導(dǎo)言：作為寫作愛好者，不可錯過為您精心挑選的10篇計算機反病毒論文，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

二、計算機病毒的基本類型

計算機的基本病毒包括：

1.蠕蟲病毒，該種病毒不僅會占據(jù)大量的系統(tǒng)內(nèi)存還具有很強的破壞性，用戶一旦被此病毒侵入就會莫名其妙地進入死機狀態(tài)。

2.木馬程序，“木馬”這一詞匯源自古希臘，本意是藏于木馬身體內(nèi)部的士兵。而在網(wǎng)絡(luò)上的木馬是指偽裝成惡意代碼的圖片、可執(zhí)行文件以及網(wǎng)頁等，該種病毒是通過電子郵件對用戶進行傳染，用戶只要稍微大意一些就會感染該種病毒，感染了該種病毒若不及時清除就會導(dǎo)致程序無法正常進行，嚴重的還會導(dǎo)致系統(tǒng)癱瘓。

3.CIH病毒，該病毒的滲透力極強，中招的用戶不但會陷入癱瘓狀態(tài)還有可能硬件已經(jīng)被損壞了一大半，其破壞力相當驚人。

4.宏病毒，這一類的病毒通常會借助office進行迅速的復(fù)制并傳播，這種病毒一般會比較隱秘地隱藏在對話框中，一旦被用戶點擊確認，就會一發(fā)不可收拾地進行擴散。

三、防范計算機病毒的措施

（一）提高防范計算機病毒的意識

首先不要隨意打開一些不明來歷的郵件以及它的附件，也不要隨意瀏覽一些非法的網(wǎng)頁和網(wǎng)站；從互聯(lián)網(wǎng)下載程序的時候，要先采取殺毒方式進行查殺，確定安全之后才可下載；無論是使用U盤或者是其他存儲工具，都要在使用之前進行殺毒。

（二）計算機的各種接口做好防范工作

在很多公共場所的計算機很容易被病毒侵入，比如實施教學(xué)的公共機房中，計算機就很容易被帶入病毒，因為學(xué)生會經(jīng)常使用U盤拷貝資料，如果有些U盤本身已經(jīng)攜帶了病毒而很多學(xué)生因為覺得麻煩而忽略病毒掃描工作，就會使計算機很容易感染到病毒。所以，在使用U盤的時候最好先進行病毒掃描，確定無病毒再進行使用才比較安全。

（三）經(jīng)常升級安全補丁

曾有大量的數(shù)據(jù)顯示證明網(wǎng)絡(luò)病毒大部分是通過安全漏洞進行傳播的，所以用戶需要注意安全補丁的升級工作，養(yǎng)成及時更新和升級殺毒軟件的良好習(xí)慣，定期進行病毒的掃描工作，只有這樣，才能防患于未然。

（四）對中病毒的計算機要及時維修

在計算機中病毒之后，第一反應(yīng)就是立刻掐斷網(wǎng)絡(luò)，以防被其他病毒侵入形成交叉感染，及時找專業(yè)的維修人員進行維修。如果用戶自己沒有把握能將其修好最好不要隨便動手，以避免對計算機的二次傷害并造成相關(guān)數(shù)據(jù)的丟失。

（五）安裝專業(yè)的殺毒軟件

目前計算機的種類越來越多，而且層出不窮。所以，比較理想的防殺方式是使用殺毒軟件。但是殺毒軟件如果不及時更新就會失去它應(yīng)有的殺毒功能，因此要真正保證計算機的安全就必須經(jīng)常更新和升級殺毒軟件的病毒庫，打開實時監(jiān)控等。

（六）設(shè)置復(fù)雜的計算機密碼

計算機密碼最好選擇數(shù)字、字母以及各種符號交叉使用，越復(fù)雜的密碼安全性越高，比如可以交叉使用大小寫字母加數(shù)字。切忌使用個人的電話號碼或者生日等常用的數(shù)字做密碼，用此類的數(shù)字做密碼安全性極低。

篇2

①破壞性極大。在網(wǎng)絡(luò)環(huán)境下，計算機病毒結(jié)合其他技術(shù)對計算機進行入侵，造成的危害極大；

②傳染性強。對于計算機病毒而言，在網(wǎng)絡(luò)環(huán)境下，使其傳染的危害進一步擴大，這也是計算機病毒最麻煩的特性。而且，通常情況下，這類計算機病毒的復(fù)制能力非?？焖?，使得其傳播速度更快，感染范圍更廣。

2網(wǎng)絡(luò)環(huán)境下防范病毒的措施

2.1樹立良好的安全意識

在網(wǎng)絡(luò)環(huán)境下，要想安全的使用計算機，樹立良好的安全意識是一種最基本的防范要求。

2.2系統(tǒng)

、重要數(shù)據(jù)及時備份對于操作系統(tǒng)，要將其放置在硬盤的一個單獨分區(qū)內(nèi)，與數(shù)據(jù)或者其他文件分區(qū)存放，并且做好系統(tǒng)和重要數(shù)據(jù)、文件等的備份，以便電腦在遭受病毒感染后能夠及時的恢復(fù)，降低病毒被入侵后的損失。

2.3設(shè)置用戶訪問權(quán)限

在不影響用戶正常工作的情況下，設(shè)置系統(tǒng)文件的訪問權(quán)限為最低限度，防止文件型病毒對系統(tǒng)的侵害。對于安裝在系統(tǒng)的程序，設(shè)置一定的管理權(quán)限才允許用戶查看，而且，對于許多常用軟件，分配一個臨時訪問程序的權(quán)限，這樣能大大降低病毒的入侵。

2.4主動修改注冊表

計算機病毒對系統(tǒng)進行攻擊時，一般需要一定的觸發(fā)條件。如果能夠成功阻止該條件，就能有效避免病毒程序的啟動。對于這類條件的阻止，最有效的方式就是主動修改注冊表。

篇3

2計算機病毒網(wǎng)絡(luò)傳播模型的穩(wěn)定性及控制研究

計算機網(wǎng)絡(luò)的安全技術(shù)發(fā)展過程非常的清楚明了：計算機防火墻技術(shù)計算機病毒入侵檢測技術(shù)計算機安全防御技術(shù)?？梢哉f，這個過程便是整個計算機病毒網(wǎng)絡(luò)控制的主要發(fā)展過程。一般來說，計算機病毒網(wǎng)絡(luò)防御的技術(shù)手段為以下幾種：檢驗病毒技術(shù)、行為檢測技術(shù)、預(yù)先掃描技術(shù)、特征代碼技術(shù)以及模擬軟件技術(shù)，其中應(yīng)用最為廣泛的技術(shù)手段便是特征代碼技術(shù)。當前，該種技術(shù)是被人們普遍認同的可以用來檢測依然得知的計算機網(wǎng)絡(luò)病毒手段，并且操作簡單、成本費用低廉。事實上，生活中大多數(shù)人經(jīng)常使用的計算機防毒軟件中的掃毒模式便是將所有計算機病毒的代碼進行分析歸類，然后依次將其特征全部搜集匯總到計算機病毒代碼的資料庫當中。在計算機病毒掃描軟件開始工作時，便會將計算機內(nèi)所有的程序與系統(tǒng)和病毒資料庫中的特征一一進行比對，一旦發(fā)現(xiàn)相互吻合的內(nèi)容，便會判定該系統(tǒng)亦或者是程序已然被病毒所入侵。經(jīng)過上述假定計算機病毒網(wǎng)絡(luò)模型的實驗中，也可以發(fā)現(xiàn)模型當中的病毒其傳播非常依賴to的取值。在實際情況中，通過主動性的計算及防御以及病毒查殺來提高計算機網(wǎng)絡(luò)的安全性能及穩(wěn)定性能，從而有效的將計算機網(wǎng)絡(luò)中的病毒傳播率控制到最低，是最為有效的方式手段。而這一種方式對于計算機網(wǎng)絡(luò)管理人員而言，并不是難以實現(xiàn)的事情。

篇4

隨著計算機在社會生活各個領(lǐng)域的廣泛運用，計算機病毒攻擊與防范技術(shù)也在不斷拓展。據(jù)報道，世界各國遭受計算機病毒感染和攻擊的事件數(shù)以億計，嚴重地干擾了正常的人類社會生活，給計算機網(wǎng)絡(luò)和系統(tǒng)帶來了巨大的潛在威脅和破壞。與此同時，病毒技術(shù)在戰(zhàn)爭領(lǐng)域也曾廣泛的運用，在海灣戰(zhàn)爭、近期的科索沃戰(zhàn)爭中，雙方都曾利用計算機病毒向敵方發(fā)起攻擊，破壞對方的計算機網(wǎng)絡(luò)和武器控制系統(tǒng)，達到了一定的政治目的與軍事目的?？梢灶A(yù)見，隨著計算機、網(wǎng)絡(luò)運用的不斷普及、深入，防范計算機病毒將越來越受到各國的高度重視。

一、計算機病毒的內(nèi)涵、類型及特點

計算機病毒是一組通過復(fù)制自身來感染其它軟件的程序。當程序運行時，嵌入的病毒也隨之運行并感染其它程序。一些病毒不帶有惡意攻擊性編碼，但更多的病毒攜帶毒碼，一旦被事先設(shè)定好的環(huán)境激發(fā)，即可感染和破壞。自80年代莫里斯編制的第一個“蠕蟲”病毒程序至今，世界上已出現(xiàn)了多種不同類型的病毒。在最近幾年，又產(chǎn)生了以下幾種主要病毒：

（1）“美麗殺手”（Melissa）病毒。這種病毒是專門針對微軟電子郵件服務(wù)器MSExchange和電子郵件收發(fā)軟件0ut1ookExpress的Word宏病毒，是一種拒絕服務(wù)的攻擊型病毒，能夠影響計算機運行微軟word97、word2000和0utlook。這種病毒是一種Word文檔附件，由E-mall攜帶傳播擴散。由于這種病毒能夠自我復(fù)制，一旦用戶打開這個附件，“美麗殺手”病毒就會使用0ut1ook按收件人的0ut1ook地址簿向前50名收件人自動復(fù)制發(fā)送，從而過載E-mai1服務(wù)器或使之損壞?！懊利悮⑹帧辈《镜臄U散速度之快可達幾何級數(shù)，據(jù)計算，如果“美麗殺手”病毒能夠按照理論上的速度傳播，只需要繁殖5次就可以讓全世界所有的網(wǎng)絡(luò)用戶都都收到一份?！懊利悮⑹帧辈《镜淖盍钊丝植乐庍€不僅是拒絕電子郵件服務(wù)器，而是使用戶的非常敏感和核心的機密信息在不經(jīng)意間通過電子郵件的反復(fù)傳播和擴散而被泄漏出去，連擴散到了什么地方可能都不得而知。據(jù)外電報道，在北約對南聯(lián)盟發(fā)動的戰(zhàn)爭行動中，證實“美麗殺手”病毒己使5萬部電腦主機和幾十萬部電腦陷于癱瘓而無法工作，網(wǎng)絡(luò)被空數(shù)據(jù)包阻塞，迫使許多用戶關(guān)機避災(zāi)。

