分析病毒范文(精选12篇)
分析病毒 第1篇
随着移动通信网络向IP化发展,手机病毒也逐渐出现并渗透进我们的生活。智能手机的普及,手机操作系统及各种接口标准的逐步统一,都为手机病毒的产生提供了便利条件。
另外,3G技术经过不断的发展已经比较成熟。它支持宽带、基于包传输数据,并提供手机“时时在线”及其它一些无线通信功能,接入互联网获取大量信息已成为手机的重要功能之一。移动通信系统为用户提供了越来越丰富的服务,包括手机聊天,移动咨讯,电子邮件,移动证券,移动电子商务等等,这些服务在方便用户的同时也给手机增加了感染病毒的机会,移动通信系统中因此出现了越来越多的手机病毒[1]。
2 手机病毒的概念和类型
2.1 手机病毒概念
手机病毒的原理和计算机病毒差不多,不同的是,手机病毒是以手机为感染对象,以手机和移动通信网络为传播平台,通过短信、邮件、程序等形式,对手机或手机网络进行攻击,从而造成手机或手机网络功能出现异常的新型病毒程序[2]。手机自身存在一些缺陷,而病毒是利用这种缺陷进行恶意攻击或者操作的程序,它由计算机程序编写而成,与电脑病毒一样具有传播功能。
2.2 手机病毒类型
引导型病毒:引导型病毒是利用操作系统的引导模块放在某个固定区域,并且控制权的转接方式是以物理地址为依据,因而病毒占据该物理位置即可以获得控制权。
宏病毒:宏病毒主要是使用某个应用程序自带的宏编程语言编写的病毒,比如感染WORD系统的WORD宏病毒和感染Lotus Ami Pro的宏病毒等。
文件型病毒:文件型病毒主要以感染文件扩展名为COM、EXE、OVL等可执行程序以及系统文件为主。它的安装必须借助病毒的载体程序,即要运行病毒的载体程序,方能把文件型病毒引入内存。
蠕虫:蠕虫是指利用操作系统和应用程序的缺陷或漏洞而主动进行攻击的一类程序。当手机用户浏览网页时,无线蠕虫能将网页中的一些非安全的内容发给其手机地址本中的所有用户。
木马:木马是一种包含在一个合法程序中的非法程序,该程序被用户在不知情的情况下执行。
3 手机病毒的现状和危害
手机病毒正在以越来越快的速度衍生和发展。在2000年“亚洲计算机反病毒大会”的病毒报告中,仅有两例手机病毒;而到了2008年,具有破坏性、流行性的手机病毒达到了数百种。手机病毒的发展大至分为三个阶段:
第一个阶段是手机短信病毒阶段,这类手机病毒的代表是2002年出现的“洪流(Hack.sms blood)”病毒。
第二阶段是智能手机/手持设备病毒阶段,比如通过蓝牙设备传播的“卡比尔”和“Lasco.A”病毒。
第三个阶段是网络手机病毒阶段。比如针对移动通讯商的“蚊子木马”病毒。
手机病毒的存在会占用手机的内存空间,利用系统的漏洞或者进行资源盗窃,或者直接进行系统攻击[3]。除妨碍使用外,手机病毒还将带来以下几个问题:1)携带恶意代码,清除或篡改用户手机内的电话簿;2)病毒代码利用用户手机内的电话簿发短信;3)向外发送垃圾邮件;4)破坏或非法获取手机中存储的重要信息;5)损毁UIM/SIM卡、芯片以及破坏手机系统;6)造成通讯网络堵塞和瘫痪等等。
4 手机病毒的防范
4.1 服务商安全措施
作为手机服务商,应该采取以下的安全性措施:
1)将执行Java小程序的内存和存贮电话簿等的内存分割开来,从而禁止小程序访问电话本等资料;己经下载的Java小程序只能访问保存该小程序的服务器;当小程序利用手机的硬件功能时便发出警告等。
2)对手机厂商而言,要防止出现手机的安全漏洞,如果发现漏洞应及时给予修补。
3)手机病毒的通道主要是移动运营商提供的网关,因此在网关上进行杀毒是防止手机病毒扩散的最好办法。
4.2 用户安全意识
1)警惕乱码电话。当有电话拨入时,若屏幕上显示的不是来电号码,而是出现别的字样或奇异符号,不要接听或立即把电话关闭。
2)接收短消息的时候要小心。容量有限的SMS,已经被病毒钻过空子,容量更大的MMS就更难说了。当短消息出现乱码并且阅读后出现死机等异常现象时,应该立即把UIM/SIM卡取出,放到另一个不同机型的手机里,然后再删除该条短消息。
3)不要接受陌生请求。利用无线传送功能比如蓝牙、红外接收信息时,一定要选择安全可靠的传送对象,如果有陌生设备请求连接,最好不要接受。因为手机病毒会自动搜索无线范围内的设备进行病毒传播。
4)不要用手机浏览陌生网站和邮件。不能随便下载不确定来源的文件(包括手机铃声和图片),而是尽可能从一些信誉好的服务提供商那里下载。
5)留意手机病毒的现状和清除病毒的方法,经常为手机查杀病毒。清除手机病毒最好的方法就是删除带有病毒的短信。如果发现手机已经感染病毒,应立即关机。若死机了,则可取下电池,然后将UIM/SIM卡取出并插入另一型号的手机中,将存于卡中的可疑短信删除。如果仍然无法使用,通过无线网站对手机进行杀毒,或通过手机的IC接入口或红外传输接口进行杀毒。
4.3 手机防火墙
在考虑手机的安全时,同时要考虑移动网络的安全[4]。防范手机病毒最好的办法是服务商与用户相配合,使用杀毒软件和防火墙。手机防火墙可避免黑客入侵并主宰用户的手机和窥探用户的个人隐私,它还能即时监视、追踪和过滤网络资料存取。
4.3.1 手机防火墙应具备的功能
为防止黑客利用伪造的IP地址产生虚假的数据分组,伪装成来自内部站点的分组过滤器,手机防火墙必须拥有可信站点及基于可信电话号码的入侵防护功能。使用Internet及从Internet下载应用程序的急剧增长加大了手机被攻击的可能性,因此手机防火墙还应该具有这些功能:监测输入/输出流量、入侵检测、过滤和阻塞。
监测输入流量:这是手机防火墙的一个重要功能,与计算机防火墙的功能相同。手机防火墙检查来自Internet的所有包,并监测它们。
监测输出流量:因为手机防火墙是基于“应用感知”的,所以它允许可信的数据流的流出。这是防止与Internet通信时感染木马程序的重要措施。防火墙的监测流出数据流应是基于整个应用的校验和而不是仅仅根据名称。
入侵检测:手机防火墙的入侵检测能够扫描网络流量,并显示其中是否存在己知的入侵攻击模式。手机防火墙应包含开放功能的攻击特征列表,也就是说,在出现新的木马或蠕虫等攻击方式时自动将其攻击特征加入进去。
可信站点:在使用Internet时,手机的可信站点功能将发挥作用。这一功能能够在网站包含不安全内容时发出警告。另外,可信站点在WAP中也可起作用。
弹出窗口(POP-UP)拦截器:此功能是手机防火墙在使用IE时最重要的功能之一。安装有个人防火墙的用户能够拦截或接收一个由Java脚本技术激活的弹出窗口。
4.3.2 手机防火墙的使用
手机防火墙有两种可能的实现方法:安装在手机中,或者安装在移动网络的网关中。
如果手机防火墙安装在手机中,用户应为防火墙配置设置一些规则;如果安装在网关,则由运营商提供手机防火墙的服务,用户可以扩展这些规则,即个人用户或群组用户可以在手机防火墙中增加需要的服务。
将手机防火墙安装在网关,能够确保所有的流入数据都是经过授权的。在这种情况下,手机用户可以通过网络定购这种在网关中提供手机防火墙的服务,而不需要单独支持防火墙的信任服务、信任应用等功能。如果用户需要这些功能也可在手机中安装手机防火墙,并单独设置。此时,在网关中的手机防火墙将决定用户可以信任哪些手机号码或者服务器。
在网关中运行防火墙的另一个好处是可以由网络运营商完成防火墙的升级。无论在什么时候,网络中出现了新的病毒或木马,如果手机用户在网关中申请了个人防火墙服务,运营商有责任对个人防火墙进行升级。申请了个人防火墙服务的用户,能够根据他们的要求在网关中运行的防火墙设置处理输出信息流的规则,而且手机也应该支持这项功能。
5 总结
本文对手机病毒的概念、原理和攻击途径等方面进行了介绍。结合几种常见的手机病毒,归纳了手机病毒的几种类型,并提出了防范手机病毒的一些方法。
手机病毒的出现和发展,已经成为移动通信界面临的一个难题。对手机病毒的研究和防范,还需要业界的共同努力。
参考文献
[1]杨义先,钮心忻著.无线通信安全技术[M].北京:北京邮电大学出版社,2005:80.
[2]李晓丽.手机病毒的分析及对策研究[D].武汉大学硕士论文,2004.11.
[3]李恺,陈浩.GSM手机的病毒威胁[J].信息安全与通信保密,2005(7):226-228.
“支付宝大盗”病毒分析病毒防范 第2篇
该病毒样本有以下两点需要安全分析人员注意:
1、采用“梆梆加固”加固恶意代码,防止分析人员静态分析和动态调试,
该病毒为了逃避逆向分析和安全厂商病毒检测,通过“梆梆加固”的保护来达到防止逆向分析和动态调试的目的。加固服务提供商需要加强对待加固应用的安全审计,以免被恶意开发者利用。
2、恶意代码+社会工程学配合攻击实现窃取支付宝资金的目的。
病毒分析:
1. 主要行为:
1.1 病毒在AndroidManifest.xml文件注册的恶意组件
1.2 被梆梆加固后的恶意程序代码树结构
计算机病毒及防范对策分析 第3篇
【关键词】计算机病毒;防范;对策
0.前言
随着互联网的不断扩大以及计算机技术的发展,计算机已经逐渐的成为人们工作与生活不可或缺的工具,但是计算机病毒对网络和计算机的攻击强度也越来越大,并且其破坏性也逐渐严重化。计算机病毒一旦发作,不仅会对内存造成严重的冲击,删除文件、修改数据及影响性能,而且还会导致硬盘无法访问甚至擦除硬盘,其最大的危害便是导致网络瘫痪。所以,在当前的网络环境下,防止计算机病毒则成为计算机防毒领域的重大研究课题。
1.计算机病毒的主要特点
1.1清除难度大
通常单机中所存在的计算机病毒,可以借助于格式化硬盘和删除文件等手段加以清除。在网络中,往往只要有一台工作站未将病毒干净的清除,那么便会重新导致网络带毒,甚至清除工作刚刚完成的工作站,也极有可能会遭到带毒工作站的感染。所以,只病毒查杀工作站,是无法将病毒对计算机以及网络的危害解决的。
1.2潜在性及可激发性
计算机病毒的激发有着多种多样的形式,一般可以是用户名、系统日期和内部时钟,还可能是一次网络通信,亦或是网络中的特殊标志。因为网络具备较强的拓展性,可以按照病毒设计者的具体要求,在任何位置和任意时刻均能够激发病毒且发起进攻。计算机系统被感染病毒以后,通常并非会即刻发作,而是在系统中潜藏,等到时机成熟以后便加以发作,破坏计算机系统的性能。
1.3破坏性强
计算机网络中所存在的病毒,会对网络的正常工作造成直接的影响,重则导致部门及企业机密信息的丢失、网络的崩溃以及服务型信息的破坏,轻则会影响计算机工作效率和降低运行速度。被感染病毒后的计算机,通常被迫将网络连接断开,展开单机杀毒,这便对计算机的工作带来严重的影响。
1.4隐蔽性强
不进行计算机病毒代码扫描或者程序代码分析,一般是无法将病毒发现的。这是由于计算机病毒经常性的在磁盘或者正常程序中较为隐蔽的位置附着,在防护措施缺乏的状况下,病毒程度便会将系统控制权掌握,在非常短的时间内产生大量感染。受到感染后,计算机系统一般依然能够继续运行,并且受感染的计算机程序也能够继续得以执行,因而用户很难感到异常。
1.5自我复制能力强
计算机病毒的自我复制能力也被称之为“传染”或者“再生”,是计算机病毒尤为突出的特征之一,是判断是计算机病毒与否的依据。一方面,一旦计算机病毒程序代码进入到计算机当中,并且代码被执行,那么便会对传播条件相符合的介质或者程序加以搜寻,在目标确定后将自身代码插入,从而导致文件的感染,同时对新的病毒进行大量复制。被感染的文件则变成新的计算机病毒,能够借助于网络或介质,对其他计算机迅速的进行感染及破坏。
2.防范计算机病毒的有效对策
面对日益猖狂的计算机病毒,不管是计算机个人用户,还是企事业用户,均应当尽快的将计算机病毒防范意识和信息安全意识树立起来。以下从几方面着手,提出了防范计算机病毒的有效措施:
2.1重视杀毒软件版本的升级
在计算机及网络的使用过程中,广大用户要及时的升级杀毒软件,特别是有着重要提示的版本功能更新,必须立即升级软件版本。应当提起重视的是,应当注意更新杀毒软件病毒库,逐渐的养成定期更新病毒库的良好习惯。对于连接互联网不畅通的用户,应当通过离线下载杀毒软件病毒库的升级功能,确保杀毒软件的及时升级。
2.2安装病毒防火墙产品
对于局域网,应当对网络版杀毒软件加以挑选,将病毒防火墙产品安装在路由器和网关上。网络版杀毒软件的安装,有助于统一自动更新病毒定义库和客户端病毒引擎,实现防杀计算机病毒,还可以实现整个网络的病毒监控。因此,网络版杀毒软件的选择及病毒防护墙产品的安装就显得尤为重要。通常来说,计算机病毒查杀的彻底与否以及界面友好与否、能够实现远程控制与否,均是判别网络杀毒软件的好坏的重要要素。
2.3合理选择反病毒工具
在防范计算机病毒方面,广大用户必须找出与自身使用环境相适应的反病毒工具。正是因为当前的计算机病毒有着多样化的形式,散播速度以及变种速度非常迅速,极难想象在如此恶劣环境中,不装设反病毒软件件的一台“裸机”,怎样避免计算机病毒的攻击。现阶段,在反病毒软件市场中,各类反病毒软件都有着自身的弱势及强势,但是就普通的用户而言,必须选择有着强大引擎功能的反病毒软件,还应当能够考虑快速及时更新病毒库与否,带有防火墙与否,拥有主动防御技术与否,运用安全技术与否等等。
2.4提高安全防范意识
在浏览网站的过程中,用户必须时刻的提起警惕,将自我保护的安全意识增强。对于不熟悉的陌生网站,用户切勿轻易浏览点击。相当一部分的陌生网站均有着有害恶意代码植入,也可能是冒名顶替的钓鱼网站以及不健康的网站,如果用户不小心将这些网络页面打开,那么便马上被植入木马或者病毒。所以,用户应当尽可能去访问浏览大型门户网站,并且注意域名存在冒名顶替的迹象与否。对于此类状况,首先用户应当从主观上防止对陌生网站的浏览,并且将网页防火墙打开,最大限度的减少木马及病毒所带来的侵害。除此之外,在网上下载软件和资料时,用户还应当注意下载之前进行病毒的查杀,切实的确认安全以后再加以使用。
3.结束语
总之,计算机病毒对计算机以及网络的安全运行构成了极大的威胁,面对计算机病毒的层出不穷和计算机病毒种类的不断变化,广大用户应当尽快强化安全防范意识,并且将网络安全技术和防病毒软件综合起来,从而维护计算机网络的安全。
【参考文献】
[1]李传良.制作、传播计算机病毒犯罪现状、特点及防范对策[J].山东警察学院学报,2009,6(3):73-75.
