版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
PAGE
II
局域網(wǎng)病毒傳播的方式特點(diǎn)及防范技巧
摘要
計(jì)算機(jī)病毒(ComputerVirus)在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義,病毒指“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。
病毒不是來(lái)源于突發(fā)或偶然的原因。病毒來(lái)自于一次偶然的事件,那時(shí)的研究人員為了計(jì)算出當(dāng)時(shí)互聯(lián)網(wǎng)的在線人數(shù),然而它卻自己“繁殖”了起來(lái)導(dǎo)致了整個(gè)服務(wù)器的崩潰和堵塞,有時(shí)一次突發(fā)的停電和偶然的錯(cuò)誤,會(huì)在計(jì)算機(jī)的磁盤和內(nèi)存中產(chǎn)生一些亂碼和隨機(jī)指令,但這些代碼是無(wú)序和混亂的,病毒則是一種比較完美的,精巧嚴(yán)謹(jǐn)?shù)拇a,按照嚴(yán)格的秩序組織起來(lái),與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配合起來(lái),病毒不會(huì)通過(guò)偶然形成,并且需要有一定的長(zhǎng)度,這個(gè)基本的長(zhǎng)度從概率上來(lái)講是不可能通過(guò)隨機(jī)代碼產(chǎn)生的。
計(jì)算機(jī)資源的損失和破壞,不但會(huì)造成資源和財(cái)富的巨大浪費(fèi),而且有可能造成社會(huì)性的災(zāi)難,隨著信息化社會(huì)的發(fā)展,計(jì)算機(jī)病毒的威脅日益嚴(yán)重,反病毒的任務(wù)也更加艱巨了。
關(guān)鍵詞:計(jì)算機(jī)病毒,計(jì)算機(jī)病毒的傳播,危害
目錄
第一章計(jì)算機(jī)病毒介紹
1
1.1什么是計(jì)算機(jī)病毒
1
1.2計(jì)算機(jī)病毒的特點(diǎn)
1
1.3計(jì)算機(jī)病毒的分類
2
第二章計(jì)算機(jī)病毒的表現(xiàn)形式
4
2.1計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)現(xiàn)象
4
2.2計(jì)算機(jī)病毒發(fā)作后的表現(xiàn)現(xiàn)象
6
第三章計(jì)算機(jī)病毒的傳播途徑
8
3.1軟盤
8
3.2光盤
8
3.3硬盤
8
3.4BBS
8
3.5病毒通過(guò)網(wǎng)絡(luò)傳播的方式
8
3.5.1E-mail
9
3.5.2郵件附件
9
3.5.3Web服務(wù)器
9
3.5.4文件共享
9
第四章病毒的防治
10
4.1病毒防治的意義
10
4.2病毒的預(yù)防
10
4.3計(jì)算機(jī)病毒如何處理
11
第五章星星網(wǎng)吧病毒防治
13
5.1網(wǎng)吧中毒過(guò)程
13
5.1.1尼姆達(dá)的傳播方式
13
5.1.2中毒后的表現(xiàn)形式
13
5.1.3如何消滅病毒
14
5.2網(wǎng)吧的病毒防治
14
5.2.1安全維護(hù)從布線做起
14
5.2.2合理選購(gòu)硬件防火墻
16
5.3安全防護(hù)的三個(gè)重要模塊
18
5.4局域網(wǎng)內(nèi)部安全措施
18
總結(jié)
20
參考文獻(xiàn)
21
第
PAGE
21
頁(yè)共22頁(yè)
第一章計(jì)算機(jī)病毒介紹
1.1什么是計(jì)算機(jī)病毒
計(jì)算機(jī)病毒(ComputerVirus)在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中被明確定義,病毒指“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。而在一般教科書及通用資料中被定義為:利用計(jì)算機(jī)軟件與硬件的缺陷或操作系統(tǒng)漏洞,由被感染機(jī)內(nèi)部發(fā)出的破壞計(jì)算機(jī)數(shù)據(jù)并影響計(jì)算機(jī)正常工作的一組指令集或程序代碼。
計(jì)算機(jī)病毒最早出現(xiàn)在70年代DavidGerrold科幻小說(shuō)WhenH.A.R.L.I.E.wasOne.最早科學(xué)定義出現(xiàn)在1983:在FredCohen(南加大)的博士論文“計(jì)算機(jī)病毒實(shí)驗(yàn)”“一種能把自己(或經(jīng)演變)注入其它程序的計(jì)算機(jī)程序”啟動(dòng)區(qū)病毒,宏(macro)病毒,腳本(script)病毒也是相同概念傳播機(jī)制同生物病毒類似.生物病毒是把自己注入細(xì)胞之中。
病毒不是來(lái)源于突發(fā)或偶然的原因。病毒來(lái)自于一次偶然的事件,那時(shí)的研究人員為了計(jì)算出當(dāng)時(shí)互聯(lián)網(wǎng)的在線人數(shù),然而它卻自己“繁殖”了起來(lái)導(dǎo)致了整個(gè)服務(wù)器的崩潰和堵塞,有時(shí)一次突發(fā)的停電和偶然的錯(cuò)誤,會(huì)在計(jì)算機(jī)的磁盤和內(nèi)存中產(chǎn)生一些亂碼和隨機(jī)指令,但這些代碼是無(wú)序和混亂的,病毒則是一種比較完美的,精巧嚴(yán)謹(jǐn)?shù)拇a,按照嚴(yán)格的秩序組織起來(lái),與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配合起來(lái),病毒不會(huì)通過(guò)偶然形成,并且需要有一定的長(zhǎng)度,這個(gè)基本的長(zhǎng)度從概率上來(lái)講是不可能通過(guò)隨機(jī)代碼產(chǎn)生的?,F(xiàn)在流行的病毒是由人為故意編寫的,多數(shù)病毒可以找到作者和產(chǎn)地信息,從大量的統(tǒng)計(jì)分析來(lái)看,病毒作者主要情況和目的是:一些天才的程序員為了表現(xiàn)自己和證明自己的能力,出于對(duì)上司的不滿,為了好奇,為了報(bào)復(fù),為了祝賀和求愛,為了得到控制口令,為了軟件拿不到報(bào)酬預(yù)留的陷阱等。當(dāng)然也有因政治,軍事,宗教,民族.專利等方面的需求而專門編寫的,其中也包括一些病毒研究機(jī)構(gòu)和黑客的測(cè)試病毒。
1.2計(jì)算機(jī)病毒的特點(diǎn)
(1)寄生性
計(jì)算機(jī)病毒寄生在其他程序之中,當(dāng)執(zhí)行這個(gè)程序時(shí),病毒就起破壞作用,而在未啟動(dòng)這個(gè)程序之前,它是不易被人發(fā)覺的。
(2)傳染性
計(jì)算機(jī)病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被復(fù)制或產(chǎn)生變種,其速度之快令人難以預(yù)防。傳染性是病毒的基本特征。在生物界,病毒通過(guò)傳染從一個(gè)生物體擴(kuò)散到另一個(gè)生物體。在適當(dāng)?shù)臈l件下,它可得到大量繁殖,并使被感染的生物體表現(xiàn)出病癥甚至死亡。同樣,計(jì)算機(jī)病毒也會(huì)通過(guò)各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī),在某些情況下造成被感染的計(jì)算機(jī)工作失常甚至癱瘓。與生物病毒不同的是,計(jì)算機(jī)病毒是一段人為編制的計(jì)算機(jī)程序代碼,這段程序代碼一旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行,它就會(huì)搜尋其他符合其傳染條件的程序或存儲(chǔ)介質(zhì),確定目標(biāo)后再將自身代碼插入其中,達(dá)到自我繁殖的目的。只要一臺(tái)計(jì)算機(jī)染毒,如不及時(shí)處理,那么病毒會(huì)在這臺(tái)機(jī)子上迅速擴(kuò)散,計(jì)算機(jī)病毒可通過(guò)各種可能的渠道,如軟盤、計(jì)算機(jī)網(wǎng)絡(luò)去傳染其他的計(jì)算機(jī)。當(dāng)您在一臺(tái)機(jī)器上發(fā)現(xiàn)了病毒時(shí),往往曾在這臺(tái)計(jì)算機(jī)上用過(guò)的軟盤已感染上了病毒,而與這臺(tái)機(jī)器相聯(lián)網(wǎng)的其他計(jì)算機(jī)也許也被該病毒染上了。是否具有傳染性是判別一個(gè)程序是否為計(jì)算機(jī)病毒的最重要條件。病毒程序通過(guò)修改磁盤扇區(qū)信息或文件內(nèi)容并把自身嵌入到其中的方法達(dá)到病毒的傳染和擴(kuò)散,而被嵌入的程序叫做宿主程序。
(3)潛伏性
有些病毒像定時(shí)炸彈一樣,讓它什么時(shí)間發(fā)作是預(yù)先設(shè)計(jì)好的。比如黑色星期五病毒,不到預(yù)定時(shí)間一點(diǎn)都覺察不出來(lái),等到條件具備的時(shí)候一下子就爆炸開來(lái),對(duì)系統(tǒng)進(jìn)行破壞。一個(gè)編制精巧的計(jì)算機(jī)病毒程序,進(jìn)入系統(tǒng)之后一般不會(huì)馬上發(fā)作,因此病毒可以靜靜地躲在磁盤或磁帶里呆上幾天,甚至幾年,一旦時(shí)機(jī)成熟,得到運(yùn)行機(jī)會(huì),就又要四處繁殖、擴(kuò)散,繼續(xù)為害。潛伏性的第二種表現(xiàn)是指,計(jì)算機(jī)病毒的內(nèi)部往往有一種觸發(fā)機(jī)制,不滿足觸發(fā)條件時(shí),計(jì)算機(jī)病毒除了傳染外不做什么破壞。觸發(fā)條件一旦得到滿足,有的在屏幕上顯示信息、圖形或特殊標(biāo)識(shí),有的則執(zhí)行破壞系統(tǒng)的操作,如格式化磁盤、刪除磁盤文件、對(duì)數(shù)據(jù)文件做加密、封鎖鍵盤以及使系統(tǒng)死鎖等。
(4)隱蔽性
計(jì)算機(jī)病毒具有很強(qiáng)的隱蔽性,有的可以通過(guò)病毒軟件檢查出來(lái),有的根本就查不出來(lái),有的時(shí)隱時(shí)現(xiàn)、變化無(wú)常,這類病毒處理起來(lái)通常很困難。
(5)破壞性
計(jì)算機(jī)中毒后,可能會(huì)導(dǎo)致正常的程序無(wú)法運(yùn)行,把計(jì)算機(jī)內(nèi)的文件刪除或受到不同程度的損壞。通常表現(xiàn)為:增、刪、改、移。
(6)可觸發(fā)性
