《惡意代碼基礎(chǔ)與防范(微課版)》 課件 第10章 惡意代碼防范技術(shù)_第1頁
《惡意代碼基礎(chǔ)與防范(微課版)》 課件 第10章 惡意代碼防范技術(shù)_第2頁
《惡意代碼基礎(chǔ)與防范(微課版)》 課件 第10章 惡意代碼防范技術(shù)_第3頁
《惡意代碼基礎(chǔ)與防范(微課版)》 課件 第10章 惡意代碼防范技術(shù)_第4頁
《惡意代碼基礎(chǔ)與防范(微課版)》 課件 第10章 惡意代碼防范技術(shù)_第5頁
已閱讀5頁,還剩82頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

惡意代碼的防范技術(shù)本章學(xué)習(xí)目標(biāo)掌握計算機病毒診斷知識掌握計算機病毒防范思路理解計算機病毒清除知識掌握數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)一、計算機病毒防治技術(shù)的現(xiàn)狀技術(shù)反思一次一次的大面積發(fā)生缺陷永無止境的服務(wù)庫、培訓(xùn)、指導(dǎo)等未知病毒發(fā)現(xiàn)有限未知病毒清除的準(zhǔn)確性從恢復(fù)的角度來考慮二、計算機病毒的防范思路防治技術(shù)概括成6個層次:檢測清除預(yù)防被動防治免疫主動防治數(shù)據(jù)備份及恢復(fù)計算機病毒防范策略三計算機病毒的檢測計算機病毒的診斷原理計算機病毒的診斷方法高速模式匹配自動診斷的源碼分析計算機病毒的診斷原理用什么來判斷?染毒后的特征常用方法:比較法校驗和掃描法行為監(jiān)測法行為感染試驗法虛擬執(zhí)行法陷阱技術(shù)先知掃描分析法等等比較法比較法是用原始或正常的對象與被檢測的對象進行比較。手工比較法是發(fā)現(xiàn)新病毒的必要方法。比較法又包括:注冊表比較法工具RegMon弱點:正常程序也操作注冊表文件比較法通常比較文件的長度和內(nèi)容兩個方面工具FileMon弱點:長度和內(nèi)容的變化有時是合法的病毒可以模糊這種變化內(nèi)存比較法主要針對駐留內(nèi)存病毒判斷駐留特征中斷比較法將正常系統(tǒng)的中斷向量與有毒系統(tǒng)的中斷向量進行比較比較法的好處:簡單比較法的缺點:無法確認(rèn)病毒,依賴備份校驗和法首先,計算正常文件內(nèi)容的校驗和并且將該校驗和寫入某個位置保存。然后,在每次使用文件前或文件使用過程中,定期地檢查文件現(xiàn)在內(nèi)容算出的校驗和與原來保存的校驗和是否一致,從而可以發(fā)現(xiàn)文件是否感染,這種方法叫校驗和法,它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。優(yōu)點:方法簡單能發(fā)現(xiàn)未知病毒被查文件的細(xì)微變化也能發(fā)現(xiàn)缺點:必須預(yù)先記錄正常態(tài)的校驗和會誤報警不能識別病毒名稱程序執(zhí)行附加延遲不對付隱蔽性病毒。

掃描法掃描法是用每一種病毒體含有的特定字符串(Signature)對被檢測的對象進行掃描。如果在被檢測對象內(nèi)部發(fā)現(xiàn)了某一種特定字符串,就表明發(fā)現(xiàn)了該字符串所代表的病毒。掃描器由兩部分組成:特征串(Signature)和掃描算法(Scanner)選擇代碼串的規(guī)則是:代碼串不應(yīng)含有病毒的數(shù)據(jù)區(qū),數(shù)據(jù)區(qū)是會經(jīng)常變化的。在保持唯一性的前提下,應(yīng)盡量使特征代碼長度短些,以減少時間和空間開銷。代碼串一定要在仔細(xì)分析了程序之后才能選出最具代表性的,足以將該病毒區(qū)別于其他病毒和該病毒的其他變種的代碼串。特征串必須能將病毒與正常的非病毒程序區(qū)分開。例如:給定特征串為“E9

7C

00

10

?