[2]周志杰.计算机病毒的特征及防范对策探析[J].太原城市职业技术学院学报,2012,5(11):178-180.
[3]王丹.计算机病毒的特征与防范对策[J].中外企业家,2011,4(18):53-55.
蠕虫病毒分析研究 第4篇
蠕虫病毒是广义计算机病毒的一种。一般的病毒是需要寄生的, 它可以通过自己指令的执行, 将自己的指令代码写到其他程序的体内, 而被感染的文件就被称为”宿主”, 例如, windows下可执行文件的格式为pe格式 (Portable Executable) , 当需要感染pe文件时, 在宿主程序中, 建立一个新节, 将病毒代码写到新节中, 修改的程序入口点等, 这样, 宿主程序执行的时候, 就可以先执行病毒程序, 病毒程序运行完之后, 在把控制权交给宿主原来的程序指令。可见, 病毒主要是感染文件, 当然也还有像DIRII这种链接型病毒, 还有引导区病毒。引导区病毒也是感染磁盘的引导区, 如果是软盘被感染, 这张软盘用在其他机器上后, 同样也会感染其他机器, 所以传播方式也是软盘方式。
蠕虫一般不采取利用pe格式插入文件的方法, 而是复制自身在互联网环境下进行传播, 病毒的传染能力主要是针对计算机内的文件系统而言, 而蠕虫病毒的传染目标是互联网内的所有计算机局域网条件下的共享文件夹, 电子邮件email, 网络中的恶意网页, 大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球, 而且蠕虫具有主动攻击性和突然爆发性。
1.1 蠕虫发作的一些特点和发展趋势
1) 利用操作系统和应用程序的漏洞主动进行攻击。此类病毒主要是“红色代码”和“尼姆达”, ”求职信”等。
2) 传播方式多样 如“尼姆达”病毒和”求职信”病毒, 可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等。
3) 病毒制作技术与传统的病毒不同的是, 许多新病毒是利用当前最新的编程语言与编程技术实现的, 易于修改以产生新的变种, 从而逃避反病毒软件的搜索。另外, 新病毒利用Java、ActiveX、VB Script等技术, 可以潜伏在HTML页面里, 在上网浏览时触发。
4) 与黑客技术相结合, 潜在的威胁和损失更大。以红色代码为例, 感染后机器的web目录的scripts下将生成一个root.exe, 可以远程执行任何命令, 从而使黑客能够再次进入。蠕虫和黑客技术的结合, 使得对蠕虫的分析, 检测和防范具有一定的难度。
1.2 蠕虫的基本程序结构
1) 传播模块, 负责蠕虫的传播, 传播模块可以分为三个基本模块:扫描模块、攻击模块和复制模块;
2) 隐藏模块, 侵入主机后, 隐藏蠕虫程序, 防止被用户发现;
3) 目的功能模块:实现对计算机的控制、监视或破坏等功能。
1.3 蠕虫程序的一般传播过程
1) 扫描:
由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后, 就得到一个可传播的对象。
2) 攻击:
攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象, 取得该主机的权限 (一般为管理员权限) , 获得一个shell。
3) 复制:
复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。可以看到, 传播模块实现的实际上是自动入侵的功能。所以蠕虫的传播技术是蠕虫技术的首要技术。
1.4 蠕虫程序的入侵过程
第一步:用各种方法收集目标主机的信息, 找到可利用的漏洞或弱点。方法包括用扫描器扫描主机, 探测主机的操作系统类型、版本, 主机名, 用户名, 开放的端口, 开放的服务, 开放的服务器软件版本等。当然是信息搜集的越全越好。搜集完信息后进入第二步。
第二步:针对目标主机的漏洞或缺陷, 采取相应的技术攻击主机, 直到获得主机的管理员权限。对搜集来的信息进行分析, 找到可以有效利用的信息。如果有现成的漏洞可以利用, 上网找到该漏洞的攻击方法, 如果有攻击代码就直接COPY下来, 然后用该代码取得权限;如果没有现成的漏洞可以利用, 就用根据搜集的信息试探猜测用户密码, 另一方面试探研究分析其使用的系统, 争取分析出一个可利用的漏洞。
第三步:利用获得的权限在主机上安装后门、跳板、控制端、监视器等等, 清除日志。有了主机的权限, 就可以进入计算机系统完成想完成的任务了。
2 蠕虫病毒工作原理
蠕虫采用自动入侵技术, 由于程序大小的限制, 自动入侵程序不可能有太强的智能性, 所以自动入侵一般都采用某种特定的模式。我们称这种模式为入侵模式, 它是由普通入侵技术中提取出来的。目前蠕虫使用的入侵模式只有一种, 这种模式就是我们前面提到的蠕虫传播过程采用的模式:扫描漏洞-攻击并获得shell-利用shell。这种入侵模式也就是现在蠕虫常用的传播模式。这里有一个问题, 就是对蠕虫概念的定义问题, 目前对蠕虫的定义把这种传播模式作为蠕虫的定义的一部分, 实际上广义的蠕虫应该包括那些使用其他自动传播模式的程序。
关于蠕虫的报道总是强调蠕虫如何发送大量的数据包, 造成网络拥塞, 影响网络通信速度。实际上这不是蠕虫程序的本意, 造成网络拥塞对蠕虫程序的发布者没有什么好处。如果可能的话, 蠕虫程序的发布者更希望蠕虫隐蔽的传播出去, 因为蠕虫传播出去后, 蠕虫的发布者就可以获得大量的可以利用的计算资源, 这样他获得的利益比起造成网络拥塞的后果来说显然强上万倍。但是, 现有的蠕虫采用的扫描方法不可避免的会引起大量的网络拥塞, 这是蠕虫技术发展的一个瓶颈, 如果能突破这个难关, 蠕虫技术的发展就会进入一个新的阶段。
现在流行的蠕虫传播目标一般是尽快地传播到尽量多的电脑中, 于是扫描模块采用的扫描策略是这样的:随机选取某一段IP地址, 然后对这一地址段上的主机扫描。老版本的扫描程序可能会不断重复上面这一过程。这样, 随着蠕虫的传播, 新感染的主机也开始进行这种扫描, 这些扫描程序不知道哪些地址已经被扫描过, 它只是简单的随机扫描互联网。于是蠕虫传播的越广, 网络上的扫描包就越多。即使扫描程序发出的探测包很小, 积少成多, 大量蠕虫程序的扫描引起的网络拥塞就非常严重了。
可以对扫描策略进行一些改进, 比如在IP地址段的选择上, 可以主要针对当前主机所在的网段扫描, 对外网段则随机选择几个小的IP地址段进行扫描。对扫描次数进行限制, 只进行几次扫描。把扫描分散在不同的时间段进行。扫描策略设计的原则有三点∶1尽量减少重复的扫描, 使扫描发送的数据包总量减少到最小2保证扫描覆盖到尽量大的范围3处理好扫描的时间分布, 使得扫描不要集中在某一时间内发生。怎样找到一个合适的策略需要在考虑以上原则的前提下进行分析, 甚至需要试验验证。
扫描发送的探测包是根据不同的漏洞进行设计的。比如, 针对远程缓冲区溢出漏洞可以发送溢出代码来探测, 针对web的cgi漏洞就需要发送一个特殊的http请求来探测。当然发送探测代码之前首先要确定相应端口是否开放, 这样可以提高扫描效率。一旦确认漏洞存在后就可以进行相应的攻击步骤, 不同的漏洞有不同的攻击手法, 只要明白了漏洞的利用方法, 在程序中实现这一过程就可以了。这一步关键的问题是对漏洞的理解和利用。
攻击成功后, 一般是获得一个远程主机的shell, 对win2k系统来说就是cmd.exe, 得到这个shell后我们就拥有了对整个系统的控制权。复制过程也有很多种方法, 可以利用系统本身的程序实现, 也可以用蠕虫自带的程序实现。复制过程实际上就是一个文件传输的过程。
模式是可以复用的。也就是说, 我们只要简单地改变这个模式中各个具体环节的代码, 就可以实现一个自己的蠕虫了。比如扫描部分和复制部分的代码完成后, 一旦有一个新的漏洞出现, 我们只要把攻击部分的代码补充上就可以了。利用模式我们甚至可以编写一个蠕虫制造机。当然利用模式也可以编写一个自动入侵系统, 模式化的操作用程序实现起来并不复杂。除了上面的传播模式外, 还可能会有别的模式出现。
比如, 我们可以把利用邮件进行自动传播也作为一种模式。这种模式的描述为:由邮件地址薄获得邮件地址-群发带有蠕虫程序的邮件-邮件被动打开, 蠕虫程序启动。这里面每一步都可以有不同的实现方法, 而且这个模式也实现了自动传播, 所以我们可以把它作为一种蠕虫的传播模式。
3 如何防范蠕虫病毒
从安全防御的角度看蠕虫的传播模式。对蠕虫传播的一般模式来说, 我们目前做的安全防护工作主要是针对其第二环即"攻击"部分, 为了防止攻击, 要采取的措施就是及早发现漏洞并打上补丁。其实更重要的是第一环节的防护, 对扫描的防护现在人们常用的方法是使用防护墙来过滤扫描。使用防火墙的方法有局限性, 因为很多用户并不知道如何使用防火墙, 所以蠕虫仍然能传播开来, 有防火墙保护的主机只能保证自己的安全, 但是网络已经被破坏了。另外一种方案是从网络整体来考虑如何防止蠕虫的传播。从网络整体来防止蠕虫传播是一个安全专题, 需要进一步研究, 这里简单提一下。从一般模式的过程来看, 大规模扫描是蠕虫传播的重要步骤, 如果能防止或限制扫描的进行, 那么就可以防止蠕虫的传播了。可能的方法是在网关或者路由器上加一个过滤器, 当检测到某个地址发送扫描包就过滤掉该包。
理解了蠕虫病毒的传播模式之后, 就容易实现针对蠕虫的入侵检测系统了。蠕虫的扫描会有一定的模式, 扫描包有一定的特征串, 这些都可以作为入侵检测的入侵特征。了解了这些特征就可以针对其制定入侵检测规则。同样, 防止蠕虫病毒在计算机中传播的方法也适用于其他计算机病毒, 他们的理论都是相同的。
阻止蠕虫病毒侵入系统通常只有两种方法, 一是将计算机放置在一个受保护的环境中, 在现实中就意味着孤立此机器, 将其从Internet和其他网络中断开, 不使用任何软盘、光盘和其他任何可移动磁盘, 从此就能确保计算机远离病毒, 但同时也意味着您的计算机将接收不到任何信息, 除非用户自己通过键盘输入, 这样就没有任何数据可供处理。第二个选择就是安装一套杀毒软件, 它可以使您的PC免受恶意代码的攻击。
一个杀毒软件无异于一个信息分析的系统, 当它发现某些信息被感染后, 就会清除其中的病毒。信息的分析 (或扫描) 方式取决于其来源, 杀毒软件在监控软驱、电子邮件或局域网间数据移动时工作方式是不同的, 虽然原理相同, 但细致处是有所区别的。
假设信息是在“源系统”中, 必须到达“目标系统”。这里所称的源系统可以是一个软盘, 目标系统可能是计算机的硬盘, 或者源系统是存储在ISP的一条消息, 而目的系统是客户端计算机上基于Winsock协议的Windows通讯系统。
信息解释系统依据操作系统、应用程序或者是否需要特殊机制等因素的不同是有区别的, 该解释机制必须明确对应杀毒软件所要作用的操作系统或组件。例如:在Windows 9X系统中, 需要采用一个虚拟驱动程序VxD来不断监控磁盘的行为。通过这种方式, 每当硬盘或者软盘中的信息被存取时, 杀毒软件就会截取对该磁盘的读写操作, 并扫描将要读取或保存的信息。此种操作在Windows NT/2000/XP中是通过内核模式中的一个驱动来实现的。
某些时候, 解释机制既不是由杀毒软件提供 (如VxD虚拟驱动) , 也不是由某种应用提供 (如CVP协议) 。在这种情况下, 必须采用介于应用和杀毒软件之间的一种特殊的解释机制。换句话说, 通过某种资源来解释信息并将其传送给杀毒软件, 这些资源和杀毒软件之间是一种紧密集成的关系, 这样有助于杀毒软件清除病毒。
无论采用何种方式, 一旦在扫描信息的过程中检测到一种病毒, 将会采取两种措施:
1) 清除干净的信息将会返回给解释机制, 然后再由该解释机制返回给原来的系统以便它能够继续到达最终目的地。这意味着如果接收到一封电子邮件, 该邮件仍然会被允许到达其目的邮箱;如果是复制一个文件, 复制过程仍然被允许直至结束。
