目前計算機病毒的防治方法以及防病毒方法在計算機上具體的應用。
2011-10-07 09:31:34 來源:華軍數據恢復 作者:網站管理員 閱讀: 次
raid數據恢復
手機數據恢復
fg0412 | 2009-12-07 12:36:05
計算機網絡病毒及防治方法 電腦硬盤數據恢復
南京威爾德電腦公司總工程師 王迎慶
--------------------------------------------------------------------------------
一、計算機病毒的產生和發展
早在60年代末期出現的計算機犯罪,就已經采用了非授權入侵計算機系統,非法復制程
序或數據文件等方法。但在非法復制軟件方面,通常的計算機犯罪不把這個環節作為犯罪活
動的重點,人們對此也就缺乏足夠的認識。
考察如今泛濫于電腦、威脅著信息系統的計算機病毒的構想根源,則要追溯到70年代的
科學幻想小說。
1972年,一位美國科普作家Thomas:J:Ryan推出了轟動一時的《Adolescence of P1》(
PL的青春)。瑞安構思了一種神秘的、能夠自我復制、利用信息通道傳播的計算機程序,并
稱之為計算機病毒。
1975年,美國科普作家John Bruner寫了一本在信息社會中,計算機作為正義和邪惡斗爭
的工具的故事。
人類社會有許多現行的科學技術,都是在先有幻想之后才成為現實的。因此,我們不能
否認這本書的問世對計算機病毒的產生所起的作用。也許有些人通過這本書才頓開茅塞,借
助于他們對計算機硬件系統及軟件系統的深入了解,發現了計算機病毒實現的可能性并設計
出了計算機病毒。
1984年,Fred Cohen博士通過反復的實驗驗證了計算機病毒的傳染性和真實存在性。并
給出計算機病毒定義是:計算機病毒是這樣的程序,它能夠利用修改的手段而感染其它程序
,這種修改使得被感染程序含有它的某種形式的副本。該定義突出了病毒的感染性。
計算機病毒從上述的科幻小說到大規模泛濫僅用了十年時間。
近年來,計算機病毒已經成為新聞報道中經常出現的內容。1988年2月10日美國《新聞
周刊》以"當心病毒!請接種疫苗"為題報道了計算機病毒在幾分鐘內破壞計算機系統運行的
消息。1988年11月2日發生在美國重要的計算機網絡Internet的莫里斯蠕蟲事件是一場損失
巨大、影響深遠的大規模"病毒"疫情了。在這次事件中,6200臺聯網的Unix 4BCD、VAX、S
un工作站受到感染。造成的損失約9000多萬美元。這次Internet網絡中發現的是一種稱為
"蠕蟲"的病毒,它利用了Unix系統中電子郵件的缺陷侵入Internet網絡,并在網絡中不斷地
自我復制,一夜之間就給計算機用戶造成了巨大的損失。
1988年11月13日,星期五,一個被稱為"黑色星期五"的惡性病毒在長期潛伏、廣泛傳播
后,在全世界數10萬臺運行DOS的微機上發作。在這天,每運行一個文件,則被刪除一個,許多
微機用戶被迫停機,在全世界造成的損失難以估計。國內外報刊對此作了大量報道。之后米
開朗基羅病毒也登臺亮相,我國的中央電視臺在新聞聯播中也曾多次報道,一時間病毒成了
最可怕的敵人。
近年來,隨著國內外軟件的引進和我國計算機的大量普及,計算機病毒已在我國大量出
現,并以驚人的速度蔓延,威脅著信息系統,特別是計算機網絡及大型信息系統的安全。
《參考消息》1989年8月2日刊登的一則評論,列出了下個世紀的國際恐怖活動將采用
五種新式武器和手段,計算機病毒名列第二,這給未來的信息系統投上了一層陰影。
