动。通常容易受攻击的系统文件有Command.com、Emm386.exe、Win.com、Autoexec.bat 等等。
文件目录发生混乱。目录发生混乱有两种情况。一种就是确实将目录结构破坏,将目录扇区作为普通扇区,填写一些无意义的数据,再也无法恢复。另一种情况将真正的目录区转移到硬盘的其他扇区中,只要内存中存在有该计算机病毒,它能够将正确的目录扇区读出,并在应用程序需要访问该目录的时候提供正确的目录项,使得从表面上看来与正常情况没有两样。但是一旦内存中没有该计算机病毒,那么通常的目录访问方式将无法访问到原先的目录扇区。这种破坏还是能够被恢复的。
部分文档丢失或被破坏。类似系统文件的丢失或被破坏一样,有些计算机病毒在发作时会删除或破坏硬盘上的文档,造成数据丢失。
文档被自动加密码。有些计算机病毒会利用加密算法,将加密密钥保存在计算机病毒程序体内或其他隐蔽的地方,而被感染的文件被加密,如果内存中驻留有这种计算机病毒,那么在系统访问被感染的文件时它自动将文档解密,使得用户察觉不到。一旦这种计算机病毒被清除,那么被加密的文档就很难被恢复了。 使部分软件升级主板的BIOS 程序混乱,主板被破坏。类似CIH 计算机病毒发作后的现象,系统主板上的BIOS 被计算机病毒改写、破坏,使得系统主板无法正常工作,从而使计算机系统报废。
网络瘫痪,无法提供正常的服务。病毒发作后会终止网络连接,修改网络连接数据而导致用户无法访问Internet。
由上所述,我们可以了解到防杀计算机病毒软件必须要实时化,在计算机病毒进人系统时要立即报警并清除,这样才能确保系统安全,待计算机病毒发作后再去杀毒,实际上已经为时已晚。
1.2.7.3 计算机病毒的技术防范
计算机病毒是可以防治并清除的,只要从技术上针对计算机病毒的特征采取有针对性的防范实施,防范计算机病毒并不是很困难,困难的是持之以恒,坚持不懈。下面总结出一系列行之有效的措施供参考。 1、新购置的计算机硬软件系统的测试:
新购置的计算机是有可能携带计算机病毒的。因此,在条件许可的情况下,要用检测计算机病毒软件检查已知计算机病毒,用人工检测方法检查未知计算机病毒,并经过证实没有计算机病毒感染和破坏迹象后再使用。
新购置计算机的硬盘可以进行检测或进行低级格式化来确保没有计算机病毒存在。对硬盘只在DOS 下做FORMAT 格式化是不能去除主引导区(分区表)计算机病毒的。软盘在DOS下做FORMAT格式化可以去除感染的计算机病毒。 新购置的计算机软件也要进行计算机病毒检测。有些软件厂商发售的软件,可能无意中已被计算机病毒感染。就算是正版软件也难保证没有携带计算机病毒的可能性,更不要说盗版软件了。这在国内外都是有实例的。这时不仅要用杀毒软件查找已知的计算机病毒,还要用人工检测和实验的方法检测。 2、计算机系统的启动:
在保证硬盘无计算机病毒的情况下,尽量使用硬盘引导系统。启动前,一般应将软盘从软盘驱动器中取出。这是因为即使在不通过软盘启动的情况下,只要软盘在启动时被读过,计算机病毒仍然会进人内存进行传染。很多计算机中,可以通过设置CMOS 参数,使启动时直接从硬盘引导启动,而根本不去读软盘。这样即使软盘驱动器中插着软盘,启动时也会跳过软驱,尝试由硬盘进行引导。很多人认为,软盘上如果没有COMMAND.COM 等系统启动文件,就不会带计算机病毒,其实引导型计算机病毒根本不需要这些系统文件就能进行传染。
3、单台计算机系统的安全使用:
在自己的机器上用别人的软盘前应进行检查。在别人的计算机上使用过自己的已打开了写保护的软盘,再在自己的计算机上使用前,也应进行计算机病毒检测。对重点保护的计算机系统应做到专机、专盘、专人、专用,封闭的使用环境中是不会自然产生计算机病毒的。
4、重要数据文件要有备份:
硬盘分区表、引导扇区等的关键数据应作备份工作,并妥善保管。在进行系统维护和修复工作时可作为参考。重要数据文件定期进行备份工作。不要等到由于计算机病毒破坏、计算机硬件或软件出现故障,使用户数据受到损伤时再去急救。对于软盘,要尽可能将数据和应用程序分别保存,装应用程序的软盘要有写保护。
在任何情况下都要保留一张不能写入的、不带有计算机病毒的、包含有常用DOS 命令文件的系统启动盘,以便发生病毒感染时用以清除计算机病毒和维护系统。 5、不要随便直接运行或直接打开电子邮件中夹带的附件文件:
不要随意下载软件,尤其是一些可执行文件和office 文档,即使下载了,也要先用最新的防杀计算机病毒软件来检查。
6、计算机网络的安全使用:
以上这些措施不终可以应用在单机上,也可以应用在作为网络工作站的计算机上。而对于网络计算机系统,还应采取下列针对网络的防杀计算机病毒措施: (1)安装网络服务器时,应保证没有计算机病毒存在,即安装环境和网络操作系统本身没有感染计算机病毒。
(2)在安装网络服务器时,应将文件系统划分成多个文件卷系统,至少划分成操作系统卷、共享的应用程序卷和各个网络用户可以独占的用户数据卷。这种划分十分有利于维护网络服务器的安全稳定运行和用户数据的安全。 如果系统卷受到某种损伤,导致服务器瘫痪,那么通过重装系统卷,恢复网络操作系统,就可以使服务器又马上投人运行。而装在共享的应用程序卷和用户卷内的程序和数据文件不会受到任何损伤。如果用户卷内由于计算机病毒或由于使用上的原因导致存储空间拥塞时,系统卷是不受影响的,不会导致网络系统运行失常。并且这种划分十分有利于系统管理员设置网络安全存取权限,保证网络系统不受计算机病毒感染和破坏。
(3)一定要用硬盘启动网络服务器,否则在受到引导型计算机病毒感染和破坏后,遭受损失的将不是一个人的机器,而会影响到整个网络的中枢。
(4)为各个卷分配不同的用户权限。将操作系统卷设置成对一般用户为只读权限,屏蔽其他网络用户对系统卷除读和执行以外的所有其他操作,如修改、改名、删除、创建文件和写文件等操作权限。应用程序卷也应设置成对一般用户是只读权限的,不经授权、不经计算机病毒检测,就不允许在共享的应用程序卷中安装程序。保证除系统管理员外,其他网络用户不可能将计算机病毒感染到系统中,使网络用户总有一个安全的联网工作环境。
(5)在网络服务器上必须安装真正有效的防杀计算机病毒软件,并经常进行升级。必要的时候还可以在网关、路由器上安装计算机病毒防火墙产品,从网络出人口保护整个网络不受计算机病毒的侵害。在网络工作站上采取必要的防杀计算机病毒措施,可使用户不必担心来自网络内和网络工作站本身的计算机病毒侵害。
(6)系统管理员的口令应严格管理,不使泄漏,不定期地予以更换,保护网络系统不被非法存取,不被感染上计算机病毒或遭受破坏。系统管理员对网络内的共享电子邮件系统、共享存储区域和用户卷应定期进行计算机病毒扫描,发现异常情况及时处理。如果可能,在应用程序卷中安装最新版本的防杀计算机病毒软件供用户使用。在安装应用程序软件时,应由系统管理员进行,或由系统管理员临时授权进行,以保护网络用户使用共享资源时总是安全无毒的。网络系统管理员应做好日常管理事务,同时,还要准备应急措施,及时发现计算机病毒感染迹象。当出现计算机病毒传播迹象时,应立即隔离被感染的计算机系统和网络,并进行处理。不应当带毒继续工作下去,要按照特别情况清查整个网络,切断计算机病毒传播的途径,保障正常工作的进行。必要的时候应立即得到专家的帮助。 由于技术上的计算机病毒防治方法尚无法达到完美的境地,难免会有新的计算机病毒突破防护系统的保护,传染到计算机系统中。因此对可能由计算机病毒引起的现象应予以注意,发现异常情况时,不使计算机
病毒传播影响到整个网络。
1.2.7.4 计算机病毒感染后的一般修复处理