病毒因某個(gè)事件或數(shù)值的出現(xiàn),誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性。為了隱蔽自己,病毒必須潛伏,少做動(dòng)作。如果完全不動(dòng),一直潛伏的話,病毒既不能感染也不能進(jìn)行破壞,便失去了殺傷力。病毒既要隱蔽又要維持殺傷力,它必須具有可觸發(fā)性。病毒的觸發(fā)機(jī)制就是用來(lái)控制感染和破壞動(dòng)作的頻率的。病毒具有預(yù)定的觸發(fā)條件,這些條件可能是時(shí)間、日期、文件類型或某些特定數(shù)據(jù)等。病毒運(yùn)行時(shí),觸發(fā)機(jī)制檢查預(yù)定條件是否滿足,如果滿足,啟動(dòng)感染或破壞動(dòng)作,使病毒進(jìn)行感染或攻擊;如果不滿足,使病毒繼續(xù)潛。
1.3計(jì)算機(jī)病毒的分類
按照科學(xué)的、系統(tǒng)的、嚴(yán)密的方法,計(jì)算機(jī)病毒可分為如下幾類
(1)按病毒存在的媒體
根據(jù)病毒存在的媒體,病毒可以劃分為網(wǎng)絡(luò)病毒,文件病毒,引導(dǎo)型病毒。網(wǎng)絡(luò)病毒通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件,文件病毒感染計(jì)算機(jī)中的文件(如:COM,EXE,DOC等),引導(dǎo)型病毒感染啟動(dòng)扇區(qū)(Boot)和硬盤的系統(tǒng)引導(dǎo)扇區(qū)(MBR),還有這三種情況的混合型,例如:多型病毒(文件和引導(dǎo)型)感染文件和引導(dǎo)扇區(qū)兩種目標(biāo),這樣的病毒通常都具有復(fù)雜的算法,它們使用非常規(guī)的辦法侵入系統(tǒng),同時(shí)使用了加密和變形算法。
(2)按病毒傳染的方法
根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒,駐留型病毒感染計(jì)算機(jī)后,把自身的內(nèi)存駐留部分放在內(nèi)存(RAM)中,這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去,他處于激活狀態(tài),一直到關(guān)機(jī)或重新啟動(dòng).非駐留型病毒在得到機(jī)會(huì)激活時(shí)并不感染計(jì)算機(jī)內(nèi)存,一些病毒在內(nèi)存中留有小部分,但是并不通過(guò)這一部分進(jìn)行傳染,這類病毒也被劃分為非駐留型病毒。
(3)按病毒破壞的能力
無(wú)害型:除了傳染時(shí)減少磁盤的可用空間外,對(duì)系統(tǒng)沒有其它影響。無(wú)危險(xiǎn)型:這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。危險(xiǎn)型:這類病毒在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯(cuò)誤。非常危險(xiǎn)型:這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。
這些病毒對(duì)系統(tǒng)造成的危害,并不是本身的算法中存在危險(xiǎn)的調(diào)用,而是當(dāng)它們傳染時(shí)會(huì)引起無(wú)法預(yù)料的和災(zāi)難性的破壞。由病毒引起其它的程序產(chǎn)生的錯(cuò)誤也會(huì)破壞文件和扇區(qū),這些病毒也按照他們引起的破壞能力劃分。一些現(xiàn)在的無(wú)害型病毒也可能會(huì)對(duì)新版的DOS、Windows和其它操作系統(tǒng)造成破壞。例如:在早期的病毒中,有一個(gè)“Denzuk”病毒在360K磁盤上很好的工作,不會(huì)造成任何破壞,但是在后來(lái)的高密度軟盤上卻能引起大量的數(shù)據(jù)丟失。
(4)按病毒的算法
伴隨型病毒:這一類病毒并不改變文件本身,它們根據(jù)算法產(chǎn)生EXE文件的伴隨體,具有同樣的名字和不同的擴(kuò)展名(COM),例如:XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM文件并不改變EXE文件,當(dāng)DOS加載文件時(shí),伴隨體優(yōu)先被執(zhí)行到,再由伴隨體加載執(zhí)行原來(lái)的EXE文件。
“蠕蟲”型病毒,通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)傳播,不改變文件和資料信息,利用網(wǎng)絡(luò)從一臺(tái)機(jī)器的內(nèi)存?zhèn)鞑サ狡渌鼨C(jī)器的內(nèi)存,計(jì)算網(wǎng)絡(luò)地址,將自身的病毒通過(guò)網(wǎng)絡(luò)發(fā)送。有時(shí)它們?cè)谙到y(tǒng)存在,一般除了內(nèi)存不占用其它資源。
寄生型病毒,除了伴隨和“蠕蟲”型,其它病毒均可稱為寄生型病毒,它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中,通過(guò)系統(tǒng)的功能進(jìn)行傳播,按其算法不同可分為:練習(xí)型病毒,病毒自身包含錯(cuò)誤,不能進(jìn)行很好的傳播,例如一些病毒在調(diào)試階段。
詭秘型病毒,它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù),而是通過(guò)設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改,不易看到資源,使用比較高級(jí)的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進(jìn)行工作
變型病毒(又稱幽靈病毒),這一類病毒使用一個(gè)復(fù)雜的算法,使自己每傳播一份都具有不同的內(nèi)容和長(zhǎng)度。它們一般的作法是一段混有無(wú)關(guān)指令的解碼算法和被變化過(guò)的病毒體組成。
第二章計(jì)算機(jī)病毒的表現(xiàn)形式
計(jì)算機(jī)病毒是客觀存在的,客觀存在的事物總有它的特性,計(jì)算機(jī)病毒也不例外。從實(shí)質(zhì)上說(shuō),計(jì)算機(jī)病毒是一段程序代碼,雖然它可能隱藏得很好,但也會(huì)留下許多痕跡。通過(guò)對(duì)這些蛛絲馬跡的判別,我們就能發(fā)現(xiàn)計(jì)算機(jī)病毒的存在了。
根據(jù)計(jì)算機(jī)病毒感染和發(fā)作的階段,可以將計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象分為:計(jì)算機(jī)病毒發(fā)作時(shí)和發(fā)作后的表現(xiàn)現(xiàn)象。
2.1計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)現(xiàn)象
計(jì)算機(jī)病毒發(fā)作前,是指從計(jì)算機(jī)病毒感染計(jì)算機(jī)系統(tǒng),潛伏在系統(tǒng)內(nèi)開始,一直到激發(fā)條件滿足,計(jì)算機(jī)病毒發(fā)作之前的一個(gè)階段。在這個(gè)階段,計(jì)算機(jī)病毒的行為主要是以潛伏、傳播為主。計(jì)算機(jī)病毒會(huì)以各式各樣的手法來(lái)隱藏自己,在不被發(fā)現(xiàn)同時(shí),又自我復(fù)制,以各種手段進(jìn)行傳播。
以下是一些計(jì)算機(jī)病毒發(fā)作前常見的表現(xiàn)現(xiàn)象:
1、平時(shí)運(yùn)行正常的計(jì)算機(jī)突然經(jīng)常性無(wú)緣無(wú)故地死機(jī)。病毒感染了計(jì)算機(jī)系統(tǒng)后,將自身駐留在系統(tǒng)內(nèi)并修改了中斷處理程序等,引起系統(tǒng)工作不穩(wěn)定,造成死機(jī)現(xiàn)象發(fā)生。
2、操作系統(tǒng)無(wú)法正常啟動(dòng)。關(guān)機(jī)后再啟動(dòng),操作系統(tǒng)報(bào)告缺少必要的啟動(dòng)文件,或啟動(dòng)文件被破壞,系統(tǒng)無(wú)法啟動(dòng)。這很可能是計(jì)算機(jī)病毒感染系統(tǒng)文件后使得文件結(jié)構(gòu)發(fā)生變化,無(wú)法被操作系統(tǒng)加載、引導(dǎo)。
3、運(yùn)行速度明顯變慢。在硬件設(shè)備沒有損壞或更換的情況下,本來(lái)運(yùn)行速度很快的計(jì)算機(jī),運(yùn)行同樣應(yīng)用程序,速度明顯變慢,而且重啟后依然很慢。這很可能是計(jì)算機(jī)病毒占用了大量的系統(tǒng)資源,并且自身的運(yùn)行占用了大量的處理器時(shí)間,造成系統(tǒng)資源不足,運(yùn)行變慢。
4、以前能正常運(yùn)行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯(cuò)誤。某個(gè)以前能夠正常運(yùn)行的程序,程序啟動(dòng)的時(shí)候報(bào)系統(tǒng)內(nèi)存不足,或者使用應(yīng)用程序中的某個(gè)功能時(shí)報(bào)說(shuō)內(nèi)存不足。這可能是計(jì)算機(jī)病毒駐留后占用了系統(tǒng)中大量的內(nèi)存空間,使得可用內(nèi)存空間減校需要注意的是在Windows95/98下,記事本程序所能夠編輯的文本文件不超過(guò)64Kb字節(jié),如果用"復(fù)制/粘貼"操作粘貼一段很大的文字到記事本程序時(shí),也會(huì)報(bào)"內(nèi)存不足,不能完成操作"的錯(cuò)誤,但這不是計(jì)算機(jī)病毒在作怪。
5、打印和通訊發(fā)生異常。硬件沒有更改或損壞的情況下,以前工作正常的打印機(jī),近期發(fā)現(xiàn)無(wú)法進(jìn)行打印操作,或打印出來(lái)的是亂碼。串口設(shè)備無(wú)法正常工作,比如調(diào)制解調(diào)器不撥號(hào)。這很可能是計(jì)算機(jī)病毒駐留內(nèi)存后占用了打印端口、串行通訊端口的中斷服務(wù)程序,使之不能正常工作。
6、無(wú)意中要求對(duì)軟盤進(jìn)行寫操作。沒有進(jìn)行任何讀、寫軟盤的操作,操作系統(tǒng)提示軟驅(qū)中沒有插入軟盤,或者要求在讀娶復(fù)制寫保護(hù)的軟盤上的文件時(shí)打開軟盤的寫保護(hù)。這很可能是計(jì)算機(jī)病毒自動(dòng)查找軟盤是否在軟驅(qū)中的時(shí)候引起的系統(tǒng)異常。需要注意的是有些編輯軟件需要在打開文件的時(shí)候創(chuàng)建一個(gè)臨時(shí)文件,也有的安裝程序(如Office97)對(duì)軟盤有寫的操作。
7、以前能正常運(yùn)行的應(yīng)用程序經(jīng)常發(fā)生死機(jī)或者非法錯(cuò)誤。在硬件和操作系統(tǒng)沒有進(jìn)行改動(dòng)的情況下,以前能夠正常運(yùn)行的應(yīng)用程序產(chǎn)生非法錯(cuò)誤和死機(jī)的情況明顯增加。這可能是由于計(jì)算機(jī)病毒感染應(yīng)用程序后破壞了應(yīng)用程序本身的正常功能,或者計(jì)算機(jī)病毒程序本身存在著兼容性方面的問(wèn)題造成的?