37

CB”,則“E9

7C

00

10

27

37

CB”和“E9

7C

00

10

9C

37

CB”都能被識別出來.其優(yōu)點包括:

(1)當(dāng)特征串選擇得很好時,病毒檢測軟件讓計算機用戶使用起來方便快速,對病毒了解不多的人也能用它來發(fā)現(xiàn)病毒。

(2)不用專門軟件,用編輯軟件也能用特征串掃描法去檢測特定病毒。

(3)可識別病毒的名稱。

(4)誤報警率低。

(5)依據(jù)檢測結(jié)果,可做殺毒處理。缺點:

(1)當(dāng)被掃描的文件很長時,掃描所花時間也較多。

(2)不容易選出合適的特征串,有時會發(fā)出假警報。

(3)新病毒的特征串未加入病毒代碼庫時,老版本的掃毒程序無法識別出新病毒。

(4)懷有惡意的計算機病毒制造者得到代碼庫后,會很容易地改變病毒體內(nèi)的代碼,生成一個新的變種,使掃描程序失去檢測它的能力。

(5)容易產(chǎn)生誤警報。只要正常程序內(nèi)帶有某種病毒的特征串,即使該代碼段已不可能被執(zhí)行,而只是被殺死的病毒體殘余,掃描程序仍會報警。

(6)不易識別變異類病毒。

(7)搜集已知病毒的特征代碼,費用開銷大。

(8)在網(wǎng)絡(luò)上使用效率低。行為監(jiān)測法利用病毒的特有行為特性來監(jiān)測病毒的方法稱為行為監(jiān)測法。常用行為:占用INT13H修改DOS系統(tǒng)數(shù)據(jù)區(qū)的內(nèi)存總量對COM和EXE文件做寫入動作寫注冊表自動聯(lián)網(wǎng)請求優(yōu)點:發(fā)現(xiàn)未知病毒缺點:難度大、誤報警感染實驗法這種方法的原理是利用了病毒的最重要的基本特征:感染特性。觀察正常程序和可疑程序的表現(xiàn)是非不同。

