1、病毒的检测
病毒检测主要是通过检测软件来完成的。计算机病毒软件,通常从两个方面起作用,有效检测带毒文件。在这里,我们先介绍一下检测软件的工作原理,再介绍一些具体的检测办法。
严密监控内存RAM区
对RAM的监控主要包括3个方面。
(1)跟踪内存容量的异常变化
如果软件检测到内存容量发生了某些异常的变化,如容量被无端占用或大幅度缩容,则表明可能有病毒的存在。
(2)对中断向量进行监控、检测
(3)对RAM区进行扫描
利用检测软件中所储存的大量病毒特征值,对RAM区中的所有字符串进行扫描。
监控磁盘引导扇区
系统型病毒主要危害引导扇区,故对引导扇区的严格监控,可以有效检测出系统型病毒。
(1)代码和有变,则可能有病毒感染。
(2)扫描引导扇区的所有字符串。
(3)全方位扫描磁盘文件。检测软件对系统中的所有文件进行扫描,查找病毒特征值字符串,以确定是否有病毒被检测出来。这种方法在用户使用杀毒软件时最为常用。
病毒的检测办法
在与病毒的对抗中,及早发现病毒很重要。早发现,早处置,可以减少损失。检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法,这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。
(1)特征代码法
特征代码法是使用最为普遍的病毒检测方法,国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。
特征码查毒就是检查文件中是否含有病毒数据库中的病毒特征代码。采用病毒特征代码法的检测工具,必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。病毒特征代码法对从未见过的新病毒,无法检测。
(2)校验和法
将正常文件的内容,计算其校验和,写入文件中保存。定期检查文件的校验和与原来保存的校验和是否一致,可以发现文件是否感染病毒,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。
由于病毒感染并非文件内容改变的惟一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。因而用监视文件的校验和来检测病毒,不是最好的方法。
校验和法的优点是:方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是:对文件内容的变化过于敏感、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。
(3)行为监测法
利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。
行为监测法的长处:可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的短处:可能误报警、不能识别病毒名称、实现时有一定难度。
(4)软件模拟法,以后演绎为虚拟机查毒,启发式查毒技术,是相对成熟的技术。
2、病毒的清除与系统的修复
当检测到病毒后,我们关心的当然是怎样将病毒清除掉。现在病毒的清除在先进的杀毒软件帮助下都是自动的,即杀毒软件发现病毒后会自动把病毒杀掉。然而,在有些情况下,病毒的清除需要我们认为的操作,这是因为杀毒软件本身的级别不够。Windows各个版本的操作系统都有一个“安全模式”运行方式,在此运行方式下仅能运行最基本的程序。在此模式下,您可以取消所有的自启动项目,终止不必要的系统进程和服务,从而绕过操作系统的阻扰,避免病毒的运行。
3、病毒的预防
计算机病毒防治的关键是做好预防工作,即防范于未来。而预防工作从宏观上来讲是一个系统工程,要求全社会来共同努力。从国家来说,应当健全法律或法规来惩治病毒制造者,这样可减少病毒的产生。就各级单位而言,应当制定出一套具体措施,以防止病毒的相互传播。从个人角度来说,每个人不仅要遵守病毒防治的有关措施,还应不断增长知识,积累防治病毒的经验,不仅不要成为病毒的制造者,而且也不要成为病毒的传播者。
(1)从青少年的角度,从计算机用户的角度来分析,要做好计算机病毒的预防工作,建议从以下两方面着手
A、树立牢固的预防计算机病毒的思想
解决病毒的防治问题,最关键的一点是要在思想上给予足够的重视。要采取“预防为主,防治结合”的八字方针,从加强管理入手,制定出切实可行的管理措施。由于计算机病毒的隐蔽性和主动攻击性,要杜绝病毒的传染,在目前的计算机系统总体环境下,特别是对于网络系统和开放式系统而言,几乎是不可能的。只要青少年有牢固的防病毒意识,不轻易通过来源不明的软件进入计算机,不胡乱点击网站,就能够预防病毒进入电脑。
B、堵塞计算机病毒的传播途径
堵塞传播途径是防治计算机病毒侵入的有效方法。
(2)从技术的角度谈病毒的预防
A、将大量的消毒/杀毒软件汇集一体,检查是否存在已知的病毒,如在开机时或在执行每一个可执行文件前执行扫描程序。
B、检测一些病毒经常要改变的系统信息,如引导区、中断向量表、可用内存空间等,以确定是否存在病毒行为。
C、监测写盘操作,对引导区BR或主引导区MBR的写操作报警。
D、对计算机系统中的文件形成一个密码检验码和实现对程序完整性的验证,在程序执行前或定期对系统进行密码校验,如有不匹配现象立即报警。
F、智能判断型:设计病毒行为过程判定知识库,应用人工智能技术,有效区分正常程序与病毒程序行为,是否误报警取决于知识库选取的合理性。
G、智能监察型:设计病毒特征库、病毒行为知识库、受保护程序存取行为知识库等多个知识库及相应的可变推理机。
Hacker一族黑色惊骇
黑客最早源自英文hacker,早期在美国的电脑界是带有褒义的。热衷研究、撰写程序的专才,且必须具备乐于追根究底、穷究问题的特质。
“黑客”一词是由英语Hacker英译出来的,是指专门研究、发现计算机和网络漏洞的计算机爱好者。他们伴随着计算机和网络的发展而产生成长。黑客对计算机有着狂热的兴趣和执着的追求,他们不断地研究计算机和网络知识,发现计算机和网络中存在的漏洞,喜欢挑战高难度的网络系统并从中找到漏洞,然后向管理员提出解决和修补漏洞的方法。
黑客不干涉政治,不受政治利用,他们的出现推动了计算机和网络的发展与完善。黑客所做的不是恶意破坏,他们是一群纵横于网络上的大侠,追求共享、免费,提倡自由、平等。黑客的存在是由于计算机技术的不健全,从某中意义上来讲,计算机的安全需要更多黑客去维护。借用myhk的一句话“黑客存在的意义就是使网络变的日益安全完善”。
但是到了今天,黑客一词已经被用于那些专门利用计算机进行破坏或入侵他人的代言词,对这些人正确的叫法应该是cracker,有人也翻译成“骇客”,也正是由于这些人的出现玷污了“黑客”一词,使人们把黑客和骇客混为一体,黑客被人们认为是在网络上进行破坏的人。
一个骇客即使从意识和技术水平上已经达到黑客水平,也决不会声称自己是一名黑客,因为黑客只有大家推认的,没有自封的,他们重视技术,更重视思想和品质。在黑客圈中,hacker一词无疑是带有正面的意义,例如system hacker熟悉操作系统的设计与维护;password hacker精于找出使用者的密码,若是computer hacker则是通晓计算机,可让计算机乖乖听话的高手。黑客基本上是一项业余嗜好,通常是出于自己的兴趣,而非为了赚钱或工作需要。
根据开放原始码计划创始人Eric Raymond对此字的解释,hacker与cracker是分属两个不同世界的族群,基本差异在于,hacker是有建设性的,而cracker则专门搞破坏。
hacker原意是指用斧头砍材的工人,最早被引进计算机圈则可追溯自1960年代. 加州柏克莱大学计算机教授Brian Harvey在考证此字时曾写到,当时在麻省理工学院中(MIT)的学生通常分成两派,一是tool,意指乖乖牌学生,成绩都拿甲等;另一则是所谓的 hacker,也就是常逃课,上课爱睡觉,但晚上却又精力充沛喜欢搞课外活动的学生。
这跟计算机有什么关系?一开始并没有。不过当时hacker也有区分等级,就如同tool用成绩比高下一样。真正一流hacker并非整天不学无术,而是会热衷追求某种特殊嗜好,比如研究电话、铁道(模型或者真的)、科幻小说,无线电,或者是计算机。也因此后来才有所谓的computer hacker出现,意指计算机高手。
对一个黑客来说,学会入侵和破解是必要的,但最主要的还是编程,毕竟,使用工具是体现别人的思路,而程序是自己的想法。一句话--编程实现一切!对于一个骇客来说,他们只追求入侵的快感,不在乎技术,他们不会编程,知道入侵的具体细节。黑客一词在圈外或媒体上通常被定义为:专门入侵他人系统进行不法行为的计算机高手。不过这类人士在hacker眼中是属于层次较低的cracker(骇客)。如果黑客是炸弹制造专家,那么CRACKER就是恐怖分子。
现在,网络上出现了越来越多的Cracker,他们只会入侵,使用扫描器到处乱扫,用IP炸弹炸人家,毫无目的地入侵,破坏着,他们并无益于电脑技术的发展,反而有害于网络的安全和造成网络瘫痪,给人们带来巨大的经济和精神损失。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
