病毒防護(hù)策略

病毒防護(hù)策略2本章概要本章內(nèi)容主要是當(dāng)前網(wǎng)絡(luò)時代新威脅的基礎(chǔ)知識，包括：病毒防護(hù)的一般知識；企業(yè)級防毒體系的要義；病毒與互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈；云安全技術(shù)構(gòu)成；企業(yè)防毒體系的構(gòu)建傳統(tǒng)的病毒防護(hù)技術(shù)計(jì)算機(jī)病毒的檢測方法搜索法分析法特征字識別法比較法病毒檢測方法計(jì)算機(jī)病毒的檢測方法比較法比較法是通過用原始備份與被檢測的引導(dǎo)扇區(qū)或文件進(jìn)行比較，來判斷系統(tǒng)是否感染病毒的方法。文件長度的變化和文件中程序代碼的變化都可以用來作為比較法判斷有無病毒的依據(jù)。比較法的優(yōu)點(diǎn)：簡單、方便，不需專用軟件，并且還能發(fā)現(xiàn)尚不能被現(xiàn)有的查病毒程序發(fā)現(xiàn)的計(jì)算機(jī)病毒。比較法的缺點(diǎn)：無法確認(rèn)病毒的種類。當(dāng)發(fā)現(xiàn)差異時，無法判斷產(chǎn)生差異的原因是由于病毒的感染，還是由于突然停電、程序失控、惡意程序破壞等原因造成的。計(jì)算機(jī)病毒的檢測搜索法搜索法的主要缺點(diǎn)：當(dāng)被掃描的文件很長時，掃描所花的時間也多。當(dāng)新的病毒特征串未加入病毒代碼庫時，老版本的掃描程序無法識別新病毒。當(dāng)病毒產(chǎn)生新的變種時，病毒特征串被改變，因此可以躲過掃描程序。容易產(chǎn)生誤報警。搜索法是用每一種病毒體含有的特征字節(jié)串對被檢測的對象進(jìn)行掃描，如果發(fā)現(xiàn)特征字節(jié)串，就表明發(fā)現(xiàn)了該特征串所代表的病毒。被廣泛應(yīng)用。計(jì)算機(jī)病毒的檢測特征字的識別法同搜索法不同，特征字識別法只需從病毒體內(nèi)抽取很少幾個關(guān)鍵的特征字，組成特征字庫，可進(jìn)行病毒的查殺。由于需要處理的字節(jié)很少，又不必進(jìn)行串匹配，特征字識別法的識別速度大大高于搜索法。特征字識別法比搜索法更加注意“程序活性”，減少了錯報的可能性。計(jì)算機(jī)病毒的檢測分析法分析法是反病毒專家使用的方法，不適合普通用戶。反病毒專家采用分析法對染毒文件和病毒代碼進(jìn)行分析，得出分析結(jié)果后形成反病毒產(chǎn)品。分析法可分為動態(tài)和靜態(tài)兩種。一般必須采用動靜結(jié)合的方法才能完成整個分析過程。計(jì)算機(jī)病毒的清除方法文件型病毒的清除引導(dǎo)型病毒的清除壓縮文件病毒的檢測與清除內(nèi)存殺毒病毒清除方法計(jì)算機(jī)病毒的清除文件型病毒的清除清除文件型病毒，可以有如下一些方案：如果染毒文件有未染毒的備份的話，用備份文件覆蓋染毒文件即可。如果可執(zhí)行文件有免疫疫苗的話，遇到病毒后，程序可以自動復(fù)原。如果文件沒有任何防護(hù)的話，可以通過殺毒程序進(jìn)行殺毒和文件的恢復(fù)。但殺毒程序不能保證文件的完全復(fù)原。計(jì)算機(jī)病毒的清除引導(dǎo)型病毒的清除清除引導(dǎo)型病毒，可以有以下一些方案：對于硬盤，可以在其未感染病毒時進(jìn)行硬盤啟動區(qū)和分區(qū)表的備份。當(dāng)感染引導(dǎo)型病毒后，可以將備份的數(shù)據(jù)寫回啟動區(qū)和分區(qū)表即可清除引導(dǎo)型病毒。可以用殺毒軟件來清除引導(dǎo)型病毒。計(jì)算機(jī)病毒的清除內(nèi)存殺毒由于內(nèi)存中的活病毒體會干擾反病毒軟件的檢測結(jié)果，所以幾乎所有的反病毒軟件設(shè)計(jì)者都要考慮到內(nèi)存殺毒。內(nèi)存殺毒技術(shù)首先找到病毒在內(nèi)存中的位置，重構(gòu)其中部分代碼，使其傳播功能失效。計(jì)算機(jī)病毒的清除壓縮文件病毒的檢測和清除壓縮程序在壓縮文件的同時也改變了依附在文件上的病毒代碼，使得一般的反病毒軟件無法檢查到病毒的存在。已被壓縮的文件被解壓縮并執(zhí)行時，病毒代碼也被恢復(fù)并激活，將到處傳播和破壞。目前的主流防病毒軟件都已經(jīng)在其產(chǎn)品中包含了特定的解壓縮模塊，可以既檢查被壓縮后的病毒，又不破壞被壓縮后沒有病毒的文件。病毒流行趨勢與黑色產(chǎn)業(yè)鏈用戶的變化變化中的網(wǎng)絡(luò)安全三要素技術(shù)的變化威脅的變化網(wǎng)絡(luò)威脅的變化威脅的變化2008中國網(wǎng)絡(luò)威脅現(xiàn)況信息來源：2008年10月公安部國家計(jì)算機(jī)病毒應(yīng)急處理中心計(jì)算機(jī)病毒感染率為85.5%多次感染病毒的比率為66.8%

2008中國網(wǎng)絡(luò)威脅現(xiàn)況通過網(wǎng)絡(luò)下載或?yàn)g覽感染病毒是今年計(jì)算機(jī)病毒感染的主要途徑網(wǎng)絡(luò)犯罪分子越來越傾向于通過網(wǎng)頁“掛馬”方式來傳播病毒

信息來源：2008年10月公安部國家計(jì)算機(jī)病毒應(yīng)急處理中心網(wǎng)絡(luò)威脅快速增長的2008年惡意程序?yàn)榱双@取客戶機(jī)密信息或金錢而層出不窮逐利性多變性復(fù)雜性SpamSpywareBotnetsWormsWeb總量達(dá)到1500萬左右單月增長超過64萬支典型的網(wǎng)絡(luò)威脅攻擊流程僵尸網(wǎng)絡(luò)BotSecurityHolesVirusesSpywaresMalware垃圾郵件Spammails釣魚郵件網(wǎng)絡(luò)威脅表現(xiàn)出針對特定目標(biāo)進(jìn)行組合式、協(xié)作式攻擊的特性!釣魚站點(diǎn)SecurityHoles準(zhǔn)備廣泛散布控制所有僵尸節(jié)點(diǎn)發(fā)動攻擊用戶的變化用戶的變化互聯(lián)網(wǎng)用戶快速增長互聯(lián)網(wǎng)用戶占人口的比例越來越高普通人上網(wǎng)變得就象使用自來水一樣方便!年青一代表現(xiàn)