|
|
|
病毒是指一段可执行的程序代码,通过对其他程序进行修改来感染这些程序,使其含有该病毒的一个备份,并且可以在特定的条件下进行破坏。因此在其整个生命周期中包括潜伏、繁殖(也就是复制、感染阶段)、触发和执行4个阶段。
|
|
|
|
对于病毒的防护而言,最彻底的方法是不允许其进入系统,但这是很困难的,因此大多数情况下,采用“检测—标识—清除”的策略来应对。在病毒防护的发展史上,共经历了以下几个阶段。
|
|
|
|
|
|
(2)启发式扫描程序。不依赖专门的签名,而使用启发式规则来搜索可能被病毒感染的程序,还包括诸如完整性检查等手段。
|
|
|
|
(3)行为陷阱。即用一些存储器驻留程序,通过病毒的动作来识别病毒。
|
|
|
|
(4)全方位保护。结合以上反病毒技术组织的软件包,包括扫描和行为陷阱。
|
|
|
|
特洛伊木马(Trojans)是指一个正常的文件被修改成包含非法程序的文件。特洛伊木马通常包含具有管理权限的指令,它们可以隐藏自己的行踪(没有普通的窗口等提示信息),而在后台运行,并将重要的账号、密码等信息发回给黑客,以便进一步攻击系统。
|
|
|
|
木马程序一般由两部分组成,分别是Server(服务)端程序和Client(客户)端程序。其中Server端程序安装在被控制计算机上,Client端程序安装在控制计算机上,Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。
|
|
|
|
首先,服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作请求,并由服务器端程序完成这些请求,也就实现了对本地计算机的控制。
|
|
|
|
因为木马发挥作用必须要求服务器端程序和客户端程序同时存在,所以必须要求本地机器感染服务器端程序,服务器端程序是可执行程序,可以直接传播,也可以隐含在其他的可执行程序中传播,但木马本身不具备繁殖性和自动感染的功能。
|
|
|
|
反病毒技术的最新发展方向是类属解密和数字免疫系统。与入侵检测技术一样,现在的反病毒技术只能够对已有病毒及已有病毒的部分变种有良好的防护作用,而对于新型病毒还没有有效的解决方式,需要升级特征库才行。另外,它只对病毒、黑客程序和间谍软件这些恶意代码有防护作用,其他网络安全问题不属于其关注的领域。
|
|
|