（2）“怕怕”（Papa）病毒?！芭屡隆辈《臼橇硪环NExcel宏病毒，它能夠繞開網(wǎng)絡(luò)管理人員設(shè)置的保護措施進入計算機。這種病毒與“美麗殺手”病毒相類似，其區(qū)別在于“怕怕”病毒不但能象“美麗殺手”病毒一樣迅速傳播，拒絕服務(wù)和阻塞網(wǎng)絡(luò)，而且更為嚴重的是它能使整個網(wǎng)絡(luò)癱瘓，使被它感染的文件所具有的宏病毒預(yù)警功能喪失作用。

（3）“瘋?！保∕adCow）和“怕怕B”病毒。這兩種病毒分別是“美麗殺手”和“怕怕”病毒的新的變型病毒。正當美國緊急動員起來對付3月26日發(fā)現(xiàn)的“美麗殺手”和“怕怕”病毒時，在歐洲又出現(xiàn)了它們的新變種“美麗殺手B”（又叫作“瘋?！保┖汀芭屡翨”，目前正橫掃歐洲大陸，造成大規(guī)模破壞，而且還正在向全世界擴散蔓延。雖然這兩種病毒變種的病毒代碼不同，可能不是一個人所編寫，但是，它們同樣也是通過發(fā)送Word和Excel文件而傳播。每次被激活后，這種病毒就會向用戶電子郵件簿的前60個地址發(fā)送垃圾郵件；它還可以向一個外部網(wǎng)站發(fā)送網(wǎng)絡(luò)請求，占用大量的帶寬而阻滯網(wǎng)絡(luò)的工作，其危害性比原型病毒有過之而無不及。

（4）“幸福1999”宏病毒。這是一種比“美麗殺手”的破壞作用小得多的病毒?！靶腋?999”病毒會改變計算機中的微軟公司W(wǎng)indows程序與Internet網(wǎng)工作。這種病毒還發(fā)送一個執(zhí)行文件，激活焰火顯示，使屏幕碎裂。

（5）“咻咻”（Ping）轟擊病毒?！斑葸荨鞭Z擊病毒的英文單詞是“分組Internet搜索者”的縮寫，指的是將一個分組信息發(fā)送到服務(wù)器并等待其響應(yīng)的過程，這是用戶用以確定一個系統(tǒng)是否在Internet網(wǎng)上運行的一種方法。據(jù)外電報道，運用“咻咻”（Ping）轟擊病毒，發(fā)送大量的“咻咻”空數(shù)據(jù)包，使服務(wù)器過載，不能對其它用戶作出響應(yīng)。

歸納起來，計算機病毒有以下特點：一是攻擊隱蔽性強。病毒可以無聲無息地感染計算機系統(tǒng)而不被察覺，待發(fā)現(xiàn)時，往往已造成嚴重后果。二是繁殖能力強。電腦一旦染毒，可以很快“發(fā)病”。目前的三維病毒還會產(chǎn)生很多變種。三是傳染途徑廣。可通過軟盤、有線和無線網(wǎng)絡(luò)、硬件設(shè)備等多渠道自動侵入計算機中，并不斷蔓延。四是潛伏期長。病毒可以長期潛伏在計算機系統(tǒng)而不發(fā)作，待滿足一定條件后，就激發(fā)破壞。五是破壞力大。計算機病毒一旦發(fā)作，輕則干擾系統(tǒng)的正常運行，重則破壞磁盤數(shù)據(jù)、刪除文件，導(dǎo)致整個計算機系統(tǒng)的癱瘓。六是針對性強。計算機病毒的效能可以準確地加以設(shè)計，滿足不同環(huán)境和時機的要求。

二、計算機病毒的技術(shù)分析

長期以來，人們設(shè)計計算機的目標主要是追求信息處理功能的提高和生產(chǎn)成本的降低，而對于安全問題則重視不夠。計算機系統(tǒng)的各個組成部分，接口界面，各個層次的相互轉(zhuǎn)換，都存在著不少漏洞和薄弱環(huán)節(jié)。硬件設(shè)什缺乏整體安全性考慮，軟件方面也更易存在隱患和潛在威脅。對計算機系統(tǒng)的測試，目前尚缺乏自動化檢測工具和系統(tǒng)軟件的完整檢驗手段，計算機系統(tǒng)的脆弱性，為計算機病毒的產(chǎn)生和傳播提供了可乘之機；全球萬維網(wǎng)（www）使“地球一村化”，為計算機病毒創(chuàng)造了實施的空間；新的計算機技術(shù)在電子系統(tǒng)中不斷應(yīng)用，為計算機病毒的實現(xiàn)提供了客觀條件。國外專家認為，分布式數(shù)字處理、可重編程嵌入計算機、網(wǎng)絡(luò)化通信、計算機標準化、軟件標準化、標準的信息格式、標準的數(shù)據(jù)鏈路等都使得計算機病毒侵入成為可能。

實施計算機病毒入侵的核心技術(shù)是解決病毒的有效注入。其攻擊目標是對方的各種系統(tǒng)，以及從計算機主機到各式各樣的傳感器、網(wǎng)橋等，以使他們的計算機在關(guān)鍵時刻受到誘騙或崩潰，無法發(fā)揮作用。從國外技術(shù)研究現(xiàn)狀來看，病毒注入方法主要有以下幾種：

1．無線電方式。主要是通過無線電把病毒碼發(fā)射到對方電子系統(tǒng)中。此方式是計算機病毒注入的最佳方式，同時技術(shù)難度也最大。可能的途徑有：①直接向?qū)Ψ诫娮酉到y(tǒng)的無線電接收器或設(shè)備發(fā)射，使接收器對其進行處理并把病毒傳染到目標機上。②冒充合法無線傳輸數(shù)據(jù)。根據(jù)得到的或使用標準的無線電傳輸協(xié)議和數(shù)據(jù)格式，發(fā)射病毒碼，使之能夠混在合法傳輸信號中，進入接收器，進而進人信息網(wǎng)絡(luò)。③尋找對方信息系統(tǒng)保護最差的地方進行病毒注放。通過對方未保護的數(shù)據(jù)鏈路，將病毒傳染到被保護的鏈路或目標中。

2．“固化”式方法。即把病毒事先存放在硬件（如芯片）和軟件中，然后把此硬件和軟件直接或間接交付給對方，使病毒直接傳染給對方電子系統(tǒng)，在需要時將其激活，達到攻擊目的。這種攻擊方法十分隱蔽，即使芯片或組件被徹底檢查，也很難保證其沒有其他特殊功能。目前，我國很多計算機組件依賴進口，困此，很容易受到芯片的攻擊。

3．后門攻擊方式。后門，是計算機安全系統(tǒng)中的一個小洞，由軟件設(shè)計師或維護人發(fā)明，允許知道其存在的人繞過正常安全防護措施進入系統(tǒng)。攻擊后門的形式有許多種，如控制電磁脈沖可將病毒注入目標系統(tǒng)。計算機入侵者就常通過后門進行攻擊，如目前普遍使用的WINDOWS98，就存在這樣的后門。

4．數(shù)據(jù)控制鏈侵入方式。隨著因特網(wǎng)技術(shù)的廣泛應(yīng)用，使計算機病毒通過計算機系統(tǒng)的數(shù)據(jù)控制鏈侵入成為可能。使用遠程修改技術(shù)，可以很容易地改變數(shù)據(jù)控制鏈的正常路徑。

除上述方式外，還可通過其他多種方式注入病毒。

三、對計算機病毒攻擊的防范的對策和方法

1．建立有效的計算機病毒防護體系。有效的計算機病毒防護體系應(yīng)包括多個防護層。一是訪問控制層；二是病毒檢測層；三是病毒遏制層；四是病毒清除層；五是系統(tǒng)恢復(fù)層；六是應(yīng)急計劃層。上述六層計算機防護體系，須有有效的硬件和軟件技術(shù)的支持，如安全設(shè)計及規(guī)范操作。

2．嚴把收硬件安全關(guān)。國家的機密信息系統(tǒng)所用設(shè)備和系列產(chǎn)品，應(yīng)建立自己的生產(chǎn)企業(yè)，實現(xiàn)計算機的國產(chǎn)化、系列化；對引進的計算機系統(tǒng)要在進行安全性檢查后才能啟用，以預(yù)防和限制計算機病毒伺機入侵。

篇5

隨著計算機在社會生活各個領(lǐng)域的廣泛運用，計算機病毒攻擊與防范技術(shù)也在不斷拓展。據(jù)報道，世界各國遭受計算機病毒感染和攻擊的事件屢屢發(fā)生，嚴重地干擾了正常的人類社會生活，給計算機網(wǎng)絡(luò)和系統(tǒng)帶來了巨大的潛在威脅和破壞。最近幾年，出現(xiàn)了許多危害極大的郵件型病毒，如“LOVEYOU”病毒、“庫爾尼科娃”病毒、“Homepage”病毒以及“求職信”病毒等，這些病毒主要是利用電子郵件作為傳播途徑，而且一般都是選擇MicrosoftOutlook侵入，利用Outlook的可編程特性完成發(fā)作和破壞。因此，防范計算機病毒已經(jīng)越來越受到世界各國的高度重視。

計算機病毒是人為編制的具有破壞性的計算機程序軟件，它能自我復(fù)制并破壞其它軟件的指令，從而擾亂、改變或銷毀用戶存貯在計算機中的信息，造成無法挽回的損失。通過采取技術(shù)上和管理上的措施，計算機病毒是完全可以防范的。只要在思想上有反病毒的警惕性，依靠使用反病毒技術(shù)和管理措施，新病毒就無法逾越計算機安全保護屏障，從而不能廣泛傳播。

計算機網(wǎng)絡(luò)中最主要的軟硬件實體就是服務(wù)器和工作站，所以防治計算機網(wǎng)絡(luò)病毒應(yīng)該首先考慮這兩個部分，另外加強綜合治理也很重要。下面就從三個方面談?wù)動嬎銠C病毒的防范措施：