2) 向用户界面发送一个警告, 该用户界面可能是多种多样的。对于工作站端的杀毒软件, 会在屏幕上显示一条信息, 但是对于针对服务器的杀毒模块, 警告会以电子邮件、内部网络消息、病毒报告中的一条记录或者传递给杀毒软件管理工具的某种消息的形式发送。
无论需要扫描的信息是如何获得的, 对于杀毒软件而言最重要的特征就是:病毒扫描引擎。该引擎扫描所截取的数据以查看其中是否包含病毒, 如果有病毒就会将其清除。信息的扫描通常通过两种方式进行:一种是将扫描信息与病毒数据库 (即所谓的“病毒特征库”) 进行对照, 如果信息与其中的任何一个病毒特征符合, 杀毒软件就会判断此文件被病毒感染。但是对于某些新的病毒或危险信息, 在病毒数据库中并没有它们的特征, 此时通过一种称为“启发式扫描”的方法有可能将其检测出来。该方法是通过分析信息的行为并将其与一个危险行为样式库进行对照以判别信息的危险性。例如, 如果某个文件试图格式化检测到的硬盘, 杀毒软件就会警告该用户。尽管该文件也许是用户刚刚安装在系统中的一个新的格式化程序而不是病毒, 但是该行为是危险的。一旦杀毒软件通过声音向用户发出警告, 接下来就由用户来判断是否要采取这种危险的操作了。
以上两种方法各有优缺点。如果仅采用病毒特征库系统, 那么至少每天更新一次病毒库就显得尤为重要。每天全球至少会有超过15种新的病毒出现, 如果杀毒软件两三天都不更新病毒库就变得很危险了。
辨别两种不同类型的保护模式对于我们了解杀毒软件是很重要的。第一种是永久保护, 相对比较复杂也更重要。这种扫描方式会不断监控计算机中的所有操作以对付各种入侵的企图。另一种保护类型是立即扫描, 它采用与永久保护相同的扫描引擎, 可以根据用户的需要检测系统的任何部分。这种扫描通常用在某些特殊的场合, 例如:用户可以用立即扫描方式检测一张新的软盘, 或者扫描存储在计算机中已经很久没有使用过的一些信息。
参考文献
[1] Hasan BaBu, Sasao, “ Heuristics to Minimize Multiple-Valued Decision Diagrams”IEICE TRANS , [J/OL]2000, 12 No.12.
[2]H.Zedan, A.Cau, and S.Zhou.A calculus for evolu-tion.In Proc.of the Fifth International Conference onComputer Science and Informatics, [J/OL]2000.
[3]Antonio Cau, Hussein Zedan, Nick Coleman, Ben Mosz-kowski.“Using ITL and Tempura for Large Scale Specifi-cation and Simulation”, [J/OL]1996, 1.
[4]A.Biere, et al.Bounded Model Checking.Vol.58 of Ad-vances in Computers, 2003.Academic Press.
分析病毒 第5篇
简单的说就是:这种病毒自身可以伪造一些ARP回应包。这些包的源IP地址一般是重要设备的IP地址,而那个源MAC地址可能是自己的MAC,也可能是一个无用的MAC地址。而目的IP地址和目的MAC地址都是广播地址,这样的话,这个新的ARP条目就会发送到网络中的任何一个设备中。然后,这些设备就会更新自己的ARP缓存,这样一来呢,就达到欺骗的效果了。以后我们的机器在往重要的设备上发送数据的时候,就会先检查自己的ARP缓存啊,确实存在这么一个ARP条目,殊不知已经是被掉包的了。所以呢,我们发送的数据就不会按照我们原来的意愿,到达真正的目的地。
从上面的这些话当中,我们可以提炼出:中毒后的机器会频繁的自动产生一些假的ARP包,来达到让别的设备更新自己的ARP缓存的目的,以达到欺骗的目的。
我们可以分下实现这个ARP病毒需要分几个步骤:
1.机器得自己产生ARP报文。
2.并且一定要频繁,更新设备ARP缓存的间隔一定要比正常情况下的小,且小的多。
3.别的设备得接受,并且承认这种频繁来更新的ARP条目。
知道了它的工作过程,那么我们就从各个步骤进行分析,下对策。
首先说呢,ARP这个协议本身就不怎么地,本身就是不安全的。就是在没有ARP请求包的情况下,机器也可以发送ARP回应包。这样看来的话,就好像是UDP对应起TCP一样,是属于那种“无连接状态”的。也正是这种协议本身的安全缺陷,才让欺骗这么容易的进行。没事的情况下,设备还具备发送这样的ARP包的能力呢,别说中毒了,那就发送的更狂了,并且发送的还都是一些经过特定修改的。修改ARP回应包的源Ip地址,修改成重要设备的地址。修改了这个IP地址,才可以对这个对应的IP地址的设备进行阻碍,以后发送往这个设备发送的数据都会发送到这个中毒的机器来。也许你会说,中毒的可以发,人家那个正常的设备也可以发啊。是啊,所以为不让其他的设备承认真正的设备发送的ARP包,这个中毒的机器才使得自己拼命的发,一个劲的发,拼命的发。这样的话,让那个真正的设备发送的ARP包没有机会更新其他设备的ARP缓存。如果我们不该找个ARP包的源MAC地址的话,也就是说这个MAC地址是这个中毒的机器的MAC地址,那么以后发送到那个源IP地址的设备的数据都会发送到这个中毒的机器来。如果这个MAC地址是网关的地址的话,那么其他的机器上网的数据不是发送到真正的网关了,而是发送到这个中毒的机器来。如果在这个机器上再安装个分析软件的话,就完全可以知晓网络中的一切信息交流。如果这个MAC地址是个无效的。那么以后发送到那个源IP地址的数据流就会被无奈的丢弃啦。因为在LAN中传输数据用的是MAC啊,。现在每个机器都是知道了那个IP地址的是那个MAC地址,殊不知这个MAC是静心策划的无效MAC。这样一来的话,就会导致发送到那个IP地址的数据全部被丢弃。造成的后果如何就看这个ARP包的源Ip地址是什么设备的IP地址 了。如果是网关的话,那么全网的机器就都上不去网了。如果是一个普通机器的Ip地址呢,那么这个机器就上不去了。我们说的,这种ARP病毒包会频繁的发送,虽然正常的ARP包被接受的几率很小很小了,但是也会有被接受的可能啊,所以,ARP病毒会导致网络中的机器上网断断续续的。厉害了,就完全出现网络断开的现象咯。不知不觉,一个“首先”就分析了1和2两个步骤。那么我们对于上述的这些过程,该如何阻挠呢?细看,这些都是病毒的实质的工作方式。我们不可能更改他们啊。那么我们就想想是否可以阻止这样的数据包进入网络。如果进入不了网络,那就完全么事咯。这个问题就需要我们在机器联网的地方做手脚了。那就是接入层交换机上的端口咯。也就说得让交换机的端口只允许一个MAC地址的数据包通过,并且这个数据包还是的MAC地址还是下面连接的机器的真正的MAC地址。这样一来呢,如果再找个端口上进出其他MAC地址的数据包,这个端口就会采取相应的措施:关闭端口(永久性关闭或者将端口周期性的进入到err-disable状态)、限制(将非匹配MAC地址的数据包全部丢弃掉)、保护(当端口学习的MAC地址数到达了设置在这个端口上可以学习的MAC的最大数量的时候,丢弃后面来的任何不同于先前这些MAC地址的数据包。)
最近,我单位碰到一个非常奇怪的问题,一台P4品牌电脑,内置英特尔网卡,一直以来用得挺好,浏览互联网,内网的通信都很正常。突然有一天,发现这台计算机在浏览互联网时时通时断,ping互联网上的地址时,也是通一下,断一下,但ping内网时什么问题也没有,和内网的通信也非常正常,就是和互联网通信时有这种现象,非常令人费解。这台电脑的IP地址为192.168.24.55,防火墙的 IP地址为192.168.24.7。
检查物理链路
我单位所有访问互联网的电脑都是通过Netscreen NS25防火墙来连接的,如果说是防火墙的问题,而其他的电脑访问互联网都挺正常,没有时通时断的现象。根据这台电脑ping的现象来看,问题似乎应该在下三层,而时通时断的现象好像是典型的物理层的问题,那么首先开始检查链路。
这台电脑是接在一台Cisco三层交换机的某一个端口上,防火墙也是接在这台三层交换机上,在三层交换机上启用了路由,配置上肯定没有问题。先检查电脑到交换机的网线,如果说这根网线有问题,那么这台电脑与内网的通信也应该有问题,通过对这根网线的测试证实没有问题。防火墙到交换机的跳线就更应该没有问题了,因为其他的电脑都没有问题。由此可以判断链路是没有问题的,网卡会有问题吗?肯定也不会,因为它跟内网的通信是正常的,所以网卡肯定也没有问题。那么就可以排除物理层的问题了。
模拟数据通信
再看网络层,这台电脑能够访问互联网,但并不是完全不行,只不过有丢包而已,似乎网络层也不应该有问题,那么所有问题似乎就集中在数据链路层了。数据链路层的问题会是哪里呢?思考了几天,毫无头绪,最后只好仔细的想一想网络通信的过程,看能不能找到问题。
假设这台电脑有一个数据包需要发送到互联网,那么首先它会检查目的地址与本机地址是否是在一个网络中,如果不在一个网络中,就会将数据包发送给默认网关,本案例中目的IP为互联网地址,所以肯定不在一个网络中,所以数据包会发送给默认网关。在这里默认网关为那台Cisco三层交换机,IP地址为192.168.24.10。这时192.168.24.55这台电脑会检查本机的ARP表,查找192.168.24.10所对应的MAC地址,如果在ARP表中没有发现相应的ARP表项,它就会发送一个ARP请求包,将它发送给网络中的所有设备来获得192.168.24.10的MAC地址。由于ARP请求包是以广播方式发送的,网络中的所有设备都会接收到这个包,然后传送给网络层检验。
当Cisco三层交换机接收到这个ARP请求时,就会检查本机的IP地址和ARP请求包中的目的IP地址是否相同,如果相同,交换机就会做出ARP应答,将它的MAC地址发送给源,也就是192.168.24.55这台电脑。这台电脑收到ARP应答包后,就会将交换机的IP地址192.168.24.10和MAC地址写入ARP表,然后将交换机的MAC地址作为目的MAC地址封装到数据包中,并将数据包发送到交换机。交换机在收到数据包后,就会检查目的IP是否在本网段中,发现不在本网段中,就会查找路由表,看看有没有到目的IP的路由条目,如果没有,就会将数据包发送给默认路由,在本案例中这台交换机的默认路由是那台IP为192.168.24.7的防火墙。所以交换机就会发送一个ARP广播,以获得防火墙的MAC地址。防火墙做出ARP应答后,交换机就会将防火墙的MAC地址作为目的MAC地址封装到数据包中,数据包就会发送到防火墙,然后防火墙就会又重复上述过程,将数据包发送给互联网上的目的地址。这一切过程都是正常的,没有什么问题。在电脑和交换机的ARP表中都能找到相应的ARP记录,用tracert命令跟踪路由也是正常的,那问题究竟在什么地方呢?看来还得继续分析。
过滤ARP表
在数据包到达了互联网上的目的地址之后,响应的数据包要返回到这台电脑,那么它也应该重复前面的过程。返回数据包先到达防火墙,在防火墙的ARP表中寻找目的IP地址所对应的MAC地址,如果没有,就会发送ARP请求,得到目的电脑的MAC地址,将电脑的IP地址和MAC地址写入防火墙的ARP表,封装后发送给这台电脑,
这一切看起来都是正常的,但为什么会出现时通时断的现象呢?由这台电脑在内网都是正常的现象来判断,在三层交换机上应该是没有问题的,只是在访问互联网时才出现问题,最后决定从防火墙上开始检查。
Telnet上防火墙,检查防火墙配置,一切正常;检查端口,一切正常;检查路由表,也是一切正常。疑惑中,似乎不知该从哪里下手了。突然间,想起来为了防止内网用户盗用IP地址上网,在防火墙上做了IP地址和MAC地址的绑定的!对,检查检查ARP表。于是输入命令:get arp,显示一大串ARP表的信息,竟然全部是IP地址和MAC地址的静态绑定的信息,仅仅只有一条动态的,那是防火墙的下一跳的IP地址和下一跳的MAC地址的信息,就是没有192.168.24.55的ARP表项,难道是……ARP表的问题?似乎看到了一丝希望!