1.檢測未知引導(dǎo)型病毒的感染實驗法a.先用一張軟盤,做一個清潔無毒的系統(tǒng)盤,用DEBUG程序,讀該盤的BOOT扇區(qū)進入內(nèi)存,計算其校驗和,并記住此值。同時把正常的BOOT扇區(qū)保存到一個文件中。上述操作必須保證系統(tǒng)環(huán)境是清潔無毒的b.在這張實驗盤上拷貝一些無毒的系統(tǒng)應(yīng)用程序。c.啟動可疑系統(tǒng),將實驗盤插入可疑系統(tǒng),運行實驗盤上的程序,重復(fù)一定次數(shù)。d.再在干凈無毒機器上,檢查實驗盤的BOOT扇區(qū),可與原BOOT扇區(qū)內(nèi)容比較,如果實驗盤BOOT扇區(qū)內(nèi)容已改變,可以斷定可疑系統(tǒng)中有引導(dǎo)型病毒。2.檢測未知文件型病毒的感染實驗法a.在干凈系統(tǒng)中制作一張實驗盤,上面存放一些應(yīng)用程序,這些程序應(yīng)保證無毒,應(yīng)選擇長度不同,類型不同的文件(既有COM型又有EXE型)。記住這些文件正常狀態(tài)的長度和校驗和。b.在實驗盤上制作一個批處理文件,使盤中程序在循環(huán)中輪流被執(zhí)行數(shù)次c.將實驗盤插入可疑系統(tǒng),執(zhí)行批處理文件,多次執(zhí)行盤中程序。d.將實驗盤放人干凈系統(tǒng),檢查盤中文件的長度和校驗和,如果文件長度增加,或者校驗和變化,則可斷定系統(tǒng)中有病毒。虛擬執(zhí)行法為了檢測多態(tài)性病毒,提出了虛擬執(zhí)行法。它是一種軟件分析器,用軟件方法來模擬和分析程序的運行。如果發(fā)現(xiàn)隱蔽性病毒或多態(tài)性病毒嫌疑時,啟動虛擬執(zhí)行模塊,監(jiān)視病毒的運行,待病毒自身的密碼譯碼以后,再運用特征代碼法來識別病毒的種類。分析法分析法的目的在于:1.確認(rèn)被觀察的磁盤引導(dǎo)區(qū)和程序中是否含有2.確認(rèn)病毒的類型和種類,判定其是否是一種新病毒。3.搞清楚病毒體的大致結(jié)構(gòu),提取特征識別用的字符串或特征字,用于增添到病毒代碼庫供掃描和識別程序用。4.詳細(xì)分析病毒代碼,為制定相應(yīng)的反病毒措施制定方案。上述方法的總結(jié)利用原始備份和被檢測程序相比較的方法適合于不需專用軟件,可以發(fā)現(xiàn)異常情況的場合,是一種簡單的基本的病毒檢測方法;掃描特征串和識別特征字的方法適用于制作成查病毒軟件的方式供廣大PC機用戶使用,方便而又迅速,但對新出現(xiàn)的病毒會出現(xiàn)漏檢的情況,需要與分析和比較法相結(jié)合;分析病毒的方法主要是由專業(yè)人員識別病毒,研制反病毒系統(tǒng)時使用,要求較多的專業(yè)知識,是反病毒研究不可缺少的方法。計算機病毒的診斷方法手工檢測工具軟件(Debug、UltraEdit、EditPlus、SoftICE、TRW、Ollydbg等)優(yōu)點:Aver發(fā)現(xiàn)并分析新病毒缺點:不可能普及自動檢測自動檢測是指通過一些自動診斷軟件來判斷系統(tǒng)是否有毒的方法。優(yōu)點:易于普及缺點:滯后性自動診斷的源碼分析討論自動診斷病毒(查毒)的最簡單方法——特征碼掃描法自動診斷程序至少要包括兩個部分:病毒特征碼(VirusPattern\VirusSignature)庫掃描引擎(ScanEngine)。病毒特征碼意義重大獲得方法手工自動掃描引擎是殺毒軟件的精華部分考慮殺毒速度待殺毒文件的類型支持的硬盤格式其他特殊技術(shù)虛擬執(zhí)行行為識別等等ClamAV/Cisco-Talos/clamav-develClamAntiVirus(ClamAV)是免費而且開放源代碼的防毒軟件,軟件與病毒碼的更新皆由社群免費發(fā)布。目前ClamAV主要是使用在由Linux、FreeBSD等Unix-like系統(tǒng)架設(shè)的郵件服務(wù)器上,提供電子郵件的病毒掃描服務(wù)。ClamAV本身是在文字接口下運作,但也有許多圖形接口的前端工具可用,另外由于其開放源代碼的特性,在Windows與MacOSX平臺都有其移植版。簡單的查毒程序VirScan是一個簡單的示例程序,其功能:根據(jù)病毒特征碼發(fā)現(xiàn)特定病毒(CIH和Klez)。VirScan從程序入口點開始查找病毒特征碼。對抗Klez病毒會卸載殺毒引擎的功能。CIH病毒不會動態(tài)地改變程序入口點處的標(biāo)記,我們可以自接從入口點處開始。Klez病毒會動態(tài)的改變程序入口點處的前16個字節(jié),所以,VirScan跳過了前16個字節(jié)。