一、基于工作站的防治技術(shù)

工作站就像是計算機網(wǎng)絡(luò)的大門。只有把好這道大門，才能有效防止病毒的侵入。工作站防治病毒的方法有三種：一是軟件防治，即定期不定期地用反病毒軟件檢測工作站的病毒感染情況。軟件防治可以不斷提高防治能力，但需人為地經(jīng)常去啟動軟盤防病毒軟件，因而不僅給工作人員增加了負擔(dān)，而且很有可能在病毒發(fā)作后才能檢測到。二是在工作站上插防病毒卡。防病毒卡可以達到實時檢測的目的，但防病毒卡的升級不方便，從實際應(yīng)用的效果看，對工作站的運行速度有一定的影響。三是在網(wǎng)絡(luò)接口卡上安裝防病毒芯片。它將工作站存取控制與病毒防護合二為一，可以更加實時有效地保護工作站及通向服務(wù)器的橋梁。但這種方法同樣也存在芯片上的軟件版本升級不便的問題，而且對網(wǎng)絡(luò)的傳輸速度也會產(chǎn)生一定的影響。

下載防病毒軟件要到知名度高、信譽良好的站點，通常這些站點軟件比較安全。不要過于相信和隨便運行別人給的軟件。要經(jīng)常檢查自己的系統(tǒng)文件，注冊表、端口等，多注意安全方面的信息，再者就是改掉Windows關(guān)于隱藏文件擴展名的默認設(shè)置，這樣可以讓我們看清楚文件真正的擴展名。當前許多反病毒軟件都具有查殺“木馬”或“后門”程序的功能，但仍需更新和采用先進的防病毒軟件。如果突然發(fā)現(xiàn)自己的計算機硬盤莫名其妙的工作，或者在沒有打開任何連接的情況下Modem還在“眨眼睛”就立刻斷開網(wǎng)絡(luò)連接，進行木馬的搜索。

二、基于服務(wù)器的防治技術(shù)

網(wǎng)絡(luò)服務(wù)器是計算機網(wǎng)絡(luò)的中心，是網(wǎng)絡(luò)的支柱。網(wǎng)絡(luò)癱瘓的—個重要標志就是網(wǎng)絡(luò)服務(wù)器癱瘓。網(wǎng)絡(luò)服務(wù)器—旦被擊垮，造成的損失是災(zāi)難性的、難以挽回和無法估量。目前基于服務(wù)器的防治病毒的方法大都采用防病毒可裝載模塊（NLM），以提供實時掃描病毒的能力。有時也結(jié)合利用在服務(wù)器上的插防毒卡等技術(shù)，目的在于保護服務(wù)器不受病毒的攻擊，從而切斷病毒進一步傳播的途徑。

郵件病毒主要是通過電子郵件進行傳染的，而且大多通過附件夾帶，了解了這一點，對于該類病毒的防范就比較明確和容易:

第一，不要輕易打開陌生人來信中的附件，尤其是一些EXE類的可執(zhí)行文件。

第二，對于比較熟悉的朋友發(fā)來的郵件，如果其信中帶有附件卻未在正文中說明，也不要輕易打開附件，因為它的系統(tǒng)也許已經(jīng)染毒。

第三，不要盲目轉(zhuǎn)發(fā)郵件。給別人發(fā)送程序文件甚至電子賀卡時，可先在自己的電腦中試一試，確認沒有問題后再發(fā)，以免無意中成為病毒的傳播者。

第四，如果收到主題為“ILOVEYOU”的郵件后立即刪除，更不要打開附件。

第五，隨時注意反病毒警報，及時更新殺毒軟件的病毒代碼庫。從技術(shù)手段上，可安裝具有監(jiān)測郵件系統(tǒng)的反病毒實時監(jiān)控程序，隨時監(jiān)測系統(tǒng)行為，如使用最新版本的殺毒實時軟件來查殺該附件中的文件。超級秘書網(wǎng)

三、加強計算機網(wǎng)絡(luò)的管理

計算機網(wǎng)絡(luò)病毒的防治，單純依靠技術(shù)手段是不可能十分有效地杜絕和防止其蔓延的，只有把技術(shù)手段和管理機制緊密結(jié)合起來，提高人們的防范意識，才有可能從根本上保護網(wǎng)絡(luò)系統(tǒng)的安全運行。目前在網(wǎng)絡(luò)病毒防治技術(shù)方面，基本處于被動防御的地位，但管理上應(yīng)該積極主動。應(yīng)從硬件設(shè)備及軟件系統(tǒng)的使用、維護、管理、服務(wù)等各個環(huán)節(jié)制定出嚴格的規(guī)章制度、對網(wǎng)絡(luò)系統(tǒng)的管理員及用戶加強法制教育和職業(yè)道德教育，規(guī)范工作程序和操作規(guī)程，嚴懲從事非法活動的集體和個人。盡可能采用行之有效的新技術(shù)、新手段，建立”防殺結(jié)合、以防為主、以殺為輔、軟硬互補、標本兼治”的最佳網(wǎng)絡(luò)病毒安全模式。必須采取有效的管理措施和技術(shù)手段，防止病毒的感染和破壞，力爭將損失降到最小。

計算機病毒在形式上越來越難以辨別，造成的危害也日益嚴重，這就要求網(wǎng)絡(luò)防毒產(chǎn)品在技術(shù)上更先進，功能上更全面。從目前病毒的演化趨勢來看，網(wǎng)絡(luò)防病毒產(chǎn)品的發(fā)展趨勢主要體現(xiàn)在以下幾個方面：一是反黑與殺毒相結(jié)合；二是從入口攔截病毒；三是提供全面解決方案；四是客戶化定制模式；五是防病毒產(chǎn)品技術(shù)由區(qū)域化向國際化轉(zhuǎn)變。

隨著計算機網(wǎng)絡(luò)、數(shù)字技術(shù)及互聯(lián)網(wǎng)技術(shù)的發(fā)展，計算機病毒的危害更是與日俱增。因此，加強計算機病毒的防治、確保計算機信息安全是當前計算機應(yīng)用過程中的一項重要、迫切的研究課題。我們一方面要掌握對現(xiàn)在的計算機病毒的防范措施，切實抓好病毒防治工作；另一方面要加強對未來病毒發(fā)展趨勢的研究，探討新時期科學(xué)防治計算機病毒的新策略，真正做到防患于未然。

篇6

?

隨著計算機在社會生活各個領(lǐng)域的廣泛運用，計算機病毒攻擊與防范技術(shù)也在不斷拓展。據(jù)報道，世界各國遭受計算機病毒感染和攻擊的事件屢屢發(fā)生，嚴重地干擾了正常的人類社會生活，給計算機網(wǎng)絡(luò)和系統(tǒng)帶來了巨大的潛在威脅和破壞。最近幾年，出現(xiàn)了許多危害極大的郵件型病毒，如“LOVEYOU”病毒、“庫爾尼科娃”病毒、“Homepage”病毒以及“求職信”病毒等，這些病毒主要是利用電子郵件作為傳播途徑，而且一般都是選擇Microsoft Outlook侵入，利用Outlook的可編程特性完成發(fā)作和破壞。因此，防范計算機病毒已經(jīng)越來越受到世界各國的高度重視。?

計算機病毒是人為編制的具有破壞性的計算機程序軟件，它能自我復(fù)制并破壞其它軟件的指令，從而擾亂、改變或銷毀用戶存貯在計算機中的信息，造成無法挽回的損失。通過采取技術(shù)上和管理上的措施，計算機病毒是完全可以防范的。只要在思想上有反病毒的警惕性，依靠使用反病毒技術(shù)和管理措施，新病毒就無法逾越計算機安全保護屏障，從而不能廣泛傳播。?

計算機網(wǎng)絡(luò)中最主要的軟硬件實體就是服務(wù)器和工作站，所以防治計算機網(wǎng)絡(luò)病毒應(yīng)該首先考慮這兩個部分，另外加強綜合治理也很重要。下面就從三個方面談?wù)動嬎銠C病毒的防范措施：?

一、基于工作站的防治技術(shù)?

工作站就像是計算機網(wǎng)絡(luò)的大門。只有把好這道大門，才能有效防止病毒的侵入。工作站防治病毒的方法有三種：一是軟件防治，即定期不定期地用反病毒軟件檢測工作站的病毒感染情況。軟件防治可以不斷提高防治能力，但需人為地經(jīng)常去啟動軟盤防病毒軟件，因而不僅給工作人員增加了負擔(dān)，而且很有可能在病毒發(fā)作后才能檢測到。二是在工作站上插防病毒卡。防病毒卡可以達到實時檢測的目的，但防病毒卡的升級不方便，從實際應(yīng)用的效果看，對工作站的運行速度有一定的影響。三是在網(wǎng)絡(luò)接口卡上安裝防病毒芯片。它將工作站存取控制與病毒防護合二為一，可以更加實時有效地保護工作站及通向服務(wù)器的橋梁。但這種方法同樣也存在芯片上的軟件版本升級不便的問題，而且對網(wǎng)絡(luò)的傳輸速度也會產(chǎn)生一定的影響。?

下載防病毒軟件要到知名度高、信譽良好的站點，通常這些站點軟件比較安全。不要過于相信和隨便運行別人給的軟件。要經(jīng)常檢查自己的系統(tǒng)文件，注冊表、端口等，多注意安全方面的信息，再者就是改掉Windows 關(guān)于隱藏文件擴展名的默認設(shè)置，這樣可以讓我們看清楚文件真正的擴展名。當前許多反病毒軟件都具有查殺“木馬”或“后門”程序的功能，但仍需更新和采用先進的防病毒軟件。如果突然發(fā)現(xiàn)自己的計算機硬盤莫名其妙的工作，或者在沒有打開任何連接的情況下Modem 還在“眨眼睛”就立刻斷開網(wǎng)絡(luò)連接，進行木馬的搜索。?

二、基于服務(wù)器的防治技術(shù)?

網(wǎng)絡(luò)服務(wù)器是計算機網(wǎng)絡(luò)的中心，是網(wǎng)絡(luò)的支柱。網(wǎng)絡(luò)癱瘓的—個重要標志就是網(wǎng)絡(luò)服務(wù)器癱瘓。網(wǎng)絡(luò)服務(wù)器—旦被擊垮，造成的損失是災(zāi)難性的、難以挽回和無法估量。目前基于服務(wù)器的防治病毒的方法大都采用防病毒可裝載模塊（NLM），以提供實時掃描病毒的能力。有時也結(jié)合利用在服務(wù)器上的插防毒卡等技術(shù)，目的在于保護服務(wù)器不受病毒的攻擊，從而切斷病毒進一步傳播的途徑。?