于是决定先清除几个静态绑定的ARP表项试试,先用unset arp命令一连清除了6条静态绑定的ARP表项,然后在那台电脑上ping互联网的地址,居然不丢包了!?困扰我几天的问题难道就这样解决了吗?我简直有点不敢相信,又让我的同事在这台电脑上面测试一下,登录QQ,浏览网页,收发邮件……,居然一切正常,再也没有原来时通时断的现象了!再Telnet到防火墙上,get arp一看,192.168.24.55那台电脑的ARP表项赫然在目。看来问题真的解决了!高兴之余坐下来再好好的想一想原因吧。
故障溯源
这台Netscreen NS 25的防火墙最多支持128个ARP表项,如果不进行静态绑定,ARP表项会不断地进行更新,超时的自动会删掉,所以不会出现ARP表项被占满的情况。而如果是静态绑定,那么它永远就不会被清除,永远会占据一个ARP表项,留给动态使用的ARP表项空间就会越来越少,直到全部占满,导致我所碰到的情况。那么既然如此,有朋友会问了,既然都占满了,其他的电脑就会完全不通,为什么会出现时通时断的现象呢?于是我将ARP表项数了一下,静态绑定的刚好达到127个,剩下一个给防火墙的下一跳的地址占用了,注意这个是动态的,当它的更新时间到了之后,就被删掉了,那台电脑就占用了这个表项,于是网络就通了,因为还有其它的电脑在不断地访问互联网,所以192.168.24.55的ARP表项一到达更新时间马上就会被防火墙的下一跳的地址所占用,这时网络就不通了。其实在这时,我单位的所有机器在访问互联网时都会出现时通时断的现象,只不过防火墙的下一跳的地址占用ARP表项的时间长,互联网中断的时间在大家能够忍受的范围内,都没有发觉罢了。因为防火墙的下一跳的地址占用ARP表项的时间长,192.168.24.55的ARP表项写不进ARP表,产生超时,所以它不通的时间就长一些,就出现时通时断的现象了。
1、清空ARP缓存:大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题,该方法是针对ARP欺骗原理进行解决的。一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备,用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗,可以通过ARP的指令来清空本机的ARP缓存对应关系,让网络设备从网络中重新获得正确的对应关系,具体解决过程如下:
第一步:通过点击桌面上任务栏的“开始”->“运行”,然后输入cmd后回车,进入cmd(黑色背景)命令行模式;
第二步:在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息;
第三步:使用arp -d命令,将储存在本机系统中的ARP缓存信息清空,这样错误的ARP缓存信息就被删除了,本机将重新从网络中获得正确的ARP信息,达到局域网机器间互访和正常上网的目的。如果是遇到使用ARP欺骗工具来进行攻击的情况,使用上述的方法完全可以解决。但如果是感染ARP欺骗病毒,病毒每隔一段时间自动发送ARP欺骗数据包,这时使用清空ARP缓存的方法将无能为力了。下面将接收另外一种,可以解决感染ARP欺骗病毒的方法。
2、指定ARP对应关系:其实该方法就是强制指定ARP对应关系。由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的,使本机上ARP缓存中存储的网关设备的信息出现紊乱,这样当机器要上网发送数据包给网关时就会因为地址错误而失败,造成计算机无法上网。
第一步:我们假设网关地址的MAC信息为00-14-78-a7-77-5c,对应的IP地址为192.168.2.1。指定ARP对应关系就是指这些地址。在感染了病毒的机器上,点击桌面->任务栏的“开始”->“运行”,输入cmd后回车,进入cmd命令行模式;
第二步:使用arp -s命令来添加一条ARP地址对应关系, 例如arp -s 192.168.2.1 00-14-78-a7-77-5c命令。这样就将网关地址的IP与正确的MAC地址绑定好了,本机网络连接将恢复正常了;
第三步:因为每次重新启动计算机的时候,ARP缓存信息都会被全部清除。所以我们应该把这个ARP静态地址添加指令写到一个批处理文件(例如:bat)中,然后将这个文件放到系统的启动项中。当程序随系统的启动而加载的话,就可以免除因为ARP静态映射信息丢失的困扰了。
3、添加路由信息应对ARP欺骗:
一般的ARP欺骗都是针对网关的,那么我们是否可以通过给本机添加路由来解决此问题呢。只要添加了路由,那么上网时都通过此路由出去即可,自然也不会被ARP欺骗数据包干扰了。第一步:先通过点击桌面上任务栏的“开始”->“运行”,然后输入cmd后回车,进入cmd(黑色背景)命令行模式;
第二步:手动添加路由,详细的命令如下:删除默认的路由: route delete 0.0.0.0;添加路由:
route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1;确认修改:
route change此方法对网关固定的情况比较适合,如果将来更改了网关,那么就需要更改所有的客户端的路由配置了。
4、安装杀毒软件:
安装杀毒软件并及时升级,另外建议有条件的企业可以使用网络版的防病毒软件。
如何能够快速检测定位出局域网中的ARP病毒电脑?
面对着局域网中成百台电脑,一个一个地检测显然不是好办法。其实我们只要利用ARP病毒的基本原理:发送伪造的ARP欺骗广播,中毒电脑自身伪装成网关的特性,就可以快速锁定中毒电脑。可以设想用程序来实现以下功能:在网络正常的时候,牢牢记住正确网关的IP地址和MAC地址,并且实时监控着来自全网的ARP数据包,当发现有某个ARP数据包广播,其IP地址是正确网关的IP地址,但是其MAC地址竟然是其它电脑的MAC地址的时候,这时,无疑是发生了ARP欺骗。对此可疑MAC地址报警,在根据网络正常时候的IP-MAC地址对照表查询该电脑,定位出其IP地址,这样就定位出中毒电脑了。下面详细说一下如何利用命令行方式检测ARP中毒电脑的方法。
命令行法
这种方法比较简便,不利用第三方工具,利用系统自带的ARP命令即可完成。当局域网中发生ARP欺骗的时候,ARP病毒电脑会向全网不停地发送ARP欺骗广播,这时局域网中的其它电脑就会动态更新自身的ARP缓存表,将网关的MAC地址记录成ARP病毒电脑的MAC地址,这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址,就知道中毒电脑的MAC地址了,查询命令为 ARP -a,需要在cmd命令提示行下输入。输入后的返回信息如下:
Internet Address Physical Address Type
192.168.0.1 00-50-56-e6-49-56 dynamic
病毒性肠炎252例临床分析 第6篇
【关键词】喜炎平;静脉滴注;病毒性肠炎。
近年来,我科采用喜炎平静脉滴注治疗病毒性肠炎,在临床好转及缩短住院天数方面收到了很好的临床效果,现报告如下。
一、一般资料
1. 2007年1月~2010年11月入院的252例腹泻患儿,均符合病毒性肠炎的诊断标准[1]。按入院日期随机分为两组,观察组为应用喜炎平组,共126例;对照组为常规应用液体疗法组,共126例。两组在发病年龄、性别、体重、发病天数等方面经统计学处理无显著性差异(P>0.05),具有可比性。
2. 治疗方法:在患儿入院后均给予液体疗法并调整饮食,加强护理,维持水电解质平衡。观察组在上述基础上给予喜炎平注射液按5毫克/千克加入生理盐水中静脉滴注,每天一次。
3. 治疗观察:入院后观察每日腹泻次数、每次排便量、排便性状、住院天数,详细记录并进行疗效评价。治愈:腹泻缓解,排便正常。好转:排便次数减少,排便量减少。
二、结果
1. 治疗过程中观察每日排便次数、排便量、排便性状,自入院第二日开始比较两组症状表现情况,如下表:
观察组在应用喜炎平静脉滴注治疗后,在入院前3日的好转率为38.9%,治愈率为39.7%。对照组在入院前3日的好转率为25.3%,治愈率为23%,两组差异显著(P<0.05)。
2. 喜炎平治疗期间,患儿未见明显的不良反应。
3. 观察组平均住院天数4.0±0.3,对照组平均住院天数5.0±0.6,两组差异显著(P<0.05)。
三、讨论
在寒冷季节,婴幼儿腹泻80%是由病毒感染引起的。病毒性肠炎主要病原体为轮状病毒,其次有星状病毒、杯状病毒科的诺如病毒属(如诺沃克病毒)、札如病毒属;此外,肠道病毒包括柯萨奇病毒、埃可病毒、肠道腺病毒等。轮状病毒肠炎是秋、冬季婴幼儿腹泻最常见的病毒,多发生在6~24个月大的婴幼儿[2]。各种病毒侵入肠道后在小肠绒毛顶端的柱状上皮细胞上復制,使细胞发生空泡变性和坏死,其微绒毛肿胀、排列紊乱和变短。受累的肠黏膜上皮细胞脱落遗留不规则的裸露病变,致使小肠黏膜吸收水分和电解质的能力受损,肠液在肠腔内大量积聚而引起腹泻。微绒毛破坏亦造成载体减少,上皮细胞钠转运功能障碍,水和电解质进一步丧失。喜炎平是一种清热解毒药物,其有效成分是穿心莲内酯碳酸盐,药理学研究证明[3]其具有解热、抗炎、促进肾上腺皮质功能及保肝利胆作用,对肠病毒、流感病毒、呼吸道合胞病毒多有灭活作用,对金黄色葡萄球菌、肺炎链球菌、大肠杆菌、绿脓杆菌等多种细菌有明显抑制作用;能降低毛细血管通透性,减少炎性渗出,可提高白细胞、中性粒细胞及巨噬细胞对细菌、病毒的吞噬能力;它可占据病毒复制DNA与蛋白质的结合位点,阻止蛋白质对DNA片段的包裹,使病毒不能复制,从而抑制或杀灭病毒;并能通过抑制炎症部位PG的合成,保护溶酶体,抑制炎症发展。
本次临床分析通过对比研究发现,喜炎平治疗病毒性肠炎能明显改善临床症状,缩短疗程,治疗效果显著,临床上易被接受。
参考文献
[1] 胡亚美,江载芳.诸福棠实用儿科学[M].7版.北京:人民卫生出版社,2006:1294.