構(gòu)造病毒庫virus.pattern病毒庫virus.pattern的結(jié)構(gòu)如下:Klez={A1,00,00,00,00,50,64,89,25,00,00,00,00,83,EC,58,53,56,57,89};Cih={55,8D,44,24,F8,33,DB,64,87,03};初始化病毒庫轉(zhuǎn)化函數(shù):字符-55;數(shù)字-30經(jīng)過轉(zhuǎn)換后的格式為:unsignedcharKlezSignature[]={0xA1,0x00,0x00,0x00,0x00,0x50,0x64,0x89,0x25,0x00,0x00,0x00,0x00,0x83,0xEC,0x58,0x53,0x56,0x57,0x89};unsignedcharCihSignature[]={0x55,0x8D,0x44,0x24,0xF8,0x33,0xDB,0x64,0x87,0x03};保護VirScan程序首先,編寫一個普通的DLL,該DLL將導(dǎo)出一個名字為DontAllowForDeletion的函數(shù)。BOOLWINAPIDontAllowForDeletion(LPSTRStr){ HANDLEhFile; if((hFile=CreateFile(Str,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING, FILE_ATTRIBUTE_READONLY,NULL))==INVALID_HANDLE_VALUE){ returnFALSE; } returnTRUE;}然后,在VirScan的啟動時,調(diào)用DLL的導(dǎo)出函數(shù),實現(xiàn)對VirScan程序的保護。DontAllowDeletion=(DLLFUNC*)GetProcAddress(hLib,"DontAllowForDeletion");DontAllowDeletion(TmpPath));//TmpPath為VirScan在系統(tǒng)中的物理位置病毒查找模塊查找前需要定位文件、定位PE入口//查找KlezSetFilePointer(hFile,pCodeBytes+16,NULL,FILE_BEGIN);ReadFile(hFile,pBytes,sizeof(KlezSignature),&ReadBytes,NULL);for(i=0;i<sizeof(KlezSignature);i++){ if(KlezSignature[i]!=pBytes[i]) break;}放在病毒庫里較好//查找CIH病毒SetFilePointer(hFile,pCodeBytes,NULL,FILE_BEGIN);ReadFile(hFile,pBytes,sizeof(CihSignature),&ReadBytes,NULL);for(i=0;i<sizeof(CihSignature);i++){ if(CihSignature[i]!=pBytes[i]) break;}演示程序計算機病毒查找實驗(實驗十五)【實驗?zāi)康摹空莆沼嬎銠C病毒查找基本原理【實驗平臺】WindowsXP操作系統(tǒng)VisualStudio6.0應(yīng)用程序【實驗步驟】(1)從下載文件中復(fù)制實驗文件到實驗計算機上(源碼位置:附書資源目錄\Experiment\Chiklez)。(2)該目錄下的DontAllow是防刪除功能的動態(tài)鏈接庫,事先編譯該程序。(3)編譯根目錄下的程序,生成病毒查找應(yīng)用程序。(4)運行VirRemv.exe,根據(jù)按鈕指示操作,體驗病毒查找功能。四、計算機病毒的清除清除病毒:將感染病毒的文件中的病毒模塊摘除,并使之恢復(fù)為可以正常使用的文件的過程稱為病毒清除.殺毒的不安全因素:清除過程可能破壞文件有的需要格式化才能清除清除的方法分類引導(dǎo)型病毒的清除原理文件型病毒的清除原理特殊病毒的清除原理引導(dǎo)型病毒的清除原理引導(dǎo)型病毒感染時的破壞行為有:(1)硬盤主引導(dǎo)扇區(qū)。(2)硬盤或軟盤的BOOT扇區(qū)。(3)為保存原主引導(dǎo)扇區(qū)、BOOT扇區(qū),病毒可能隨意地將它們寫入其他扇區(qū),而毀壞這些扇區(qū)。(4)引導(dǎo)型病毒發(fā)做,執(zhí)行破壞行為造成種種損壞。根據(jù)感染和破壞部位的不同,可以分以下方法進行修復(fù):第一種:硬盤主引導(dǎo)扇區(qū)染毒,是可以修復(fù)的。(1)用無毒軟盤啟動系統(tǒng)。(2)尋找一臺同類型、硬盤分區(qū)相同的無毒機器,將其硬盤主引導(dǎo)扇區(qū)寫入一張軟盤中。將此軟盤插入染毒機器,將其中采集的主引導(dǎo)扇區(qū)數(shù)據(jù)寫入染毒硬盤,即可修復(fù)。第二種:硬盤、軟盤BOOT扇區(qū)染毒也可以修復(fù)。尋找與染毒盤相同版本的無毒系統(tǒng)軟盤,執(zhí)行SYS命令,即可修復(fù)。第三種:引導(dǎo)型病毒如果將原主引導(dǎo)扇區(qū)或BOOT扇區(qū)覆蓋式寫入根目錄區(qū),被覆蓋的根目錄區(qū)完全損壞,不可能修復(fù)。

