查看: 2118|回复: 6
收起左侧

对病毒的直接查杀和防范

[复制链接]
bush
发表于 2007-1-15 22:36:15 | 显示全部楼层 |阅读模式

   首先要研究一个问题,就是为什么病毒还能绕过杀毒软件来侵入电脑。其实,很多杀毒软件的开发水平应该都是很高的。但是,似乎经常性的让很多用户感觉是没防住的。为什么会造成这样的现象呢?
   我们猜想有这样几方面的情况:
   1. 新病毒无法防御。
   因为杀毒软件主要采用的是特征码的检查方式,所以,无法对刚出来的病毒进行特征码检查。
   2. 有些软件虽然自己不是病毒,但是却到处破坏安全规则,比如,经常性的弹出一个框来,让用户到不良网站上去。因为杀毒软件不能当病毒来杀,所以病毒通过这个渠道又进来了。
   3. 所有的新安装软件在刚使用时,会引起杀毒软件的报警,报警会弹出一个窗口来问:是否允许呢?这是因为杀毒软件无法判断是否病毒,所以就只好来问一下。从理论上说,只要对正常的软件来确定一下,对非正常的软件来否认一下就可以了。但是对一个企业的网络来说,这实际又是不现实的。因为企业里有很多人,每个人的计算机水平是不同的,而面对提问的次数又很多,总有的人会选择允许,总有的人会选择拒绝。即使你是计算机很熟悉又很小心的人,当你日复一日的面临不停的提问时,总有一次你会疏忽,哪怕是手误,而这一次就决定了你的计算机将从此陷入无尽的折磨中了。
   4. 杀毒软件对已经入侵的病毒只能杀掉一部分,但是对很多是无能为力的。杀毒软件不能对付已入侵的病毒,这跟软件的设计构架有关。操作系统给于软件分配了不同的权限,当病毒没有运行起来时,杀毒软件具有查杀的权限。当病毒运行起来时,往往就可以有和杀毒软件一样的权限了,或者说双方已经平等了,所以杀毒软件不能完全查杀病毒也就不奇怪了。
   5. 其他计算机对同一网络内的计算机发送的病毒的抵抗能力很弱。这是跟网络的使用方式有关。因为在内部计算机需要使用大量的应用,包括文件共享等工作,所以需要采用信任域的方式来协同工作。在病毒没有入侵网络时,病毒能找到的入侵途径就是前面所说的上网或外设。一旦入侵了网络,就可以借助内部信任的网络服务来更容易的扩散。所以,时间一久,网络内的计算机就逐渐的被病毒渗透,逐渐的陷入了瘫痪。
  杀毒的主体是杀毒软件,这已经被现在的应用所证明了的。但是,从上面的分析来看,现在的杀毒软件构成的体系似乎是肯定在某个情况下要被突破,事实上也是如此。当一个计算机熟悉的人员,并且小心的使用计算机时,如果使用了顶尖的杀毒软件时,实际上用上很多年也不会有问题。但是在一个网络中,则由于网络中的计算机的关联性和可信任性,总有计算机被突破,网络也总会面临危机。
  那么,怎么在病毒木马入侵后及时有效的发现感染迹象呢?这将提供及时的线索,以便在确定后对感染源采取隔离措施。
   所以,还需要引入更多的机制,来及早的发现和管理网络的病毒感染情况。

  新的监控分析方法:
   清扬内网管理软件(www.qycx.com)引入了运行特征分析的功能,简单的说:就是对进程、注册表、netstat等运行情况进行分析,用统计和比对的方式来提供对计算机运行情况的了解和掌握。
   1. 病毒也是程序,所以病毒活跃时总以进程的形式存在。深一步,任何进程需要调用特定的模块DLL,这就构成了一个运行特征。通过对进程及其调用模块的分析,将进一步的显示出对病毒的珠丝马迹来。
   2. 其次就是注册表的监控,病毒需要潜伏,通常需要寻找一个注册表引导区来潜伏,否则等计算机一重起,病毒就失效了。注册表的是操作系统的核心,留出的引导区域是有限的。通过对这些引导区域的全网统一监控,通过对这些引导区增删改的监控,将极大的提高对病毒入侵的行为的发现。除了对一些常用的引导区域,注册表监控也将提高了象通过修改文件关联项这样的病毒的管理能力,修改了TXT或EXE文件的关联项的病毒是很难发现和处理的。
   3. 其他的监控。通过netstat可以来看到活跃的网络活动连接,开异常的端口应该引起网管人员的重视。
   4. 管理木马的说明:通常,为破坏计算机运行为目的的病毒的行为可能更加的诡异一些,木马的目的在于提供控制和窃取数据的手段,所以更加象一个正常的程序。尤其是一些特定的木马,用寻常的杀毒办法可能更加不容易。但是以上的监控手段却可能更加的有效用。


   通过建立一个独立的全网式的运行监控手段,实际是达到了对网络运行状态的有益的监测手段。一个网络内的计算机因为工作相关的缘故,通常使用非常雷同的软件,所以为大规模的进程、注册表等运行特征的比对提供了可行性。往往容易在比对中逐渐剥离出异常来。
   对个人用户来说,上面的介绍的方法可能不是最有用的,因为个人电脑也较为随意,很难用严格的管理来加强防护。但是对一个企业来说,适当的管理不仅是可能的,而且是必要的。因为企业的日常经营的保障是所有工作的前提,应尽力让企业的运营工作排除干扰和威胁。

   以上介绍了一个全面的病毒防护体系的建立。防病毒是一个长期的管理工作。单纯的依赖杀毒软件是很难持久的,用全方位的思路去管理网络,这将提高网络的安全运行的保障能力。防护需要纵深,孤立的手段是脆弱的。
   此外,对全网的运行状态进行有针对性的监控,也是在这里介绍的新思路,将给防病毒的管理工作带来全新的视角和手段。

   新建了个信息安全技术群,用来讨论信息安全技术,欢迎一起加入。
   群号12978194。
   新建了个中国网管大集会群,用来讨论网络管理技术,欢迎一起加入。
   群号25871087。
摘自http://qycx.com/luntanFangbingdumuma.htm
yumiren89
发表于 2007-1-15 22:58:30 | 显示全部楼层
大企业内网都有epo系统,我们这里内网只要有机子中标被发现,第一个步骤就是踢出网络,然后全网通告
sxingbai
发表于 2007-1-15 23:32:11 | 显示全部楼层
来了高人了,欢迎
Loneliness
发表于 2007-1-16 00:30:58 | 显示全部楼层
学习学习再学习
小邪邪
发表于 2007-1-16 00:32:09 | 显示全部楼层
向高手学习
李乾坤
发表于 2007-1-27 19:59:12 | 显示全部楼层
EPO管理千八台机器轻松,很不错。
jpzy
发表于 2007-1-27 20:04:08 | 显示全部楼层
晕~~进来一看,貌似是个广告帖!!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 22:20 , Processed in 0.127395 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表