8、系統(tǒng)文件的時(shí)間、日期、大小發(fā)生變化。這是最明顯的計(jì)算機(jī)病毒感染跡象。計(jì)算機(jī)病毒感染應(yīng)用程序文件后,會(huì)將自身隱藏在原始文件的后面,文件大小大多會(huì)有所增加,文件的訪問(wèn)和修改日期和時(shí)間也會(huì)被改成感染時(shí)的時(shí)間。尤其是對(duì)那些系統(tǒng)文件,絕大多數(shù)情況下是不會(huì)修改它們的,除非是進(jìn)行系統(tǒng)升級(jí)或打補(bǔ)叮對(duì)應(yīng)用程序使用到的數(shù)據(jù)文件,文件大小和修改日期、時(shí)間是可能會(huì)改變的,并不一定是計(jì)算機(jī)病毒在作怪。
9、運(yùn)行Word,打開Word文檔后,該文件另存時(shí)只能以模板方式保存。無(wú)法另存為一個(gè)DOC文檔,只能保存成模板文檔(DOT)。這往往是打開的Word文檔中感染了Word宏病毒的緣故。
10、磁盤空間迅速減少。沒有安裝新的應(yīng)用程序,而系統(tǒng)可用的可用的磁盤空間減少地很快。這可能是計(jì)算機(jī)病毒感染造成的。需要注意的是經(jīng)常瀏覽網(wǎng)頁(yè)、回收站中的文件過(guò)多、臨時(shí)文件夾下的文件數(shù)量過(guò)多過(guò)大、計(jì)算機(jī)系統(tǒng)有過(guò)意外斷電等情況也可能會(huì)造成可用的磁盤空間迅速減少。另一種情況是Windows95/98下的內(nèi)存交換文件的增長(zhǎng),在Windows95/98下內(nèi)存交換文件會(huì)隨著應(yīng)用程序運(yùn)行的時(shí)間和進(jìn)程的數(shù)量增加而增長(zhǎng),一般不會(huì)減少,而且同時(shí)運(yùn)行的應(yīng)用程序數(shù)量越多,內(nèi)存交換文件就越大。
11、網(wǎng)絡(luò)驅(qū)動(dòng)器卷或共享目錄無(wú)法調(diào)用。對(duì)于有讀權(quán)限的網(wǎng)絡(luò)驅(qū)動(dòng)器卷、共享目錄等無(wú)法打開、瀏覽,或者對(duì)有寫權(quán)限的網(wǎng)絡(luò)驅(qū)動(dòng)器卷、共享目錄等無(wú)法創(chuàng)建、修改文件。雖然目前還很少有純粹地針對(duì)網(wǎng)絡(luò)驅(qū)動(dòng)器卷和共享目錄的計(jì)算機(jī)病毒,但計(jì)算機(jī)病毒的某些行為可能會(huì)影響對(duì)網(wǎng)絡(luò)驅(qū)動(dòng)器卷和共享目錄的正常訪問(wèn)。
12、基本內(nèi)存發(fā)生變化。在DOS下用mem/c/p命令查看系統(tǒng)中內(nèi)存使用狀況的時(shí)候可以發(fā)現(xiàn)基本內(nèi)存總字節(jié)數(shù)比正常的640Kb要小,一般少1Kb~2Kb。這通常是計(jì)算機(jī)系統(tǒng)感染了引導(dǎo)型計(jì)算機(jī)病毒所造成的。
13、陌生人發(fā)來(lái)的電子函件。收到陌生人發(fā)來(lái)的電子函件,尤其是那些標(biāo)題很具誘惑力,比如一則笑話,或者一封情書等,又帶有附件的電子函件。當(dāng)然,這要與廣告電子函件、垃圾電子函件和電子函件炸彈區(qū)分開。一般來(lái)說(shuō)廣告電子函件有很明確的推銷目的,會(huì)有它推銷的產(chǎn)品介紹;垃圾電子函件的內(nèi)容要么自成章回,要么根本沒有價(jià)值。這兩種電子函件大多是不會(huì)攜帶附件的。電子函件炸彈雖然也帶有附件,但附件一般都很大,少則上兆字節(jié),多的有幾十兆甚至上百兆字節(jié),而電子函件計(jì)算機(jī)病毒的附件大多是腳本程序,通常不會(huì)超過(guò)100Kb字節(jié)。當(dāng)然,電子函件炸彈在一定意義上也可以看成是一種黑客程序,是一種計(jì)算機(jī)病毒。
14、自動(dòng)鏈接到一些陌生的網(wǎng)站。沒有在上網(wǎng),計(jì)算機(jī)會(huì)自動(dòng)撥號(hào)并連接到因特網(wǎng)上一個(gè)陌生的站點(diǎn),或者在上網(wǎng)的時(shí)候發(fā)現(xiàn)網(wǎng)絡(luò)特別慢,存在陌生的網(wǎng)絡(luò)鏈接。這種聯(lián)接大多是黑客程序?qū)⑹占降挠?jì)算機(jī)系統(tǒng)的信息"悄悄地"發(fā)回某個(gè)特定的網(wǎng)址,可以通過(guò)netstat命令查看當(dāng)前建立的網(wǎng)絡(luò)鏈接,再比照訪問(wèn)的網(wǎng)站來(lái)發(fā)現(xiàn)。需要注意的是有些網(wǎng)頁(yè)中有一些腳本程序會(huì)自動(dòng)鏈接到一些網(wǎng)頁(yè)評(píng)比站點(diǎn),或者是廣告站點(diǎn),這時(shí)候也會(huì)有陌生的網(wǎng)絡(luò)鏈接出現(xiàn)。當(dāng)然,這種情況也可以認(rèn)為是非法的。一般的系統(tǒng)故障是有別與計(jì)算機(jī)病毒感染的。系統(tǒng)故障大多只符合上面的一點(diǎn)或二點(diǎn)現(xiàn)象,而計(jì)算機(jī)病毒感染所出現(xiàn)的現(xiàn)象會(huì)多的多。根據(jù)上述幾點(diǎn),就可以初步判斷計(jì)算機(jī)和網(wǎng)絡(luò)是否感染上了計(jì)算機(jī)病毒。
15、提示一些不相干的話。最常見的是提示一些不相干的話,比如打開感染了宏病毒的Word文檔,如果滿足了發(fā)作條件的話,它就會(huì)彈出對(duì)話框顯示"這個(gè)世界太黑暗了!",并且要求你輸入"太正確了"后按確定按鈕。
16、發(fā)出一段的音樂(lè)。惡作劇式的計(jì)算機(jī)病毒,最著名的是外國(guó)的"楊基"計(jì)算機(jī)病毒(Yangkee)和中國(guó)的"瀏陽(yáng)河"計(jì)算機(jī)病毒。"楊基"計(jì)算機(jī)病毒發(fā)作是利用計(jì)算機(jī)內(nèi)置的揚(yáng)聲器演奏《楊基》音樂(lè),而"瀏陽(yáng)河"計(jì)算機(jī)病毒更絕,當(dāng)系統(tǒng)時(shí)鐘為9月9日時(shí)演奏歌曲《瀏陽(yáng)河》,而當(dāng)系統(tǒng)時(shí)鐘為12月26日時(shí)則演奏《東方紅》的旋律。這類計(jì)算機(jī)病毒大多屬于"良性"計(jì)算機(jī)病毒,只是在發(fā)作時(shí)發(fā)出音樂(lè)和占用處理器資源。
17、產(chǎn)生特定的圖像。另一類惡作劇式的計(jì)算機(jī)病毒,比如小球計(jì)算機(jī)病毒,發(fā)作時(shí)會(huì)從屏幕上方不斷掉落下來(lái)小球圖形。單純地產(chǎn)生圖像的計(jì)算機(jī)病毒大多也是"良性"計(jì)算機(jī)病毒,只是在發(fā)作時(shí)破壞用戶的顯示界面,干擾用戶的正常工作。
18、硬盤燈不斷閃爍。硬盤燈閃爍說(shuō)明有硬盤讀寫操作。當(dāng)對(duì)硬盤有持續(xù)大量的操作時(shí),硬盤的燈就會(huì)不斷閃爍,比如格式化或者寫入很大很大的文件。有時(shí)候?qū)δ硞€(gè)硬盤扇區(qū)或文件反復(fù)讀取的情況下也會(huì)造成硬盤燈不斷閃爍。有的計(jì)算機(jī)病毒會(huì)在發(fā)作的時(shí)候?qū)τ脖P進(jìn)行格式化,或者寫入許多垃圾文件,或反復(fù)讀取某個(gè)文件,致使硬盤上的數(shù)據(jù)遭到損失。具有這類發(fā)作現(xiàn)象的計(jì)算機(jī)病毒大多是"惡性"計(jì)算機(jī)病毒。
19、進(jìn)行游戲算法。有些惡作劇式的計(jì)算機(jī)病毒發(fā)作時(shí)采取某些算法簡(jiǎn)單的游戲來(lái)中斷用戶的工作,一定要玩嬴了才讓用戶繼續(xù)他的工作。比如曾經(jīng)流行一時(shí)的"臺(tái)灣一號(hào)"宏病毒,在系統(tǒng)日期為13日時(shí)發(fā)作,彈出對(duì)話框,要求用戶做算術(shù)題。這類計(jì)算機(jī)病毒一般是屬于"良性"計(jì)算機(jī)病毒,但也有那種用戶輸了后進(jìn)行破壞的"惡性"計(jì)算機(jī)病毒。
20、Windows桌面圖標(biāo)發(fā)生變化。這一般也是惡作劇式的計(jì)算機(jī)病毒發(fā)作時(shí)的表現(xiàn)現(xiàn)象。把Windows缺省的圖標(biāo)改成其他樣式的圖標(biāo),或者將其他應(yīng)用程序、快捷方式的圖標(biāo)改成Windows缺省圖標(biāo)樣式,起到迷惑用戶的作用。
21、計(jì)算機(jī)突然死機(jī)或重啟。有些計(jì)算機(jī)病毒程序兼容性上存在問(wèn)題,代碼沒有嚴(yán)格測(cè)試,在發(fā)作時(shí)會(huì)造成意想不到情況;或者是計(jì)算機(jī)病毒在Autoexec.bat文件中添加了一句:Formatc:之類的語(yǔ)句,需要系統(tǒng)重啟后才能實(shí)施破壞的。