一些國家已經著手進行計算機病毒對抗(Computervirus Countermeasuer)的研究和實
驗工作。例如在1989年11月澳大利亞舉行的軍事演習中,紅軍在與藍軍對陣中使用了新西蘭
病毒來破壞對方計算機系統的正常運行,結果在演習中占據了優勢。這是歷史上第一次公開
報道的計算機病毒被用于軍事目的的事件。
隨著計算機技術進一步發展,計算機網絡及大型信息系統也逐漸普及,以往的計算機病
毒僅侵入單機系統,但病毒設計者們,已準備將病毒感染到計算機網絡(LAN)的服務器上。因
此,計算機網絡也將面臨病毒入侵的危險。我們有必要了解網絡病毒及其特點。
二、計算機病毒的種類
計算機病毒的感染是計算機病毒的一大特點,也是衡量一種計算機程序是否是計算機病
毒的一個重要標志。根據病毒的傳染性,對計算機系統進行分類,可以分為以下幾種:
1.引導型病毒
引導型病毒隱藏在DOS的分區里。當系統引導時,把病毒程序從軟硬盤上裝入到內存里
,在系統運行過程中,使病毒不斷擴散。例如大麻、小球病毒等。由于磁盤的引導區是磁盤
能正常使用的先決條件,所以這種病毒可在運行的一開始就獲得控制權,其傳染的可能性較
大。由于磁盤的引導區存儲著磁盤使用的重要信息,通常對磁盤的正常引導記錄不進行保護
,所以在磁盤的運行過程中能導致對正常引導記錄的破壞,所以受大麻病毒傳染的軟盤或硬
盤可能出現磁盤不能正常引導的現象。引導區傳染的計算機病毒目前出現得較為廣泛,其診
治方法也較為簡單。
2.文件型病毒
文件型病毒寄生在文件里。當帶毒文件執行時,病毒開始發作,并感染更多的執行文件
,從而達到傳播的目的。受感染的文件一般都會被加長,如DIR-2,Keypress。
3.網絡病毒
在網絡系統的各個組成部分、接口和界面,以及各層次的相互轉換都存在著不少的漏洞
和薄弱環節,尤其在軟件方面漏洞更多。網絡病毒是指病毒突破網絡的安全性,傳播到網絡
服務器,進而在整個網絡上感染,因而網絡病毒危害更大。如IBM圣誕樹病毒、Fv-shot4病毒
、Unix上的Worm病毒等。這里的蠕蟲(Worm)病毒便是利用了Unix的安全缺陷,在網絡上傳染
染的。近年來,Worm與病毒的交叉以及病毒攻擊網絡的事件也不斷出現。1990年2月Novell
網受到了來自節點的病毒攻擊,這是從電子郵件的局部網的病毒感染而來。
三、網絡病毒特點及破壞性
網絡病毒常使網絡管理員(Supervisor) 十分頭痛,其特點和危害性表現在:
1.破壞性強
網絡病毒破壞性極強,以Novell網而言,一旦文件服務器的硬盤被病毒感染,就會破壞N
etWare分區某些區域內容,使文件服務器無法啟動,整個網絡陷于癱瘓,造成災難性后果。
2.傳播性極強
具有強再生機制,一接觸就傳染。網絡病毒一旦加到一個公用程序上,就開始尋找要進
行感染的其它程序,這樣就使病毒能夠很快地傳播到整個網絡上。例如,1988年9月12日發生
在日本電氣"PC-VAN"網絡的計算機病毒。PC-VAN病毒在網絡上通過電子郵件發送一些實用
程序,只要網絡上的用戶打開自己的個人計算機,軟、硬盤上的Command.com文件便被感染上
病毒。此后,感染上病毒的個人計算機再打開時,有病毒的Command.com 便被啟動,當用戶要
接通網絡,辦理入網認證手續,輸入密碼口令時,病毒便竊取了這些關鍵數據,并把這些數據
存放在病毒內部,然后提供給施放病毒的非法用戶。在這次PC-VAN病毒事件中,有13個合法
用戶的密碼被盜竊,雖然沒有造成很大的危害,但是經過新聞界的渲染報道,在日本引起很大
震動。