[2] 沈晓明,王卫平.儿科学[M].7版.北京:人民卫生出版社,2008:248.
分析病毒 第7篇
1 资料与办法
1.1 临床资料
参与抗病毒治疗研究的病例均为2003年10月至2008年10月我院收治的乙肝相关晚期肝病患者, 重型肝炎14例, 年龄21~53岁, 平均年龄39岁;男8例, 女6例。患者前来治疗时有严重的消化道症状、性格多变、脾气暴躁不安、嗜睡、发病时容易出现昏迷的情况。肝硬化43例, 年龄22~57岁, 平均年龄40.1岁;男29例, 女14例。患者有慢性肝炎活动的表现, 患者有乏力症状, 检查发现ALT升高、黄疸白蛋白下降。原发性肝癌25例, 年龄16~50岁, 平均年龄35.8岁;男15例, 女10例。同时有重型肝炎10例、肝硬化35例、原发性肝癌21例参与普通综合治疗, 为对比组。两组临床资料之间无统计学差异 (P>0.05) 。
1.2 资料选择标准
入选本研究的资料均参照2006年由华医学会感染病学分会及肝病学分会制定的“肝衰竭诊疗指南”, 所选的患者中, 通过检查去除含有遗传代谢性肝脏疾病、药物肝、酒精肝、其他类型病毒肝、肿瘤等情况。存在严重的心、脑、肺等器官疾病的患者均不再本次研究范围之内。
1.3 治疗办法
抗病毒组治疗办法:14例重型肝炎患者均采用拉米夫定进行抗菌治疗, 口服药物100mg每天, 确诊为重型肝炎后20~85d实施给药, 用药时间至少持续90d;肝硬化患者每天口服拉米夫定100mg。原发性肝癌患者治疗前HBs Ag、HBe Ag均为阳性, 患者持续治疗期间每天口服拉米夫定100mg。对比照治疗办法:对比组66例实施常规免疫调节和改善肝功能的综合治疗。所有患者需按要求进行治疗, 治疗后随访1年, 进行检测结果对比, 同时继续随访5年。
1.4 观察项目
观察两组重型肝炎患者健康检测情况, 健康检测分病情改善、延缓病情恶化及病情恶化三种情况。原发性肝癌患者比较不同治疗后HBs Ag、HBe Agd转阴情况。肝硬化比较两种治疗方式治疗中HBs Ag、HBe Ag、ALT、AST项目的前后变化。
1.5 统计学处理
本次研究所得数据均采用SPSS13.0统计分析软件实施检测, 样本均用χ2检验, 以P<0.05为差异具有统计学意义。
2 结果
抗病毒组重型肝炎患者14例与对比组10例治疗后健康检测结果对比见表1, 两组比较, 抗病毒组明显优于对比组, 比较具有统计学差异 (P<0.05) 。在原发性肝癌治疗治疗中, 我们发现HBs Ag、HBe Ag两项指标同为阳性时, 患者乙肝相关原发性肝癌的发病率越高, 若只为其中一项时, 发病率将大大降低, 特别是两项中HBe Ag转阴后, 发病率大大降低。抗菌组治疗中, 原发性肝癌患者长期按疗程服用拉米夫定, 结果大大降低了原发性肝癌的发生率, 结果优于对比组。肝硬化治疗中, 抗病毒组HBs Ag转阴19例次 (占41.2%) , HBe Ag转阴21例次 (占48.8%) , ALT改善31例次 (占72.1%) 、AST好转34例次 (占79.1%) ;对比组HBs Ag转阴17例次 (占48.6%) , HBe Ag转阴10例次 (占28.6%) , ALT改善9例次 (占25.7%) 、AST好转11例次 (占31.4%) 。肝硬化治疗比较, 抗病毒组效果更为显著, 比较具有统计学意义 (P<0.05) 。见表1。
两组数据比较P<0.05, 具有统计学意义
3 讨论
目前乙型病毒性肝炎已经成一种世界范围内均受关注的卫生疾病, 对该病的发病机制目前尚存在争议, 医学界较多的人认为与感染嗜肝性病毒—乙型肝炎病毒 (HBV) 有极大的关系[3]。HBV入侵可能会直接损坏肝细胞, 而病毒的快速复制及肝器的免疫应答会导致病情不断加重。乙型病毒性肝炎相关的晚期肝病中, 重型肝炎疾病的起因便是HBV感染, 病毒持续性的复制加速了病情的恶化, 逐渐进入肝病晚期, 给治疗带来困难。拉米夫定作为一种我国批准使用的抗病毒药物, 每天服务100mg能抑制HVB的复制, 减少病毒对肝细胞的吞噬, 在慢性重型肝病的治疗中, 抑制病毒复制, 就能避免越来越严重的损伤, 从而起到控制病情的作用。在原发性肝癌的发生因素中HBV DNA独立存在且地位重要, HBV DNA含量越高, 出现肝癌并死亡的危险系数就越大, 而抗菌累药物有较好的HBV DNA抑制作用, 有利于疾病的控制治疗。肝硬化的治疗延迟并减少肝功能失代偿, 进而预防病情往乙肝相关原发性肝癌的方向发展。给药时要从小剂量开始, 根据患者的实际情况再酌情加量。
总的来说, 在乙型病毒性肝炎相关晚期肝病的治疗中, 抗病毒治疗能够抑制病毒的复制, 减少病毒对肝细胞的损害, 达到增长患者生命周期和改善治疗预后的效果, 效果显著, 但在采用该方法进行治疗的同时, 需充分考虑病毒耐药的问题。
摘要:目的 探讨实施抗病毒疗法在与乙型病毒性肝炎相关的三种晚期肝病治疗中的实际效果。方法 整理我院收治的乙型病毒性肝炎相关的晚期病变类型 (重型肝炎14例、肝硬化43例、原发性肝癌25例) , 将其临床抗病毒治疗和相关疾病普通治疗情况进行对比分析。结果 在三种晚期肝病的治疗中实施抗病毒疗法效果明显, 均优于普通治疗, P<0.05比较具有统计学意义。结论 就与乙肝先关的晚期肝病来讲, 对是否采取抗病毒治疗仍存在一定的争议, 但抗病毒治疗以其良好的疗效, 得到了较大的关注。
关键词:乙型病毒性肝炎,重型肝炎,肝硬化,原发性肝癌,抗病毒治疗
参考文献
[1]中华医学会感染病学分会肝衰竭与人工肝学组, 中华医学会肝病学会重型肝病与人工肝学组.肝衰竭诊疗指南[J].中华内科杂志, 2006, 45 (9) :1053-1056.
[2]焦记丽.乙型病毒性肝炎相关晚期肝病的抗病毒临床分析[J].中国医药指南, 2012, 10 (2) :207-208.
分析病毒 第8篇
1 资料与方法
1.1 一般资料
病毒性脑炎患儿124例,男92例,女32例;年龄11个月~14岁,中位年龄4岁4个月;发病后12~36h内入院。临床符合病毒性脑炎、脑膜炎诊断标准[1]。根据年龄分为A组(<3岁)52例、B组(3~6岁)26例、C组(>6岁)46例。
1.2 试验方法
1.2.1 脑脊液(CSF)病毒病原学检测方法:
取入院后患儿CSF 0.5ml,应用多重引物聚合酶链式反应(PCR)分析法对CSF中肠道病毒(EV)、疱疹病毒(HSV)Ⅰ、Ⅱ型、EB病毒(EBV)、巨细胞病毒(CMV)病原进行检测。
1.2.2 试剂:
PCR引物根据病原的序列由北京市高科技实验室自行设计、赛百盛公司合成,Taq酶由天为时代试剂公司提供。提取RNA和DNA的试剂及逆转录试剂为Invitrogen产品。
1.2.3 技术流程[2]:
Trizol提取CSF中的RNA和DNA。采用逆转录—聚合酶链式反应(RT-PCR)和巢式PCR技术对核酸提取物进行检测,以确定病原种类。
2 结 果
2.1 患儿季节分布与临床表现
全年各季节入院患者数分别为1~3月28例(22.6%),4~6月28例(22.6%),7~9月38例(30.6%),10~12月30例(24.2%)。3组中>90%的患儿有发热、淡漠、烦躁、嗜睡、兴奋等症状。A、B组中同时伴有惊厥者48例(61.5%);C组以头痛为早期症状者44例(95.7%)。
2.2 年龄分布
B组患儿病原检出率最高(76.9%)。见表1。
2.3 实验室辅助检查
124例病毒性脑炎患儿CSF常规、头颅CT、脑电图等检查均有不同比例的异常发现。见表2。
2.4 病毒性脑炎病毒病原季节分布
CSF病毒病原检测阳性者78例(62.9%)。CSF病原以EV为主[36例(46.2%)],其次为HSV-Ⅱ型[18例(23.1%)],未见HSV-Ⅰ型病毒,CMV及EBV主要分布于4~9月。见表3。
注:CSF异常为白细胞、蛋白质超过正常值,以单核细胞为主;头颅CT异常为早期脑水肿改变,后期为脑萎缩;脑电图异常为广泛弥漫性慢波(3~5Hz)
3 讨 论
病毒性脑炎是小儿常见的急性中枢神经系统感染性疾病。其病毒种类、发病季节、患儿营养状况及急性期有效的治疗等对患儿的预后均有重要的影响。随着近年来腮腺炎、风疹、麻疹和脊髓灰质炎病毒疫苗的预防接种,引起中枢神经系统感染的常见病毒也逐渐发生了变化。本文所检测的病毒主要为EV 36例(46.2%),HSV-Ⅱ型18例、CMV和EBV各12例。此结果与Munoz-Almagro等[3]研究结果一致。
本文38例(30.6%)患儿发病在7~9月,与病毒性脑炎和脑膜炎大多发生于6~11月的报道一致[4]。但与其他季节病毒检出数无明显差异,可能与此季节的EBV或其他病毒感染有关,尚需进一步探讨。
随着人们生活水平提高、营养状况的改善,病毒性脑炎患儿临床症状较以往(昏迷等)有很大差异[5]。本文患儿的临床症状为发热、嗜睡和烦躁等精神症状;其惊厥和头痛在各组中出现几率不同。A、B组(幼年)中>60%的患儿伴有惊厥,C组(学龄)95.7%的患儿以头痛、嗜睡为主。可能是年幼患儿尚不能主动表达不适,出现惊厥才引起家长的注意。年长患儿在头痛出现时即就诊并进行较早的治疗,避免了惊厥等严重神经系统症状的出现。而头痛、嗜睡的症状与其他发热性疾病的表现相似,易被忽略延误治疗而遗留头痛、行为异常、学习困难等影响患儿生活质量的后遗症。因此认识所在地区病毒性脑炎患儿各年龄段的症状特点,对早期诊断、及时治疗、提高患儿生活质量具有非常重要的意义。
大量研究表明通过特异性IgM检测为确诊病毒性脑炎提供依据,但抗体的产生需要一定时间,其阳性检出率在60%左右。而确认病毒性脑炎的最直接依据是从CSF中分离出病毒[6,7]。近几十年来,应用PCR技术直接对病原DNA、RNA检测成为早期诊断病毒性脑炎的直接方法。本文124例临床确诊的病毒性脑炎患儿中,疾病早期CSF病原学检测阳性78例(62.9%),为病毒性诊断提供了可靠的早期实验室指标。由于本文各组检测病例数较少,因此还需进一步观察总结。
摘要:目的 分析不同年龄段病毒性脑炎患儿的临床表现及脑脊液(CSF)病毒病原学特点。方法 选取124例病毒性脑炎患儿,据年龄分为A组(<3岁)52例、B组(3~6岁)26例、C组(>6岁)46例。分析不同年龄段患儿的临床表现特点;应用多重引物聚合酶链式反应(PCR)方法对CSF进行病毒病原学检测,包括肠道病毒(EV)和疱疹病毒(HSV)I、II型及EB病毒(EBV)、巨细胞病毒(CMV),分析各病毒的季节与年龄分布的特点。结果 3组患儿均有发热、嗜睡、烦躁、淡漠等症状;A、B组伴有惊厥48例(61.5%),C组伴头痛44例(95.7%)。CSF病毒病原学检测阳性者78例(62.9%),其中以EV为主[36例(46.2%)],其次为HSV-Ⅱ型[18例(23.1%)],HSV-Ⅰ型未检出,CMV及EBV主要分布于4~9月;B组患儿病原检出率最高(76.9%)。结论 (1)除发热、嗜睡外不同年龄段病毒性脑炎患儿伴随症状不同;(2)应用多重引物PCR方法早期检测CSF病毒病原阳性率较高。
关键词:脑炎,病毒性,多重引物聚合酶链式反应法,病毒病原学
参考文献
[1]吴瑞萍,胡亚美,江载芳.诸福棠实用儿科学[M].7版.北京:人民卫生出版社,2002:759-763.