22、自動(dòng)發(fā)送電子函件。大多數(shù)電子函件計(jì)算機(jī)病毒都采用自動(dòng)發(fā)送電子函件的方法作為傳播的手段,也有的電子函件計(jì)算機(jī)病毒在某一特定時(shí)刻向同一個(gè)郵件服務(wù)器發(fā)送大量無(wú)用的信件,以達(dá)到阻塞該郵件服務(wù)器的正常服務(wù)功能。
23、鼠標(biāo)自己在動(dòng)。沒有對(duì)計(jì)算機(jī)進(jìn)行任何操作,也沒有運(yùn)行任何演示程序、屏幕保護(hù)程序等,而屏幕上的鼠標(biāo)自己在動(dòng),應(yīng)用程序自己在運(yùn)行,有受遙控的現(xiàn)象。大多數(shù)情況下是計(jì)算機(jī)系統(tǒng)受到了黑客程序的控制,從廣義上說(shuō)這也是計(jì)算機(jī)病毒發(fā)作的一種現(xiàn)象。需要指出的是,有些是計(jì)算機(jī)病毒發(fā)作的明顯現(xiàn)象,比如提示一些不相干的話、播放音樂(lè)或者顯示特定的圖像等。有些現(xiàn)象則很難直接判定是計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象,比如硬盤燈不斷閃爍,當(dāng)同時(shí)運(yùn)行多個(gè)內(nèi)存占用大的應(yīng)用程序,比如3DMAX,AdobePremiere等,而計(jì)算機(jī)本身性能又相對(duì)較弱的情況下,在啟動(dòng)和切換應(yīng)用程序的時(shí)候也會(huì)使硬盤不停地工作,硬盤燈不斷閃爍。【1】
2.2計(jì)算機(jī)病毒發(fā)作后的表現(xiàn)現(xiàn)象
大多數(shù)計(jì)算機(jī)病毒都是屬于"惡性"計(jì)算機(jī)病毒。"惡性"計(jì)算機(jī)病毒發(fā)作后往往會(huì)帶來(lái)很大的損失,以下列舉了一些惡性計(jì)算機(jī)病毒發(fā)作后所造成的后果:
1、硬盤無(wú)法啟動(dòng),數(shù)據(jù)丟失計(jì)算機(jī)病毒破壞了硬盤的引導(dǎo)扇區(qū)后,就無(wú)法從硬盤啟動(dòng)計(jì)算機(jī)系統(tǒng)了。有些計(jì)算機(jī)病毒修改了硬盤的關(guān)鍵內(nèi)容(如文件分配表,根目錄區(qū)等),使得原先保存在硬盤上的數(shù)據(jù)幾乎完全丟失。
2、系統(tǒng)文件丟失或被破壞通常系統(tǒng)文件是不會(huì)被刪除或修改的,除非對(duì)計(jì)算機(jī)操作系統(tǒng)進(jìn)行了升級(jí)。但是某些計(jì)算機(jī)病毒發(fā)作時(shí)刪除了系統(tǒng)文件,或者破壞了系統(tǒng)文件,使得以后無(wú)法正常啟動(dòng)計(jì)算機(jī)系統(tǒng).通常容易受攻擊的系統(tǒng)文件C,Emm386.exe,W,Kernel.exe,User.exe等等。
3、文件目錄發(fā)生混亂目錄發(fā)生混亂有兩種情況。一種就是確實(shí)將目錄結(jié)構(gòu)破壞,將目錄扇區(qū)作為普通扇區(qū),填寫一些無(wú)意義的數(shù)據(jù),再也無(wú)法恢復(fù)。另一種情況將真正的目錄區(qū)轉(zhuǎn)移到硬盤的其他扇區(qū)中,只要內(nèi)存中存在有該計(jì)算機(jī)病毒,它能夠?qū)⒄_的目錄扇區(qū)讀出,并在應(yīng)用程序需要訪問(wèn)該目錄的時(shí)候提供正確的目錄項(xiàng),使得從表面上看來(lái)與正常情況沒有兩樣。但是一旦內(nèi)存中沒有該計(jì)算機(jī)病毒,那么通常的目錄訪問(wèn)方式將無(wú)法訪問(wèn)到原先的目錄扇區(qū)。這種破壞還是能夠被恢復(fù)的。
4、部分文檔丟失或被破壞類似系統(tǒng)文件的丟失或被破壞,有些計(jì)算機(jī)病毒在發(fā)作時(shí)會(huì)刪除或破壞硬盤上的文檔,造成數(shù)據(jù)丟失。
5、部分文檔自動(dòng)加密碼還有些計(jì)算機(jī)病毒利用加密算法,將加密密鑰保存在計(jì)算機(jī)病毒程序體內(nèi)或其他隱蔽的地方,而被感染的文件被加密,如果內(nèi)存中駐留有這種計(jì)算機(jī)病毒,那么在系統(tǒng)訪問(wèn)被感染的文件時(shí)它自動(dòng)將文檔解密,使得用戶察覺不到。一旦這種計(jì)算機(jī)病毒被清除,那么被加密的文檔就很難被恢復(fù)了。
6、修改Autoexec.bat文件,增加FormatC:一項(xiàng),導(dǎo)致計(jì)算機(jī)重新啟動(dòng)時(shí)格式化硬盤。在計(jì)算機(jī)系統(tǒng)穩(wěn)定工作后,一般很少會(huì)有用戶去注意Autoexec.bat文件的變化,但是這個(gè)文件在每次系統(tǒng)重新啟動(dòng)的時(shí)候都會(huì)被自動(dòng)運(yùn)行,計(jì)算機(jī)病毒修改這個(gè)文件從而達(dá)到破壞系統(tǒng)的目的。
7、使部分可軟件升級(jí)主板的BIOS程序混亂,主板被破壞。類似CIH計(jì)算機(jī)病毒發(fā)作后的現(xiàn)象,系統(tǒng)主板上的BIOS被計(jì)算機(jī)病毒改寫、破壞,使得系統(tǒng)主板無(wú)法正常工作,從而使計(jì)算機(jī)系統(tǒng)報(bào)廢。
8、網(wǎng)絡(luò)癱瘓,無(wú)法提供正常的服務(wù)。由上所述,我們可以了解到防殺計(jì)算機(jī)病毒軟件必須要實(shí)時(shí)化,在計(jì)算機(jī)病毒進(jìn)入系統(tǒng)時(shí)要立即報(bào)警并清除,這樣才能確保系統(tǒng)安全,待計(jì)算機(jī)病毒發(fā)作后再去殺毒,實(shí)際上已經(jīng)為時(shí)已晚。
第三章計(jì)算機(jī)病毒的傳播途徑
計(jì)算機(jī)病毒的傳染性是計(jì)算機(jī)病毒最基本的特性,病毒的傳染性是病毒賴以生存繁殖的條件,如果計(jì)算機(jī)病毒沒有傳播渠道,則其破壞性小,擴(kuò)散面窄,難以造成大面積流行。計(jì)算機(jī)病毒必須要“搭載”到計(jì)算機(jī)上才能感染系統(tǒng),通常它們是附加在某個(gè)文件上。
計(jì)算機(jī)病毒的傳播主要通過(guò)文件拷貝、文件傳送、文件執(zhí)行等方式進(jìn)行,文件拷貝與文件傳送需要傳輸媒介,文件執(zhí)行則是病毒感染的必然途徑(Word、Excel等宏病毒通過(guò)Word、Excel調(diào)用間接地執(zhí)行),因此,病毒傳播與文件傳播媒體的變化有著直接關(guān)系。
計(jì)算機(jī)病毒的主要傳播途徑有:軟盤、光盤、硬盤、BBS、網(wǎng)絡(luò)?!?】
3.1軟盤
軟盤作為最常用的交換媒介,在計(jì)算機(jī)應(yīng)用的早期對(duì)病毒的傳播發(fā)揮了巨大的作用,因那時(shí)計(jì)算機(jī)應(yīng)用比較簡(jiǎn)單,可執(zhí)行文件和數(shù)據(jù)文件系統(tǒng)都較小,許多執(zhí)行文件均通過(guò)軟盤相互拷貝、安裝,這樣病毒就能通過(guò)軟盤傳播文件型病毒;另外,在軟盤列目錄或引導(dǎo)機(jī)器時(shí),引導(dǎo)區(qū)病毒會(huì)在軟盤與硬盤引導(dǎo)區(qū)互相感染。因此軟盤也成了計(jì)算機(jī)病毒的主要寄生的“溫床”。
3.2光盤
光盤因?yàn)槿萘看?,存?chǔ)了大量的可執(zhí)行文件,大量的病毒就有可能藏身于光盤,對(duì)只讀式光盤,不能進(jìn)行寫操作,因此光盤上的病毒不能清除。以謀利為目的非法盜版軟件的制作過(guò)程中,不可能為病毒防護(hù)擔(dān)負(fù)專門責(zé)任,也決不會(huì)有真正可靠可行的技術(shù)保障避免病毒的傳入、傳染、流行和擴(kuò)散。當(dāng)前,盜版光盤的泛濫給病毒的傳播帶來(lái)了極大的便利。
3.3硬盤
由于帶病毒的硬盤在本地或移到其他地方使用、維修等,將干凈的軟盤傳染并再擴(kuò)散。
3.4BBS
電子布告欄(BBS)因?yàn)樯险救菀?、投資少,因此深受大眾用戶的喜愛。BBS是由計(jì)算機(jī)愛好者自發(fā)組織的通訊站點(diǎn),用戶可以在BBS上進(jìn)行文件交換(包括自由軟件、游戲、自編程序)。由于BBS一般沒有嚴(yán)格的安全管理,亦無(wú)任何限制,這樣就給一些病毒程序編寫者提供了傳播病毒的場(chǎng)所。各城市BBS站間通過(guò)中心站間進(jìn)行傳送,傳播面較廣。隨著BBS在國(guó)內(nèi)的普及,給病毒的傳播又增加了新的介質(zhì)。
3.5病毒通過(guò)網(wǎng)絡(luò)傳播的方式