第四種:如果引導(dǎo)型病毒將原主引導(dǎo)扇區(qū)或BOOT扇區(qū)覆蓋式寫入第一FAT表時,第二FAT表未破壞,則可以修復(fù)??蓪⒌诙﨔AT表復(fù)制到第一FAT表中。

第五種:引導(dǎo)型病毒占用的其他部分存儲空間,一般都采用“壞簇”技術(shù)和“文件結(jié)束簇”技術(shù)占用。這些被空間也是可以收回的。文件型病毒的消毒原理覆蓋型文件病毒清除該型病毒是一種破壞型病毒,由于該病毒硬性地覆蓋掉了一部分宿主程序,使宿主程序被破壞,即使把病毒殺掉,程序也已經(jīng)不能修復(fù)。覆蓋型外的文件病毒原則上都可以被清除干凈根據(jù)感染的逆過程來清除清除交叉感染病毒交叉感染:有時一臺計算機內(nèi)同時潛伏著幾種病毒,當(dāng)一個健康程序在這個計算機上運行時,會感染多種病毒,引起交叉感染。清除的關(guān)鍵:搞清楚多種病毒的感染順序按感染先后次序的逆序清楚病毒3病毒2病毒1頭部宿主文件尾部頭部宿主文件尾部病毒1病毒2病毒3感染順序:病毒1--〉病毒2-–〉病毒3在殺毒時:病毒3--〉病毒2-–〉病毒1計算機病毒的清除方法手工清除病毒的方法使用Debug、Regedit、SoftICE和反匯編語言等簡單工具進行跟蹤,清除的方法。優(yōu)點:可以處理新病毒或疑難病毒(Worm等)缺點:需要高技術(shù),復(fù)雜自動清除病毒方法使用殺毒軟件自動清除染毒文件中的病毒代碼,使之復(fù)原。優(yōu)點:方便,易于普及缺點:滯后、不能完全奏效五、預(yù)防技術(shù)(被動)計算機監(jiān)控技術(shù)計算機監(jiān)控技術(shù)(實時監(jiān)控技術(shù)):注冊表監(jiān)控腳本監(jiān)控內(nèi)存監(jiān)控郵件監(jiān)控文件監(jiān)控等優(yōu)點:解決了用戶對病毒的“未知性”,或者說是“不確定性”問題。實時監(jiān)控是先前性的,而不是滯后性的。監(jiān)控病毒源技術(shù)郵件跟蹤體系例如,消息跟蹤查尋協(xié)議(MTQP-MessageTrackingQueryProtocol)網(wǎng)絡(luò)入口監(jiān)控防病毒體系通用個人防火墻例如,TVCS-TrendVirusControlSystem個人防火墻技術(shù)個人防火墻以軟件形式安裝在最終用戶計算機上,阻止由外到內(nèi)和由內(nèi)到外的威脅。個人防火墻不僅可以監(jiān)測和控制網(wǎng)絡(luò)級數(shù)據(jù)流,而且可以監(jiān)測和控制應(yīng)用級數(shù)據(jù)流,彌補邊際防火墻和防病毒軟件等傳統(tǒng)防御手段的不足個人防火墻和邊際防火墻的區(qū)別:個人可以監(jiān)測和控制應(yīng)用級數(shù)據(jù)流。云查殺技術(shù)云計算(cloudcomputing),一種分布式計算技術(shù),其最基本的概念,是透過網(wǎng)絡(luò)將龐大的計算處理程序自動分拆成無數(shù)個較小的子程序,再交由多部服務(wù)器所組成的龐大系統(tǒng)經(jīng)搜尋、計算分析之后將處理結(jié)果回傳給用戶。舊的依賴客戶個人計算機的殺毒模式可能已經(jīng)走到了盡頭。現(xiàn)在提出的所謂“云安全”其實就是把原來放在客戶端的分析計算能力轉(zhuǎn)移到了服務(wù)器端,從而使得客戶端變輕了。六、免疫技術(shù)(主動)免疫的原理傳染模塊要做傳染條件判斷病毒程序要給被傳染對象加上傳染標(biāo)識在正常對象中自動加上這種標(biāo)識,就可以不受病毒的傳染,起到免疫的作用1.針對某一種病毒進行的計算機病毒免疫把感染標(biāo)記寫入文件和內(nèi)存,防止病毒感染缺點:對于不設(shè)有感染標(biāo)識的病毒不能達(dá)到免疫的目的。當(dāng)出現(xiàn)這種病毒的變種不再使用這個免疫標(biāo)志時,或出現(xiàn)新病毒時,免疫標(biāo)志發(fā)揮不了作用。某些病毒的免疫標(biāo)志不容易仿制,非要加上這種標(biāo)志不可,則對原來的文件要做大的改動。不可能對一個對象加上各種病毒的免疫標(biāo)識。這種方法能阻止傳染,卻不能阻止已經(jīng)感染的病毒的破壞行為。2.基于自我完整性檢查的計算機病毒的免疫方法。為可執(zhí)行程序增加一個免疫外殼,同時在免疫外殼中記錄有關(guān)用于恢復(fù)自身的信息。執(zhí)行具有這種免疫功能的程序時,免疫外殼首先得到運行,檢查自身的程序大小、校驗和,生成日期和時間等情況,沒有發(fā)現(xiàn)異常后,再轉(zhuǎn)去執(zhí)行受保護的程序。這種免疫方法可以看作是一種通用的自我完整性檢驗方法。缺點和不足:(1)每個受到保護的文件都要增加1KB-3KB,需要額外的存儲空間。(2)現(xiàn)在使用中的一些校驗碼算法不能滿足防病毒的需要,被某些種類的病毒感染的文件不能被檢查出來。(3)無法對付覆蓋方式的文件型病毒。(4)有些類型的文件不能使用外加免疫外殼的防護方法,這樣將使那些文件不能正常執(zhí)行。(5)當(dāng)某些尚不能被病毒檢測軟件檢查出來的病毒感染了一個文件,而該文件又被免疫外殼包在里面時,這個病毒就像穿了“保護盔甲”,使查毒軟件查不到它,而它卻能在得到運行機會時跑出來繼續(xù)傳染擴散。數(shù)字免疫系統(tǒng)數(shù)字免疫系統(tǒng)主要包括封閉循環(huán)自動化網(wǎng)絡(luò)防病毒技術(shù)和啟發(fā)式偵測技術(shù)。前者是一個后端基礎(chǔ)設(shè)施,可以為企業(yè)級用戶提供高級別的病毒保護。后者則可以自動監(jiān)視可疑行為,為網(wǎng)絡(luò)防病毒產(chǎn)品對付未知病毒提供依據(jù)。系統(tǒng)加固(主動)系統(tǒng)加固技術(shù)系統(tǒng)加固是防黑客領(lǐng)域的基本問題,主要是通過配置系統(tǒng)的參數(shù)(如服務(wù)、端口、協(xié)議等)或給系統(tǒng)打補丁來減少系統(tǒng)被入侵的可能性。常見的系統(tǒng)加固工作主要包括:安裝最新補??;禁止不必要的應(yīng)用和服務(wù);禁止不必要的賬號;去除后門;內(nèi)核參數(shù)及配置調(diào)整;系統(tǒng)最小化處理;加強口令管理;啟動日志審計功能等。七、數(shù)據(jù)備份與數(shù)據(jù)恢復(fù)重要性2001年,美國紐約世貿(mào)中心大樓發(fā)生爆炸。一年后,350家原本在該樓工作的公司再回來的只有150家,其它很多企業(yè)由于無法恢復(fù)對其業(yè)務(wù)至關(guān)重要的數(shù)據(jù)而被迫倒閉。美國紐約世貿(mào)中心遭受恐怖主義分子襲擊之后,世貿(mào)中心最大的主顧之一摩根斯坦利宣布,雙子樓的倒塌并沒有給公司和客戶的關(guān)鍵數(shù)據(jù)帶來重大損失。摩根斯坦利精心構(gòu)造的遠(yuǎn)程防災(zāi)系統(tǒng),能夠?qū)崟r將重要的業(yè)務(wù)信息備份到幾英里之外的另一個數(shù)據(jù)中心。大樓倒塌之后,該數(shù)據(jù)中心立刻發(fā)揮作用,保障了公司業(yè)務(wù)的繼續(xù)運行,有效降低了災(zāi)難對于整個企業(yè)發(fā)展的影響,摩根斯坦利在第二天就進入了正常的工作狀態(tài)。摩根斯坦利幾年前就制訂的數(shù)據(jù)安全戰(zhàn)略,在這次大劫難中發(fā)揮了令人矚目的作用。a-人為原因b-軟件原因c-盜竊d-硬件的毀壞e-計算機病毒f-硬件故障數(shù)據(jù)丟失原因調(diào)查

