病毒的具體類別及企業(yè)防病毒體系的建立

病毒的具體類別及企業(yè)防病毒體系的建立目錄

病毒的定義、類型和分類病毒的現(xiàn)狀和趨勢防范技術(shù)和措施病毒案例分析和清除方法病毒的具體類別及企業(yè)防病毒體系的建立計算機(jī)病毒定義廣義定義：能構(gòu)引起計算機(jī)故障，破壞計算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計算機(jī)病毒。法律規(guī)定計算機(jī)病毒是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。病毒的具體類別及企業(yè)防病毒體系的建立狹義定義：主要指傳統(tǒng)型病毒，即依靠感染宿主文件，當(dāng)宿主文件被執(zhí)行或加載時病毒得以爆發(fā)并傳播。廣義病毒：狹義病毒、蠕蟲、木馬。病毒的具體類別及企業(yè)防病毒體系的建立引導(dǎo)型病毒宏病毒文件型病毒郵件型病毒網(wǎng)站腳本病毒特洛伊木馬蠕蟲計算機(jī)病毒分類（廣義）病毒的具體類別及企業(yè)防病毒體系的建立引導(dǎo)型病毒引導(dǎo)型病毒是一種在ROMBIOS之后，系統(tǒng)引導(dǎo)時出現(xiàn)的病毒，它先于操作系統(tǒng)，依托的環(huán)境是BIOS服務(wù)程序。使得這個帶病毒的系統(tǒng)看似正常運轉(zhuǎn)，而病毒已隱藏在系統(tǒng)中并伺機(jī)傳染、發(fā)作。引導(dǎo)型病毒是在安裝操作系統(tǒng)之前進(jìn)入內(nèi)存，寄生對象又相對固定，因此該類型病毒基本上減少操作系統(tǒng)所掌管的內(nèi)存容量方法來駐留內(nèi)存高端。引導(dǎo)型病毒感染硬盤時，必定駐留硬盤的主引導(dǎo)扇區(qū)或引導(dǎo)扇區(qū)，并且只駐留一次，因此引導(dǎo)型病毒一般都是在軟盤啟動過程中把病毒傳染給硬盤的。

病毒的具體類別及企業(yè)防病毒體系的建立宏病毒W(wǎng)ord定義宏：宏就是能組織到一起作為一獨立的命令使用的一系列word指令，它能使日常工作變得更容易。該病毒通過可執(zhí)行文件感染目標(biāo)系統(tǒng)文件。傳播途徑：存儲介質(zhì)、網(wǎng)絡(luò)共享、電子郵件等方式病毒的具體類別及企業(yè)防病毒體系的建立文件型病毒文件型病毒主要是指感染可執(zhí)行文件（com，exe）的病毒，他隱藏在宿主文件中。執(zhí)行宿主程序時，將會先執(zhí)行病毒程序再執(zhí)行宿主程序。CIH就是一種典型的文件型病毒病毒的具體類別及企業(yè)防病毒體系的建立郵件型病毒通過電子郵件傳播的病毒都可以叫郵件型病毒，有很多郵件型病毒又可以稱為蠕蟲病毒。郵件病毒的分類：附件方式、郵件本身、嵌入方式（郵件只是這種病毒的傳播方式，因此這種病毒是蠕