郵件病毒主要是通過電子郵件進行傳染的，而且大多通過附件夾帶，了解了這一點，對于該類病毒的防范就比較明確和容易:?

第一，不要輕易打開陌生人來信中的附件，尤其是一些EXE 類的可執(zhí)行文件。?

第二，對于比較熟悉的朋友發(fā)來的郵件，如果其信中帶有附件卻未在正文中說明，也不要輕易打開附件，因為它的系統(tǒng)也許已經(jīng)染毒。?

第三，不要盲目轉(zhuǎn)發(fā)郵件。給別人發(fā)送程序文件甚至電子賀卡時，可先在自己的電腦中試一試，確認沒有問題后再發(fā)，以免無意中成為病毒的傳播者。?

第四，如果收到主題為“I LOVE YOU”的郵件后立即刪除，更不要打開附件。?

第五，隨時注意反病毒警報，及時更新殺毒軟件的病毒代碼庫。從技術(shù)手段上，可安裝具有監(jiān)測郵件系統(tǒng)的反病毒實時監(jiān)控程序，隨時監(jiān)測系統(tǒng)行為，如使用最新版本的殺毒實時軟件來查殺該附件中的文件。?

三、加強計算機網(wǎng)絡(luò)的管理?

計算機網(wǎng)絡(luò)病毒的防治，單純依靠技術(shù)手段是不可能十分有效地杜絕和防止其蔓延的，只有把技術(shù)手段和管理機制緊密結(jié)合起來，提高人們的防范意識，才有可能從根本上保護網(wǎng)絡(luò)系統(tǒng)的安全運行。目前在網(wǎng)絡(luò)病毒防治技術(shù)方面，基本處于被動防御的地位，但管理上應(yīng)該積極主動。應(yīng)從硬件設(shè)備及軟件系統(tǒng)的使用、維護、管理、服務(wù)等各個環(huán)節(jié)制定出嚴格的規(guī)章制度、對網(wǎng)絡(luò)系統(tǒng)的管理員及用戶加強法制教育和職業(yè)道德教育，規(guī)范工作程序和操作規(guī)程，嚴懲從事非法活動的集體和個人。盡可能采用行之有效的新技術(shù)、新手段，建立”防殺結(jié)合、以防為主、以殺為輔、軟硬互補、標本兼治”的最佳網(wǎng)絡(luò)病毒安全模式。必須采取有效的管理措施和技術(shù)手段，防止病毒的感染和破壞，力爭將損失降到最小。?

計算機病毒在形式上越來越難以辨別，造成的危害也日益嚴重，這就要求網(wǎng)絡(luò)防毒產(chǎn)品在技術(shù)上更先進，功能上更全面。從目前病毒的演化趨勢來看，網(wǎng)絡(luò)防病毒產(chǎn)品的發(fā)展趨勢主要體現(xiàn)在以下幾個方面：一是反黑與殺毒相結(jié)合；二是從入口攔截病毒；三是提供全面解決方案；四是客戶化定制模式；五是防病毒產(chǎn)品技術(shù)由區(qū)域化向國際化轉(zhuǎn)變。?

隨著計算機網(wǎng)絡(luò)、數(shù)字技術(shù)及互聯(lián)網(wǎng)技術(shù)的發(fā)展，計算機病毒的危害更是與日俱增。因此，加強計算機病毒的防治、確保計算機信息安全是當前計算機應(yīng)用過程中的一項重要、迫切的研究課題。我們一方面要掌握對現(xiàn)在的計算機病毒的防范措施，切實抓好病毒防治工作；另一方面要加強對未來病毒發(fā)展趨勢的研究，探討新時期科學(xué)防治計算機病毒的新策略，真正做到防患于未然。??

篇7

計算機網(wǎng)絡(luò)是信息社會的基礎(chǔ)，已經(jīng)進入了社會的各個角落，經(jīng)濟、文化、軍事和社會生活越來越多的依賴計算機網(wǎng)絡(luò)。然而，計算機在給人們帶來巨大便利的同時，也帶來了不可忽視的問題，計算機病毒給網(wǎng)絡(luò)系統(tǒng)的安全運行帶來了極大的挑戰(zhàn)。2003年1月25日，突如其來的“蠕蟲王”病毒，在互聯(lián)網(wǎng)世界制造了類似于“9.11”的恐怖襲擊事件，很多國本論文由整理提供家的互聯(lián)網(wǎng)也受到了嚴重影響。同樣，前兩年的“熊貓燒香”病毒再次為計算機網(wǎng)絡(luò)安全敲起了警鐘。那么，面對網(wǎng)絡(luò)世界的威脅，人類總在試圖尋找各種方面來進行克服和攻關(guān)。入侵檢測技術(shù)作為解決計算機病毒危害的方法之一，對其進行研究就成為可能。

2計算機病毒的發(fā)展趨勢

計算機病毒的花樣不斷翻新，編程手段越來越高，防不勝防。特別是Internet的廣泛應(yīng)用，促進了病毒的空前活躍，網(wǎng)絡(luò)蠕蟲病毒傳播更快更廣，Windows病毒更加復(fù)雜，帶有黑客性質(zhì)的病毒和特洛依木馬等有害代碼大量涌現(xiàn)。據(jù)《中華人民共和國工業(yè)和信息化部信息安全協(xié)調(diào)司》計算機病毒檢測周報（2009.3.29—2009.4.4）公布的消息稱：“木馬”及變種、“木馬下載者”及變種、“灰鴿子”及變種、“U盤殺手”及變種、網(wǎng)游大盜“及變種等病毒及變種對計算機安全網(wǎng)絡(luò)的安全運行構(gòu)成了威脅。對計算機病毒及變種的了解可以使我們站在一定的高度上對變種病毒有一個較清楚的認識，以便今后針對其采取強而有效的措施進行診治。變種病毒可以說是病毒發(fā)展的趨向，也就是說：病毒主要朝著能對抗反病毒手段和有目的的方向發(fā)展。

3計算機病毒檢測的基本技術(shù)

3.1計算機病毒入侵檢測技術(shù)。計算機病毒檢測技術(shù)作為計算機病毒檢測的方法技術(shù)之一，它是一種利用入侵者留下的痕跡等信息來有效地發(fā)現(xiàn)來自外部或者內(nèi)部的非法入侵技術(shù)。它以探測與控制為技術(shù)本質(zhì)，起著主動防御的作用，是計算機網(wǎng)絡(luò)安全中較重要的內(nèi)容。

3.2智能引擎技術(shù)。智能引擎技術(shù)發(fā)展了特征代碼掃描法的優(yōu)點，同時也對其弊端進行了改進，對病毒的變形變種有著非常準確本論文由整理提供的智能識別功能，而且病毒掃描速度并不會隨著病毒庫的增大而減慢。

3.3嵌入式殺毒技術(shù)。嵌入式殺毒技術(shù)是對病毒經(jīng)常攻擊的應(yīng)用程序或者對象提供重點保護的技術(shù)，它利用操作系統(tǒng)或者應(yīng)用程序提供的內(nèi)部接口來實現(xiàn)。它能對使用頻率高、使用范圍廣的主要的應(yīng)用軟件提供被動式的保護。

3.4未知病毒查殺技術(shù)。未知病毒查殺技術(shù)是繼虛擬執(zhí)行技術(shù)后的又一大技術(shù)突破，它結(jié)合了虛擬技術(shù)和人工智能技術(shù)，實現(xiàn)了對未知病毒的準確查殺。

4計算機病毒檢測技術(shù)的發(fā)展現(xiàn)狀

目前，國外一些研究機構(gòu)已經(jīng)研發(fā)出了應(yīng)用于不同操作系統(tǒng)的幾種典型的計算機病毒檢測技術(shù)。這些計算機病毒檢測技術(shù)基本上是基于服務(wù)器、網(wǎng)絡(luò)以及變種病毒的。基于服務(wù)器的入侵檢測技術(shù)采用服務(wù)器操作系統(tǒng)的檢測序列作為主要輸入源來檢測侵入行為，而大多數(shù)基于計算機變種病毒的檢測技術(shù)則以預(yù)防和消除計算機病毒作為終結(jié)目標的。早期的計算機病毒檢測技術(shù)主要用來預(yù)防和消除傳統(tǒng)的計算機病毒；然而，為了更好地應(yīng)對計算機病毒的花樣不斷翻新，編程手段越來越高的形勢，最新的計算機病毒檢測方法技術(shù)更多地集中用于預(yù)防和消除計算機變種病毒，打好計算機病毒對抗與反對抗的攻堅戰(zhàn)。

總之，由于計算機病毒的變種更新速度加快，表現(xiàn)形式也更加復(fù)雜，那么計算機病毒檢測技術(shù)在計算機網(wǎng)絡(luò)安全運行防護中所起的作用就顯得至關(guān)重要，因此受到了廣泛的重視。相信隨著計算機病毒檢測技術(shù)的不斷改進和提高，將會有更加安全可靠的計算機病毒檢測技術(shù)問世，更好維護網(wǎng)絡(luò)安全，造福于全世界。

5計算機病毒檢測方法技術(shù)的作用

計算機病毒檢測技術(shù)本論文由整理提供在計算機網(wǎng)絡(luò)安全防護中起著至關(guān)重要的作用，主要有：①堵塞計算機病毒的傳播途徑，嚴防計算機病毒的侵害；②計算機病毒的可以對計算機數(shù)據(jù)和文件安全構(gòu)成威脅，那么計算機病毒檢測技術(shù)可以保護計算機數(shù)據(jù)和文件安全；③可以在一定程度上打擊病毒制造者的猖獗違法行為；④最新病毒檢測方法技術(shù)的問世為以后更好應(yīng)對多變的計算機病毒奠定了方法技術(shù)基礎(chǔ)。

雖然，計算機病毒檢測技術(shù)的作用很大，但并不能完全防止計算機病毒的攻擊，我們必須提高警惕，充分發(fā)揮主觀能動性。因此，加強IT行業(yè)從業(yè)人員的職業(yè)道德教育、加快完善計算機病毒防止方面的法律法規(guī)、加強國際交流與合作同樣顯得刻不容緩。也許只有這樣計算機計算機病毒檢測技術(shù)才能更好發(fā)揮作用，我們才能更好防止日益變化和復(fù)雜的計算機病毒的攻擊。超級秘書網(wǎng)

6結(jié)語

隨著計算機網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，計算機給人類經(jīng)濟、文化、軍事和社會活動帶來更多便利的同時，也帶來了相當巨大的安全挑戰(zhàn)。現(xiàn)代信息網(wǎng)絡(luò)面臨著各種各樣的安全威脅，有來自網(wǎng)絡(luò)外面的攻擊，比如網(wǎng)絡(luò)黑客、計算機病毒及變種等。因此合理有效的計算機病毒檢測技術(shù)是防治計算機病毒最有效，最經(jīng)濟省力，也是最應(yīng)該值得重視本論文由整理提供的問題。研究計算機病毒檢測技術(shù)有利于我們更好地防止計算機病毒的攻擊，有利于我們更好地維護計算機網(wǎng)絡(luò)世界的安全，使得計算機網(wǎng)絡(luò)真正發(fā)揮其積極的作用，促進人類經(jīng)濟、文化、軍事和社會活動的健康。

參考文獻：

[1]卓新建，鄭康鋒，辛陽.《計算機病毒原理與防治》，北京郵電大學(xué)出版社，2007年8月第二版.