現(xiàn)代通信技術(shù)的巨大進(jìn)步已使空間距離不再遙遠(yuǎn),數(shù)據(jù)、文件、電子郵件可以方便地在各個(gè)網(wǎng)絡(luò)工作站間通過(guò)電纜、光纖或電話線路進(jìn)行傳送,工作站的距離可以短至并排擺放的計(jì)算機(jī),也可以長(zhǎng)達(dá)上萬(wàn)公里,正所謂“相隔天涯,如在咫尺”,但也為計(jì)算機(jī)病毒的傳播提供了新的“高速公路”。計(jì)算機(jī)病毒可以附著在正常文件中,當(dāng)您從網(wǎng)絡(luò)另一端得到一個(gè)被感染的程序,并在您的計(jì)算機(jī)上未加任何防護(hù)措施的情況下運(yùn)行它,病毒就傳染開來(lái)了。這種病毒的傳染方式在計(jì)算機(jī)網(wǎng)絡(luò)連接很普及的國(guó)家是很常見的,國(guó)內(nèi)計(jì)算機(jī)感染一種“進(jìn)口”病毒已不再是什么大驚小怪的事了。在我們信息國(guó)際化的同時(shí),我們的病毒也在國(guó)際化。大量的國(guó)外病毒隨著互聯(lián)網(wǎng)絡(luò)傳入國(guó)內(nèi)。
3.5.1E-mail
有些蠕蟲病毒會(huì)利用在MicrosoftSecurityBulletin在MS01-020中討論過(guò)的安全漏洞將自身藏在郵件中,并向其他用戶發(fā)送一個(gè)病毒副本來(lái)進(jìn)行傳播。正如在公告中所描述的那樣,該漏洞存在于InternetExplorer之中,但是可以通過(guò)e-mail來(lái)利用。只需簡(jiǎn)單地打開郵件就會(huì)使機(jī)器感染上病毒——并不需要您打開郵件附件。
3.5.2郵件附件
病毒經(jīng)常會(huì)附在郵件的附件里,然后起一個(gè)吸引人的名字,誘惑人們?nèi)ゴ蜷_附件,一旦人們執(zhí)行之后,機(jī)器就會(huì)染上附件中所附的病毒。
3.5.3Web服務(wù)器
有些網(wǎng)絡(luò)病毒攻擊IIS4.0和5.0Web服務(wù)器。就拿“尼姆達(dá)病毒”來(lái)舉例說(shuō)明吧,它主要通過(guò)兩種手段來(lái)進(jìn)行攻擊:第一,它檢查計(jì)算機(jī)是否已經(jīng)被紅色代碼II病毒所破壞,因?yàn)榧t色代碼II病毒會(huì)創(chuàng)建一個(gè)“后門”,任何惡意用戶都可以利用這個(gè)“后門”獲得對(duì)系統(tǒng)的控制權(quán)。如果Nimda病毒發(fā)現(xiàn)了這樣的機(jī)器,它會(huì)簡(jiǎn)單地使用紅色代碼II病毒留下的后門來(lái)感染機(jī)器。第二,病毒會(huì)試圖利用“WebServerFolderTraversal”(MS00-078)漏洞來(lái)感染機(jī)器。如果它成功地找到了這個(gè)漏洞,病毒會(huì)使用它來(lái)感染系統(tǒng)。
IIS:InternetInformationServer(簡(jiǎn)稱IIS)是Windows系統(tǒng)提供的一種服務(wù),它包括WWW服務(wù)器、FTP服務(wù)器和SMTP服務(wù)器,是架設(shè)個(gè)人網(wǎng)站的首選。
3.5.4文件共享
文件共享也是造成計(jì)算機(jī)病毒的一種傳播途徑。
第四章病毒的防治
4.1病毒防治的意義
計(jì)算機(jī)病毒防治主要是為了防止出現(xiàn)計(jì)算機(jī)資源的損失和破壞,這種損失和破壞不但會(huì)造成資源和財(cái)富的巨大浪費(fèi),而且有可能造成社會(huì)性的災(zāi)難,隨著信息化社會(huì)的發(fā)展,計(jì)算機(jī)病毒的威脅日益嚴(yán)重,反病毒的任務(wù)也更加艱巨了。1988年11月2日下午5時(shí)1分59秒,美國(guó)康奈爾大學(xué)的計(jì)算機(jī)科學(xué)系研究生,23歲的莫里斯(Morris)將其編寫的蠕蟲程序輸入計(jì)算機(jī)網(wǎng)絡(luò),致使這個(gè)擁有數(shù)萬(wàn)臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)被堵塞。這件事就像是計(jì)算機(jī)界的一次大地震,引起了巨大反響,震驚全世界,引起了人們對(duì)計(jì)算機(jī)病毒的恐慌,也使更多的計(jì)算機(jī)專家重視和致力于計(jì)算機(jī)病毒研究。1988年下半年,我國(guó)在統(tǒng)計(jì)局系統(tǒng)首次發(fā)現(xiàn)了“小球”病毒,它對(duì)統(tǒng)計(jì)系統(tǒng)影響極大,此后由計(jì)算機(jī)病毒發(fā)作而引起的“病毒事件”接連不斷,前一段時(shí)間發(fā)現(xiàn)的CIH、美麗莎等病毒更是給社會(huì)造成了很大損失。
4.2病毒的預(yù)防
我們?cè)谄綍r(shí)要做好這樣一些方面,對(duì)于病毒的預(yù)防是很有效果的,
1、建立良好的安全習(xí)慣
例如:對(duì)一些來(lái)歷不明的郵件及附件不要打開,不要上一些不太了解的網(wǎng)站、不要執(zhí)行從Internet下載后未經(jīng)殺毒處理的軟件等,這些必要的習(xí)慣會(huì)使您的計(jì)算機(jī)更安全。
2、關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)
默認(rèn)情況下,許多操作系統(tǒng)會(huì)安裝一些輔助服務(wù),如FTP客戶端、Telnet和Web服務(wù)器。這些服務(wù)為攻擊者提供了方便,而又對(duì)用戶沒有太大用處,如果刪除它們,就能大大減少被攻擊的可能性。
3、經(jīng)常升級(jí)安全補(bǔ)丁
據(jù)統(tǒng)計(jì),有80%的網(wǎng)絡(luò)病毒是通過(guò)系統(tǒng)安全漏洞進(jìn)行傳播的,象蠕蟲王、沖擊波、震蕩波等,所以我們應(yīng)該定期到微軟網(wǎng)站去下載最新的安全補(bǔ)丁,以防范未然。
4、使用復(fù)雜的密碼
有許多網(wǎng)絡(luò)病毒就是通過(guò)猜測(cè)簡(jiǎn)單密碼的方式攻擊系統(tǒng)的,因此使用復(fù)雜的密碼,將會(huì)大大提高計(jì)算機(jī)的安全系數(shù)。
5、迅速隔離受感染的計(jì)算機(jī)
當(dāng)您的計(jì)算機(jī)發(fā)現(xiàn)病毒或異常時(shí)應(yīng)立刻斷網(wǎng),以防止計(jì)算機(jī)受到更多的感染,或者成為傳播源,再次感染其它計(jì)算機(jī)。
6、了解一些病毒知識(shí)
這樣就可以及時(shí)發(fā)現(xiàn)新病毒并采取相應(yīng)措施,在關(guān)鍵時(shí)刻使自己的計(jì)算機(jī)免受病毒破壞。如果能了解一些注冊(cè)表知識(shí),就可以定期看一看注冊(cè)表的自啟動(dòng)項(xiàng)是否有可疑鍵值;如果了解一些內(nèi)存知識(shí),就可以經(jīng)??纯磧?nèi)存中是否有可疑程序。
7、最好安裝專業(yè)的殺毒軟件進(jìn)行全面監(jiān)控
在病毒日益增多的今天,使用殺毒軟件進(jìn)行防毒,是越來(lái)越經(jīng)濟(jì)的選擇,不過(guò)用戶在安裝了反病毒軟件之后,應(yīng)該經(jīng)常進(jìn)行升級(jí)、將一些主要監(jiān)控經(jīng)常打開(如郵件監(jiān)控)、內(nèi)存監(jiān)控等、遇到問(wèn)題要上報(bào),這樣才能真正保障計(jì)算機(jī)的安全。
8、用戶還應(yīng)該安裝個(gè)人防火墻軟件進(jìn)行防黑
由于網(wǎng)絡(luò)的發(fā)展,用戶電腦面臨的黑客攻擊問(wèn)題也越來(lái)越嚴(yán)重,許多網(wǎng)絡(luò)病毒都采用了黑客的方法來(lái)攻擊用戶電腦,因此,用戶還應(yīng)該安裝個(gè)人防火墻軟件,將安全級(jí)別設(shè)為中、高,這樣才能有效地防止網(wǎng)絡(luò)上的黑客攻擊。
4.3計(jì)算機(jī)病毒如何處理
一般大范圍傳播的病毒都會(huì)讓用戶在重新啟動(dòng)電腦的時(shí)候能夠自動(dòng)運(yùn)行病毒,來(lái)達(dá)到長(zhǎng)時(shí)間感染計(jì)算機(jī)并擴(kuò)大病毒的感染能力。
通常病毒感染計(jì)算機(jī)第一件事情就是殺掉他們的天敵--安全軟件,比如卡巴斯基,360安全衛(wèi)士,NOD32等等。這樣我們就不能通過(guò)使用殺毒軟件的方法來(lái)處理已經(jīng)感染病毒的電腦。那么我說(shuō)一下手動(dòng)殺毒方法。
我們要解決病毒可以首先解決在計(jì)算機(jī)重啟以后自我啟動(dòng)。
通常病毒會(huì)這樣進(jìn)行自我啟動(dòng):
直接自啟動(dòng),1.引導(dǎo)扇區(qū)2.驅(qū)動(dòng)3.服務(wù)4.注冊(cè)表。