蟲的一種蠕蟲）。歡樂時光、求職信、網(wǎng)絡(luò)天空都是有名的郵件型病毒病毒的具體類別及企業(yè)防病毒體系的建立腳本型病毒利用腳本技術(shù)（vbscrit、javascript、php、perl）編寫的通過瀏覽器傳播并感染計算機(jī)的病毒。病毒的具體類別及企業(yè)防病毒體系的建立特洛伊木馬也叫黑客程序或后門病毒，本質(zhì)就是一個遠(yuǎn)程控制軟件，可以進(jìn)行任何遠(yuǎn)程操作。木馬病毒通過網(wǎng)絡(luò)瀏覽/下載、網(wǎng)絡(luò)共享、電子郵件等方式傳播自啟動、隱藏端口與蠕蟲或普通病毒最大的區(qū)別是他不會自動傳播。病毒的具體類別及企業(yè)防病毒體系的建立蠕蟲（worm）他除了有著與一般的計算機(jī)病毒共同的特性外，還擁有自身的特征：他不需要一個文件作為宿主，它具有自動的傳播機(jī)制依靠網(wǎng)絡(luò)大規(guī)模傳播。他不僅能破壞被感染的計算機(jī)系統(tǒng)還能造成網(wǎng)絡(luò)癱瘓，是一種惡性網(wǎng)絡(luò)型計算機(jī)病毒。大名鼎鼎的病毒幾乎大半都是蠕蟲病毒：沖擊波、震蕩波、威金、熊貓燒香等。病毒的具體類別及企業(yè)防病毒體系的建立計算機(jī)病毒特性傳染性潛伏性可執(zhí)行性破壞性針對性隱蔽性病毒的具體類別及企業(yè)防病毒體系的建立計算機(jī)病毒特性(1)傳染性:正常的計算機(jī)程序一般是不會將自身的代碼強(qiáng)行連接到其他程序上，而病毒卻能使自身的代碼強(qiáng)行傳染到一切符合其傳染條件的程序潛伏性:大部分的病毒感染系統(tǒng)之后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)，只有在滿足其特定條件時才會運行。可執(zhí)行性:病毒文件在滿足相應(yīng)的條件后，會觸發(fā)運行，產(chǎn)生破壞。（未經(jīng)授權(quán)的執(zhí)行）病毒的具體類別及企業(yè)防病毒體系的建立計算機(jī)病毒特性(2)破壞性：任何病毒只要侵入系統(tǒng)并發(fā)作，就會對系統(tǒng)和應(yīng)用程序產(chǎn)生不可預(yù)知的破壞和影響。（良性和惡性）針對性:通常病毒是利用特定的漏洞針對特性的系統(tǒng)、應(yīng)用進(jìn)行破壞。隱蔽性：病毒通常附在正常程序中或磁盤隱蔽處，與正常程序通常難以區(qū)分。病毒的具體類別及企業(yè)防病毒體系的建立病毒傳播手段

電子郵件Internet瀏覽以及下載光盤，USB等介質(zhì)遠(yuǎn)程撥入用戶帶來的病毒系統(tǒng)漏洞網(wǎng)絡(luò)共享病毒的具體類別及企業(yè)防病毒體系的建立病毒常見觸發(fā)方式特定日期或時間觸發(fā)感染觸發(fā)鍵盤觸發(fā)啟動觸發(fā)訪問磁盤次數(shù)觸發(fā)CPU型號/主板型號觸發(fā)病毒的具體類別及企業(yè)防病毒體系的建立病毒典型的結(jié)構(gòu)典型的計算機(jī)病毒一般由三個功能模塊組成，即：引導(dǎo)模塊、傳染模塊、破壞模塊。但是，不是所有的病毒均由此結(jié)構(gòu)組成，如有的內(nèi)存病毒甚至沒有病毒體（即病毒文件），只駐留在內(nèi)存。病毒的具體類別及企業(yè)防病毒體系的建立病毒功能模塊引導(dǎo)模塊：將病毒主體導(dǎo)入內(nèi)存并為傳染模塊提供運行環(huán)境。傳染模塊：將病毒代碼傳到其他的載體上去，一般情況下傳染模塊分為兩部分，前提是一個條件判別程序，后部才是傳染程序主體。破壞模塊：破壞模塊也將有條件判別部分，因病毒有潛伏期，破壞模塊只在條件符合是才活動。病毒的具體類別及企業(yè)防病毒體系的建立目錄

病毒的定義、類型和分類病毒的現(xiàn)狀和趨勢防范技術(shù)和措施病毒案例分析和清除方法病毒的具體類別及企業(yè)防病毒體系的建立幾小時Time幾周/幾個月幾天幾分鐘幾秒鐘Early1990sMid1990sLate1990s20002006ContagionTimeframe第I

類人工響應(yīng):有可能“Flash”Threats第III類人工響應(yīng):不可能自動響應(yīng):不太可能主動阻擋:有可能第II類人工響應(yīng):很難/不可能自動響應(yīng):有可能MacroVirusese-mailWormsBlendedThreats病毒的現(xiàn)狀和趨勢病毒的具體類別及企業(yè)防病毒體系的建立擴(kuò)散速度驚人在高峰期，每12封電子郵件就有1封被MyDoom感染！CodeRed的感染率每37分鐘就翻一番。Slammer每8.5秒就翻一番，在10分鐘之內(nèi)可感染90%未受保護(hù)的服務(wù)器！一旦有漏洞公開披露，Blaster只需27天就可摧毀網(wǎng)絡(luò)！病毒的具體類別及企業(yè)防病毒體系的建立目錄

