设置访问控制列表功能ACL (Access Control List) , 实现根据访问者的身份、网络地址等参数来确定他所相应的访问权限和数据访问量的实时检测, 根据访问数据量的变化来确定对应主机的系统性能。

3.4 应用层的防范

应用层的防范主要考虑所采用的应用软件和数据的防范。

3.4.1 防火墙的应用。

防火墙系统既用于内部网络与Internet之间的隔离, 也用于内部网络不同网段的隔离。通过对防火墙的屏蔽设置, 实现外部对内部网络的访问控制及其它安全策略, 从而降低内部网络主机的被攻击风险, 保护内部网络主机安全。

3.4.2 病毒防护和内容过滤。

可以采用赛门铁克 (Symantec) 、瑞星、金山毒霸防病毒解决方案进行病毒防护和内容过滤。通过防病毒产品的远程安装、集中管理、统一防病毒策略对计算机进行病毒防范。

3.4.3 监控与审计系统。

通过一套专门的计算机监控与审计系统对计算机控制引擎、安全策略、审计日志、系统登录和网络拓扑进行集中的统一管理, 尽早地发现可能出现的病毒防范方面的问题, 实现锁定计算机的各种硬件设备, 如USB端口、打印机端口、光驱等输入输出设备, 杜绝外来设备带来的病毒传播。

3.5 管理层的防范

管理层的防范就是计算机病毒的防范制度的建立, 计算机病毒的防范制度是防范体系中每个主体都必须执行的行为规范, 必须按照防范体系对防范制度的要求, 建立符合自身特点的防范制度, 严格的防范管理制度、明确的部门防范职责划分、合理的人员角色定义都可以在很大程度上降低其它层次的病毒防范漏洞。

4 计算机病毒防范系统

计算机病毒防范不仅仅是一个产品、一个策略或一个制度, 它是一个汇集了硬件、软件、网络、人以及它们之间相互关系和接口的综合系统。计算机病毒防范体系的建设是一个社会性工作, 要全员参与, 充分利用所能利用的资源, 形成广泛的、全员的计算机病毒防范体系。通过对计算机病毒防范的五个层面进行分析, 我们建立一个计算机病毒防范系统, 提出防病毒的安全解决方案, 应用计算机病毒防范技术与产品, 建立合理的反应机制, 实现一个可实施、可控制管理、全面的动态计算机病毒防范体系。从空间地域上, 对网络上各个设备设立监测系统, 实时关注检测地点的状况, 保证对从桌面机到服务器各关键系统的安全状态进行控制, 同时对企业计算机系统正常运行无不良影响。从时间上, 通过计算机病毒防范体系可以掌握最近一个时段的病毒活动状况的分析数据, 更为重要的是支持实时方面更准确的分析和判断, 建立应对突发事件的策略和解决方案。这体现在由单系统、单层面走向系统化的日志结构;从一般的单纯记录日志走向智能化日志和不可更改的日志;应用数据挖掘技术, 从对日志的简单分析走向战略性的分析。这样, 日志审计数据既可为用户提供战略性的指导和战术性的解决办法, 又可为不断完善的计算机病毒防范体系提供可信证据。

计算机病毒及其防范的探讨第11篇

关键词：计算机；病毒；防范

中图分类号：TP309 文献标识码：A 文章编号：1674-7712 （2013） 02-0058-01

计算机是现代办公、学习的重要工具之一。对于高等院校来讲，计算机在日常教学和学生管理中都占有非常重要的地位，起到了重要的作用。不论是校园网、多媒体教学系统，或是实验室，教师办公等，随处可见计算机的身影。

计算机改变了高等院校的学习、工作和生活方式。计算机在高校的运用最大的安全性是计算机病毒。计算机病毒伴随着计算机、存储介质和互联网无处不在，给计算机用户带来了很大破坏。高校的计算机运用也有这方面的顾虑，计算机病毒成为计算机运用的最大的安全隐患。