3.可激發性
在一定的環境上接受外界刺激,使病毒活躍起來,激活的實質是一種條件控制。觸發的
條件則是多樣化的,可以是內部時鐘、系統的日期和用戶名,也可以是網絡的一次通訊等。
一個病毒程序可以按照設計者的要求,在某個工作站上激活并發出攻擊。
4.極快感染性
據統計,在網絡上病毒感染的速度是單機PC的幾十倍,例如Decnet網病毒。1989年10月
16日上午,有人從法國將該病毒植入到Internet網中,在以后的幾個小時內,它感染了Decne
t網中的60多臺計算機。兩個星期后,該病毒再次攻擊了Span網,在數小時之內,又有300臺D
EC的VAX機受到感染。SPAN網是基于Decnet和Internet的混合型網絡,共有1.3萬臺計算機,
是美國國家航空航天管理局(NASA)使用的空間物理分析網絡,絕大多數是運行VMS的VAX機。
5.針對性強
網絡病毒并不能對所有的計算機都進行感染,而是有針對性的。如有的病毒只能感染上
IBM-PC工作站,有的病毒只能感染Macintosh計算機,也有的病毒是專門針對Unix操作系統的
。
6.擴散面廣
由于病毒的傳染特性,使得網絡病毒的擴散面很大,一臺PC機的病毒,可能通過網絡通訊
機制廣為擴散。
據統計,70%以上的電腦中毒發生在網絡的PC用戶上。而且,網絡病毒感染速度快,造成
的網絡癱瘓損失難以估計。而且網絡服務器一旦中毒,其清毒、解毒所需的時間更是單機的
幾十倍。
四、防治網絡病毒的一些基本方法
為了防治網絡病毒保證網絡穩定運行,可采取下面一些基本方法:
1.建立一個整套網絡軟件及硬件的維護制度,定期對各工作站進行維護。在維護前,對
各工作站有用的數據采取保護措施,做好數據庫轉存、系統軟件備分等工作。
2.對操作系統和網絡系統軟件采取必要的安全保密措施。防止操作系統和網絡軟件被
破壞或意外刪除。對各工作站的網絡軟件文件屬性可采取隱含、只讀等加密措施,還可利用
網絡設置軟件對各工作站分別規定應防問共享區的存取權限、口令字等安全保密措施,從而
避免共享區的文件和數據等被意外刪除或破壞。
3.加強網絡系統的統一管理,各工作站規定應防問的共享區及存取權限口令字等,不能
隨意更改,要修改必須經網絡管理員或領導批準后才能修改。
4.建立網絡系統軟件的安全管理制度,對網絡系統軟件指定專人管理,定期備份,并建立
網絡資源表和網絡設備檔案,對網上各工作站的資源分配情況、故障情況、維修記錄要分別
記錄在網絡資源表和網絡設備檔案上。
5.制定嚴格的工作站安全操作規程,網上各工作站的操作人員必須嚴格按照網絡操作手
冊進行操作,并認真填寫每天的網絡運行日志。
五、網絡防病毒產品介紹
網絡安全性已經成為網絡管理者和網絡廠商日益關注的問題。因此選用高效的網絡防
病毒產品是一件非常重要的事情。下面介紹幾種網絡防病毒產品。
1.Intel公司的Landesk Virus Prontect
該產品的原作為Trend公司,即人們熟知的LANProtect,后由Intel購得其版權,更名為
現名LANdesk Virus Protect。它是一個百分之百在網絡服務器上運行的防毒軟硬結合體。
主要功能特點是:
1)采用NetWare的可裝載模塊(NLM)設計,完全不干擾工作站。
2)實時掃描偵測所有DOS病毒。
3)各工作站無須安裝任何驅動程序。
4)自動追蹤病毒的文件來源(使用者ID、工作站名、執行時間、日期),并及時通知網絡
管理者。
5)可自由設定隨時掃描,如每天掃描或每周、每日掃描一次等。
6)自動通知使用者和管理員有網絡病毒的活動。