病毒的定義、類型和分類病毒的現(xiàn)狀和趨勢新型病毒的工作原理與危害防范技術(shù)和措施病毒案例分析和清除方法病毒的具體類別及企業(yè)防病毒體系的建立防范技術(shù)和措施反應(yīng)式響應(yīng)技術(shù)：基于特定威脅的特征，目前絕大多數(shù)安全產(chǎn)品均基于這種技術(shù)通過名字識別攻擊根據(jù)需要進(jìn)行響應(yīng)減輕損失事后恢復(fù)主動式響應(yīng)技術(shù)：以識別和阻擋未知威脅為主導(dǎo)思想早期預(yù)警技術(shù)有效的補(bǔ)丁管理主動識別和阻擋技術(shù)病毒的具體類別及企業(yè)防病毒體系的建立月天小時分鐘秒程序病毒Macro病毒電子郵件蠕蟲網(wǎng)絡(luò)蠕蟲Flash蠕蟲感染期特征響應(yīng)期我們已經(jīng)面臨這樣一種感染形勢，即最新威脅的傳播速度已經(jīng)超出了我們的響應(yīng)能力如果我們想要贏得這場戰(zhàn)爭，那么我們必需改變我們的策略1990時間2006感染期特征響應(yīng)期傳統(tǒng)的反應(yīng)式響應(yīng)技術(shù)存在缺陷病毒的具體類別及企業(yè)防病毒體系的建立主動式響應(yīng)技術(shù)：識別和阻擋未知威脅為主導(dǎo)思想將為保護(hù)互聯(lián)網(wǎng)的方式帶來的四種新技術(shù)行為阻截協(xié)議異常防護(hù)病毒扼殺一般漏洞利用阻截病毒的具體類別及企業(yè)防病毒體系的建立

策略#1：行為阻截思想：

阻截系統(tǒng)上每個應(yīng)用程序的行為，并實時阻截惡意操作。

設(shè)想抗病毒藥物如何阻截真正的病毒……每種病毒都有其特定的生命周期。中斷其生命周期，您就消滅了病毒。病毒的具體類別及企業(yè)防病毒體系的建立

策略#1：行為阻截已經(jīng)保護(hù)了數(shù)百萬用戶！防止程序通過電子郵件進(jìn)行自我復(fù)制已經(jīng)成功阻截了MyDoom和Sobig，而未使用病毒特征HeyRob,Checkoutthiscoolcalendarprogram.greatmp3stocheckhehe;+-4)Tuesday,March2,200410:07PMcool.exe一樣嗎？警告：檢測到惡意蠕蟲電子郵件傳送被停止，因為其中包含蠕蟲：電子郵件信息Fw:somestuffhere隔離該蠕蟲（推薦）病毒的具體類別及企業(yè)防病毒體系的建立思想：

在網(wǎng)關(guān)和主機(jī)上截獲數(shù)據(jù)流，只轉(zhuǎn)發(fā)符合公認(rèn)的互聯(lián)網(wǎng)標(biāo)準(zhǔn)的數(shù)據(jù)。

策略#2：協(xié)議異常防護(hù)標(biāo)準(zhǔn)：只有符合9”x14”x22”標(biāo)準(zhǔn)的行李箱才允許放進(jìn)頭頂上的行李架中。對于紅色代碼、Slammer和Blaster，都可以使用此類技術(shù)來防護(hù)。病毒的具體類別及企業(yè)防病毒體系的建立

策略#2：協(xié)議異常防護(hù)思想：

在網(wǎng)關(guān)和主機(jī)上截獲數(shù)據(jù)流，只轉(zhuǎn)發(fā)符合公認(rèn)的互聯(lián)網(wǎng)標(biāo)準(zhǔn)的數(shù)據(jù)。HTTP標(biāo)準(zhǔn)HTTP請求必需符合下列標(biāo)準(zhǔn)：1.必需以GET請求開始。

2.必需發(fā)送標(biāo)題行。

3.請求之后未跟隨其他數(shù)據(jù)。TCP數(shù)據(jù)包GET/default.ida?XX…XXXHTTP/1.0Accept:text/htmlConnection:closeAAAAAAAAAAACODEREDXYZAPW

QWR@SNNBW#IYYU7AWMANEW7

#9!!@BPPMQ~^RQSPMZN((*#Z,,aO

+01ABVAKMAMWOAPP…對于紅色代碼、Slammer和Blaster，都可以使用此類技術(shù)來防護(hù)。病毒的具體類別及企業(yè)防病毒體系的建立