一、计算机病毒的概念

计算机病毒（ComputerVirus），是指编制或者在计算机程序中插入的破坏计算机功能，或者破坏计算机数据，影响计算机的正常使用，且能够自我复制的一组计算机指令或者程序代码。这是在《中华人民共和国计算机信息系统安全保护条例》对计算机病毒的明确定义。[1]比如病毒熊猫烧香病毒、尼姆亚病毒、CIH病毒等。

计算机病毒和医学上的病毒区别在于，计算机病毒不是天然存在的，而是计算机用户利用计算机软件和硬件漏洞和不足编写的程序。计算机病毒通常是通过某种途径自我复制，潜伏在计算机的存储介质，或者潜伏在计算机应用程序中，一旦病毒程序设置的条件被激活，即对计算机硬件和软件造成危害。

二、计算机病毒的常见类型

计算机病毒的种类广泛。根据不同的分类条件可以有多种不同的类型。通常根据计算机病毒存储的介质，可以分为系统引导型病毒、应用程序或文件病毒和计算机网络病毒。系统引导型病毒主要是感染计算机的硬盘系统启动扇区，应用程序或文件病毒主要感染计算机存储介质中的各类应用程序和文件，网络病毒主要是通过计算机网络传播和感染。

在计算机病毒的发展史上，出现了如“蠕虫”病毒、小球病毒、“黑色星期五”病毒、“CIH”病毒、美丽莎病毒、“熊猫烧香”病毒或木马程序等。

三、计算机病毒的特点和危害

计算机病毒和人体生理上的医学病毒很相似，也有其独特的特点。常见的计算机病毒有的特点有自我复制性、传染性、潜伏性、隐蔽性、破坏性、可触发性。

自我复制性：这是计算机病毒最大的特点之一。自我复制是指计算机病毒程序能够将自制程序自动复制，其繁殖能力极强。

传染性：计算机病毒和人的生理一样，也具有扩散传染的能力，且传染的能力和速度都很强。一旦计算机感染了病毒，它会在存储介质或网络传输介质上查找符合条件的硬件或软件目标，然后将病毒程序进行自我复制插入到目标程序中。

潜伏性：也即计算机病毒的发作可以不是需要一定的条件和时间。计算机感染病毒后也许不会立即发作，而是潜伏在计算机中，一旦病毒发作的条件和时间适合，计算机病毒就造成破坏。

破坏性：这是计算机病毒造成计算机不安全的最大因素之一。计算机病毒的破坏不仅仅是针对计算机软件，也可能是对计算机硬件。计算机病毒的破坏有大有小程度不一。轻则是损坏计算机软件的发展使用，占用计算机硬件资源，例如不断自我复制将计算机内存或硬盘的空间占满，让计算机软件无法运行。重则是破坏计算机的操作系统或者破坏计算机的硬件资源。

隐蔽性：是指计算机病毒能够进行伪装，和正常程序无异。计算机病毒感染计算机后，会对自制程序名作自我修改，不让计算机操作系统发现。或者，计算机病毒程序就包含在正常程序之中，计算机用户在复制、网络下载或安装程序时，计算机病毒也会被安装到用户的计算机中。

四、计算机病毒的现象

计算机中了病毒，最常见的现象就是系统的运行速度变慢，或者是计算机系统会无故地频繁死机，或者计算机系统会莫明其妙地自启动。若计算机在运行中出现这些现象，就极有可能是感染了计算机病毒。计算机病毒常见的现象还有计算机的存储介质容量会无故减少，或者存储介质中的文件会无故丢失或损坏，或者计算机操作系统无法识别硬盘，或者计算机中的文件无法正确读取，或者计算机无法正常连接到网络等等。