[2]Yamamoto T,Nakamura YA.Single tube PCR assay for simultaneous am-pliflcation of HSV-1/-2,VZV,CMV,HHV-6A/-6B,and EBV DNAs in cerebrspinal fluid from patients with virus-related neurological diseases[J].J Neurovirol,2000,6(5):410-419.
[3]Munoz-Almagro C,Gonzalez-Cuevas A,Cambra FJ,et al.Rapid diagnosis of herpetic meningoephalitis by PCR[J].Enferm Infet Microbiol Clin,2002,20(3):110-121.
[4]金玉,余唯琪,薛君莉,等.小儿病毒性脑炎病原诊断与临床分析[J].临床儿科杂志,2003,21(3):149-151.
[5]Kwon KJ,Kim HJ,Shin CY,et al.Melatonin potentiates the neuroprotec-tive properties of resveratrol against beta-amyloid-induced neurode-gener-ation by modulating AMP-activated protein kinase pathways[J].J Clin Neurol,2010,6(3):127-137.
[6]Kabadi SV,Maher TJ.Posttreatment with uridine and melatonin following traumatic brain injury reduces edema in various brain regions in rats[J].Ann N Y Acad Sci,2010,1199:105-113.
变形病毒的分析与检测 第9篇
随着病毒技术的不断发展, 出现了变形病毒。变形病毒能对同一种病毒产生数量众多的变种, 产生形态各异、数量众多的病毒, 给传统的特征值匹配反病毒技术带来巨大的挑战。为了能更好地防止这类病毒蔓延, 必须对变形病毒的机理和检测手段进行深入的分析, 才能更好地保护网络及信息的安全。
1 变形病毒
1.1 变形病毒特征
加密病毒可使同一种病毒的不同传染实例的病毒主体用不同的密钥进行加密, 虽然不可能在其中找到惟一的一段代码串和偏移来代表此病毒的特征, 但不同传染实例的解密子仍保持不变机器码明文, 所以加密病毒还没有能够完全逃脱反病毒特征值匹配扫描。但随着病毒技术的不断发展, 病毒设计者为了对抗传统的特征值匹配反病毒技术, 在加密病毒的基础之上进行改进, 使解密子的代码对不同传染实例呈现出多样性, 这就出现了变形病毒。变形病毒具有一般病毒的传染性、破坏性、潜伏性等基本特征以外, 还具有能用变化自身代码和形状来对抗反病毒手段的特征。即变形病毒传播到目标系统后, 病毒自身代码和结构在空间上、时间上具有不同的变化。
1.2 变形病毒原理
变形病毒是采用变形加密技术, 对病毒进行代码变换的一类病毒。变形病毒感染文件后, 没有两个被感染文件内的病毒数据是完全相同的, 从而达到病毒变形的目的。它和加密病毒非常类似, 惟一的改进在于病毒主体在感染不同文件会构造出一个功能相同但代码不同的解密子, 也就是不同传染实例的解密子具有相同的解密功能但代码却截然不同。比如原本一条指令完全可以拆成几条来完成, 中间可能会被插入无用的垃圾代码。
2 变形病毒技术分析
目前, 变形病毒一般由变形引擎和病毒体组成, 病毒体完成病毒的功能, 变形引擎对病毒体进行加密变形。变形病毒的关键是变形引擎的构造, 它由病毒加密子、解密器和变形机构成。病毒加密子在病毒每次感染文件前采用随机产生的密匙对病毒体加密, 并保存病毒的密匙;解密器在病毒运行前解密被加密的病毒体;变形机则对解密器进行变形。
2.1 病毒加密子
病毒加密子主要用来对病毒体进行加密, 是病毒体变形的主要方式。加密子由加密程序和密匙构成, 加密的方式很多, 病毒一般采用xor, add, sub, not等这些常用的方法, 随机产生的密匙是病毒体不断变形的前提。当然密匙不是固定不变的, 病毒一般随机产生密匙, 并且将密匙保存在某个位置供解密器使用, 随机密匙的产生采用各种各样的随机数生成算法, 各类变形病毒的加密原理与此类似。
2.2 病毒解密器
解密器是针对加密子的逆操作, 目的是还原出病毒本体。解密器的还原操作与加密子在方式上是一致的, 可见, 解密器和加密子是密不可分的, 对变形引擎来说, 两者缺一不可。
2.3 变形机
变形机主要对解密器进行变形, 达到病毒完全变形的目的。变形机相比加密子和解密器则相对较复杂, 它是变形病毒变形的关键。变形机对解密器变形一般采用随机寄存器选择、垃圾代码插入和指令重排列等方式。可见, 变形病毒的核心只是对解密器进行了变形, 病毒真正的本体只是采用了简单的随机加密手段。同一种变形病毒被解密还原后它的病毒体明文是固定不变的。变形病毒只是达到了变换形体的目的, 而病毒的内核依然固定不变。
变形病毒每一次传染都随机改变病毒体和随机产生解密器, 同一种病毒采用变形技术后理论上可存在无数的变形, 变形病毒数量众多的变形体加大了病毒检测的难度。给传统的基于静态特征扫描反病毒技术带来巨大的挑战, 很难直接从变形病毒随机变化的静态外形上提取病毒特征值。
由于无法找到不变的特征值, 静态特征扫描反病毒技术就彻底失效了, 应采用动态码扫描技术。所谓“动态码扫描技术”是指先在虚拟机的配合下对病毒进行解密, 接着在解密后病毒体明文中寻找特征值。要得到病毒体明文首先必须利用虚拟机对病毒的解密子进行解释执行, 当跟踪并确定其循环解密完成或达到规定次数后, 整个病毒体明文或部分已保存到一个内部缓冲区中, 提取病毒体明文, 再采用特征值方案就能查杀变形病毒了。
3 反病毒虚拟机技术
应用虚拟机技术反病毒, 实际上是模拟一个程序的运行环境, 解释执行病毒代码, 病毒只是在虚拟的环境中被执行, 真正的CPU并未运行过病毒代码, 大大降低实际系统被病毒感染的风险。
3.1 虚拟机技术原理
虚拟机是执行应用程序的虚拟环境, 是用软件创建的系统资源假象, 是系统资源的一种仿真, 在其之上的应用程序犹如运行在一个真实的CPU与操作系统环境。虚拟机技术在平台移植、软硬件测试和操作系统的实现等方面都发挥着重要的作用。由于虚拟机能模拟程序的真实运行、动态跟踪程序的运行状态, 对程序的运行期数据进行检测。虚拟机技术既然能够在虚拟中反映程序的任何动态, 那么, 将病毒放到虚拟机中执行, 则一定会反映出病毒的传染动作。可见, 在这样的虚拟环境中, 可以通过虚拟执行方法来检测变形病毒。
反病毒虚拟机用程序代码虚拟CPU寄存器, 甚至硬件端口, 用调试程序调入可疑带毒样本, 将每个语句放到虚拟环境中执行, 这样就可以通过内存、寄存器以及端口的变化来了解程序的执行, 改变了过去拿到样本后不敢直接运行而必须跟踪它的执行查看是否带有破坏、传染模块的状况。其优点是:
(1) 病毒检测不被病毒觉察, 因为虚拟机将在其内部缓冲区中为被虚拟执行代码设立专用的堆栈, 所以堆栈检查结果与实际执行一样, 不会向堆栈中压入单步和断点中断时的返回地址。
(2) 由于虚拟机自身完成指令的解码和地址的计算, 所以能够获取每条指令的执行细节并加以控制。
(3) 虚拟机技术确实做到了“虚拟”执行, 系统中不会产生代表被执行者的进程, 因为被执行者的寄存器组和堆栈等执行要素均在虚拟机内部实现, 因而可以认为它在虚拟机地址空间中执行。
3.2 反病毒虚拟机技术工作过程及实现
3.2.1 反病毒虚拟机工作过程
反病毒虚拟机主要完成模拟程序的运行和病毒检测两大任务。反病毒虚拟机技术的主要工作过程如图1所示。
(1) 在查杀病毒时, 在计算机虚拟内存中模拟出一个“指令执行虚拟计算机”。
(2) 在虚拟机环境中虚拟执行 (不会被实际执行) 可疑带毒文件。
(3) 在执行过程中, 检测病毒是否存在。即从虚拟机环境内截获文件数据, 如果含有可疑病毒代码, 则说明发现了病毒。否则, 判断是否是未知病毒。
(4) 杀毒过程是在虚拟环境下摘除可疑代码, 然后将其还原到原文件中, 从而实现对各类可执行文件内病毒的清除。
3.2.2 反病毒自含代码虚拟机w32encode的实现方法
虚拟机的设计方案包括自含代码虚拟机、缓冲代码虚拟机、有限代码虚拟机三种。其中自含代码虚拟机应用最为广泛, 因为它能对每条指令的动作做出非常详细的报告, 最适合对文件进行全面检查。
自含代码虚拟机首先设置模拟寄存器组 (用一个DWORD全局变量模拟真实CPU内部的一个寄存器, 如ENEAX) 的初始值, 初始化执行堆栈指针 (虚拟机用内部的一个数组static int STACK[0x20]来模拟堆栈) 。然后进入一个循环, 解释执行指令缓冲区Prog Buffer中的头256条指令, 如果循环退出时仍未发现病毒的解密循环则可由此判定非加密变形病毒, 若发现了解密循环则调用EncodeInst函数重复执行循环解密过程, 将病毒体明文解密到DataSeg1或DataSeg2中, 完成加密变形病毒的虚拟执行, 提取病毒体明文。
4 结束语
研究变形病毒的目的是为了找到确切的识别特征使之能被反病毒扫描程序快速可靠地检测到, 变形病毒检测通常是在多种检测技术的结合下完成的。不论是基于特征值的反变形技术、还是动态启发式分析和系统调用分析, 如果没有虚拟机技术的支持, 这些反病毒技术的能力是不可想象的。正因为这些原因, 虚拟机技术己经成为现代反病毒领域采用的核心技术之一, 大量的反病毒软件在虚拟机基础上构建反病毒引擎, 尽管对它的运用还远没有达到一个完美的程度, 但是虚拟机技术的出现给反病毒界带来了光明的前景, 尤其是对变形病毒的检测。
摘要:变形病毒给传统的特征值匹配反病毒技术带来巨大的挑战, 本文重点对变形病毒的原理及技术进行深入的分析, 并提出了基于虚拟机的动态码扫描技术来检测变形病毒, 可以有效防止这类病毒的蔓延, 更好地保护网络及信息的安全。
关键词:变形病毒,病毒检测,反病毒虚拟机
参考文献
[1]张波云.计算机病毒原理与防范.湖南师范大学出版社[M].2007.
[2]刘功申.计算机病毒及其防范技术.北京:清华大学出版社[M].2008.