在病毒清除工作越來越困難的今天,數(shù)據(jù)備份和恢復(fù)成了計算機病毒防治技術(shù)的一個核心問題數(shù)據(jù)備份--個人PC備份策略一、備份個人數(shù)據(jù)所謂個人數(shù)據(jù)就是用戶個人勞動的結(jié)果,包括自己制作的各種文檔、編制的各種源代碼、下載或從其他途徑獲取的有用數(shù)據(jù)和程序等等。養(yǎng)成良好存放的習(xí)慣:拒絕所有的缺省位置個人數(shù)據(jù)集中存放經(jīng)常備份這些數(shù)據(jù)養(yǎng)成良好的定期備份習(xí)慣二、備份系統(tǒng)重要數(shù)據(jù)磁盤的分區(qū)表、主引導(dǎo)區(qū)、引導(dǎo)區(qū)等重要區(qū)域的數(shù)據(jù)。三、注冊表的備份系統(tǒng)把它物理地分為兩個文件:USER.DAT(用戶設(shè)置)和SYSTEM.DAT(系統(tǒng)設(shè)置)。備份方式:系統(tǒng)自動備份USER.DAT-〉USER.DAOSYSTEM.DAT-〉SYSTEM.DAOC:\WINDOWS\SYSBCKUP目錄中以CAB文件格式備份了最近五天開機后的系統(tǒng)文件。其備份文件名分別是rb000.cab、rb001.cab、rb002.cab、rb003.cab和rb005.cab。(可用Windows自帶的Scanreg.exe命令)手工備份Cfgback.exe、手工備份兩個文件、導(dǎo)出注冊表四、OUTLOOK數(shù)據(jù)的備份首先,應(yīng)對注冊表的相關(guān)部分備份。Hkey-current-user\Software\Microsoft\InternetAccountManager\Accounts然后,還要對目錄文件進行備份。%windows%\applicationdata\microsoft\outlook最后,通訊簿的備份。五、Foxmail數(shù)據(jù)的備份比OutLook簡單六、即時消息數(shù)據(jù)的備份1.備份MESSAGES(歷史數(shù)據(jù))2.備份ADDRESSBOOK(地址數(shù)據(jù))七、輸入法自定義詞組的備份1.中文五筆輸入法中自定義詞組的備份C:\Windows\System\wbx.emb2.智能拼音輸入法中自定義詞組的備份C:\WINDOWS\SYSTEM\tmmr.rem3.微軟拼音輸入法中自定義詞組的備份C:\Windows\pjyyP.UPT八、IE收藏夾和NN書簽的備份IE收藏夾C:\Windows\Favorites文件夾NN書簽將其saveas為一個html文件數(shù)據(jù)備份--系統(tǒng)級備份策略