[2]郝文化.《防黑反毒技術(shù)指南》，機械工業(yè)出版社，2004年1月第一版.

[3]程勝利，談冉，熊文龍等.《計算機病毒與其防治技術(shù)》，清華大學(xué)出版社，2004年9月第一版.

[4]張仁斌，李鋼，侯.《計算機病毒與反病毒技術(shù)》.清華大學(xué)出版社，2006年6月.

[5]傅建明，彭國軍，張煥國.《計算機病毒與對抗》.武漢大學(xué)出版社，2004年版.

篇8

計算機病毒一直是計算機用戶和安全專家的心腹大患,雖然計算機反病毒技術(shù)不斷更新和發(fā)展,但是仍然不能改變被動滯后的局面。計算機病毒一般都具有潛伏傳染激發(fā)破壞等多種機制，但其傳染機制反映了病毒程序最本質(zhì)的特征，離開傳染機制，就不能稱其為病毒。因此，監(jiān)控和及時發(fā)現(xiàn)計算機病毒的傳染行為，是病毒制造者和安全專家的爭奪焦點。目前主流的操作系統(tǒng)是Windows操作系統(tǒng)，利用windows操作系統(tǒng)中存在的漏洞和系統(tǒng)程序接口，病毒可輕易獲取控制權(quán)，感染硬盤上的文件，并進行破壞。因此計算機病毒入侵途徑和防治研究顯得尤為重要。

病毒要在Windows操作系統(tǒng)上實現(xiàn)其感染目的是要獲得系統(tǒng)的控制權(quán)，而感染可執(zhí)行文件時取得控制權(quán)的最好途徑。在WINDOWS NT/XP/2000/98/95等系統(tǒng)下，可執(zhí)行文件和動態(tài)鏈接庫均采用的是PE文件格式。只有透徹研究了PE的文件格式，才能了解病毒如何寄生在文件中，才能有的放矢的采取對策以檢測和制止病毒的入侵。在各種病毒中，又以PE病毒數(shù)目最大，傳播最廣，破壞力最強，分析PE病毒有非常重要的意義。因此本文將重點介紹PE病毒的入侵途徑和防治措施。

一、PE病毒

1.PE病毒的定義

一個正常的程序感染后，當你啟動這個程序的時候，它通常會先執(zhí)行一段病毒代碼，然后自身運行，這樣病毒就悄無聲息的運行起來，然后再去感染其他PE文件，這就是PE病毒的行為。

2.PE病毒的特征

(1)具有感染性。該類病毒通過感染普通PE.EXE文件并把自己的代碼加到EXE文件的尾部，修改原程序的入口點以指向病毒體，病毒本身沒有什么危害，但是被感染的文件可能被破壞而不能正常運行。

(2)潛伏性。指病毒依附于其他文件而存在，即通過修改其他程序而把自身的復(fù)制品嵌入到其他程序中。

(3）可觸發(fā)性。即在一定的條件下激活這類病毒的感染機制使之進行感染。

(4)破壞性。病毒一旦感染其他文件，病毒本身沒什么危害，但是會導(dǎo)致被感染的文件丟失數(shù)據(jù)或被破壞而不能正常運行。

3.PE文件格式

在PE文件格式中有一個重要的概念相對偏移量（RAV），RAV是虛擬空間中某句代碼到參考點的一段距離。例如，如果PE文件裝入虛擬地址（VA）空間的400000h處，且進程從虛擬401000h開始執(zhí)行，就可以說進程執(zhí)行起始地址在RVA1000h。PE文件格式用到RVA的原因是為了減少PE裝載器的負擔(dān)，因為每個模塊都有可能被重載到任何虛擬地址空間。

PE文件格式被組織為一個線性的數(shù)據(jù)流，他由一個MS-DOS頭部開始，接著是實模擬程序殘余以及一個PE文件標識，之后緊接著PE文件頭和可選頭部。這些之后是所有的段頭部，斷頭不之后跟隨者所有的段實體。文件的結(jié)束處事一些其它的區(qū)域，其中是一些混雜的信息，包括重分配信息、符號表信息、行號表信息以及字符串數(shù)據(jù)。如圖：

(1)MS-DOS頭部、實模式頭部

如上所述，PE文件格式的第一個組成部分是MS-DOS頭部。保留這個相同的結(jié)構(gòu)的最主要原因是：當在WINDOWS3.1一下或MS-DOS2.0以上的系統(tǒng)下裝在一個文件的時候，操作系統(tǒng)能夠讀取這個文件并明白是和當前系統(tǒng)不相兼容的。

它的第一域e_magic,被稱為魔術(shù)數(shù)字，它被用于表示一個MS-DOS兼容的文件類型。所有MS-DOS兼容的可執(zhí)行文件都將這個值設(shè)為0x5A4D，表示ASCII字符MZ。MS-DOS頭部之所以有的時候被稱為MZ頭部，就是這個緣故。還有許多其它的域?qū)τ贛S-DOS操作系統(tǒng)來說都有用，但是對于WINDOWS NT來說，PE結(jié)構(gòu)中只有一個有用的域—最后一個域e_lfnew，一個4字節(jié)的文件偏移量，PE文件頭部就是由它定位的。對于WINDOWS NT的PE文件來說，PE文件頭部是緊跟在MS-DOS頭部和實模式程序殘余之后的。

(2)實模式殘余程序

實模式殘余程序是一個轉(zhuǎn)載時能夠被MS-DOS運行的實際程序。對于一個MS-DOS的可執(zhí)行映像文件，應(yīng)用程序就是從這里執(zhí)行的。對于WINDOWS、OS/2、WINDOWS NT這些操作系統(tǒng)來說，MS-DOS殘余程序就代替了主程序的位置被放在這里。這種殘余程序通常什么也不做，而只是輸出一行文本，例如：“This program requires Microsoft Windows v3.1 or greater.”

當為WINDOWS 3.1構(gòu)建一個應(yīng)用程序的時候，鏈接器將向你的可執(zhí)行文件中鏈接一個名為WINSTUB.EXE的默認殘余程序。你可以用于一個基于MS-DOS的有效程序取代WINSTUB，并且用STUB模塊定義語句指示器，這樣就能夠取代鏈接器的默認行為。為WINDOWS NT開發(fā)的應(yīng)用程序可以通過使用-STUB：連接器選項來實現(xiàn)。

(3)PE頭部

該頭部的結(jié)構(gòu)如下：

{

DWORO Signature;

IMAGE_FILE_HEADER FileHeader;

IMAGE_OPTIONAL_HEADER OptionalHeader;

}IMAGE_NT_HEADERS,*PIMAGE_NT_HEADERS;

它包括三個域：第一個域是固定的格式“PE\0\0”,用來標示PE文件；第二個域包括：PE文件頭部、結(jié)構(gòu)體IMAGE_FILE_HEADER,該結(jié)構(gòu)體有20個字節(jié)，它具體的定義如下：

Typedef struct_IMAGE_DOS_HEADER

{

USHORT Machine;//指定運行平臺

USHORT NumberOfSections;//文件的節(jié)表（Section）數(shù)目

ULONG TimeDateStamp;//文件創(chuàng)建日期和時間

ULONG PointerToSymbolTable;//用于調(diào)試

ULONG NumberOfSymbols;//用于調(diào)試

USHORT SizeOfOptionalHeader;//指示緊隨本結(jié)構(gòu)之后的OtionalHeader 結(jié)構(gòu)大小，必須有效值

USHORT Characteristics;//關(guān)于文件信息的標記，比如文件時exe還是dll

}IMAGE_FILE_HEADER,*PIMAGE_FILE_HEADER;

第三個域：PE可選頭部，結(jié)構(gòu)體IMAGE_FILE_HEADER。雖說是可選，但還是必不可少的，它包含了很多信息，如可執(zhí)行映像的重要信息，例如初始的堆棧大小、程序入口點的位置、首選地址、操作系統(tǒng)版本、段對的信息等等。這個結(jié)構(gòu)體分為兩塊：第一塊是標準域，適合UNIX可執(zhí)行文件的COFF格式共有的部分。達爾快為Windows NT特定的進程行為提供了裝載器的支持。

二、PE病毒入侵

1.PE病毒入侵的原理分析

Windows PE病毒同時也是所有病毒中數(shù)量極多，破壞性極大，技巧性最強的一類病毒。它們一般采用嵌入宿主程序的方式來進行傳染，利用PE文件中的空隙或增加一節(jié)方法棲身于PE文件中，并將程序入口點指向病毒代碼，當文件執(zhí)行時首先執(zhí)行該病毒，然后執(zhí)行宿主程序，其原理與DOS下病毒大同小異，但具體實現(xiàn)方法有許多創(chuàng)新。PE病毒入侵文件時用到的基本技術(shù)主要有以下幾方面：

(1)病毒的重定位

在正常程序中，變量在編譯時它在內(nèi)存的位置就都被計算好了，裝入內(nèi)存后，不用程序員重定位，直接引用就可以了。但病毒程序中，因感染宿主程序的位置不同，各個變量在內(nèi)存中的位置自然也不同。為了引用這些變量，病毒必須自己重定位。CALL是一條函數(shù)調(diào)用指令也可以當成是跳轉(zhuǎn)指令。它可以調(diào)到目的地址繼續(xù)執(zhí)行，執(zhí)行完畢后會返回到主程序繼續(xù)執(zhí)行。當CALL執(zhí)行時CPU首先把要返回的地址（即嚇一條指令的地址）壓入堆棧然后跳到目的地址執(zhí)行。可以看出在跳轉(zhuǎn)之后只要執(zhí)行一條POP指令或MOV ESP，[ESP]就可以得到嚇一跳指令在內(nèi)存中的實際位置。