手机病毒的分析及研究 第10篇
也许我们早已对计算机病毒的威胁提高了警惕, 但是如果有人告诉你手机同样也不安全, 恐怕相信的人并不多。毕竟相比于令人闻之色变的“灰鸽子”、“震荡波”或“冲击波”, 以及不久前的“熊猫烧香”来说, “名满天下”的手机病毒还尚未出现。但事实证明, 对手机病毒的担心已经不再是杞人忧天。为了更有效地对手机病毒进行防范, 对手机病毒的研究已经刻不容缓。
1 手机病毒概述
1.1 手机病毒的概念
手机病毒也是一种计算机程序, 和其它计算机病毒 (程序) 一样具有传染性、破坏性。手机病毒可利用发送短信、彩信, 电子邮件, 浏览网站, 下载铃声等方式进行传播。手机病毒可能会导致用户手机死机、关机、资料被删除、向外发送垃圾邮件、拨打电话等, 甚至还会损毁SIM卡、芯片等硬件。
在国内, 普遍接受的手机病毒的定义是:手机病毒和计算机病毒差不多, 不同的是, 手机病毒是以手机为感染对象, 以手机和手机网络为传播平台, 通过病毒短信、邮件发送等形式, 对手机或手机网络进行攻击, 从而造成手机或手机网络异常的一种新型病毒。
1.2 手机病毒的特点
手机病毒属于计算机病毒的一种, 几乎具备了计算机病毒的所有特性。手机病毒主要有以下几个特点。
(1) 传染性:病毒通过自身复制感染正常文件, 即病毒程序必须被执行之后才具有传染性, 继而感染其他文件, 达到破坏目标正常运行的目的。
(2) 隐蔽性:隐蔽性是手机病毒最基本的特点。经过伪装的病毒程序还可能被用户当作正常的程序而运行, 这也是病毒触发的一种手段。
(3) 潜伏性:一般病毒在感染文件后并非立即发作, 多隐匿于系统中, 只有在满足其特定条件时才启动其表现 (破坏) 模块。
(4) 可触发性:病毒如未被激活, 则会潜伏于系统之中, 不构成威胁。一旦遇到特定的触发事件, 则能够立即被激活且同时具有传染性和破坏性。
(1) 针对性:一种手机病毒并不能感染所有的系统软件或是应用程序, 其攻击方式往往是具有较强的针对性。
(2) 破坏性:任何病毒侵入目标后, 都会不同程度地影响系统正常运行, 如降低系统性能, 过多地占用系统资源, 损坏硬件甚至造成系统崩溃等。
(3) 表现性:无论何种病毒被激活以后, 将会对系统的运行、软件的使用、用户的信息等进行不同程度的针对性破坏。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。
(4) 寄生性:病毒嵌入载体中依载体而生, 当载体被执行时病毒程序也同时被激活, 然后进行复制和传播。
(5) 不可预见性:和计算机病毒相类似, 手机病毒的制作技术也在不断的提高, 在病毒检测方面来看, 病毒对反病毒软件来说永远是超前的。
1.3 手机病毒的工作原理
手机中自带的相关应用软件以及手机安装的嵌入式操作系统 (固化在芯片中的操作系统, 一般由Java、C++等语言编写) , 均相当于一个小型的智能处理器, 在使用过程中较易遭受病毒的攻击。而且, 当前手机发送的短信也不只是简单的文字信息, 其中还包括手机铃声、图片等信息, 这些操作都需要手机中的操作系统进行解释, 然后显示给手机用户, 而手机病毒就是靠这些软件系统的漏洞来入侵手机的。
手机病毒要传播和运行, 必要条件是移动服务商要提供数据传输功能, 而且手机需要支持Java等高级程序写入功能。现在许多具备上网及下载等功能的手机都可能被手机病毒入侵。
1.4 手机病毒与计算机病毒的联系
从手机病毒的概念可以看出手机病毒和计算机病毒有着干丝万缕的联系, 如下所示。
(1) 手机病毒也是一种程序, 由代码编写而成。其实任何一种像计算机病毒、手机病毒这样的病毒最终都是由一些能够执行的指令组成的, 即一种程序。
(2) 手机病毒也有传播特性, 手机病毒可利用短信、铃声、邮件、软件等方式, 实现手机到手机、手机到手机网络、手机网络到互联网的传播。
(3) 手机病毒也具有类似计算机病毒的破坏性, 包括“软”危害 (如死机、非正常关机、删除存储的资料、向外发送垃圾邮件、拨打电话等) 和“硬”危害 (损毁SIM卡、芯片等硬件损坏) 。
(4) 在攻击手段上, 手机病毒也与计算机病毒相似, 主要通过垃圾信息、系统漏洞和技术手段进行攻击。Timofonica病毒以及炸弹“手机轰炸机”病毒, 就是通过向手机用户发送大量垃圾邮件来骚扰用户;“洪流”等病毒则是利用手机芯片程序的缺陷或网络上的漏洞进行攻击;随着手机网络功能的增强, 会引入各种脚本的支持, 因而不久的将来肯定会出现技术先进的脚本病毒。
2 手机病毒攻击方式及危害
手机病毒的攻击方式及危害主要可以分为以下几类。
2.1 直接破坏手机功能, 使手机无法提供服务
这种手机病毒是最初的形式, 目前主要是利用手机程序的漏洞, 发送精心构造的短信 (sms) 或者彩信 (mms) , 造成手机程序出错, 从而导致手机不能正常工作, 就像我们经常在计算机上看到的“程序出错”情况一样。病毒会给手机发送“病毒短信”, 当用户浏览短信时, 就会造成手机出现关机、重启等异常。主要是利用手机芯片程序中的小虫, 以“病毒短信”的方式攻击手机, 使手机无法提供某方面的服务。典型的例子就是针对西门子手机的Mobile.SMSDOS病毒。
2.2 攻击WAP服务器等相关设备, 使WAP手机无法接收正常信息
WAP可以使小型手持设备如手机等方便地接入因特网, 完成一些简单的网络浏览、操作功能。手机的WAP功能需要专门的W A P服务器来支持, 一旦有人发现WAP服务器的安全漏洞, 并对其进行攻击, 手机将无法接通到正常的网络信息。
2.3 攻击和控制“网关”, 向手机发送垃圾信息
手机病毒通过攻击和控制接入服务器, 或者利用网关漏洞, 编写程序, 向手机发送大量的垃圾短信。网关是网络与网络之间的联系纽带, 如果一些手机病毒的作者能找到手机网络中的网关漏洞, 同样也可以利用该漏洞研制出攻击网关的手机病毒, 一旦攻击成功, 将会对整个手机网络造成影响, 使手机的所有服务都不能正常执行。典型的就是利用各大门户网站的手机服务漏洞, 编写程序, 不停地使用某个手机号码订阅某项服务或者退订某个服务, 例如SMS.Flood病毒。
2.4 攻击整个网络
如今有许多手机都支持运行Java (一种编程语言) 小程序, 比如通过手机下载的小游戏, 如果病毒作者可以找到这些Java漏洞的话, 可以利用Java语言编写一些脚本病毒, 来攻击整个网络, 使整个手机网络产生异常。
3 手机病毒的防范措施
以下所介绍的手机病毒防范技巧主要是针对于手机用户而言, 作为普通手机用户为了将手机病毒给用户造成的损失减少到最低, 手机用户在使用手机时应注意以下几种防范手机病毒的措施。
3.1 谨慎接听电话
接听电话时先看清楚, 如有乱码, 一定要关闭乱码电话。当对方来电话时, 如果屏幕上显示奇异的符号, 请不要接听。
3.2 谨慎接收短信息
短信息的收发越来越成为移动通信 (特别是年轻人) 的重要方式, 然而短信息也是感染手机病毒的一个重要途径。手机用户一旦接收到带毒短信, 就有可能出现键盘被锁、机内数据遭到破坏。使用手机在接收短信的时候一定要注意, 特别是一些来历不明的信件, 若出现乱码情况千万不要马上打开, 要立刻删除。
3.3 谨慎网络下载信息
随着3G时代的来临, 手机更加类似一部小型计算机, 有计算机病毒就会有手机病毒, 尤其在下载游戏等应用程序的时候应该更加小心, 不要轻易在一些个人网站上下载游戏, 而是尽可能从一些信誉好的服务提供商那里进行下载。未来手机可以浏览网页, 发送电子邮件, 更换标识语, 下载铃声和图片、游戏软件等, 不安全的网络下载可以使病毒大肆传播, 严重破坏手机的各项功能。
3.4 谨慎使用无线功能
手机的无线传输功能 (红外和蓝牙) 在不使用时, 应将其关闭。通过蓝牙传播病毒, 是近年来流行的病毒传播方式。对此, 我们应做到对于陌生手机通过蓝牙发来的数据传输申请, 一律拒收。另一方面还应把手机蓝牙功能调至关闭状态, 并且将蓝牙设置中的“手机可见性”设置为“隐藏”。
3.5 关注手机系统补丁
关注手机操作系统或应用程序的升级或修补信息, 及早升级系统或应用程序的补丁。
3.6 查杀手机病毒
目前我们主要可以通过两种方式来查杀手机病毒。其一是通过手机登录到相关网站进行在线杀毒。目前很多手机的官方站点都开通了手机的WAP杀毒服务, 只要用手机登录这些站点即可进行无线病毒扫描, 发现病毒便会立即清除。其次是在手机终端安装手机防病毒软件。
3.7 了解最新病毒信息
要注意有关手机病毒的新闻报告。一般而言, 一种新的、破坏力较大的计算机病毒或手机病毒一旦开始流行, 就会被网络、电视、报刊等各种媒体关注和报告, 手机用户应养成关注病毒新闻信息的习惯, 及时掌握最新的防病毒技巧。
4 结语
面对手机病毒不断泛滥, 迄今仍有大量智能手机缺乏对病毒的有效防范。开放性操作系统本身的漏洞、应用软件的缺陷均能被病毒制造者所利用, 加之众多厂商过于注重提升智能手机的性能, 而忽视安全机制的引入和有效的硬件保护措施, 已经给病毒的入侵留下隐患。随着智能终端与计算机差距的逐渐缩小, 手机病毒的威胁日渐加剧, 确实需要进一步唤起手机生产厂家与用户认识手机病毒的特性, 从而增强防范意识。事实证明, 具有防患病毒意识的用户所遭受的侵袭要远少于缺乏安全意识的用户。
希望广大手机用户能够通过对本文的阅读, 清楚的认识手机病毒的危害和其防范措施。希望本文能够为手机用户安全地使用手机增加些微帮助。
参考文献
[1]张仁斌, 李钢, 侯整风.计算机病毒与反病毒技术[M].北京:清华大学出版社, 2006.
[2]韩峳卿, 王建锋, 钟玮.计算机病毒分析与防范大全[M].北京:电子工业出版社, 2006.
[3]刘功申.计算机病毒及其防范技术[M].北京:清华大学出版社, 2008.
[4]王世安.手机病毒原理及防范[J].大连轻工业学院学报, 2004, 23 (1) :74~76.
[5]孙剑, 底翔.智能手机的病毒防治[J].信息安全与通信保密, 2007 (1) :136~138.