一、數(shù)據(jù)備份需求分析關(guān)鍵服務(wù)器的地位越來越重要,需要備份造成系統(tǒng)失效的主要原因有以下幾個方面:硬盤驅(qū)動器損壞,由于一個系統(tǒng)或電器的物理損壞導(dǎo)致文件、數(shù)據(jù)的丟失;人為錯誤,人為刪除一個文件或格式化一個磁盤(占數(shù)據(jù)災(zāi)難的80%);黑客的攻擊,黑客侵入計算機系統(tǒng),破壞計算機系統(tǒng);病毒,使計算機系統(tǒng)感染,甚至損壞計算機數(shù)據(jù);自然災(zāi)害,火災(zāi)、洪水或地震也會無情地毀滅計算機系統(tǒng);電源浪涌,一個瞬間過載電功率損害計算機驅(qū)動器上的文件;磁干擾,生活、工作中常見的磁場可以破壞磁碟中的文件。建立完整的網(wǎng)絡(luò)數(shù)據(jù)備份系統(tǒng)必須考慮以下內(nèi)容:計算機網(wǎng)絡(luò)數(shù)據(jù)備份的自動化,以減少系統(tǒng)管理員的工作量;使數(shù)據(jù)備份工作制度化、科學(xué)化;對介質(zhì)管理的有效化,防止讀寫操作的錯誤;對數(shù)據(jù)形成分門別類的介質(zhì)存儲,使數(shù)據(jù)的保存更細(xì)致、科學(xué);自動介質(zhì)的清洗輪轉(zhuǎn),提高介質(zhì)的安全性和使用壽命;以備份服務(wù)器形成備份中心,對各種平臺的應(yīng)用系統(tǒng)及其他信息數(shù)據(jù)進行集中的備份,系統(tǒng)管理員可以在任意一臺工作站上管理、監(jiān)控、配置備份系統(tǒng),實現(xiàn)分布處理,集中管理的特點;維護人員可以容易地恢復(fù)損壞的整個文件系統(tǒng)和各類數(shù)據(jù);備份系統(tǒng)還應(yīng)考慮網(wǎng)絡(luò)帶寬對備份性能的影響,備份服務(wù)器的平臺選擇及安全性,備份系統(tǒng)容量的適度冗余,備份系統(tǒng)良好的擴展性等因素。二、備份設(shè)備的選擇常用的存儲介質(zhì)類型有:磁盤、磁帶、光盤和MO(磁光盤)等。1.四種磁帶技術(shù)的比較Dat螺旋掃描、4mm、高強金屬帶、20GBDlt高強金屬帶、40GBLto開放標(biāo)準(zhǔn)、100GB8mm螺旋掃描、高速2、數(shù)據(jù)備份的容量計算網(wǎng)絡(luò)中的總數(shù)據(jù)量,q1;數(shù)據(jù)備份時間表(即增量備份的天數(shù)),假設(shè)用戶每天作一個增量備份,周末作一個全備份,d=6天每日數(shù)據(jù)改變量,即q2期望無人干涉的時間,假定為3個月,m=3數(shù)據(jù)增長量的估計,假定每年以20%遞增,i=20%考慮壞帶,不可預(yù)見因素,一般為30%,假定u=30%通過以上各因素考慮,可以較準(zhǔn)確地推算出備份設(shè)備的大概容量為:

c=[(q1+q2*d)*4*m*(1+i)]*(1+u)三、分析應(yīng)用環(huán)境、選擇備份管理軟件大型數(shù)據(jù)庫自動備份功能缺陷包括:但它們既不能實現(xiàn)自動備份,而且只能將數(shù)據(jù)備份到磁帶機或硬盤上,不能驅(qū)動磁帶庫等自動加載設(shè)備?,F(xiàn)有產(chǎn)品:legatonetworker、caarcserve、hpopenviewomnibackii、ibmadsm及veritasnetbackup等四、存儲備份策略備份策略可以確定需備份的內(nèi)容、備份時間及備份方式。目前被采用最多的備份策略主要有以下三種:1、完全備份(full