(2)獲取API函數(shù)地址

windows PE病毒就無法象普通PE程序那樣直接調(diào)用相關(guān)API函數(shù)，而應(yīng)該先找出這些API函數(shù)在相應(yīng)動態(tài)鏈接庫中的地址。對于這類病毒來說，通常是通過已知API函數(shù)序列號或僅知API函數(shù)名稱來查找API函數(shù)地址。

①已知API函數(shù)序列號查找入口地址

a.定位到PE文件頭。

b.從PE文件頭中的可選文件頭中取出數(shù)據(jù)目錄表的第一個數(shù)據(jù)目錄，得到導(dǎo)出表的地址。

c.從導(dǎo)出表的Base字段取得起始序號。

d.將需要查找的導(dǎo)出序號減去起始序號，得到函數(shù)在入口地址表中的索引。

e.檢查索引值是否大于等于導(dǎo)出表中的函數(shù)個數(shù)。如果大于的話，說明輸入的序號無效。

f.用該索引值在AddressOfFunctions字段指向的導(dǎo)出函數(shù)入口地址表中取出相應(yīng)的項目，這就是函數(shù)的入口地址RVA值，當函數(shù)被裝入內(nèi)存后，這個RVA值加上模塊實際裝入的基址(ImageBase)，就得到了函數(shù)真正的入口地址。

②從函數(shù)名稱查找入口地址

a.定位到PE文件頭。

b.從PE文件頭中的可選文件頭中取出數(shù)據(jù)目錄表的第一個數(shù)據(jù)目錄，得到導(dǎo)出表的地址。

c.從導(dǎo)出表的NumberOfNames字段得到以命名函數(shù)的總數(shù)，并以這個數(shù)字做微循環(huán)的次數(shù)來構(gòu)造一個循環(huán)。

d.從AddressOfNames字段指向的函數(shù)名稱地址表的第一項開始，在循環(huán)中將每一項定義的函數(shù)名與要查找的函數(shù)名比較，如果沒有任何一個函數(shù)名符合，說明文件中沒有指定名稱的函數(shù)。

e.如果某一項定義的函數(shù)名與要查找的函數(shù)名符合，那么記住這個函數(shù)名在字符串地址表中的索引值（如x），然后在AddressOfNameOrdinals指向的數(shù)組中以同樣的索引值x去找數(shù)組項中的值，假如該值為m。

f.以m值作為索引值，在AddressOfFunctions字段指向的函數(shù)入口地址表中獲取的RVA就是函數(shù)的入口地址，當函數(shù)被裝入內(nèi)存后，這個RVA值加上模塊實際裝入的基址(ImageBase)，就得到了函數(shù)真正的入口地址。

(3)文件搜索

文件搜索算法（文件搜索一般采用遞歸算法進行搜索）：

FindFile Proc

①指定找到的目錄為當前工作目錄

②開始搜索文件(*.*)

③該目錄搜索完畢？是則返回，否則繼續(xù)

④找到文件還是目錄？是目錄則調(diào)用自身函數(shù)FindFile，否則繼續(xù)

⑤是文件，如符合感染條件，則調(diào)用感染模塊，否則繼續(xù)

⑥搜索下一個文件(FindNextFile)，轉(zhuǎn)到③繼續(xù)

FindFile Endp

(4)內(nèi)存映射文件

在計算機病毒中，使用內(nèi)存映射文件讀寫文件, 通常采用如下幾個步驟：

①調(diào)用CreateFile函數(shù)打開想要映射的HOST程序，返回文件句柄hFile。

②調(diào)用CreateFileMapping函數(shù)生成一個建立基于HOST文件句柄hFile的內(nèi)存映射對象，返回內(nèi)存映射對象句柄hMap。

③調(diào)用MapViewOfFile函數(shù)將整個文件（一般還要加上病毒體的大?。┯成涞絻?nèi)存中。得到指向映射到內(nèi)存的第一個字節(jié)的指針(pMem)。

④用剛才得到的指針pMem對整個HOST文件進行操作，對HOST程序進行病毒感染。

⑤調(diào)用UnmapViewFile函數(shù)解除文件映射，傳入?yún)?shù)是pMem

⑥調(diào)用CloseHandle來關(guān)閉內(nèi)存映射文件，傳入?yún)?shù)是hMap。

⑦調(diào)用CloseHandle來關(guān)閉HOST文件，傳入?yún)?shù)是hFile。

2.PE病毒入侵的路徑分析

（1）PE病毒入侵過程

PE病毒常見的感染其他文件的方法是在文件中添加一個新節(jié)，然后往該新節(jié)中添加病毒代碼和病毒執(zhí)行后的返回Host程序的代碼，并修改文件頭中代碼開始執(zhí)行位置（AddressOfEntryPoint）指向新添加的病毒節(jié)的代碼入口，以便程序運行后先執(zhí)行病毒代碼。下面我們具體感染過程如圖所示：

(2)下面以CIH病毒為例具體分析病毒感染過程：

CIH病毒屬于文件型病毒，主要感染W(wǎng)indows PE可執(zhí)行文件。由于CIH病毒使用了VxD技術(shù)使得這種病毒在Windows環(huán)境下傳播，其實施性和隱蔽性都特別強，使用一般反病毒軟件很難發(fā)現(xiàn)這種病毒在系統(tǒng)中傳播。

感染了CIH病毒的程序被執(zhí)行時，CIH首先使用了SIDT取得中斷描述符表基地址，然后將INT3的入口地址改為指向CIH病毒自身的INT3程序入口。接著CIH自己產(chǎn)生一條INT3指令，這樣CIH病毒就可以獲得最高級別的CPU使用權(quán)限。接下來，CIH將判斷DR0寄存器的值是否為0，如果不是則表明計算機已被CIH病毒感染，自己則正常退出；如果DR0寄存器的值為0，就表明沒有CIH病毒駐留內(nèi)存，這時CIH病毒首先會將當前EBX寄存器的值賦給DR0寄存器，作上駐留標記，然后調(diào)用INT20，使用VxD call page ALLocate系統(tǒng)調(diào)用，向系統(tǒng)申請內(nèi)存空間來駐留，當申請成功后，CIH病毒就從被感染的文件中將其病毒代碼組合起來，放到申請的內(nèi)存空間中。隨后CIH病毒再次調(diào)用INT3進入CIH病毒體的INT3入口程序，接著調(diào)用INT20，調(diào)用一個IFSMgr_Install File System ApiHook 子程序，目的是借助文件系統(tǒng)處理函數(shù)來截取系統(tǒng)文件，調(diào)用操作。完成這個工作之后，Windows 98/95默認的IFSMgr_Ringo_ FileI0服務(wù)程序的入口地址將被CIH病毒保留，以便它的調(diào)用。

這樣CIH病毒就完成了引導(dǎo)工作，駐留在內(nèi)存中，開始監(jiān)視系統(tǒng)的文件調(diào)用操作。一旦系統(tǒng)出現(xiàn)要求調(diào)用文件CIH就首先截獲被調(diào)用的文件。然后判斷該文件是否為PE格式的EXE 文件，如果是就將自身拆成幾段，插入到該文件的空域中，然后修改PE格式文件的文件頭中的文件映像執(zhí)行參數(shù)，使其首先指向病毒體；如果不是就將調(diào)用轉(zhuǎn)接給Windows 98/95的IFSMgr_I0服務(wù)程序。

（CIH病毒感染流程圖）

三、PE病毒的清除和防治

1.PE病毒的清除

清除PE病毒不光是去除病毒程序，或使病毒程序不能進行，還要盡可能恢復(fù)系統(tǒng)或文件本來面目，以將損失減少至最低程度。清除PE病毒的過程其實可以看作病毒感染宿主程序的逆過程，只要搞清楚病毒的感染機理，清除病毒其實是很容易的。事實上每一種病毒，甚至是每一個病毒的變種，它們的清除方式可能都是不一樣的，所有清除病毒時，一定要針對具體的病毒來進行。下面仍以CIH病毒為例分析PE文件病毒手工清除過程。

例：文件感染CIH 病毒的手工消除

(1)準備工作

準備工作主要有兩步，一是獲得對可執(zhí)行文件瀏覽全部代碼的文本，二是打印一份感染CIH病毒后的完整的文件頭數(shù)據(jù)樣本。

（2）恢復(fù)文件頭數(shù)據(jù)及清除病毒代碼

①文件感染標志值55H

②EIP相對值

③入口表

④病毒代碼組合表

⑤病毒代碼文件頭部分

⑥病毒代碼各個分塊部分

(3)寫入正常文件代碼

以上工作完成后，一份正常的文件數(shù)據(jù)已經(jīng)在內(nèi)存中生成了，最后用下述指令存盤保存:

W 0100

這樣，EXCHNG32.DAT就是消除CIH感染影響后的正常文件了，再刪除掉原來的可執(zhí)行文件EXCHNG32.EXE，將EXCHNG32.DAT重命名為EXCHNG32.EXE即可。

盡管每種病毒的清除方法有區(qū)別，但是都要遵循病毒清除的基本流程。

（清除病毒的基本流程）

2.PE病毒的防御

(1)PE病毒防御框架的提出

在深入了解WINDOWS PE 文件結(jié)構(gòu)與其中的重要數(shù)據(jù)和重點分析 PE文件病毒傳軟、破壞所使用的各種技術(shù)后，可以看出病毒應(yīng)用各種技術(shù)可以輕而易舉的將自己插入到正常的PE 文件中，當觸發(fā)條件滿足后，便開始破壞行為。目前，較為流行的各種殺毒軟件，主要是防御病毒的破壞行為，而對病毒的傳播卻重視不足。即使能夠攔截一部分病毒傳播，但是，當病毒使用變形技術(shù)后，這種攔截就無能為力了。

設(shè)想如果在PE病毒傳播時期就將其拒之于系統(tǒng)之外，那么系統(tǒng)的安全性和穩(wěn)定性將大大提高。針對PE文件病毒而言，在其感染階段，不讓其插入到正常的PE文件中，使其失去寄存空間，在配合一定的殺毒技術(shù)，就能對該類病毒實施防御了。