儿童病毒性脑炎95例临床分析 第11篇
[关键词] 儿童;病毒性脑炎;临床表现;分析
[中图分类号] R725.1 [文献标识码] B [文章编号] 2095-0616(2012)10-212-02
随着抗菌素的广泛应用,病毒性脑炎已经成为儿童最常见的中枢神经系统感染性疾病。本病主要依靠临床表现和辅助检查,并排除其他疾病后方能诊断。该病发病率高,病情轻重程度不一,大多数预后良好,少数患儿起病后病情发展快,可导致死亡及遗留后遗症,早期诊断和及时的正确治疗是治疗成功的关键。但由于缺乏特异性的诊断指标,本病的临床分析就显得很重要。现将笔者所在医院儿科2005年11月~2011年11月收治的95例病毒性脑炎患儿临床资料回顾分析如下。
1?临床资料
1.1?一般资料
随机抽取笔者所在医院儿科2005年11月~2011年11月共收治临床确诊为病毒性脑炎患儿95例,全部病例诊断均符和《实用儿科学》儿童病毒性脑炎的诊断标准,全部病例均依据腰穿脑脊液病毒的IgM抗体阳性来确诊[1]。其中,男60例,女35例,年龄3~6个月3例,7个月~1岁者14例,2~3岁者23例,4~5岁者45例,6~15岁者10例。
1.2?临床表现
全部患儿呈急性起病或亚急性起病,发病天数为0.5~7 d,平均为(3.4±1.6) d,全部病例均有不同程度的发热,除17例3个月~2岁婴幼儿无主诉能力外,有呕吐主诉者89 例(93.6%),头痛者76例(80%),惊厥发作33例(34.7%),合并脑膜刺激征阳性和病理反射阳性者45例(47.4%),肌体瘫痪3例(3.2%),有精神症状者46例(48.4%),主要表现为精神萎靡、兴奋、多眠、淡漠、躁动或兴奋抑郁交替。
1.3?血常规检查
全部患儿均行血常规检查,发现血常规白细胞總数正常者23例(24.2%),升高者72例(75.8%),白细胞最低4.4×109/L,最高22.4×109/L,平均(10.26±3.28)×109/L。
1.4?脑电图检查
全部病例入院3 d内行脑电图检查,其中脑电图异常80例(84.2%),但脑电图改变无特异性。多数为弥漫性异常及弥漫性异常背景上的局灶性活动异常活动为特征,少数伴有棘波、棘慢综合波。脑电图异常程度与病情严重程度有关,对本病的鉴别诊断很有价值。
1.5?脑脊液检查
95例患儿均于发病后1周内行腰椎穿刺以采集脑脊液,脑脊液涂片检查均未找到细菌,脑脊液培养阴性。全部病例均做脑脊液常规和生化检查及检测病毒特异性IgM抗体,脑脊液异常70例(73.7%),其中脑脊液压力增高者63例(90%);白细胞计数增高者53例(75.7%);蛋白质异常40例(57.1%),轻度增高31例(44.3%);糖和氯化物均正常。
1.6?头颅CT检查
95例患儿中行头颅CT平扫者67例(70.5%),其中CT正常53例(79.1%),异常14例(20.9%),多表现为大小不等、界限不清、不规则的脑实质内低密度影。
2?治疗与转归
所有病例确诊后即给予包括脱水、止惊、退热、控制继发感染,维持水和电解质平衡以及脑细胞代谢活化剂等综合治疗外,同时给予抗病毒药物应用,抗病毒药物主要使用更昔洛韦(哈药集团生物工程有限公司生产,H20057670),更昔洛韦剂量为10 mg/(kg·d),每日分2次静脉点滴,连用7~10 d。结果临床治愈79例(83.2%),好转13例(13.7%),放弃治疗2例(2.1%),死亡1例(1.1%),总有效率为96.8%。
3?讨论
病毒性脑炎是儿童中枢神经系统常见感染性疾病之一,大多预后良好,但若处置不当,亦可导致死亡或留下后遗症[2]。病原体主要包括肠道病毒、疱疹病毒、虫媒病毒、风疹病毒和流行性腮腺炎病毒等。目前肠道病毒已上升为小儿病脑的主要病原体[3],据报道单纯疱疹细胞病毒脑炎(HSE)占儿童病脑的10%~50%,占散发性坏死脑炎20%~75%,其病情凶险,病死率高,为病脑防治重点[4]。病毒性脑炎如果治疗不及时,常出现合并症,该病常遗留有后遗症或导致患儿残疾,严重影响患儿的生活质量,给社会家庭和带来经济负担。
病毒性脑炎急性期治疗除综合治疗措施以外,主要是早期应用抗病毒药物,阻止病毒在体内的复制及扩散,尽早控制炎症和免疫反应对脑组织的损害,维持正常的生命功能,以降低病死率和致残率。目前抗病毒药物中疗效较好的为更昔洛韦,更昔洛韦又名丙氧鸟苷,具有很强的广谱抗DNA病毒作用。更昔洛韦分子量小,50%可以透过血脑屏障,对在细胞内复制的病毒起抑制其DNA的合成作用,从而达到治疗的目的[5]。本组病例临床治愈83.2%(79/95),总有效率为96.8%(92/95)。且更昔洛韦应用后对人体的毒性低、副作用小,很少引起骨髓抑制,因此病毒性脑炎抗病毒药物应首选更昔洛韦进行治疗。
病毒性脑炎的临床表现多样而复杂,缺乏特异的症状和体征,对其早期的诊断一直是比较关注的问题。仅靠临床表现很难确诊,需要借助各种辅助检查来协助诊断,其中脑脊液检查可以为本病的早期诊断和鉴别诊断提供病原学依据[5];脑电图能客观的反映疾病的严重程度,对疾病的诊断、严重程度的判断及预后很有价值;头颅CT 检查对鉴别诊断及判断预后有帮助。而脑脊液的病毒学检查是确诊病毒性脑炎的重要标准,但限于技术水平和检验条件,基层医院往往很难做到。所以临床工作中儿科医师在遇到发热患儿一定要高度警觉,要认真询问患儿的病史和进行详细的体格检查,如果发现患儿有意识改变及中枢神经系统异常症状和体征时就要高度考虑病毒性脑炎的可能性,应给予脑脊液检查、脑电图检查及CT等辅助检查来进行确诊。临床上要注意与化脓性脑膜炎、结核性脑膜炎、隐球菌性脑膜炎等进行鉴别。
由于病毒性脑炎常常遗留有后遗症,而其后遗症又严重影响儿童的生活质量,所以儿科医生在临床上对可疑病毒性脑炎的患儿要高度重视,应尽早做脑脊液检查和脑电图、血常规、CT等辅助检查以帮助诊断。确诊后早期应用更昔洛韦等抗病毒药物,并给予及时、恰当、有效的综合治疗,积极控制疾病的进展,降低病死率和致残率,减少后遗症的发生。
[参考文献]
[1] 胡亚美,江载芳.诸福棠实用儿科学[M].第7版.北京:人民卫生出版社,2008:759-763.
[2] 樊金莲.静滴大剂量丙种球蛋白治疗重症病毒性脑炎35例临床观察[J].内科,2010,5(2):118-119.
[3] 刘春艳,申昆玲,梁国栋.2002-2005年北京儿童医院住院患儿病毒性脑炎流行病学分析[J].中国实用儿科杂志,2007,22(7):498-501.
[4] 马均.小儿病毒性脑炎50例临床分析[J].吉林医学,2008,29(23):2252-2253.
[5] 冯同军,汤政,刘凌,等.病毒性脑炎的早期诊断及更昔洛韦疗效评价[J].实用儿科临床杂志,2007,22(9):696-697.
[6] 刘萍.病毒性脑炎36例临床分析[J].现代医药卫生,2007,23(5):656.
病毒性肺炎临床分析 第12篇
1.1 一般资料
收集2009年10—12月间经临床证实的非细菌感染性肺炎患者15例,其中男10例,女5例;年龄27~62岁,平均年龄46.2岁。20~30岁3例,30~40岁4例,40~50岁6例,>50岁2例。
1.2 实验室检查
15例患者均进行血常规、血气指标、肝肾功能、心肌酶学检测、痰培养加药敏及X线胸片和胸部CT检查。根据肺炎危重症及重症诊断标准10例为危重症病例,5例为重症病例。
1.3 治疗
15例患者均使用奥司他韦75~150mg,2次/d,疗程为5~10d;3例鼻导管吸氧4例面罩吸氧3例给予无创机械通气治疗,5例行气管插管呼吸机辅助通气;15例均应用甲泼尼龙1~2mg/kg,疗程2~3d;均抗生素抗感染,并给予支持对症及中药治疗。
2 结果
2.1 症状与体征
所有病例均有发热,其中7例体温均39.5-40.0℃,所有病例均有咳嗽,其中3例有咳血丝痰,其余咳少量白色黏液痰;气促12例;部分患者伴有头痛、关节及肌 肉 酸 痛、乏 力。2例出现胸痛,均出现咽部充血,体温在39~41℃,呼吸为20~40次/min,2例口唇发绀,1例肺部可闻及呼气性喘鸣音,3例可闻及湿啰音。
2.2 血白细胞与生化指标变化
15例患者白细胞总数正常或偏低,为(1.4~9.8)×109/L中性粒正常或偏低;7例肌酸激酶同工酶增高,7例肌酸激酶增高15例乳酸脱氢酶增高,5例天冬氨酸转氨酶增高,5例丙氨酸转氨酶增高,5例直接胆红素增高,14例间接胆红素增高,15例患者血浆清蛋白降低,6例部分活化凝血活酶时间延长。上述指标随病情好转逐渐恢复正常,血肌酐含量均在正常范围;死亡患者进行性恶化,合并细菌感染,多器官衰竭。
2.3 血气指标变化
15例患者出现不同程度的缺氧,但无二氧化碳潴留,为I型呼吸衰竭。PaO:在40~75mmHg(1mmHg=0.133kPa),低于60mmHg者11例,60~80mmHg者4例;PaCO2为24~40mmHg,氧合指数为145~400mmHg,血氧饱和度为84%~98%,12例出现急性肺损伤,3例出现ARDS。
2.4 影像学CT改变
15例患者肺部影像学改变多种多样,均有不同程度的磨玻璃影及肺实变影,成菌落生长式分布(见图1),进展快,磨玻璃影主要分布于周边区域的胸膜下肺区,表现为碎石征及地图样改变(见图2),可进展至肺实变,随着肺实变影的吸收,出现肺纤维化征象(见图3);肺实变影以双下肺野明显,可见支气管充气征,大片实变影在吸收过程中可出现空洞样改变,空洞内可见不规则实变影;15例有不同程度的纵隔及肺门周围淋巴结肿大;3例伴支气管哮喘的患者X线胸片示双下肺纹理稍增粗,CT扫描显示双肺下叶斑片状渗出样病灶。
3 讨论
病毒感染性肺炎是目前在我国及一些省市发生的一种呼吸系统传染性疾病,自2003年3月至目前已出现新型的冠状病毒,甲型H1N1等多种病毒感染性肺炎,且致死率较高[1]。此病的病理过程、临床表现、治疗等仍不十分清楚,但其传染性强,病情进展快,危害大,特别是重症病毒感染性肺炎,临床表现严重,进行性进展,病情凶险,死亡率较高。但却没有明确的诊断标准,病毒学诊断又很困难[2]。
3.1 临床表现与实验室检查
患者以发热为首发症状,占100%,部分患者伴有畏寒,肌肉酸疼,干咳,肺部体征不明显,临床上单纯使用抗生素药物治疗无明显效果,在进展期,高烧不退,迅速出现气促、血氧饱和度降低,低于90%,实验室检查外周血白细胞计数正常或降低,淋巴细胞计数降低,30%的患者肝功能异常。
3.2 CT表现特点
病变范围大,肺中外野近胸膜或支气管末端菌落式起病,磨玻璃样肺间质改变,进展快、碎路石样式发展融合,进展至大片肺间质永久改变(表现多种多样,初期表现肺内多发病灶者居多,占100%;主要分布在双侧周边区域的胸膜下肺区,可见地图样改变及碎石征,提示肺间质病变[3];病程进展期,病变迅速明显扩大,数目增多,几乎累及双肺各个肺叶、段,新、老病灶同时存在);初期病灶吸收、变淡,但范围扩大,有的病灶扩大且实变,呈大片影,可见支气管气象,与新出现的病灶同时存在,因而同一病例、同一时期( 进展期)肺内病变多种多样:片状影、云雾状影、实变影、棉絮影、条索影,胸膜改变,少量胸腔积液。磨玻璃影及实变影同时存在,提示同时合并急性肺炎和急性间质性肺炎。进展快,预后差。
3.3 临床表现与影像表现不同步
初期症状少,大多数仅有发热,无明显咳嗽,咳痰及其他呼吸道症状,肺部体征轻微,而肺部CT可见明显病灶;恢复期临床症状已明显好转(体温恢复正常,咳嗽、气短明显减轻),而CT上病灶吸收不明显(缓慢吸收)。病灶吸收快慢因人而异,老年患者吸收较慢,合并严重基础疾病患者预后较差[4]。
对于此类病毒感染性肺炎临床表现、实验室检查及影像学表现,参考冠状病毒感染肺炎、甲型H1N1肺炎其存在共性,总结出以下特点:临床表现以发热为主伴轻微的呼吸道症状;查体无特异体征;白细胞及中性粒不高或降低;肺CT表现肺外野和或近胸膜菌落分布式起病,磨玻璃样肺间质改变,进展快,铺路石式发展融合,进展至大片肺间质永久改变[5];与基础病关系不密切;抗生素治疗效果不佳。由此我们可以试推论把以上特点作为病毒感染性肺炎的诊断标准。这样有利于给不能做病毒检测的基层医院及急诊部门作为参考,以便及早发现,及早隔离,及早治疗此类疾病。但由于病例较少,有待进一步观察、总结。
摘要:目的 探讨病毒感染肺炎早期诊断依据。方法 回顾分析15例病毒性肺炎患者临床表现,实验室检查结果、诊断治疗和预后情况。结果 病毒性肺炎的临床表现缺乏特异性,血常规、动脉血气分析结果对病毒性肺炎有提示价值,胸片或CT对病毒性肺炎有重要的诊断价值,病毒检测是明确诊断重要的手段但获取困难。结论 临床医生需提高对病毒性肺炎的认识,以便及早发现,及早诊断,及早治疗,提高生存率。
关键词:病毒性肺炎,临床分析
参考文献
[1]Centres for Disease control and Prevention web site.Sever acute respira-tory syndrome(SARS)and coronavirus testing-united states[EB/OL].http//www.Cdc.Gov/ncidod/sars/fop.Htm,2003-04-11.
[2]Tsang KW,HOPL,Ooi GC,et al.A cluster of cases of severe acute respiratory syndrome in Hong Kong[J].N Engl J Med,2003,348:1977-1985.
[3]颜剑豪,江桂华,田军.传染性非典型肺炎的表现[J].宁夏医学杂志,2003,25(7):1001-5949.
[4]唐笑先,王健,赵丽莎.16例重症传染性非典型肺炎的CT表现分析[J].中国医学影像技术,2003,19(7):1003-3289.