間接自啟動(dòng):印象劫持,autorun.inf文件,HOOK,感染文件。放置一個(gè)誘惑圖標(biāo)讓用戶點(diǎn)擊……知道上面病毒的啟動(dòng)原理,不難得出清理方式:首先刪掉注冊(cè)表文件中病毒的啟動(dòng)項(xiàng)。最常見啟動(dòng)位置在[HKEY_LOCAL_MACHINE\SOFTWARE\Micrisift\Windiws\CurrentVersion\Run],刪除所有該子項(xiàng)內(nèi)的字符串等,只留下cftmon.exe。立即按機(jī)箱上的重啟鍵,不讓病毒回寫注冊(cè)表(正常關(guān)機(jī)可能會(huì)激活病毒回寫進(jìn)啟動(dòng)項(xiàng)目,比如“磁碟機(jī)”)。如果病毒仍然啟動(dòng),就要懷疑有服務(wù),或者驅(qū)動(dòng)。那么這個(gè)時(shí)候就需要有一定計(jì)算機(jī)能力的人,用批處理或者其他的程序同時(shí)找到并關(guān)閉病毒的服務(wù)和刪除注冊(cè)表,然后快速關(guān)機(jī)。驅(qū)動(dòng)一般在系統(tǒng)下很難刪除,所以可以用上面介紹的Xdelete或者icesword,wsyscheck或者進(jìn)入DOS,WPE等其他系統(tǒng)進(jìn)行刪除。如果是通過(guò)引導(dǎo)扇區(qū)啟動(dòng),我們還要用其他軟件,比如diskgen,重寫主引導(dǎo)記錄。如果是通過(guò)BIOS啟動(dòng),用放電法還原BIOS。
當(dāng)病毒不能啟動(dòng)以后,他們就像一堆垃圾在我們電腦上面,然后我們需要注意不要再激活病毒,刪掉autorun.inf,可疑文件,刪除印象劫持的注冊(cè)表,等可能觸發(fā)病毒的系統(tǒng)設(shè)置,用干凈的U盤去其他電腦拷貝一個(gè)殺毒軟件安裝以后,升級(jí)到最新的病毒庫(kù),全盤查殺病毒殘留。
上面我說(shuō)了通過(guò)不讓病毒在重啟電腦以后啟動(dòng)的方法刪除病毒,下面我來(lái)說(shuō)一下通過(guò)直接刪除病毒文件方法。
在病毒正在運(yùn)行的系統(tǒng)里,直接刪除病毒文件會(huì)很難的。如果在網(wǎng)上找到該病毒機(jī)理,進(jìn)入DOS,找到所有病毒文件路徑,可以很輕松的刪除病毒文件(除了感染型病毒)。我推薦最好用PE(不懂PE的上百科看),用有一個(gè)可以啟動(dòng)電腦的裝PE的U盤,或者光盤啟動(dòng)電腦,進(jìn)入可以進(jìn)入完全無(wú)毒的系統(tǒng),然后使用綠色版的殺毒軟件(網(wǎng)上有,我試過(guò)綠色卡巴和nod32,很好,可以在PE運(yùn)行)全盤查殺。殺毒完以后,我們先不要重新啟動(dòng)電腦,看看到底刪除了什么,如果有被感染的系統(tǒng)文件刪掉了,注意從相同系統(tǒng)拷貝一個(gè),否則可能不能開機(jī)。然后重啟,系統(tǒng)用其他安全軟件修復(fù)系統(tǒng)。
真正我們電腦感染上棘手的病毒,最簡(jiǎn)單有效的方法就是重裝系統(tǒng)。如果C盤(系統(tǒng)盤)有重要資料先備份。不能開機(jī),可以進(jìn)入PE備份。
問(wèn):為什么我重裝了幾次還是有病毒,是不是這個(gè)病毒很厲害?
答:首先我要說(shuō)明幾點(diǎn),一、重裝后的系統(tǒng)是干凈的。二、遇到引導(dǎo)性病毒,感染BIOS病毒可能非常小,就像中彩票。
這種情況是由于其他盤仍然有病毒殘留,比如如果有autorun.inf類型的病毒,雙擊打開DEF等盤的時(shí)候就會(huì)啟動(dòng)病毒,或者病毒感染了其他盤上的文件,你重裝系統(tǒng)以后,運(yùn)行這個(gè)文件的時(shí)候,就又啟動(dòng)病毒。正確的方法是,找一個(gè)高手,或者不要打開除C:(系統(tǒng)盤)以外的任何盤,然后上網(wǎng)或者U盤下載一個(gè)殺毒軟件,升級(jí)更新以后,全盤殺毒。
第五章星星網(wǎng)吧病毒防治
5.1網(wǎng)吧中毒過(guò)程
下面以"尼姆達(dá)"病毒為例
尼姆達(dá)病毒2001年9月18日在全球蔓延,是一個(gè)傳播性非常強(qiáng)的黑客病毒。它以郵件傳播、主動(dòng)攻擊服務(wù)器、即時(shí)通訊工具傳播、FTP協(xié)議傳播、網(wǎng)頁(yè)瀏覽傳播為主要的傳播手段。它能夠通過(guò)多種傳播渠道進(jìn)行傳染,傳染性極強(qiáng)。對(duì)于個(gè)人用戶的PC機(jī),“尼姆達(dá)”可以通過(guò)郵件、網(wǎng)上即時(shí)通訊工具和“FTP程序”同時(shí)進(jìn)行傳染;對(duì)于服務(wù)器,“尼姆達(dá)病毒姆達(dá)”則采用和紅色代碼病毒相似的途徑,即攻擊微軟服務(wù)器程序的漏洞進(jìn)行傳播。由于該病毒在自身傳染的過(guò)程中占用大量的網(wǎng)絡(luò)帶寬和計(jì)算機(jī)的內(nèi)部資源,因此許多企業(yè)的網(wǎng)絡(luò)現(xiàn)在受到很大的影響,有的甚至已經(jīng)癱瘓,就個(gè)人使用的PC機(jī)來(lái)說(shuō),速度也會(huì)有明顯的下降。Nimda病毒不但發(fā)送染毒郵件,還會(huì)感染EXE文件。當(dāng)時(shí)聲稱能處理該病毒的反病毒公司都采取刪除染毒文件的方式殺毒,導(dǎo)致很多重要程序不能運(yùn)行,甚至機(jī)器癱瘓。瑞星公司推出世界上唯一可安全清除染毒文件的方法,不但可以清除染毒文件,還可清除內(nèi)存中的病毒,確保殺毒之后系統(tǒng)正常運(yùn)行。
它是一個(gè)新型蠕蟲,也是一個(gè)病毒,它通過(guò)email、共享網(wǎng)絡(luò)資源、IIS服務(wù)器傳播。同時(shí)它也是一個(gè)感染本地文件的新型病毒。
5.1.1尼姆達(dá)的傳播方式
這個(gè)新型W32.Nimda.A@mm蠕蟲通過(guò)多種方式進(jìn)行傳播,幾乎包括目前所有流行病毒的傳播手段:
①通過(guò)email將自己發(fā)送出去;
②搜索局域網(wǎng)內(nèi)共享網(wǎng)絡(luò)資源;
③將病毒文件復(fù)制到?jīng)]有打補(bǔ)丁的微軟(NT/2000尼姆達(dá)病毒)IIS服務(wù)器;
④感染本地文件和遠(yuǎn)程網(wǎng)絡(luò)共享文件;
⑤感染瀏覽的網(wǎng)頁(yè);
這個(gè)病毒降低系統(tǒng)資源,可能最后導(dǎo)致系統(tǒng)運(yùn)行變慢最后宕機(jī);它改變安全設(shè)置,在網(wǎng)絡(luò)中共享被感染機(jī)器的硬盤,導(dǎo)致泄密;它不斷的發(fā)送帶毒郵件。
5.1.2中毒后的表現(xiàn)形式
1、病毒運(yùn)行時(shí)會(huì)搜索所有可寫目錄,如果這些目錄中存在有.doc文件時(shí),病毒便會(huì)將自己復(fù)制到該目錄下,并將自身命名為:_setup.exe和riched20.dll。只要用戶雙擊該doc文件,系統(tǒng)便會(huì)自動(dòng)執(zhí)行這兩個(gè)病毒文件,造成病毒在被感染的計(jì)算機(jī)上被激活,導(dǎo)致病毒再一次重復(fù)感染動(dòng)作。
2、病毒運(yùn)行時(shí)還將激活當(dāng)前系統(tǒng)的guest賬號(hào)并將其加入到管理員組中,使其具有管理員的權(quán)限,然后病毒就能通過(guò)該通道進(jìn)行非法操作。病毒還會(huì)將當(dāng)前的a至z盤變成共享,使任何外界的黑客程序都可以無(wú)障礙地訪問(wèn)計(jì)算機(jī)中的信息,并且病毒還會(huì)感染這些共享磁盤中的所有系統(tǒng)文件,使其全部帶毒。如果對(duì)系統(tǒng)比較的用戶可以查看一下自己計(jì)算機(jī)中的guest賬號(hào)是否已經(jīng)被加入管理員組中,如果是則很可能是中了該病毒;普通的用戶可以查看一下自己的計(jì)算機(jī),看計(jì)算機(jī)中的盤符是否是共享標(biāo)志,如果是則很可能是中了該病毒。
3、病毒運(yùn)行時(shí)會(huì)每隔30秒就重復(fù)一次傳染流程,將導(dǎo)致系統(tǒng)資源極大浪費(fèi),使計(jì)算機(jī)運(yùn)行速度忽然變慢。如果用戶發(fā)現(xiàn)自己的計(jì)算機(jī)運(yùn)行速度忽然變慢而且還持續(xù)一段時(shí)間,則很可能是中了該病毒。
5.1.3如何消滅病毒
尼姆達(dá)病毒的特點(diǎn)是傳播方式多,感染速度快,它通過(guò)email、共享網(wǎng)絡(luò)資源、IIS服務(wù)器傳播,同時(shí)它也是一個(gè)感染本地文件的新型病毒。其主要通過(guò)郵件傳播,并能夠在預(yù)覽時(shí)進(jìn)行感染,使計(jì)算機(jī)速度逐漸變慢,硬盤在不知情的情況下被共享、word和寫字板等文檔不能夠正常的打開、保存或顯示內(nèi)存不足等提示信息。