7)提供自動化病毒處置選擇方案,允許用戶刪除中毒文件,更改文件名成為不可執行或
隔離到專用目錄中。
2.LANClear for Netware
該產品是由南京威爾德電腦公司獨立設計研制的Novell網絡防病毒系統。
LANClear除了擁有LANdesk Virus Prontect的上述基本功能外,還具有以下幾點:
1)在Novell 網上自動殺毒。
2)實現了網絡工作站的網上智能免疫,這也是網絡防毒產品的發展新方向。
3)反病毒產品需要不斷更新和升級。由于南京威爾德公司擁有LANClear的全部源程序
代碼,所以對用戶升級特別方便、迅速,特別是對一些國內的土特產"病毒,LANClear尤為適
用。
4)價格較適合于廣大用戶。
3.Chipway防毒芯片
這種技術首先是由Trend公司提出的。網卡+Chipway防毒芯片是網絡工作站防病毒的一
種較理想的選擇。在DOS引導過程中,在ROMBIOS、Extended BIOS裝入后,Partition Table
裝入前,Chipway獲得控制權,這樣可以防止引導型病毒。Chipway的特點是:
1)不占主板插槽,避免了沖突。
2)遵循網絡上國際標準,兼容性好。
4.Station Lock
Station Lock也是Trend公司的產品,其特點是不需要知道病毒所屬的類別,而只需知道
病毒做了什么事。其防毒概念基礎是建立在"病毒必須執行有限數量的程序之后,才會產生
感染效力"的基礎之上。Station Lock能較精確的預測病毒的攻擊行為,也能處理一些基本
的網絡安全問題,例如,存取控制和預防未授權拷貝以及在一個點對點網絡環境下限制工作
站資源互相存取等。
六、結束語
計算機病毒的流行,向人們揭示了計算機系統的脆弱性和不安全因素。計算機病毒的真
正危險在于威脅網絡和大型信息系統的安全。因此,防范計算機病毒的重點是大型信息系統
和網絡。隨著人們對網絡病毒的認識和研究逐步加深,各種網絡防病毒技術會逐步推出,也
會逐步走向完善。
當然,防治網絡病毒,我們必須重視自己的力量,勇于探索。中國科學院防治病毒專家劉
尊全研究員,就認為高技術項目必須重視依靠本國的力量,防治網絡病毒更不例外。人生中
只有自身可以主宰命運時,天地才是廣闊的。
自80年代以來,微型計算機已在我國社會生活的各個方面獲得了廣泛的普及與應用。尤其在高等院校中,微機已成為
教學和科研工作中不可缺少的重要工具。但是從1988年以來,計算機病毒也開始在我國出現并迅速泛濫,對數據安全形成
極大威脅,妨礙了機器的正常運行。到了90年代,隨著我國各類計算機網絡的逐步建立與普遍應用,如何防止計算機病毒
侵入計算機網絡和保證網絡的安全運行已成為人們面臨的一個重要且緊迫的任務,計算機網絡的防病毒與反病毒技術已成
為計算機操作人員與網絡工作人員必須了解與7掌握的-項技術。
人侵計算機網絡的病毒類型是多樣的,既有單用廣微機上常見的某些計算機病毒·如感染磁盤系統區的引導型病毒和
感染可執行文件的文件型病毒,也有專門攻擊計算機網絡的網絡型病毒,如特洛伊木馬病毒及蠕蟲病毒等。
在現階段,由于計算機網絡系統的各個、組成部分、接口以及各連接層次的相互轉換環節都不同程度地存任著某些漏
洞或薄弱環節,在網絡軟件方面存在的薄弱環節更多,所以使得網絡病毒有機可乘,能夠突破網絡的安全保護機制,通過
感染網絡服務器,進而在網絡上快速蔓延·影響到各網絡用戶的數據安全和機器的正常運行。所以計算機網絡一旦染上病
毒,其影響要遠比單機染毒更大,破壞性也更大,計算機網絡必須要具備防范網絡病毒破壞的功能。