五、在高校对于计算机病毒的防范策略

计算机感染病毒后要及时查杀病毒，消除计算机病毒给计算机及系统带来的隐患和破坏。要保障计算机的正常运行，特别是高校的计算机及网络的使用，做好计算机病毒的防范是很重要的需要和措施。下面讨论一下计算机病毒的防范策略：（1）指导教师和学生树立计算机病毒防范和查杀的意识思想。很多计算机用户没有计算机病毒防范的概念。大学生都要学习计算机基础应用课程，在这些课程上要培养学生防范计算机病毒的意识。（2）在校园所用的计算机上安装计算机病毒查杀软件。现在国内几款有名的计算机病毒都是免费下载安装和使用，这给大学校园大量计算机杀毒的安装带来了便利。（3）及时给计算机杀毒软件更新升级。计算机杀毒软件只能查杀已知病毒，而病毒的产生层出无穷，为了防治最新的病毒，就要让杀毒软件及时升级更新，以便能够及时发现感染的新的病毒。（4）在校园网上安装防火墙。防火墙的硬件和软件之分，这根据学校的能力安装。防火墙能够一定程度地拦截木马程序的潜入和破坏。（5）及时做好资料的备份。资料的备份很重要，一旦计算机感染病毒，病毒很可能破坏计算机里的正常程序和资料文件。资料的备份要及时，并且最好养成一种习惯。（6）移动存储设备的管理。现在例如U盘、移动硬盘、SD卡等移动存储设备极大方便了我们对于资料的存储和计算机的应用。但这些移动存储设备也给计算机病毒的传染带来了方便。要养成正常使用移动存储设备的习惯，复制文件后立即查杀病毒。不要复制来历不明的文件或程序。（7）养成正确的上网习惯。不在网上下载不明的程序。收到异常邮件时一定注意，邮件也是病毒钟爱的藏身之处。

参考文献：

[1]赖新萍.浅谈计算机病毒及其防范[J].大众科技，2010，7.

[2]刘涛，邓璐娟，丁孟宝.计算机反病毒技术及预防新对策[J].计算机技术与发展，2007，5.

[3]石桂芳.计算机病毒及防御策略探究[J].信息与电脑，2010，4.

防范ARP病毒攻击的策略第12篇

关键词：ARP,攻击,防范,策略

近年来一种“ARP欺骗” (Address Resolution Protocol地址解析协议) 病毒袭击了很多单位的局域网, 导致了网内计算机用户不能正常访问互联网。本校校园网也多次受到ARP病毒的攻击。就此, 谈谈防范ARP病毒的措施。

一、ARP的工作原理

ARP协议是Address Reso Lution Protocol地址解析协议的缩写, 是用来解释地址的协议。具体来说, 就是将网络层IP地址解析为数据链路层地址。TCP/IP协议中规定, 每一台接入局域网的主机都要配置一个32位的IP地址, 而局域网内主机之间的通信是靠一个48位的MAC地址来确定目标, 以太网设备并不识别IP地址, 因此IP驱动器必须把IP地址转换成以太网MAC地址。在这两种地址之间存在着某种静态或动态算法的映射, ARP协议就是用来确定这些映射的协议。

在每台安装有TCP/IP协议的主机里都有一个ARP缓存表, 表里的IP地址与MAC地址是一一对应的。我们以主机A向主机B发送数据为例, 当发送数据时, 主机A会在自己的ARP缓存表中查询是否有目标IP地址, 如果查询到目标IP地址, 也就知道目标MAC地址, 直接把目标MAC地址写入帧里面发送;如果没查询到目标IP地址, 主机A就会在网络上发送一个广播“主机B的MAC地址是什么”, 网络上其他主机并不响应ARP询问, 只有主机B接收到这个帧时, 才向主机A做出这样的回应“我是主机B, MAC地址xx-xx-xx-xxxx-xx”, 这样主机A就知道了主机B的MAC地址, 主机A就可以向主机B发送信息, 同时主机A还更新自己的ARP缓存表, 下次再向主机B发送信息时, 直接从ARP缓存表里查询。ARP缓存表采用了老化机制, 在一段时间内如果表中的某一行没有使用, 就会被删除, 这样可以大大减少ARP缓存表的长度, 加快查询速度。

二、ARP欺骗攻击

通过上面ARP工作原理, 我们可以清楚看到ARP攻击就是通过伪造IP与MAC对应关系实现ARP欺骗, 攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存表中的IP与MAC条目, 造成在链路层上数据不能传输, 从而引起网络中断。ARP欺骗基本上分为四大类。