根據(jù)尼姆達(dá)病毒的特點(diǎn)對(duì)于擁有局域網(wǎng)的企業(yè)級(jí)用戶,建議使用瑞星網(wǎng)絡(luò)版殺毒軟件。由于“尼姆達(dá)”最大危害在于感染計(jì)算機(jī)后會(huì)改變安全設(shè)置,開放硬盤作為網(wǎng)絡(luò)共享的資源,從而感染到服務(wù)器,將本地的文件和遠(yuǎn)程網(wǎng)絡(luò)共享的文件全部感染。所以普通單機(jī)版的殺毒軟件不可能實(shí)現(xiàn)全網(wǎng)的同步升級(jí),安裝網(wǎng)絡(luò)版是最佳選擇。
而對(duì)于廣大單機(jī)用戶及雖擁有局域網(wǎng)的企業(yè)級(jí)用戶,但沒有網(wǎng)絡(luò)版的殺毒軟件,而只有單機(jī)版殺毒軟件的請(qǐng)按照如下的方法操作:
1、及時(shí)斷開所有的網(wǎng)絡(luò)連接
2、熱啟動(dòng),結(jié)束此蠕蟲病毒的進(jìn)程
3、在系統(tǒng)的temp文件目錄下刪除病毒文件
4、使用干凈無(wú)毒的Riched20.DLL(約100k)文件替換染毒的同名的Riched20.DLL文件(57344字節(jié))
5、將系統(tǒng)目錄下的load.exe文件(57344字節(jié))徹底刪除以及windows根目錄下的mmc.exe文件;要在各邏輯盤的根目錄下查找Admin.DLL文件,如果有Admin.DLL文件的話,刪除這些病毒文件,并要查找文件名為Readme.eml的文件,也要?jiǎng)h除它
6、如果用戶使用的是WindowsNT或Windows2000的操作系統(tǒng)的計(jì)算機(jī),那么要打開"控制面板",之后打開"用戶和密碼",將Administrator組中g(shù)uest帳號(hào)刪除。
5.2網(wǎng)吧的病毒防治
5.2.1安全維護(hù)從布線做起
網(wǎng)吧的建設(shè)應(yīng)該從網(wǎng)絡(luò)的綜合布線開始,首先應(yīng)該考慮到電源的布線,合理的電源布線可以保機(jī)器的正常運(yùn)行。再就是考慮到網(wǎng)絡(luò)的布線,從網(wǎng)絡(luò)的接入到每臺(tái)機(jī)器的穩(wěn)定上網(wǎng)。大型網(wǎng)吧有可能需要采用三層交換機(jī),千兆雙線(電信和網(wǎng)通)接入來(lái)保證網(wǎng)絡(luò)的穩(wěn)定性。對(duì)于小型的網(wǎng)吧來(lái)說(shuō)在經(jīng)濟(jì)上可以考慮不采用三層交換機(jī),一般情況下二層交換機(jī)就可以滿足網(wǎng)吧的需求了。但是安全方面必須從外網(wǎng)的接入開始做起,在接入網(wǎng)絡(luò)前必須先通過(guò)硬件防火墻,之后通過(guò)路由器連接服務(wù)器和交換機(jī)構(gòu)成星狀的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。如圖5-1為拓?fù)鋱D,5-2為水平干線子系統(tǒng)圖。
圖5-1小型網(wǎng)吧網(wǎng)絡(luò)拓?fù)鋱D
圖5-2水平干線子系統(tǒng)
(1)電源系統(tǒng)綜合布線
設(shè)計(jì)網(wǎng)吧電源系統(tǒng)綜合布線時(shí),首先要搞清楚網(wǎng)吧的用電功率是多少,然后根據(jù)用電功率選擇合適電源線、插座及開關(guān)等電器配件,最后才能設(shè)計(jì)電源線的走向及整體布局。
1、用電功率設(shè)計(jì):任何一家網(wǎng)吧,都會(huì)擁有空調(diào)、電腦、照明及網(wǎng)絡(luò)設(shè)備等用電設(shè)備。由于網(wǎng)吧規(guī)模不同,其電腦數(shù)量和空調(diào)數(shù)量也會(huì)有所差異。對(duì)于布線設(shè)計(jì)人員而言,必須清楚每一種用電設(shè)備的功率。
空調(diào):公認(rèn)的耗電大戶,網(wǎng)吧最常用的是柜式空調(diào)。從節(jié)約用電的角度講,網(wǎng)吧最好使用三相電源的空調(diào)。柜式空調(diào)的功率在3500-5500W之間。
電腦:?jiǎn)闻_(tái)電腦的功率一直是備受爭(zhēng)議,因?yàn)橛布渲貌煌?,電腦的功率也不同。目前,單核電腦的功率通常在200W左右,雙核電腦的功率通常在250-300W之間。
照明:在每一個(gè)燈泡的上面都標(biāo)著功率,設(shè)計(jì)人員要做的就是數(shù)一下整個(gè)網(wǎng)吧需要多少個(gè)照明燈泡就可以了。
除了空調(diào)、電腦和照明燈之外,網(wǎng)絡(luò)設(shè)備也是一種用電設(shè)備,但其總功率非常小,1000W完全滿足要求。網(wǎng)吧的總功率就是各種用戶設(shè)備功率的總和,為了日后擴(kuò)充及實(shí)際安全負(fù)載的需要,在設(shè)計(jì)電源系統(tǒng)布線時(shí),設(shè)計(jì)功率要在網(wǎng)吧總功率的數(shù)值基礎(chǔ)上,上浮80-150%才可以。
2、供電材質(zhì)選擇:除了照明設(shè)備之外,網(wǎng)吧的每一種用電設(shè)備都是耗電大戶,為此,網(wǎng)吧的供電材質(zhì),必須選擇銅芯電源線,而且要選擇國(guó)標(biāo)的銅芯電源線。
3、電源布線設(shè)計(jì):網(wǎng)吧電源布線的設(shè)計(jì),要以安全、穩(wěn)定、夠用為原則。具體來(lái)說(shuō),電源布線設(shè)計(jì)主要有以下幾個(gè)部分。
空調(diào)功率比較大,建議單獨(dú)供電,可以選擇直徑為6mm的銅芯線。每臺(tái)空調(diào)安裝一個(gè)空氣開關(guān),控制空調(diào)電源的開關(guān)。
其實(shí),網(wǎng)吧內(nèi)總負(fù)載最大的還是電腦,25臺(tái)機(jī)器的負(fù)載要超過(guò)一臺(tái)空調(diào)。網(wǎng)吧電腦部分的布線要引起足夠的重視。網(wǎng)吧電腦用電不應(yīng)該是逐一串聯(lián)的模式,而是使用分組點(diǎn)接。每隔1.5米左右安裝一只10A三芯國(guó)標(biāo)插座(即墻上嵌入的獨(dú)立插座)作為一個(gè)點(diǎn),再將上述多孔插座接入,在1.5米的范圍內(nèi),將會(huì)有2-4臺(tái)電腦使用這一個(gè)插座接入電源;然后,可視實(shí)際情況把電腦按10臺(tái)或16臺(tái)為一組,每組由一個(gè)空氣開關(guān)控制,這樣,整個(gè)網(wǎng)吧的電腦就可以分為更多的組。
每個(gè)電腦分組需要一條主干電源線,建議使用直徑為4mm的銅芯線。
照明設(shè)備單獨(dú)用一條線路,由于功率相對(duì)較小,使用直徑為2.5mm的銅芯線即可。網(wǎng)絡(luò)設(shè)備供電與收銀服務(wù)器也需要單獨(dú)供電,而且要加上UPS后備電源。
4、避雷方案設(shè)計(jì):雷電災(zāi)害的威力無(wú)需多言,對(duì)于網(wǎng)吧這個(gè)電器化高度集中的場(chǎng)所,要設(shè)計(jì)電源系統(tǒng)布線時(shí),一定要把避雷方案考慮在內(nèi)。避雷方案的重要部分就是避雷導(dǎo)線的安裝位置,以及一些避雷設(shè)備的安裝位置。
(2)網(wǎng)絡(luò)系統(tǒng)綜合布線
每家網(wǎng)吧網(wǎng)絡(luò)布線的設(shè)計(jì)方案不會(huì)雷同,因?yàn)榫W(wǎng)吧網(wǎng)絡(luò)布線要受網(wǎng)吧經(jīng)營(yíng)場(chǎng)所地形的限制,也要受到交換機(jī)等網(wǎng)絡(luò)設(shè)備安放位置的限制。所有網(wǎng)吧的網(wǎng)絡(luò)結(jié)構(gòu)都是路由器→主交換機(jī)→分枝交換機(jī)→客戶機(jī)的網(wǎng)絡(luò)模式,網(wǎng)絡(luò)布線的設(shè)計(jì)也要以這個(gè)基本網(wǎng)絡(luò)結(jié)構(gòu)為設(shè)計(jì)原則。
1、確定分枝交換機(jī)的安裝位置:雙絞線把客戶機(jī)與交換機(jī)相連,由于交換機(jī)的端口數(shù)量有限,為此,每個(gè)交換機(jī)只能為一定數(shù)量的計(jì)算機(jī)服務(wù)。目前,24口交換機(jī)是網(wǎng)吧用性價(jià)比最高的交換機(jī),48口交換機(jī)由于價(jià)格昂貴還未普及。
由于雙絞線的最大傳輸距離為100米,在選擇分枝交換機(jī)的安裝位置時(shí),必須保證交換機(jī)距離每臺(tái)計(jì)算機(jī)的距離在100米之內(nèi)。為了節(jié)約網(wǎng)線,可以將交換機(jī)安裝在24臺(tái)計(jì)算機(jī)的中心位置處。由于交換機(jī)工作中需要產(chǎn)生一定的熱量,交換機(jī)的安裝位置還應(yīng)保持良好的通風(fēng)性能,并且要易于維護(hù)交換機(jī)。對(duì)于經(jīng)營(yíng)面積比較小的網(wǎng)吧,可以將交換機(jī)集中放置在專業(yè)的機(jī)柜中,而無(wú)需為每臺(tái)交換機(jī)尋找安裝位置。