一 網絡病毒的特點及危害性
1·破壞性強
網絡病毒破壞性極強。以Novel1網為例, 一旦文件服務器的硬盤被病毒感染, 就可能造成NetWare分區中的某些區域
上內容的損壞,使網絡服務器無法起動,導致整個網絡癱瘓,造成不可估量的損失。
2·傳播性強
網絡病毒普遍具有較強的再生機制,一接觸就可通過網絡擴散與傳染。一己某個公用程序染了毒,那么病毒將很快在
整個網絡上傳播,感染其它的程序。根據有關資料介紹,在網絡上病毒傳播的速度是單機的幾十倍。例如,據記載在1989
年10月16日上午,有人從法國將DECnet網病毒植入到lnternet網中,幾小時內,就使該網的60多臺計算機受到感染。約兩
個星期后該病毒又攻擊了 SpAN網 (SpAN網是美國國家航空航天管理局使用的空間物理分析網絡),在其后的數小時內,又
有300臺VAX機受到感染。"
3·具有潛伏性和可激發性
網絡病毒與單機病毒一樣,具有潛伏性和可激發性。在一定的環境下受到外界因素刺激,便能活躍起來,這就是病毒
的激活。激活的本質是一種條件控制,此條件是多樣化的,可以是內部時鐘、系統日期和用戶名你,也可以是在網絡中進
行的一次通信。一個病毒程序可以按照病毒設計者的預定要求,在某個服務器或客戶機上激活,并向各網絡用戶發起攻擊。
4·針對性強
網絡病毒并非一定對網絡上所有的計算機都進行感染與攻擊,而是具有某種針對性。例如,有的網絡病毒只能感染IB
M PC工作地, 有的卻只能感染Macin-tosh計算機,有的病毒則專門感染使用Unix操作系統的計算機。
5·擴散面廣
由于網絡病毒能通過網絡進行傳播, 所以其擴散面限大,一臺PC機的病毒可以通過網絡感染與之相連的眾多機器。由
網絡病毒造成網絡癱瘓的損失是難以估計的。一旦網絡服務器被感染,其解毒所需的時間將是單機的幾十倍以上。
鑒于網絡病毒的以上特點,采用有效的網絡病毒防治方法與技術就顯得尤其重要了。 目前,網絡大部采用Client/Se
rver模式,這就需要從服務器和客戶機兩個方面采取防治網絡病毒的措施。現以在高等院校中廣泛應用的Novell網為例,
介紹一下網絡病毒的防治措施。
二 充分利用Novell網本身的安全體系
防止網絡病毒的人侵
Novell網絡本身具有一套較為完善的網絡安全體系,如可設定目錄登錄限制、目錄最大權限、信任者權限、文件屬性
等,這在一定范圍內才服務器文件與數據提供了保護。 另外, PC-DOS系統的一些中斷向量也被網絡操作系統的中斷向量
所取代,這使得不少在PC上猖撅的單機病毒不能在Novell網上傳播。才消除或限制網絡病毒的破壞作用,首先應防止網絡
服務器受病毒的感染。為此可采取如下措施,
l· 將網絡服務器的整個硬盤劃分為 NetWare分區。用系統軟盤啟動網絡服務器。實踐證明,此方法雖然啟動速度稍
慢,但數據安全性好得多。
2· 多用無盤工作站。少用有盤工作站使用無盤工作站后,用戶將不能從網絡服務器上裝入或卸出文件、而只能執行
服務器上的文件,這就減少了病毒從工作站侵入網絡的機會。網絡中一般有兩個有盤工作站即可,一個給系統管理員使用,
另一個提供給用戶作文件裝入與拷貝用。
3· 規定用戶的訪問權限,盡可能少用超級用戶登錄。對普通用戶,不應允許其具有對其他用戶目錄的瀏覽和訪問極
力,以防止用戶通過拷貝他人可能已被病毒感染的文件,將網絡病毒傳至自己目錄中的文件上來。而超級用戶減少,具有
訪問整個服務器全部目錄能力的使用者就減少,使系統文件感染的機會也就越少,這就能增大整個網絡的工作安全性。只
