第六章　网络基础软件系统和 与选型.ppt

与以往文件型和引导型病毒不同的是，“红色代码”将病毒信息写入被攻击服务器的硬盘，而只存在于内存。另外，其变种“红色代码Ⅱ”还包含一个木马程序，计算机黑客可以对受到入侵的计算机实施全程遥控，并使得“红色代码Ⅱ”拥有可扩充性。 “爱虫”病毒：特点是“爱虫”病毒(又称“I Love You”病毒)是通过Microsoft Outlook E-mail系统传播。一旦用户在Microsoft Outlook里打开包含一个附件、主题为“I Love You”的邮件，系统就会自动复制，并向地址簿中的所有邮件地址发送这个病毒。破坏性是改写本地及网络硬盘上的文件，使邮件系统将运行速度变慢乃至崩溃。传播方式是“爱虫”病毒有3种传播方式: E-mail附件、Internet在线聊天系统(Internet Relay Chat)的文件传输和网络共享文件夹。该病毒进入计算机后，将把自己写入3个地点，2个位于Windows目录下，1个位于系统目录下; 然后再修改计算机的注册信息，以便计算机再次启动时运行。 “求职信”病毒：特点是(又称“Worm.wantjob.57345”病毒)一种利用微软Iframe ExecCommand漏洞、让IE没有打补丁的用户机自动运行它的病毒，其变种Klez内含CIH 1.2，能使CIH在4月26日爆发时借助求职信病毒进一步迅速传播。破坏性是它不仅具有尼姆达病毒自动发信、自动执行和感染局域网等破坏功能，而且在感染计算机后还不停地查询内存中的进程、检查是否有一些杀毒软件存在，以终止杀毒软件的进程。如果感染的是采用Windows NT/2000系统的计算机，还可不停地向外发送邮件，把自己伪装成“Htm、Doc、Jpg、Bmp、Xls、Cpp、Html、Mpg和Mpeg”类型文件中的一种，文件名也是随机产生的，很具隐蔽性。传播途径是通过Internet传播，主要感染电子邮件系统。 分析相同之处 ---- 尽管现代病毒多种多样，但万变不离其宗，透过其外在表象，我们还是能够看到它们所具有的一些共同特性。比如，它们都可以从逻辑上划分“引导”、“传播”和“表现或破坏”等几部分，这几部分各司其职，在病毒从静态到动态的进程过程中各起不同的作用，而且传染过程极其相似，一般会经历驻入内存、判断传染条件和实施传染3个阶段。此外，不论什么病毒，只有在激活以后才能发挥各部分的作用。 ---- 病毒激活都是有一定条件的，而且每部分的激活条件各不相同。对于任何一种病毒，最先获得系统控制的是引导部分。引导型病毒的引导部分位于系统引导扇区，文件型病毒的引导部分位于正常的程序代码之前。当被感染的文件调入内存执行时，会把系统控制转给病毒引导部分。获得控制后，病毒的引导部分会完成病毒整体调入，然后为其他几部分的激活提供相应的条件。 ---- 病毒一旦进入系统，便可以传播，进行破坏，但也需要一定的激活条件。“传播”通常以调用某中断为激活条件，易于实现; 而“破坏”仅当调用某中断、且系统时间为某一定值时才被激活，故潜伏期相对较长。 ---- 当病毒各部分的激活条件得不到满足时，病毒一直处于“假休眠”状态，系统工作与没有病毒时无异，给用户系统一切正常的假象，实际上是病毒伺机发作时期。这个时期也称为病毒的潜伏期，潜伏期的长短因病毒而异。由于潜伏期的存在，使得病毒更具有伪装性和欺骗性。 ---- 除激活原理、传播过程基本相似外，从主流病毒的表现形式上看，它还具有可执行性、破坏性和可触发性，以及感染速度快、扩散范围大、传播形式复杂多样和毒黑结合等共性。 防病毒产品很多，如何选择适合自身网络的防病毒系统非常关键。一般在概念上网络防病毒系统强调的是整体防毒，构建完善的网络防毒体系。所谓网络整体防毒是指保证整个计算机网络内部各个服务器、工作站及各个应用系统不受外来病毒的侵害，营造无病毒环境。 网络防毒系统的功能有：对文件服务器的防护、对邮件服务器的防护、对网关服务器的防护、对不同操作环境病毒的防护、集中控管。 文件服务器能够为企业网中所有工作站或客户端提供文件资源共享，进而成为病毒理想的隐身寄居场所，病毒可轻易扩散到网络中的其他客户端或服务器上，必须严加防范。考虑到文件服务器的特性，一般都采用具有实时防毒技术的防毒软件，因为只有实时监控病毒的入侵，才能有效防止侵害。现在，市场上存在一些保护文件服务器的防毒产品，它们采用的是定时扫描技术，预防效果差强人意。 邮件服务器的病毒防护是至关重要的，现在流行的极有破坏力的病毒都是通过电子邮件进行传播。在邮件服务器上对邮件及邮件附件病毒进行实时拦截，可以从根本上断绝邮件病毒的传播。冠群金辰公司陈葵女士说，将邮件病毒集中在服务器端统一清除比将病毒放到客户端后再查杀具有更高的效率。 网关是所有内外部信息流经的枢纽，在其外设置一道防毒关卡