2、確定路由器安裝位置:網(wǎng)吧的網(wǎng)絡(luò)是一個(gè)分層式的結(jié)構(gòu),路由器可以看成網(wǎng)絡(luò)匯聚層,所有的數(shù)據(jù)都要在路由器這里匯聚,然后轉(zhuǎn)發(fā)出去。路由器也是一種昂貴的網(wǎng)絡(luò)設(shè)備,對(duì)工作環(huán)境有著苛刻的要求,為此,路由器最好安裝在機(jī)房中,而且要保證路由器能夠擁有良好的通風(fēng)性能。
3、確定雙絞線的走向:路由器和交換機(jī)的安裝位置確定之后,下一步就要為雙絞線設(shè)計(jì)一個(gè)走向。由于雙絞線傳輸?shù)氖蔷W(wǎng)絡(luò)信號(hào),電磁信號(hào)會(huì)干擾信號(hào)傳輸質(zhì)量,為此,雙絞線的走向,要遠(yuǎn)離電源線,避免穿過(guò)空調(diào)等大功率電器。
在設(shè)計(jì)網(wǎng)吧網(wǎng)絡(luò)系統(tǒng)的布線方案時(shí),還要注意一點(diǎn),由于分支交換機(jī)與主干交換機(jī)之間是級(jí)聯(lián)的關(guān)系,一臺(tái)24口交換機(jī)只能為22臺(tái)計(jì)算機(jī)提供接入服務(wù)。除此之外,還要注意,所有的分枝交換機(jī)直接與主干交換機(jī)相連,而不是分枝交換機(jī)之間串聯(lián)之后再與主干交換機(jī)相連。同時(shí)施工時(shí)要注意所使用的雙絞線的類型:一般情況下,網(wǎng)吧都用直通線,即雙絞線兩端全部用568B線序連接;交叉線用于交換機(jī)與路由器之間的級(jí)聯(lián),一端用568B線序連接,另外一端用568A線序連接。由于目前很多品牌的交換機(jī)都支持端口翻轉(zhuǎn),交叉線已經(jīng)被淘汰。
5.2.2合理選購(gòu)硬件防火墻
對(duì)于網(wǎng)吧安全管理而言來(lái)自外部與內(nèi)部的探測(cè)和攻擊都是需要解決的頭等問(wèn)題。在眾多的安全產(chǎn)品中硬件防火墻至關(guān)重要,可以有效的防護(hù)外部的攻擊。硬件防火墻是網(wǎng)絡(luò)安全的第一道防線,選擇更強(qiáng)大的專用防火墻成為了網(wǎng)吧防御黑客攻擊的重要工具。從網(wǎng)吧安全角度考慮硬件防火墻應(yīng)具備以下特點(diǎn):性價(jià)比高、用戶限制數(shù)較寬、具有很強(qiáng)的防黑入侵監(jiān)控能力,還必須與網(wǎng)吧的穩(wěn)定、高速的網(wǎng)絡(luò)環(huán)境相適應(yīng)。在近年來(lái)流行的ARP攻擊應(yīng)該選擇配備有MAC地址和IP綁定功能的硬件防火墻,可以有效的防止惡意用戶的非法攻擊。這里推薦2款:華為3ComEudemon1000和CISCOPIX-525-R-BUN都是很不錯(cuò)的產(chǎn)品。
DOS(拒絕服務(wù)攻擊)/DDOS(分布式拒絕服務(wù)攻擊)是指攻擊者過(guò)多的占用網(wǎng)絡(luò)資源,導(dǎo)致服務(wù)器超載或系統(tǒng)資源耗盡,從而使其他用戶無(wú)法享受網(wǎng)絡(luò)服務(wù)或沒有資源可利用。防火墻還應(yīng)該考慮到規(guī)則的設(shè)置,規(guī)定在單位時(shí)間內(nèi)接受同地址的TCP全連接和半連接的數(shù)量,如果超過(guò)這數(shù)量就默認(rèn)為DOS/DDOS攻擊而作出相應(yīng)的處理。通過(guò)防火墻的檢測(cè)、控制機(jī)制可以有效的防止這類的惡意網(wǎng)絡(luò)攻擊。
(1)怎樣選購(gòu)防火墻
1、產(chǎn)品本身的安全性
防火墻本身直接暴露在外網(wǎng)訪問(wèn)之下,所以產(chǎn)品本身的安全性應(yīng)該是用戶選擇產(chǎn)品時(shí)首先要注意的一點(diǎn)。這里所說(shuō)的產(chǎn)品安全性主要針對(duì)產(chǎn)品所采用的系統(tǒng)構(gòu)架是否完整或者強(qiáng)健、產(chǎn)品是否有過(guò)安全漏洞歷史、是否有被拒絕服務(wù)攻擊擊潰的歷史等方面。除此之外,產(chǎn)品所支持的認(rèn)證方式也是值得思忖的問(wèn)題之一,支持方式較為廣泛、與網(wǎng)內(nèi)認(rèn)證措施協(xié)同較好的產(chǎn)品無(wú)疑具有更高的安全性,而且也可以避免成為整體安全環(huán)境中的“短板”。
2、數(shù)據(jù)處理性能
防火墻控制的對(duì)象是網(wǎng)絡(luò)數(shù)據(jù),因此數(shù)據(jù)處理能力是用戶在購(gòu)買產(chǎn)品前要著重考察的一項(xiàng)。主要的衡量指標(biāo)包括吞吐量、轉(zhuǎn)發(fā)率、丟包率、緩沖能力和延遲等,通過(guò)這些參數(shù)的對(duì)比可以了解一款硬件防火墻產(chǎn)品的硬件性能。這個(gè)時(shí)候不能迷信廠家所給出的數(shù)據(jù)表,多參考第三方評(píng)測(cè)數(shù)據(jù)或者別的產(chǎn)品的參數(shù)才是上選。
另外,吞吐量的大小主要由防火墻內(nèi)網(wǎng)卡,及程序算法的效率決定,尤其是程序算法,會(huì)使防火墻系統(tǒng)進(jìn)行大量運(yùn)算,通信量大打折扣。因此在參考數(shù)據(jù)時(shí)也不要迷信絕對(duì)數(shù)據(jù),算法的不同也會(huì)導(dǎo)致吞吐量有很大的差別。
一般來(lái)說(shuō),對(duì)于中小型企業(yè),選擇吞吐量為百兆級(jí)的防火墻即可滿足需要,而對(duì)于電信、金融、保險(xiǎn)等大公司大企業(yè)部門就需要采用吞吐量千兆級(jí)的防火墻產(chǎn)品。
3、可管理性
這是考察產(chǎn)品的易用性重要的一項(xiàng)?,F(xiàn)在的信息環(huán)境相當(dāng)復(fù)雜,如果沒有一個(gè)配置合理的管理系統(tǒng),很容易為日后的使用和制定安全方案種下隱患,同時(shí)可管理性差的防火墻產(chǎn)品增加了安全管理員的工作量,也無(wú)形中增加了企業(yè)人力的成本。
其次,一些大型防火墻面對(duì)的是行業(yè)用戶,這就對(duì)產(chǎn)品的集中管理性能提出了較高的要求,在安全策略的定制與下發(fā)、日志的集中管理與分析等方面比較出色的產(chǎn)品不僅避免了大量問(wèn)題的集中出現(xiàn),也給企業(yè)降低網(wǎng)絡(luò)設(shè)備成本帶來(lái)了便利。
4、日志記錄能力
所有的安全系統(tǒng)都在遭受著被攻擊的危險(xiǎn),一款日志功能強(qiáng)大的防火墻,記錄的項(xiàng)目比較全面,可以有效的防范日志被竄改,并能利用多種途徑將日志數(shù)據(jù)定期備份到指定機(jī)器等,這些都給企業(yè)日后追究攻擊者的法律責(zé)任提供了有效的依據(jù)。
5、產(chǎn)品兼容性
現(xiàn)在的企業(yè)擁有交換機(jī)、路由器等大量網(wǎng)絡(luò)設(shè)備,防火墻產(chǎn)品與這些設(shè)備的兼容性也非常重要,畢竟網(wǎng)絡(luò)安全要
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- NB/T 11536-2024煤礦帶壓開采底板井下注漿加固改造技術(shù)規(guī)范
- 《市場(chǎng)調(diào)查課程考核》課件
- 《電化學(xué)催化》課件
- 《小學(xué)生說(shuō)明文》課件
- 單位管理制度集合大合集【職員管理】十篇
- 單位管理制度匯編大合集【職工管理篇】
- 單位管理制度合并匯編職員管理篇
- 《淋巴結(jié)斷層解剖》課件
- 單位管理制度分享合集人事管理
- 單位管理制度范文大合集人員管理十篇
- 汽車內(nèi)飾件及材料氣味評(píng)價(jià)標(biāo)準(zhǔn)解析
- 紡紗工藝學(xué)課程設(shè)計(jì)
- 廣東省深圳市2023-2024學(xué)年六年級(jí)上學(xué)期英語(yǔ)期中試卷(含答案)
- 人教版五年級(jí)上冊(cè)四則混合運(yùn)算300道及答案
- 汽車掛靠租賃協(xié)議書(范本)
- 中外廣告史(第三版) 課件全套 何玉杰 第0-11章 緒論、中國(guó)古代廣告的發(fā)展- 日本廣告的發(fā)展
- 2024中煤礦山建設(shè)集團(tuán)(國(guó)獨(dú)資)招聘200人高頻500題難、易錯(cuò)點(diǎn)模擬試題附帶答案詳解
- 高中地理選擇性必修2(綜合檢測(cè)卷)(附答案)-2022-2023學(xué)年高二上學(xué)期地理選擇性必修2
- DL∕T 5210.6-2019 電力建設(shè)施工質(zhì)量驗(yàn)收規(guī)程 第6部分:調(diào)整試驗(yàn)
- DL∕T 802.2-2017 電力電纜用導(dǎo)管 第2部分:玻璃纖維增強(qiáng)塑料電纜導(dǎo)管
- 錨索張拉記錄表
評(píng)論
0/150
提交評(píng)論