为了帮助考生系统的复习内审师课程 全面的了解内审师考试的相关重点,小编特编辑汇总了2011年内审师考试相关资料,希望对您参加本次考试有所帮助!!
6.3.2计算机病毒的检测与清除
由于不可能有百分之百的把握来阻止未来可能出现的计算机病毒的传染,因此,当出现病毒传染迹象时,应立即隔离被感染的系统和网络,并进行处理。不应带病毒继续工作,
要按照特别情况查清整个网络,使病毒无法反复出现,干扰工作。
由于技术上的防病毒方法尚无法达到完美的境地,难免会有新病毒会突破防护系统的保护,传染到计算机中。为了不使病毒传染到整个系统或传染到相邻的计算机,应对可能由病毒引起的现象予以足够的注意。
如果观察到下列现象,则可能是系统已经遭到病毒感染的迹象:
1.系统启动速度比平时慢。
2.系统运行速度异常慢
3.文件的大小和日期发生变化。
4.没做写操作时出现"磁盘有写保护"信息。
5.对设置成写保护的软盘操作时音响很大。
6.在内存中发现不该驻留的程序已驻留。
7.键盘、打印、显示有异常现象
8.有特殊文件自动生成。
9.磁盘空间自动产生坏簇或磁盘空间减少。
10.文件莫名其妙有丢失。
11.系统异常死机的次数增加。
当然,即使发生了上述现象也不能肯定地说系统就已经感染了病毒,但是起码应该提高警惕,并采取一定的检测措施,如用查杀病毒的软件检测等。
我国计算机反病毒技术的研究和发展,是从研制防病毒卡开始的。防病毒卡的核心实际上是一个软件,只不过将其固化在ROM中。它的出发点是想以不变应万变,通过动态驻留内存来监视计算机的运行情况,根据总结出来的病毒行为规则和经验来判断是否有病毒活动;通过截获中断控制权规则和经验来判定是否有病毒活动,并可以截获中断控制权来使内存中的病毒瘫痪,使其失去传染别的文件和破坏信息资料的能力,这就是防病毒卡"带毒运行"基本原理。防病毒卡主要的不足是与正常软件,特别是有些国产软件不兼容,误报、漏报病毒现象时有发生,降低了计算机的运行速度,还有升级困难等问题。从防病毒技术上来说是不成熟的,病毒千变万化,技术手段越来越高,企图以一种一成不变的技术对付病毒是不可能的。防病毒卡的动态监测技术、病毒行为规则的研究,对于发现计算机病毒起了很大的作用,这些技术是防病毒卡的精华。但是作为一个产品,只有这部分技术是远远不够的,这部分技术也没有太大的实际意义,所以防病毒卡的使用者在不断减少,现在几乎没有人使用.
随着防病毒卡的衰落,杀毒软件则日益风行。杀毒软件最重要的功能是将病毒彻底干净地予以清除,如果说防病毒卡是治标的话,那么杀病毒软件则是治本。
第一代反病毒技术是采取单纯的病毒特征判断,将病毒从带毒文件中清除掉。这种方式可以准确地清除病毒,可靠性很高。后来病毒技术发展了,特别是加密和变形技术的运用,使得这种简单的静态扫描方式失去了作用。
第二代反病毒技术是采用静态广谱特征扫描方法检测病毒,这种方式可以更多地检测出变形病毒.但另一方面误报率也很高,尤其是用这种不严格的特征判定方式去清除病毒带来的风险性很大,容易造成文件和数据的破坏。所以说静态防病毒技术也有难以克服的缺陷。
第三代反病毒技术的主要特点是将静态扫描技术和动态仿真跟踪技术结合起来,将查找病毒和清除病毒合二为一,形成一个整体解决方案,能够全面实现防、查、杀等反病毒所必备的手段,以驻留到内存的方式检测病毒的入侵,凡是检测到的病毒都能清除,不会破坏文件和数据。随着病毒数量的增加和新型病毒技术的发展,静态扫描技术将会使查毒软件速度降低,驻留内存防毒模块容易产生误报。
第四代反病毒技术则是针对计算机病毒的发展,基于病毒家族体系的命名规则和多位CRC校验和扫描机理,进行启发式智能代码分析模块、动态数据还原模块(能查出隐蔽性极强的压缩加密文件中的病毒)、内存杀毒模块、自身免疫模块等先进杀毒方法的反病毒技术,它较好地解决了以前防毒技术顾此失彼、此消彼长的状态。
清除计算机病毒是指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性对感染对象所进行的恢复。该恢复过程是从感染对象中清除病毒,恢复被病毒感染前的原始信息。感染对象包括:内存、引导区(含主引导区)、可执行文件、文档文件、网络等。
对文件型病毒的清除是最普遍的,因为在计算机病毒中绝大部分是文件型。从数学角度而言,消除病毒的过程实际上是病毒感染过程的逆过程。通过检测工作(跳转、解码),可以得到病毒体的全部代码。因为用于还原病毒的数据肯定在病毒体内,只要找到这些数据,依照一定的程序或方法即可将文件恢复,也就是说可以将病毒解除。
而对于引导型病毒则稍微麻烦一点,这类病毒的种类也比较多,我国发现的第一例病毒"小球,,病毒就是引导型病毒,它们占据软盘或硬盘的第一个扇区,在开机后先于操作系统得到对计算机的控制,影响系统的I/O存取速度,干扰系统的正常运行。此类病毒可用重写引导区的方法予以清除。
因为内存中的病毒会干扰反病毒软件的检测结果,所以反病毒软件设计者还必须考虑到对内存进行杀毒。新的内存杀毒技术是找到病毒在内存中的位置,重构其中部分代码,使其传播功能失效。
作为一个普通的计算机用户而言,如果发现您的计算机已经感染了病毒,不必惊慌,只要采取合理的行动就可以把病毒所带来的损失降低到最小程度。建议您采用以下几个基本步骤:
1.首先备份重要的数据文件
无论文件是否带毒,都要备份。这样如果杀毒失败了,仍可以恢复回来。然后再使用其他杀毒软件修复,尽管这种可能性不大,但也要预防万一。
2.启动反病毒软件。
3.如果发现感染了一个新的未知病毒,应尽量隔离这些目标,并送到反病毒软件厂商的研究中心,以供详细分析。如果在Windows环境下没有杀毒成功,可以用一个"干净"的带写保护的DOS软盘/U盘启动您的计算机,并运行。如果没有DOS版的启动盘,请便用系统应急盘来启动。然后在DOS环境下使用杀毒软件进行杀毒。
相关文章
编辑推荐:
(责任编辑:中大编辑)
微信公众号
网校手机版
Copyright © 2003 - 2021 www.wangxiao.cn All Rights Reserved. 中大英才(北京)网络教育科技有限公司 版权所有
出版物经营许可证:新出发京字第丰180113号
京B2- 20201340
京ICP备10212420号-1
京公安备11010602000551号
营业执照