有在必要時才授權給某一用戶,使其在某目錄中有超級用戶權和存取控制權。一般不應允許多個用戶對同一目錄具有讀/
寫權力,以防網絡病毒的交叉感染。若必須使多個用戶以讀/寫權力存/取同一目錄,則應通告用戶不能在共享目錄下放置
可執行文件。在組目錄中一般只放置數據文件,盡量不把共享可執行文件放在組目錄中。
4· 加強系統管理。提高網絡系統的操作安全性。對于公用目錄中的系統文件和工具軟件,要設置其力只讀屬性,對
系統程序所在的目錄不授予修改權和管理權。這樣,病毒就無法對系統程序實施感染和寄生,其他用戶也不會受到病毒感
染。也可利用網絡設置軟件對各工作站分別規定應訪問共享區的存取權限、口令字等,使共享區的文件和數據不會被意外
刪除或破壞。
5· 工作站是網絡的八口、只要將此入口管好、就能有效地防止病毒的入侵因此, 可采用固化有防/殺病毒軟件的卡
或芯片,將其安裝在網絡工作站上,這樣就可經常地保護工作站及其通往服務器的路徑,從而攔截病毒對網絡的入侵。也
可將工作地的存/取控制與病毒防護合二為,,起到防止病毒入侵的作用。
三、采用Station Lock 網絡防毒方法
通常, 防毒概念是建立在"病毒必須執行有限數量的程序之后, 才會產生感染力"的基礎之上。Station Lock就是根
據這一特點和病毒活動特點,辨別可能的病毒攻擊意圖,并在病毒末造成任何破壞之前一予以攔截。Station Lock是在系
統啟動之前就控制了工作站上的硬件和軟件,所以病毒攻擊Station Lock是很困難的。在網絡環境下,目前Station Lock
是防治病毒較為有效的方法。
四、重點立足于服務器的防毒,選用可靠的網絡防病毒軟件
網絡的核心是服務器,服務器一旦被病毒感染,便無法啟動,整個網絡將陷于癱瘓狀態,造成嚴重后果。因此,基于
服務器的病毒防治,表現形式昆集中式掃毒,它能實現實時掃描,而且軟件升級也方便。目前,市場上基于服務器的病毒
防治采用NLM(NetWare Load Module) 方法,它以NLM模塊方式進行程序設計,以服務器為基礎,提供實時掃描病毒的能力,
從而使服務器不被感染,消除病毒傳播的路徑,這就從根本上杜絕了病毒在網絡上的蔓延。
目前基于Novel1網絡的防病毒軟件有Anti一VirusForNetworks、 InoculLAN、LanDesk VirusProtest等,它們都具有
以服務器為基礎的掃描病毒能力,其特點足不占用工作站的內存,能實現實時掃描,安裝及升級都很方便。
對于工作站, 仍要立足于加強管理,采用可靠的防/殺病毒軟件。
五、清除網絡病毒的過程
一旦在網絡上發現病毒,應盡快加以清除,以防網絡病毒的擴散給系統造成更大的損失。具體過程為:
·立即用broadcast命令通知包括系統管理員在內的所有用戶退網,關閉文件服務器;
·用干凈的系統盤啟動系統管理員工作站,并立即清除本機工作站中含有的病毒;
·用干凈的系統盤啟動文件服務器,系統管理員登錄后,使用Disable Login禁止其他用廣登錄;
·用防病毒軟件掃描服務器上所有卷的文件, 恢復或刪除被惑染的文件,重新安裝被刪除的文件;
·對在已染毒網絡上存取過的軟盤進行消毒;
·確信網絡病毒已全部徹底清除后,重新啟動網絡及各工作站。
隨著網絡技術和申機網絡化的不斷發展,網絡反病康技術將成為計算機反病毒技術的重要方面,也是計算機應用領域
中需要認真對待的問題,這將計算機成為網絡管理人員及用戶的長期任務只有做好這項工作,才能保證計算機網絡長期安
全和穩定地運行。
沈陽數據恢復 