第一类是对路由器ARP表的欺骗。毒机告诉路由器一系列错误的网内MAC地址, 并按照特定的频率不断进行, 真实地址信息无法更新保存到路由器中, 因而路由器的所有数据只能按照错误的MAC地址进行发送, 使得正常计算机无法正确接收到信息。

第二类是对局域网内计算机的网关欺骗。此方式是利用毒机建立伪造网关, 让被毒机欺骗的计算机向毒机发送数据, 不能向真实网关发送数据。

第三类是“中间人”攻击。“中间人”攻击又称为ARP双向欺骗, 网络中某台PC上网突然掉线, 一会又恢复, 但是恢复后一直上网很慢, 查看该PC机的ARP表, 网关MAC地址已被修改, 而且网关上该PC机的MAC地址也是伪造的, 该PC机和网关之间的所有流量都转到另外一台机子上。

第四类是泛洪攻击。泛洪攻击导致网络经常中断, 或者网速很慢, 查看ARP表项也都正确, 但是在网络中抓包分析, 发现大量的ARP报文发往交换机、路由器或某台PC机, 导致CPU忙于处理ARP协议, 负担过重, 造成设备没有资源转发正常的数据流量。

三、防范ARP欺骗攻击的策略

可以通过网络升级改造防范ARP欺骗攻击。针对ARP欺骗攻击, 一些网络设备或软件开发商已研发生产了相关软硬件, 可以通过引进这类软硬件设备和网络升级改造, 以防范ARP欺骗攻击, 但这需要一定的经费投入, 在此经费没有到位的情况下, 我们还可以采取以下一些方法。

1、预防措施

防范ARP欺骗攻击最主要是做好预防, 具体可以采用以下措施:

(1) 及时更新计算机的病毒库以及升级操作系统。往往病毒就是利用了Windows系统漏洞入侵个人电脑的, 因此局域网内的每一个用户要及时打上安全补丁, 安装杀毒软件定期扫描, 建议启动操作系统和杀毒软件的自动更新功能。

(2) 使用支持ARP过滤的防火墙。出于成本方面的考虚, 往往大家采用大量的非管理型交换机, 无法进行IP+MAC+端口绑定。当单位的计算机数量比较多的时候在PC端进行IP+MAC地址绑定时, 由于机器重启后需要重新绑定, 虽然可以通过编辑批处理文件的方式自动运行, 但工作量无疑是巨大的, 所以可以采用ARP防火墙或者是支持ARP过滤的防火墙。目前比较流行的有Antiarp防火墙、金山ARP防火墙、奇虎360ARP防火墙、瑞星防火墙等。其中AntiARP因其功能强大且安装简单而深受好评。

(3) 将IP地址和MAC地址进行静态绑定。从前面ARP欺骗的工作原理中可以得知, 欺骗者通过修改ARP缓存表中IP地址所对应的MAC地址来达到欺骗的目的, 如果将IP地址与MAC地址进行静态绑定, 使之不能修改, 则欺骗者的伎俩无法得逞。

(4) 利用各种监测网络的软件及硬件可以检测局域网中每台计算机发出的ARP数据包, 能够发现是否存在ARP欺骗, 以及哪台计算机正在进行ARP欺骗。

2、处理措施

当局域网内已被ARP欺骗攻击, 可以采用以下处理措施。

(1) 客户端将IP地址和MAC地址进行静态绑定

编辑批处理文件jxcia.bat如下

@echo off

arp-d*

arp-s 192.168.1.254 AA-BB-CC-DD-EE-FF

其中:192.168.1.254 AA-BB-CC-DD-EE-FF需要更改为具体的网关IP地址和MAC地址。

Echo off是关闭回显, arp–d*是清空arp表, 最后arp–s是为主机加入一条静态arp记录, 用以保证能够正常访问到网关。把jxcia.bat加入到C:Documents and Settingszhl「开始」菜单程序启动其中, zhl为本地用户开机启动的用户名。

将IP地址和MAC地址进行静态绑定也可以采用编辑注册表, 键值如下: