病毒的具體類(lèi)別及企業(yè)防病毒體系的建立

病毒的具體類(lèi)別及企業(yè)防病毒體系的建立目錄

病毒的定義、類(lèi)型和分類(lèi)病毒的現(xiàn)狀和趨勢(shì)防范技術(shù)和措施病毒案例分析和清除方法病毒的具體類(lèi)別及企業(yè)防病毒體系的建立計(jì)算機(jī)病毒定義廣義定義：能構(gòu)引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱(chēng)為計(jì)算機(jī)病毒。法律規(guī)定計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。病毒的具體類(lèi)別及企業(yè)防病毒體系的建立狹義定義：主要指?jìng)鹘y(tǒng)型病毒，即依靠感染宿主文件，當(dāng)宿主文件被執(zhí)行或加載時(shí)病毒得以爆發(fā)并傳播。廣義病毒：狹義病毒、蠕蟲(chóng)、木馬。病毒的具體類(lèi)別及企業(yè)防病毒體系的建立引導(dǎo)型病毒宏病毒文件型病毒郵件型病毒網(wǎng)站腳本病毒特洛伊木馬蠕蟲(chóng)計(jì)算機(jī)病毒分類(lèi)（廣義）病毒的具體類(lèi)別及企業(yè)防病毒體系的建立引導(dǎo)型病毒引導(dǎo)型病毒是一種在ROMBIOS之后，系統(tǒng)引導(dǎo)時(shí)出現(xiàn)的病毒，它先于操作系統(tǒng)，依托的環(huán)境是BIOS服務(wù)程序。使得這個(gè)帶病毒的系統(tǒng)看似正常運(yùn)轉(zhuǎn)，而病毒已隱藏在系統(tǒng)中并伺機(jī)傳染、發(fā)作。引導(dǎo)型病毒是在安裝操作系統(tǒng)之前進(jìn)入內(nèi)存，寄生對(duì)象又相對(duì)固定，因此該類(lèi)型病毒基本上減少操作系統(tǒng)所掌管的內(nèi)存容量方法來(lái)駐留內(nèi)存高端。引導(dǎo)型病毒感染硬盤(pán)時(shí)，必定駐留硬盤(pán)的主引導(dǎo)扇區(qū)或引導(dǎo)扇區(qū)，并且只駐留一次，因此引導(dǎo)型病毒一般都是在軟盤(pán)啟動(dòng)過(guò)程中把病毒傳染給硬盤(pán)的。

病毒的具體類(lèi)別及企業(yè)防病毒體系的建立宏病毒W(wǎng)ord定義宏：宏就是能組織到一起作為一獨(dú)立的命令使用的一系列word指令，它能使日常工作變得更容易。該病毒通過(guò)可執(zhí)行文件感染目標(biāo)系統(tǒng)文件。傳播途徑：存儲(chǔ)介質(zhì)、網(wǎng)絡(luò)共享、電子郵件等方式病毒的具體類(lèi)別及企業(yè)防病毒體系的建立文件型病毒文件型病毒主要是指感染可執(zhí)行文件（com，exe）的病毒，他隱藏在宿主文件中。執(zhí)行宿主程序時(shí)，將會(huì)先執(zhí)行病毒程序再執(zhí)行宿主程序。CIH就是一種典型的文件型病毒病毒的具體類(lèi)別及企業(yè)防病毒體系的建立郵件型病毒通過(guò)電子郵件傳播的病毒都可以叫郵件型病毒，有很多郵件型病毒又可以稱(chēng)為蠕蟲(chóng)病毒。郵件病毒的分類(lèi)：附件方式、郵件本身、嵌入方式（郵件只是這種病毒的傳播方式，因此這種病毒是蠕

蟲(chóng)的一種蠕蟲(chóng)）。歡樂(lè)時(shí)光、求職信、網(wǎng)絡(luò)天空都是有名的郵件型病毒病毒的具體類(lèi)別及企業(yè)防病毒體系的建立腳本型病毒利用腳本技術(shù)（vbscrit、javascript、php、perl）編寫(xiě)的通過(guò)瀏覽器傳播并感染計(jì)算機(jī)的病毒。病毒的具體類(lèi)別及企業(yè)防病毒體系的建立特洛伊木馬也叫黑客程序或后門(mén)病毒，本質(zhì)就是一個(gè)遠(yuǎn)程控制軟件，可以進(jìn)行任何遠(yuǎn)程操作。木馬病毒通過(guò)網(wǎng)絡(luò)瀏覽/下載、網(wǎng)絡(luò)共享、電子郵件等方式傳播自啟動(dòng)、隱藏端口與蠕蟲(chóng)或普通病毒最大的區(qū)別是他不會(huì)自動(dòng)傳播。病毒的具體類(lèi)別及企業(yè)防病毒體系的建立蠕蟲(chóng)（worm）他除了有著與一般的計(jì)算機(jī)病毒共同的特性外，還擁有自身的特征：他不需要一個(gè)文件作為宿主，它具有自動(dòng)的傳播機(jī)制依靠網(wǎng)絡(luò)大規(guī)模傳播。他不僅能破壞被感染的計(jì)算機(jī)系統(tǒng)還能造成網(wǎng)絡(luò)癱瘓，是一種惡性網(wǎng)絡(luò)型計(jì)算機(jī)病毒。大名鼎鼎的病毒幾乎大半都是蠕蟲(chóng)病毒：沖擊波、震蕩波、威金、熊貓燒香等。病毒的具體類(lèi)別及企業(yè)防病毒體系的建立計(jì)算機(jī)病毒特性傳染性潛伏性可執(zhí)行性破壞性針對(duì)性隱蔽性病毒的具體類(lèi)別及企業(yè)防病毒體系的建立計(jì)算機(jī)病毒特性(1)傳染性:正常的計(jì)算機(jī)程序一般是不會(huì)將自身的代碼強(qiáng)行連接到其他程序上，而病毒卻能使自身的代碼強(qiáng)行傳染到一切符合其傳染條件的程序潛伏性:大部分的病毒感染系統(tǒng)之后一般不會(huì)馬上發(fā)作，它可長(zhǎng)期隱藏在系統(tǒng)，只有在滿(mǎn)足其特定條件時(shí)才會(huì)運(yùn)行。可執(zhí)行性:病毒文件在滿(mǎn)足相應(yīng)的條件后，會(huì)觸發(fā)運(yùn)行，產(chǎn)生破壞。（未經(jīng)授權(quán)的執(zhí)行）病毒的具體類(lèi)別及企業(yè)防病毒體系的建立計(jì)算機(jī)病毒特性(2)破壞性：任何病毒只要侵入系統(tǒng)并發(fā)作，就會(huì)對(duì)系統(tǒng)和應(yīng)用程序產(chǎn)生不可預(yù)知的破壞和影響。（良性和惡性）針對(duì)性:通常病毒是利用特定的漏洞針對(duì)特性的系統(tǒng)、應(yīng)用進(jìn)行破壞。隱蔽性：病毒通常附在正常程序中或磁盤(pán)隱蔽處，與正常程序通常難以區(qū)分。病毒的具體類(lèi)別及企業(yè)防病毒體系的建立病毒傳播手段

電子郵件Internet瀏覽以及下載光盤(pán)，USB等介質(zhì)遠(yuǎn)程撥入用戶(hù)帶來(lái)的病毒系統(tǒng)漏洞網(wǎng)絡(luò)共享病毒的具體類(lèi)別及企業(yè)防病毒體系的建立病毒常見(jiàn)觸發(fā)方式特定日期或時(shí)間觸發(fā)感染觸發(fā)鍵盤(pán)觸發(fā)啟動(dòng)觸發(fā)訪問(wèn)磁盤(pán)次數(shù)觸發(fā)CPU型號(hào)/主板型號(hào)觸發(fā)病毒的具體類(lèi)別及企業(yè)防病毒體系的建立病毒典型的結(jié)構(gòu)典型的計(jì)算機(jī)病毒一般由三個(gè)功能模塊組成，即：引導(dǎo)模塊、傳染模塊、破壞模塊。但是，不是所有的病毒均由此結(jié)構(gòu)組成，如有的內(nèi)存病毒甚至沒(méi)有病毒體（即病毒文件），只駐留在內(nèi)存。病毒的具體類(lèi)別及企業(yè)防病毒體系的建立病毒功能模塊引導(dǎo)模塊：將病毒主體導(dǎo)入內(nèi)存并為傳染模塊提供運(yùn)行環(huán)境。傳染模塊：將病毒代碼傳到其他的載體上去，一般情況下傳染模塊分為兩部分，前提是一個(gè)條件判別程序，后部才是傳染程序主體。破壞模塊：破壞模塊也將有條件判別部分，因病毒有潛伏期，破壞模塊只在條件符合是才活動(dòng)。病毒的具體類(lèi)別及企業(yè)防病毒體系的建立目錄

病毒的定義、類(lèi)型和分類(lèi)病毒的現(xiàn)狀和趨勢(shì)防范技術(shù)和措施病毒案例分析和清除方法病毒的具體類(lèi)別及企業(yè)防病毒體系的建立幾小時(shí)Time幾周/幾個(gè)月幾天幾分鐘幾秒鐘Early1990sMid1990sLate1990s20002006ContagionTimeframe第I

類(lèi)人工響應(yīng):有可能“Flash”Threats第III類(lèi)人工響應(yīng):不可能自動(dòng)響應(yīng):不太可能主動(dòng)阻擋:有可能第II類(lèi)人工響應(yīng):很難/不可能自動(dòng)響應(yīng):有可能MacroVirusese-mailWormsBlendedThreats病毒的現(xiàn)狀和趨勢(shì)病毒的具體類(lèi)別及企業(yè)防病毒體系的建立擴(kuò)散速度驚人在高峰期，每12封電子郵件就有1封被MyDoom感染！CodeRed的感染率每37分鐘就翻一番。Slammer每8.5秒就翻一番，在10分鐘之內(nèi)可感染90%未受保護(hù)的服務(wù)器！一旦有漏洞公開(kāi)披露，Blaster只需27天就可摧毀網(wǎng)絡(luò)！病毒的具體類(lèi)別及企業(yè)防病毒體系的建立目錄

病毒的定義、類(lèi)型和分類(lèi)病毒的現(xiàn)狀和趨勢(shì)新型病毒的工作原理與危害防范技術(shù)和措施病毒案例分析和清除方法病毒的具體類(lèi)別及企業(yè)防病毒體系的建立防范技術(shù)和措施反應(yīng)式響應(yīng)技術(shù)：基于特定威脅的特征，目前絕大多數(shù)安全產(chǎn)品均基于這種技術(shù)通過(guò)名字識(shí)別攻擊根據(jù)需要進(jìn)行響應(yīng)減輕損失事后恢復(fù)主動(dòng)式響應(yīng)技術(shù)：以識(shí)別和阻擋未知威脅為主導(dǎo)思想早期預(yù)警技術(shù)有效的補(bǔ)丁管理主動(dòng)識(shí)別和阻擋技術(shù)病毒的具體類(lèi)別及企業(yè)防病毒體系的建立月天小時(shí)分鐘秒程序病毒Macro病毒電子郵件蠕蟲(chóng)網(wǎng)絡(luò)蠕蟲(chóng)Flash蠕蟲(chóng)感染期特征響應(yīng)期我們已經(jīng)面臨這樣一種感染形勢(shì)，即最新威脅的傳播速度已經(jīng)超出了我們的響應(yīng)能力如果我們想要贏得這場(chǎng)戰(zhàn)爭(zhēng)，那么我們必需改變我們的策略1990時(shí)間2006感染期特征響應(yīng)期傳統(tǒng)的反應(yīng)式響應(yīng)技術(shù)存在缺陷病毒的具體類(lèi)別及企業(yè)防病毒體系的建立主動(dòng)式響應(yīng)技術(shù)：識(shí)別和阻擋未知威脅為主導(dǎo)思想將為保護(hù)互聯(lián)網(wǎng)的方式帶來(lái)的四種新技術(shù)行為阻截協(xié)議異常防護(hù)病毒扼殺一般漏洞利用阻截病毒的具體類(lèi)別及企業(yè)防病毒體系的建立

策略#1：行為阻截思想：

阻截系統(tǒng)上每個(gè)應(yīng)用程序的行為，并實(shí)時(shí)阻截惡意操作。

設(shè)想抗病毒藥物如何阻截真正的病毒……每種病毒都有其特定的生命周期。中斷其生命周期，您就消滅了病毒。病毒的具體類(lèi)別及企業(yè)防病毒體系的建立

策略#1：行為阻截已經(jīng)保護(hù)了數(shù)百萬(wàn)用戶(hù)！防止程序通過(guò)電子郵件進(jìn)行自我復(fù)制已經(jīng)成功阻截了MyDoom和Sobig，而未使用病毒特征HeyRob,Checkoutthiscoolcalendarprogram.greatmp3stocheckhehe;+-4)Tuesday,March2,200410:07PMcool.exe一樣嗎？警告：檢測(cè)到惡意蠕蟲(chóng)電子郵件傳送被停止，因?yàn)槠渲邪湎x(chóng)：電子郵件信息Fw:somestuffhere隔離該蠕蟲(chóng)（推薦）病毒的具體類(lèi)別及企業(yè)防病毒體系的建立思想：

在網(wǎng)關(guān)和主機(jī)上截獲數(shù)據(jù)流，只轉(zhuǎn)發(fā)符合公認(rèn)的互聯(lián)網(wǎng)標(biāo)準(zhǔn)的數(shù)據(jù)。

策略#2：協(xié)議異常防護(hù)標(biāo)準(zhǔn)：只有符合9”x14”x22”標(biāo)準(zhǔn)的行李箱才允許放進(jìn)頭頂上的行李架中。對(duì)于紅色代碼、Slammer和Blaster，都可以使用此類(lèi)技術(shù)來(lái)防護(hù)。病毒的具體類(lèi)別及企業(yè)防病毒體系的建立

策略#2：協(xié)議異常防護(hù)思想：

在網(wǎng)關(guān)和主機(jī)上截獲數(shù)據(jù)流，只轉(zhuǎn)發(fā)符合公認(rèn)的互聯(lián)網(wǎng)標(biāo)準(zhǔn)的數(shù)據(jù)。HTTP標(biāo)準(zhǔn)HTTP請(qǐng)求必需符合下列標(biāo)準(zhǔn)：1.必需以GET請(qǐng)求開(kāi)始。

2.必需發(fā)送標(biāo)題行。

3.請(qǐng)求之后未跟隨其他數(shù)據(jù)。TCP數(shù)據(jù)包GET/default.ida?XX…XXXHTTP/1.0Accept:text/htmlConnection:closeAAAAAAAAAAACODEREDXYZAPW

QWR@SNNBW#IYYU7AWMANEW7

#9!!@BPPMQ~^RQSPMZN((*#Z,,aO

+01ABVAKMAMWOAPP…對(duì)于紅色代碼、Slammer和Blaster，都可以使用此類(lèi)技術(shù)來(lái)防護(hù)。病毒的具體類(lèi)別及企業(yè)防病毒體系的建立

策略#3：病毒扼殺思想：

限制PC每秒鐘與其他計(jì)算機(jī)新建的首次連接數(shù)。超快計(jì)算機(jī)蠕蟲(chóng)每秒鐘可以連接到數(shù)百臺(tái)新計(jì)算機(jī)。限制連接速率，便可對(duì)蠕蟲(chóng)進(jìn)行限制。普通用戶(hù)每秒連接到一至兩臺(tái)計(jì)算機(jī)。病毒的具體類(lèi)別及企業(yè)防病毒體系的建立

策略#4：一般漏洞利用阻截步驟1：總結(jié)新漏洞的“形狀”特征步驟2：以該形狀作為特征，掃描網(wǎng)絡(luò)流量并阻截與其匹配的任何數(shù)據(jù)立即阻截所有的新蠕蟲(chóng)，無(wú)需特定的特征。思想：

正如只有形狀正確的鑰匙才能打開(kāi)鎖一樣，只有“形狀”正確的蠕蟲(chóng)才能利用漏洞進(jìn)行攻擊。病毒的具體類(lèi)別及企業(yè)防病毒體系的建立如果能阻擋掃描流量，發(fā)現(xiàn)不了有漏洞的機(jī)器？可能是一條指令，也可能是下載一個(gè)執(zhí)行程序掃描具有漏洞的機(jī)器如果能檢測(cè)出這些攻擊指令如果能檢測(cè)出這些病毒程序？1、客戶(hù)端防火墻技術(shù)2、客戶(hù)端入侵檢測(cè)技術(shù)3、客戶(hù)端防病毒技術(shù)有效的終端病毒防護(hù)技術(shù)病毒的具體類(lèi)別及企業(yè)防病毒體系的建立企業(yè)級(jí)病毒防護(hù)體系的構(gòu)建縱深的防御體系--在傳統(tǒng)客戶(hù)端和服務(wù)器層次的防病毒體系外，增加服務(wù)器防病毒、網(wǎng)絡(luò)防病毒和網(wǎng)關(guān)防病毒（）可以大大加強(qiáng)企業(yè)防病毒的能力，形成縱深的防御體系，這是因?yàn)樵黾拥姆啦《鞠到y(tǒng)可以在最常見(jiàn)的網(wǎng)絡(luò)傳播途徑上攔截和清除病毒，并與客戶(hù)端和文件服務(wù)器層次的防病毒聯(lián)合，形成能夠?qū)Ω稄?fù)合型病毒的強(qiáng)大的企業(yè)防病毒體系架構(gòu)。病毒的具體類(lèi)別及企業(yè)防病毒體系的建立病毒的具體類(lèi)別及企業(yè)防病毒體系的建立目錄

病毒的定義、類(lèi)型和分類(lèi)病毒的現(xiàn)狀和趨勢(shì)防范技術(shù)和措施病毒案例分析和清除方法病毒的具體類(lèi)別及企業(yè)防病毒體系的建立病毒案例分析—Blaster（沖擊波）病毒Blaster原理：W32.Blaster.Worm通過(guò)TCP端口135利用DCOMRPC漏洞(此漏洞的信息請(qǐng)參見(jiàn)MicrosoftSecurityBulletinMS03-026)RPC提供了一種進(jìn)程間的通信機(jī)制，通過(guò)這一機(jī)制，允許在某臺(tái)計(jì)算機(jī)上運(yùn)行的程序順暢地在遠(yuǎn)程系統(tǒng)上執(zhí)行代碼。協(xié)議本身源自O(shè)SF（開(kāi)放式軟件基礎(chǔ)）RPC協(xié)議，但增加了一些Microsoft特定的擴(kuò)展。RPC中處理通過(guò)TCP/IP的消息交換的部分有一個(gè)漏洞。實(shí)際上是一個(gè)緩沖區(qū)溢出漏洞，成功利用此漏洞的攻擊者有可能獲得對(duì)遠(yuǎn)程計(jì)算機(jī)的完全控制，可以以本地系統(tǒng)權(quán)限執(zhí)行任意指令。病毒的具體類(lèi)別及企業(yè)防病毒體系的建立Blaster病毒癥狀上網(wǎng)時(shí)彈出RPC服務(wù)終止的對(duì)話(huà)框倒計(jì)時(shí)60秒反復(fù)重啟

IE瀏覽器不能正常地打開(kāi)鏈接；右鍵菜單不能復(fù)制粘貼；有時(shí)出現(xiàn)應(yīng)用程序，比如Word異常；網(wǎng)絡(luò)變慢；在任務(wù)管理器里有一個(gè)“msblast.exe”進(jìn)程在運(yùn)行病毒的具體類(lèi)別及企業(yè)防病毒體系的建立Blaster手動(dòng)清除方法用任務(wù)管理器結(jié)束進(jìn)程。病毒運(yùn)行時(shí)會(huì)將自身復(fù)制為：%systemdir%\msblast.exe,用戶(hù)可以手動(dòng)刪除該病毒文件。

注意：%systemdir%是指操作系統(tǒng)安裝目錄中的系統(tǒng)目錄，默認(rèn)是：“C：\Windows\system”或：“c：\Winnt\system32”。病毒會(huì)修改注冊(cè)表的HKEY_LOCAL_MACHINE