一旦遇到计算机病毒破坏了系统也不必惊惶失措,采取一些简单的办法可以杀除大多数的计算机病毒,恢复被计算机病毒破坏的系统。 下面是一些计算机被病毒感染后的一般修复处理的方法:
(1)首先必须对系统破坏程度有一个全面的了解,并根据破坏的程度来决定采用有效的计算机病毒清除方法和对策。如果受破坏的大多是系统文件和应用程序文件,并且感染程度较深,那么可以采取重装系统的办法来达到清除计算机病毒的目的。而感染的是关键数据文件,或比较严重的时候,比如硬件被CIH计算机病毒破坏,就可以考虑请防杀计算机病毒专家来进行清除和数据恢复工作。 (2)修复前,尽可能再次备份重要的数据文件。目前防杀计算机病毒软件在杀毒前大多都能够保存重要的数据和感染的文件,以便能够在误杀或造成新的破坏时可以恢复现场。但是对那些重要的用户数据文件等还是应该在杀毒前手工单独进行备份,备份不能做在被感染破坏的系统内,也不应该与平时的常规备份混在一起。
(3)启动防杀计算机病毒软件,并对整个硬盘进行扫描。此时应使用事先准备的未感染计算机病毒的DOS 系统盘启动系统,然后在DOS 下运行相关杀毒软件进行清除。
(4)发现计算机病毒后,一般应利用防杀计算机病毒软件清除文件中的计算机病毒,如果可执行文件中的计算机病毒不能被清除,一般应将其删除,然后重新安装相应的应用程序。
(5)杀毒完成后,重启计算机,再次用防杀计算机病毒软件检查系统中是否还存在计算机病毒,并确定被感染破坏的数据确实被完全恢复。
(6)此外,对于杀毒软件无法清除的计算机病毒,还应将计算机病毒样本送交防杀计算机病毒软件厂商的研究中心,以供病毒专家详细分析后,提出可行的清除方案来清除病毒。
对计算机病毒实施的技术防范,任何一个小小的隐患,都可能导致巨大的损失。所以,防范计算机病毒工作也需要制定应急计划,一旦发生了计算机病毒发作,按预定的应急计划行事,将可能造成的损失降到最小程度。一个应急计划必须包括人员、分工以及各项具体实施步骤和物质准备。
1、人员准备:
首先需要指定一个全局的负责人,一般由领导担当,负责各项工作的分工和协调。参加应急工作的人员一般应包括:网络管理员、技术负责人员、设备维护管理人员和使用者(用户)或值班用户。同时,在发现新的计算机病毒疫情后,可以通过防杀计算机病毒厂商及寻求计算机病毒防范专家的支持。 2、应急计划的实施步骤:
应急计划中必须包括的主要工作有:
(1)对染毒的计算机和网络进行隔离。由网络管理员完成,网络使用者提供信息,辅助实施。
(2)向主管部门汇报计算机病毒疫情。一般可以由全局负责人向计算机病毒防范主管部门,或者计算机病毒防范体系中心汇报计算机病毒疫情,包括发作的时间、规模、计算机病毒名称、传播速度以及造成的破坏。
(3)确定计算机病毒疫情规模。通常由技术负责人员和网络使用者完成这项工作,可第一章信息安全基础以在不扩大传染范围的情况下与隔离工作同步进行。
(4)破坏情况估计及制定抢救策略。在全局负责人的领导和计算机病毒防范专家的指导下,由全体人员参加,确定破坏的情况以及制定抢救策略,如重装系统、恢复备份等方法。
(5)实施计算机网络系统恢复计划和数据抢救恢复计划。在计算机病毒防范专家的指导下,由系统管理员、设备维护管理人员和使用者共同实施恢复计划和数据抢救计划。
3、善后工作:
将网络恢复正常运作,并总结发生计算机病毒疫情后的应急计划实施情况和效果,不断修改应急计划,使得它能够更好地解决问题,降低损失。 此外,在应急计划中还必须包括救援物质、计算机软硬件备件的准备,以及参加人员的联络表等,以便使得发生计算机病毒疫情后能够迅速地召集人手,备件到位,快速进人应急状态。在此给出的只是制定应急计划所必须考虑的基本内容,用户还应该结合自身的情况,制定合适的应急计划方案
八 应急事件处理
信息系统使用和运行过程中,遇到的安全威胁主要有五个方面:网络人侵、计算机病毒、系统软硬件故障、人员误操作以及不可抗拒的自然灾难事件。针对不同的安