在此基礎(chǔ)上本論文提出 PE文件病毒的防御框架，如圖：

(2)PE文件型病毒的預(yù)防

凡是PE文件型病毒，都要尋找一個可執(zhí)行文件的宿主，當可執(zhí)行文件被感染時，其表現(xiàn)癥狀為文件長度增加或文件頭部信息被修改、文件目錄表中信息被修改、文件長度不變而內(nèi)部信息被修改等。

針對這種癥狀提出一種預(yù)防PE文件型的方法。在源程序中增加自檢及清除病毒的功能。這種方法的優(yōu)點是可執(zhí)行文件從生成起，就有抗病毒的能力，從而可以保證可執(zhí)行文件的干凈。自檢清除功能部分和可執(zhí)行文件的其他部分融為一體，不會和程序的其他功能才沖突，也是病毒制造者無法造出針對性的病毒?？蓤?zhí)行文件染不上病毒，PE文件型病毒就無法傳播了。

預(yù)防PE文件型病毒方法的核心就是使可執(zhí)行文件具有自檢功能，在被加載時檢測本身的幾項指標——文件長度、文件頭部信息、文件內(nèi)部抽樣信息、文件目錄表中有關(guān)信息。其實現(xiàn)的過程是在使用匯編語言或其他高級語言時，先把上述有關(guān)的信息定義為若干大小固定的幾個變量，給每個變量先賦一個值，待匯編或編譯之后，根據(jù)可執(zhí)行文件中的有關(guān)信息，把源程序中的有關(guān)變量進行修改，再重新匯編或編譯，就得到了所需的可執(zhí)行文件。

本文以CIH 病毒為例介紹病毒的防治措施。

①查解壓文件病毒和實時監(jiān)控病毒的反病毒軟件，并正確使用反病毒軟件的各項功能，特別是實時反病毒功能。

②所有的反病毒軟件都能夠檢查和清除CIH病毒，如果用戶 在Windows環(huán)境下清除CIH病毒失敗，可以用干凈的DOS盤引導(dǎo)系統(tǒng)，再用DOS版的反病毒軟件清除CIH病毒。

③算機進行分區(qū)，把重要的數(shù)據(jù)存放在D盤以后的分區(qū)中，當計算機被CIH病毒破壞以后，反病毒軟件獨有的修復(fù)功能可以修復(fù)被CIH病毒破壞的硬盤分區(qū)表，找回硬盤上的數(shù)據(jù)。

④范于未然，對重要的數(shù)據(jù)進行備份，不使用來歷不明的軟件和光盤，養(yǎng)成使用計算機的良好習(xí)慣，同時在每月的26日CIH病毒的發(fā)作時間前，提前修改時間。

⑤給計算機進行終身的CIH日病毒免疫。利用CIH病毒傳染前檢查“感染標記”的特征，運用先進的編程技術(shù)，可以“克隆”CIH病毒的“感染標記”，這樣一來用戶就可以利用反病毒軟件的這個功能，使計算機永久性的不會被CIH病毒感染。

(3)一種預(yù)防PE文件病毒感染的方法

基于上述的分析研究，本文提出一種預(yù)防PE文件病毒的感染的方法。本方法主要是利用了TOOLS7.0中的數(shù)據(jù)監(jiān)控（Data Monitor）功能。

首先啟動PCTOOLS7.0，選擇運行數(shù)據(jù)監(jiān)控功能，根據(jù)屏幕顯示，選擇運行寫保護后，在根據(jù)屏幕提示，按“L”鍵，選擇運行此功能。然后按“S”鍵選擇“System Areas（系統(tǒng)區(qū)域）”，這時系統(tǒng)確認對硬盤的系統(tǒng)區(qū)如硬盤分區(qū)表、FAT表、和BOOT區(qū)等實行寫保護。按“F”鍵，選擇“File Listed Below”。此時系統(tǒng)對屏幕所示的“Include”表中的各類文件實行寫保護。然后可以按“Tab”鍵，分別激活“Include”和“Exclude”表，根據(jù)自己實際工作需要，選擇增加對哪些類別的文件實行寫保護，對哪些類別的文件不實行寫保護。系統(tǒng)默認類別是擴展名為.EXE、.COM、.DLL和擴展名前兩位為OV的文件。以上操作完成以后，就可以退出系統(tǒng)，結(jié)束操作了。

以上的操作完成了最初的設(shè)置，并激活了寫保護功能。在以后的使用中如果要激活本功能，只要在自動批處理文件中加入一條命令：

DATAMON/WRITE+>NUL

這樣，只要我們啟動微機，系統(tǒng)將自動激活數(shù)據(jù)監(jiān)控功能，并對硬盤系統(tǒng)區(qū)中的各種數(shù)據(jù)和用戶選擇的各類文件實行寫保護。當我們一旦運行感染病毒的軟件時，由于激活的數(shù)據(jù)監(jiān)控功能能監(jiān)控所有讀寫操作，因此當病毒要對硬盤的系統(tǒng)區(qū)進行改寫或?qū)?EXE和.COM文件進行刪除和寫操作是hi，系統(tǒng)將立即發(fā)出警報聲，并在屏幕上警告用戶。讓用戶從屏幕中選擇是否中斷操作、繼續(xù)執(zhí)行還是取消報警后繼續(xù)執(zhí)行。從而使我們能夠及時發(fā)現(xiàn)病毒，并采取相應(yīng)的措施。這樣就有效的防止了PE文件病毒的感染、擴散及破壞，做到了真正的“防毒”。

四、總結(jié)

PE文件病毒是感染W(wǎng)indows系統(tǒng)可執(zhí)行文件最基本的病毒，了解其工作原理，對防護計算機病毒的能力具有重要的作用。

本論文分成三個部分，首先分析PE病毒的定義和PE文件格式，了解PE病毒的感染機理是通過嵌入其他文件體，當用戶執(zhí)行文件的時候，會先執(zhí)行病毒代碼，然后再去感染其他PE文件，使被感染文件被破壞。其次，本文重點分析了PE病毒的入侵途徑，每一個PE病毒的入侵都離不開病毒的重定位、獲取API函數(shù)地址、文件搜索、使用內(nèi)存映射文件讀寫文件這幾個過程，又以CIH病毒為例具體分析病毒入侵的過程。最后，在了解PE病毒的感染機理的基礎(chǔ)上，提出清除病毒的方法和防御病毒的措施，防御病毒的核心是在病毒感染文件之前將之拒之門外?？梢耘浜弦欢ǖ臍⒍拒浖遣《緩氐资ゼ拇娴目臻g，達到安全防治的目的。

參考文獻:

[1]卓新建,鄭康鋒,辛陽.計算機病毒原理與防治.北京郵電大學(xué)出版社,2007

[2]郝文化防黑反毒技術(shù)指南.機械工業(yè)出版社,2004

[3]程勝利,談冉,熊文龍.計算機病毒與其防治技術(shù).清華大學(xué)出版社,2004

篇9

0引言

    辦公自動化系統(tǒng)(oas)是辦公業(yè)務(wù)中采用intemet/intranet技術(shù)，基于工作流的概念，使企業(yè)內(nèi)部人員方便快捷地共享信息，高效地協(xié)同工作，實現(xiàn)迅速、全方位的信息采集、信息處理，為企業(yè)的管理和決策提供科學(xué)的依據(jù)。一個企業(yè)實現(xiàn)辦公自動化的程度是衡量其現(xiàn)代化管理水平的標準。oas從最初的以大規(guī)模采用復(fù)印機等辦公設(shè)備為標志的初級階段，發(fā)展到今天的以運用網(wǎng)絡(luò)和計算機為標志的階段，oas對企業(yè)辦公方式的改變和效率的提高起到了積極的促進作用。近年來，辦公自動化系統(tǒng)都是架設(shè)在網(wǎng)絡(luò)之上的，它是一個企業(yè)與外界聯(lián)系的渠道，企業(yè)的imranet最終都會接人internet，這種接人一方面方便了企業(yè)信息、共享資源、對外交流和提高辦事效率，另一方面也帶來了來自外部網(wǎng)絡(luò)的各種安全威脅。

1辦公自動化系統(tǒng)存在的安全晚息

    隨著internet的迅速發(fā)展，如何保證信息和網(wǎng)絡(luò)的自身安全性問題，尤其是在開放互聯(lián)環(huán)境中進行商務(wù)等機密信息的交換時，如何保證信息存取中不被竊取篡改，已成為企業(yè)非常關(guān)注的問題。在國際上，計算機犯罪案件正在以幾何級數(shù)增長。計算機犯罪是一種高技術(shù)型犯罪，由于婦汀日罪的隱蔽侄，因川，寸辦公自動化系統(tǒng)安全構(gòu)成了很大的威脅。

    目前，辦公自動化系統(tǒng)的安全隱患主要存在以下幾個方面:

    假冒內(nèi)網(wǎng)的ip地址登錄內(nèi)網(wǎng)竊取信息;軟件系統(tǒng)自身的問題:利用網(wǎng)絡(luò)傳輸協(xié)議或操作系統(tǒng)的漏洞攻擊網(wǎng)絡(luò);獲得網(wǎng)絡(luò)的超級管理員權(quán)限，竊取信息或破壞系統(tǒng);在傳輸鏈路上截取信息，或者進人系統(tǒng)進行物理破壞;病毒破壞，計算機病毒是一種人為制造的，在計算機運行中對計算機信息或者系統(tǒng)起破壞作用的程序。它通常隱蔽在其它程序或者文件中，按照病毒設(shè)計者設(shè)定的條件引發(fā)，從而對系統(tǒng)或信息起到破壞作用;黑客人侵;防范技術(shù)落后，網(wǎng)絡(luò)安全管理不力，管理人員混亂，權(quán)限混亂等等。

2系統(tǒng)安全的防范

    針對目前系統(tǒng)安全的上述問題，在辦公自動化系統(tǒng)安全上提出下面幾類主要的防范方法。

2.1加強機房管理

    對目前大多數(shù)辦公自動化系統(tǒng)來說，存在的一個很大的不安全因素是網(wǎng)絡(luò)管理員的權(quán)力太大，據(jù)有關(guān)資料報道，80%的計算機犯罪來自內(nèi)部，所以對機房工作人員要做好選擇和日?？疾?，妾采取一定的手段來限制或者削弱網(wǎng)絡(luò)管理員的權(quán)力，對機房工作人員，要結(jié)合機房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個方面的安全問題，進行安全教育，提高工作人員的保密觀念和責(zé)任心;要加強業(yè)務(wù)、技術(shù)等方面的定期培訓(xùn)，提高管理人員的技術(shù)水平。