策略#3：病毒扼殺思想：

限制PC每秒鐘與其他計算機(jī)新建的首次連接數(shù)。超快計算機(jī)蠕蟲每秒鐘可以連接到數(shù)百臺新計算機(jī)。限制連接速率，便可對蠕蟲進(jìn)行限制。普通用戶每秒連接到一至兩臺計算機(jī)。病毒的具體類別及企業(yè)防病毒體系的建立

策略#4：一般漏洞利用阻截步驟1：總結(jié)新漏洞的“形狀”特征步驟2：以該形狀作為特征，掃描網(wǎng)絡(luò)流量并阻截與其匹配的任何數(shù)據(jù)立即阻截所有的新蠕蟲，無需特定的特征。思想：

正如只有形狀正確的鑰匙才能打開鎖一樣，只有“形狀”正確的蠕蟲才能利用漏洞進(jìn)行攻擊。病毒的具體類別及企業(yè)防病毒體系的建立如果能阻擋掃描流量，發(fā)現(xiàn)不了有漏洞的機(jī)器？可能是一條指令，也可能是下載一個執(zhí)行程序掃描具有漏洞的機(jī)器如果能檢測出這些攻擊指令如果能檢測出這些病毒程序？1、客戶端防火墻技術(shù)2、客戶端入侵檢測技術(shù)3、客戶端防病毒技術(shù)有效的終端病毒防護(hù)技術(shù)病毒的具體類別及企業(yè)防病毒體系的建立企業(yè)級病毒防護(hù)體系的構(gòu)建縱深的防御體系--在傳統(tǒng)客戶端和服務(wù)器層次的防病毒體系外，增加服務(wù)器防病毒、網(wǎng)絡(luò)防病毒和網(wǎng)關(guān)防病毒（）可以大大加強(qiáng)企業(yè)防病毒的能力，形成縱深的防御體系，這是因為增加的防病毒系統(tǒng)可以在最常見的網(wǎng)絡(luò)傳播途徑上攔截和清除病毒，并與客戶端和文件服務(wù)器層次的防病毒聯(lián)合，形成能夠?qū)Ω稄?fù)合型病毒的強(qiáng)大的企業(yè)防病毒體系架構(gòu)。病毒的具體類別及企業(yè)防病毒體系的建立病毒的具體類別及企業(yè)防病毒體系的建立目錄

病毒的定義、類型和分類病毒的現(xiàn)狀和趨勢防范技術(shù)和措施病毒案例分析和清除方法病毒的具體類別及企業(yè)防病毒體系的建立病毒案例分析—Blaster（沖擊波）病毒Blaster原理：W32.Blaster.Worm通過TCP端口135利用DCOMRPC漏洞(此漏洞的信息請參見MicrosoftSecurityBulletinMS03-026)RPC提供了一種進(jìn)程間的通信機(jī)制，通過這一機(jī)制，允許在某臺計算機(jī)上運行的程序順暢地在遠(yuǎn)程系統(tǒng)上執(zhí)行代碼。協(xié)議本身源自O(shè)SF（開放式軟件基礎(chǔ)）RPC協(xié)議，但增加了一些Microsoft特定的擴(kuò)展。RPC中處理通過TCP/IP的消息交換的部分有一個漏洞。實際上是一個緩沖區(qū)溢出漏洞，成功利用此漏洞的攻擊者有可能獲得對遠(yuǎn)程計算機(jī)的完全控制，可以以本地系統(tǒng)權(quán)限執(zhí)行任意指令。病毒的具體類別及企業(yè)防病毒體系的建立Blaster病毒癥狀上網(wǎng)時彈出RPC服務(wù)終止的對話框倒計時60秒反復(fù)重啟

IE瀏覽器不能正常地打開鏈接；右鍵菜單不能復(fù)制粘貼；有時出現(xiàn)應(yīng)用程序，比如Word異常；網(wǎng)絡(luò)變慢；在任務(wù)管理器里有一個“msblast.exe”進(jìn)程在運行病毒的具體類別及企業(yè)防病毒體系的建立Blaster手動清除方法用任務(wù)管理器結(jié)束進(jìn)程。病毒運行時會將自身復(fù)制為：%systemdir%\msblast.exe,用戶可以手動刪除該病毒文件。

注意：%systemdir%是指操作系統(tǒng)安裝目錄中的系統(tǒng)目錄，默認(rèn)是：“C：\Windows\system”或：“c：\Winnt\system32”。病毒會修改注冊表的HKEY_LOCAL_MACHINE