backup)2、增量備份(incremental

backup)3、差分備份(differential

backup)差分備份即備份上一次完全備份后產(chǎn)生和更新的所有新的數(shù)據(jù)。差分備份的恢復(fù)簡單:系統(tǒng)管理員只需要對兩份備份文件進行恢復(fù),即完全備份的文件和災(zāi)難發(fā)生前最近的一次差分備份文件,就可以將系統(tǒng)恢復(fù)。增量備份恢復(fù)復(fù)雜。在實際應(yīng)用中,備份策略通常是以上三種的結(jié)合。例如每周一至周六進行一次增量備份或差分備份,每周日進行全備份,每月底進行一次全備份,每年底進行一次全備份。五、項目實施過程應(yīng)注意的問題1、統(tǒng)計備份客戶機信息了解各臺備份主機的系統(tǒng)配置、備份數(shù)據(jù)量、備份方式(文件、數(shù)據(jù)庫在線)、允許的備份時間窗口,每日數(shù)據(jù)增量等信息。2、做好培訓(xùn)工作3、制定備份策略制定備份日程表制定備份客戶機分組方案制定備份卷分組方案配置各客戶機選項其它選項配置:包括管理員設(shè)置,數(shù)據(jù)遠(yuǎn)程恢復(fù)權(quán)限設(shè)置,設(shè)備并行流設(shè)置,設(shè)備自動管理選項,數(shù)據(jù)壓縮選項等4、日常維護有關(guān)問題硬件(磁帶磁頭等)、軟件維護數(shù)據(jù)恢復(fù)數(shù)據(jù)恢復(fù)正常數(shù)據(jù)恢復(fù)災(zāi)難數(shù)據(jù)恢復(fù)所謂災(zāi)難數(shù)據(jù)恢復(fù)是指由于各種原因?qū)е聰?shù)據(jù)損失時把保留在介質(zhì)上的數(shù)據(jù)重新恢復(fù)的過程。即使數(shù)據(jù)被刪除或硬盤出現(xiàn)故障,只要在介質(zhì)沒有嚴(yán)重受損的情況下,數(shù)據(jù)就有可能被完好無損地恢復(fù)。重要性一、災(zāi)難數(shù)據(jù)恢復(fù)的分類軟件恢復(fù)由病毒感染、誤分區(qū)、誤格式化等造成的數(shù)據(jù)丟失,仍然有可能使用第三方軟件來恢復(fù)硬件恢復(fù)至于硬件恢復(fù),如修復(fù)盤面劃傷、磁組撞毀、芯片以及其他元器件燒壞等都成為硬件恢復(fù)二、數(shù)據(jù)可恢復(fù)的前提如果被刪除的文件已經(jīng)被其他文件取代,或者文件數(shù)據(jù)占用的空間已經(jīng)分配給其他文件,那么該文件就不可能再恢復(fù)了。電子碎紙機就是利用這種原理來設(shè)計的。如果硬件或介質(zhì)損壞嚴(yán)重,也是不可能恢復(fù)的。三、出現(xiàn)數(shù)據(jù)災(zāi)難時如何處理如果是由病毒感染、誤分區(qū)、誤格式化等原因造成的數(shù)據(jù)丟失,這將關(guān)系到整塊硬盤數(shù)據(jù)的存亡,千萬不要再用該硬盤進行任何操作,更不能繼續(xù)往上面寫任何數(shù)據(jù),而應(yīng)馬上找專業(yè)人員來處理;如果是由硬件原因造成的數(shù)據(jù)丟失(如硬盤受到激烈振動而損壞),則要注意事故發(fā)生后的保護工作,不應(yīng)繼續(xù)對該存儲器反復(fù)進行測試,否則,將造成永久性的損壞!四、低難度數(shù)據(jù)恢復(fù)1.如果懷疑硬盤有故障,先檢查信號線和電源是否插好,或?qū)⒂脖P掛接到另一臺正常機器上,用BIOS檢測,如果還是無法檢測到硬盤,就是硬件故障。2.如果懷疑分區(qū)損壞,可用Fdisk命令觀察,如無任何分區(qū)顯示即表示已被破壞。3.如果懷疑硬盤電路板有故障,可以找一個相同型號的好硬盤更換電路板。4.如果是硬盤分區(qū)損壞、誤格式化或誤刪除,可以將該硬盤掛接到另一臺正常機器上作為第二個硬盤,用Easyrecovery或Finaldata數(shù)據(jù)恢復(fù)軟件搶救數(shù)據(jù)。五、高難度數(shù)據(jù)恢復(fù)第一,分區(qū)表破壞原因:1.個人誤操作刪除分區(qū),只要沒有進行其它的操作完全可以恢復(fù)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論