2.2設(shè)里訪問控制

    訪問控制是保證網(wǎng)絡(luò)安全最重要的策略之一。訪問控制策略包括人網(wǎng)訪問控制策略、操作權(quán)限控制策略等幾個方面的內(nèi)容。首先，網(wǎng)絡(luò)管理員應(yīng)該對用戶賬戶的使用、用戶訪問網(wǎng)絡(luò)的時間和方式進行控制和限制。用戶賬戶應(yīng)只有網(wǎng)絡(luò)管理員才能建立，用戶口令是用戶訪問網(wǎng)絡(luò)所必須提交的準人證。針對用戶登錄時多次輸人口令不正確的情況，系統(tǒng)應(yīng)按照非法用戶人人口令的次數(shù)給予給出報警信息，同時應(yīng)該能夠?qū)υ试S用戶輸其次，用戶名和口令通過驗證之后，系統(tǒng)需要進一步對用戶賬戶的默認權(quán)限進行檢查。最后，針對用戶和用戶組賦予一定的操作權(quán)限。網(wǎng)絡(luò)管理員能夠通過設(shè)置，指定用戶和用戶組可以訪問網(wǎng)絡(luò)中的哪些資源，可以在服務(wù)器上進行何種類型的操作。網(wǎng)絡(luò)管理員要根據(jù)訪問權(quán)限將用戶分為特殊用戶、普通用戶和審計用戶等等。

2.3數(shù)據(jù)加密

    主要針對辦公自動化系統(tǒng)中的數(shù)據(jù)進行加密。它是通過網(wǎng)絡(luò)中的加密系統(tǒng)，把各種原始的數(shù)據(jù)信息(明文)按照某種特定的加密算法變換成與明文完全不同的數(shù)據(jù)信息(密文)的過程。目前常用的數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸加密和數(shù)據(jù)存儲加密。數(shù)據(jù)傳輸加密主要是對傳輸中的數(shù)據(jù)流進行加密，常用的有鏈路加密、節(jié)點加密和端到端加密三種方式。鏈路加密對用戶來說比較容易實現(xiàn)，使用的密鑰較少，而端到端加密比較靈活，對用戶可見，在對鏈路加密中各節(jié)點安全狀況不放心的情況下也可使用端到端加密方式。數(shù)據(jù)存儲加密主要就是針對系統(tǒng)數(shù)據(jù)庫中存儲的數(shù)據(jù)本身進行加密，這樣即使數(shù)據(jù)不幸泄露或者丟失，也難以被人破譯。數(shù)據(jù)存儲加密的關(guān)鍵是選擇一個好的加密算法。

2.4建立工作日志

    對所有合法登錄用戶的操作情況進行跟蹤記錄;對非法用戶，要求系統(tǒng)能夠自動記錄其登錄次數(shù)，時間，ip地址等信息，以便網(wǎng)絡(luò)管理員能夠根據(jù)日志信息監(jiān)控系統(tǒng)使用狀態(tài)，并針對惡意行為采取相應(yīng)的措施。

2.5加強郵件安全

    在眾多的通信工具中，電子郵件以其方便、快捷的特點已成了廣大網(wǎng)絡(luò)用戶的首選。然而這也給網(wǎng)絡(luò)安全帶來了很大的隱患，目前垃圾郵件數(shù)量巨大、郵件病毒防不勝防，而關(guān)于郵件泄密的報道更是層出不窮。面對電子郵件存在的巨大安全隱患，可以采取如下的防御措施:

1）加強防御，一般用戶會經(jīng)常忽略使用電郵安全的基本常識，因此教育用戶一些常識是非常有必須的。例如，勿開啟來自未知寄件者的附件;勿點選不熟悉來源的任何內(nèi)容;封鎖陌生人的實時訊息等。

    2)對郵件進行加密，由于越來越多的人通過電子郵件進行重要的商務(wù)活動和發(fā)送機密信息，因此保證郵件的真實性和不被其他人截取和偷閱也變得日趨重要。據(jù)調(diào)查，74%郵件泄密是因為郵件中的機密信息未做任何加密措施引起的。因此，郵件加密是一種比較有效的、針對郵件內(nèi)容的安全防范措施，采取先進的加密算法可以有效地保障數(shù)據(jù)的安全。

    3)反垃圾郵件，垃圾郵件經(jīng)常與病毒有關(guān)，因此用戶需要反垃圾郵件和反病毒保護。垃圾郵件中的鏈接經(jīng)常指向包含惡意軟件的網(wǎng)站，而且病毒經(jīng)常通過電子郵件傳播。大大減輕郵件病毒肆虐的方法是使用反病毒軟件，例如只使用提供自動病毒保護功能的電子郵箱，只打開來源可信的電子郵件，或在打開郵件附件之前用反病毒軟件進行掃描等等。

2.6設(shè)置網(wǎng)絡(luò)防火墻

    通過安裝并啟用網(wǎng)絡(luò)防火墻，可以有效地建立起計算機與外界不安全因素的第一道屏障，做到實時監(jiān)控網(wǎng)路中的數(shù)據(jù)流，保護本地計算機不被病毒或者黑客人侵。

2.7保護傳輸線路安全

篇10

（一）按傳染方式分類。按傳染方式分類可分為引導(dǎo)型病毒、文件型病毒和混合型病毒3種。引導(dǎo)型病毒主要是感染磁盤的引導(dǎo)區(qū)，系統(tǒng)從包含了病毒的磁盤啟動時傳播，它一般不對磁盤文件進行感染；文件型病毒一般只傳染磁盤上可以執(zhí)行文件（COM、EXE）,其特點是附著于正常程序文件，成為程序文件的一個外殼或部件；混合型病毒則兼有以上兩種病毒的特點，既感染引導(dǎo)區(qū)又感染文件，因此擴大了這種病毒的傳染途徑。

（二）按連接方式分類。接連接方式分類可分為源碼型病毒、入侵型病毒和操作系統(tǒng)型病毒等3種。其中源碼型病毒主要攻擊高級語言編寫的源程序，它會將自己插入到系統(tǒng)源程序中，并隨源程序一起編譯，連接成可執(zhí)行文件，從而導(dǎo)致剛剛生成的可執(zhí)行文件直接帶毒；入侵型病毒用自身代替部分加入或替代操作系統(tǒng)的部門功能，危害性較大。

（三）按程序運行平臺分類。病毒按程序運行平臺可分為DOS病毒，Windows病毒，WindowsNT病毒，OS/2病毒等，它們分別是發(fā)作于DOS,Windows9X,WindowsNT,OS/2等操作系統(tǒng)平臺上的病毒。

（四）新型病毒。部分新型病毒由于其獨特性而暫時無法按照前面的類型進行分類，如宏病毒（使用某個應(yīng)用程序自帶的宏編程語言編寫的病毒）、黑客軟件、電子郵件病毒等。

二、計算機病毒的危害

我們勞動保障部門正常辦公用的計算機里都保存大量的文檔、業(yè)務(wù)資料、公文、檔案等重要數(shù)據(jù)和信息資料，如果被病毒破壞，被黑客盜取或篡改，就會造成數(shù)據(jù)信息丟失，甚至泄密，嚴懲影響正常辦公的順利進行。計算機感染病毒以后，輕則運行速度明顯變慢，頻繁死機，重則文件被刪除，硬盤分區(qū)表被破壞，甚至硬盤被非法格式化，更甚者還會造成計算機硬件損壞，很難修復(fù)。有很多的網(wǎng)頁上含有惡意代碼病毒，用誘人的網(wǎng)頁名稱吸引人們訪問他們的網(wǎng)頁，然后修改訪問者計算機IE瀏覽器的主頁設(shè)置為他們的網(wǎng)頁，較為惡劣的還會放置木馬程序到訪問者計算機的系統(tǒng)文件里，隨系統(tǒng)的啟動一起加載，造成主頁很難修改回來，更為惡劣的是修改操作系統(tǒng)注冊表并注銷造成注冊表無法修改。還有病毒智能化程序相當高，感染以后殺掉防殺病毒程序的進程，造成殺毒軟件失效，感染的方式也由早期的被動感染到今天的主動感染。

三、計算機病毒的防護

在我們正常的工作中，怎樣才能減少和避免計算機病毒的感染與危害呢？在平時的計算機使用中只要注意做到以下幾個方面，就會大大減少病毒感染的機會。

（一）建立良好的安全習(xí)慣。例如：對一些來歷不明的郵件及附件不要打開，并盡快刪除，不要上一些不太了解的網(wǎng)站，尤其是那些誘人名稱的網(wǎng)頁，更不要輕易打開，不要執(zhí)行從Internet下載后未經(jīng)殺毒處理的軟件等，這些必要的習(xí)慣會使您的計算機更安全。

（二）關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)。默認情況下，許多操作系統(tǒng)會安裝一些輔助服務(wù)，如FTP客戶端、Telner和Web服務(wù)器。這些服務(wù)為攻擊者提供了方便，而又對用戶沒有太大用處，如果刪除他們，就能大大減少被攻擊的可能性。

（三）經(jīng)常升級操作系統(tǒng)的安全補丁。據(jù)統(tǒng)計，有80%的網(wǎng)絡(luò)病毒是通過系統(tǒng)安全漏洞進行傳播的，像紅色代碼、尼姆達、沖擊波等病毒，所以應(yīng)該定期到微軟網(wǎng)站去下載最新的安全補丁，以防患于未然。

（四）使用復(fù)雜的密碼。有許多網(wǎng)絡(luò)病毒就是通過猜測簡單密碼的方式攻擊系統(tǒng)的。因此使用復(fù)雜的密碼，將會大大提高計算機的安全系數(shù)。

（五）迅速隔離受感染的計算機。當您的計算機發(fā)現(xiàn)病毒或異常時應(yīng)立即中斷網(wǎng)絡(luò)，然后盡快采取有效的查殺病毒措施，以防止計算機受到更多的感染，或者成為傳播源感染其他計算機。

（六）安裝專業(yè)的防病毒軟件進行全面監(jiān)控。在病毒日益增多的今天，使用殺毒軟件進行防殺病毒，是簡單有效并且是越來越經(jīng)濟的選擇。用戶在安裝了反病毒軟件后，應(yīng)該經(jīng)常升級至最新版本，并定期查殺計算機。將殺毒軟件的各種防病毒監(jiān)控始終打開（如郵件監(jiān)控和網(wǎng)頁監(jiān)控等），可以很好地保障計算機的安全。