Windows服务器如何做好安全防护?
系统安全:
1设置较为复杂的主机密码,建议8位数以上,大小写混合带数字、特殊字符,不要使用123456、password等弱口令。
2开启系统自动更新功能,定期给系统打补丁。
3windows主机安装安全狗、360主机卫士等防入侵的产品。
4做好网站的注入漏洞检查,做好网站目录访问权限控制。(建议将网站设置为只读状态,对需要上传附件等目录单独开通写权限功能,对上传文件目录设置为禁止脚本执行权限)
5如果用于网站服务,建议安装我们预装“网站管理助手”的操作系统模板,该系统我们做过安全加固,比纯净版要更安全。新建网站强烈建议用网站管理助手创建,本系统创建的网站会相互隔离,避免一个网站被入侵就导致其他网站也受影响。
6关闭不需要的服务,如server,worksation等服务一般用不上,建议禁用。
7启用TCP/IP筛选功能,关闭危险端口,防止远程扫描、蠕虫和溢出攻击。 比如mssql数据库的1433端口,一般用不上远程连接的话,建议封掉,只允许本机连接。
8如果自己安装数据库,建议修改为普通用户运行,默认是system权限运行的,非常不安全。查看帮助
9如果是自主安装纯净版的系统,建议修改掉3389、22等默认端口,用其他非标准端口可以减少被黑的几率。
网络病毒指 计算机病毒的定义计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
与医学上的“病毒”不同,计算机病毒不是天然存在的,是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质(或程序)里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的精确是拷贝或者可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏,所谓的病毒就是人为造成的,对其他用户的危害性很大!
做好计算机病毒的预防,是防治计算机病毒的关键。常见的电脑病毒预防措施包括:1不使用盗版或来历不明的软件,特别不能使用盗版的杀毒软件。2写保护所有系统软盘。3安装真正有效的防毒软件,并经常进行升级。4新购买的电脑在使用之前首先要进行病毒检查,以免机器带毒。5准备一张干净的系统引导盘,并将常用的工具软件拷贝到该盘上,然后妥善保存。此后一旦系统受到病毒侵犯,我们就可以使用该盘引导系统,进行检查、杀毒等操作。6对外来程序要使用查毒软件进行检查,未经检查的可执行文件不能拷入硬盘,更不能使用。7尽量不要使用软盘启动计算机。8将硬盘引导区和主引导扇区备份下来,并经常对重要数据进行备份。
及早发现计算机病毒,是有效控制病毒危害的关键。检查计算机有无病毒主要有两种途径:一种是利用反病毒软件进行检测,一种是观察计算机出现的异常现象。下列现象可作为检查病毒的参考:1屏幕出现一些无意义的显示画面或异常的提示信息。2屏幕出现异常滚动而与行同步无关。3计算机系统出现异常死机和重启动现象。4系统不承认硬盘或硬盘不能引导系统。5机器喇叭自动产生鸣叫。6系统引导或程序装入时速度明显减慢,或异常要求用户输入口令。7文件或数据无故地丢失,或文件长度自动发生了变化。8磁盘出现坏簇或可用空间变小,或不识别磁盘设备。9编辑文本文件时,频繁地自动存盘。
发现计算机病毒应立即清除,将病毒危害减少到最低限度。发现计算机病毒后的解决方法:1在清除病毒之前,要先备份重要的数据文件。2启动最新的反病毒软件,对整个计算机系统进行病毒扫描和清除,使系统或文件恢复正常。3发现病毒后,我们一般应利用反病毒软件清除文件中的病毒,如果可执行文件中的病毒不能被清除,一般应将其删除,然后重新安装相应的应用程序。4某些病毒在Windows98状态下无法完全清除,此时我们应用事先准备好的干净的系统引导盘引导系统,然后在DOS下运行相关杀毒软件进行清除。常见的杀毒软件有瑞星、金山毒霸、KV3000、KILL等。
总结:如何防治计算机病毒可以从三个方面入手:(1)做好计算机病毒的预防;(2)及时检查发现电脑病毒;(3)发现计算机病毒应立即清除。
一,首先服务器一定要把administrator禁用,设置一个陷阱账号:"Administrator"把它权限降至最低,然后给一套非常复杂的密码,重新建立
一个新账号,设置上新密码,权限为administraor
然后删除最不安全的组件:
建立一个BAT文件,写入
regsvr32/u C:\WINDOWS\System32\wshomocx
del C:\WINDOWS\System32\wshomocx
regsvr32\u C:\WINDOWS\system32\shell32dll
del C:\WINDOWS\system32\shell32dll
二,IIS的安全:
1、不使用默认的Web站点,如果使用也要将 将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为shtml, shtm, stm
5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE60的版本不需要。
八、其它
1、 系统升级、打操作系统补丁,尤其是IIS 60补丁、SQL SP3a补丁,甚至IE 60补丁也要打。同时及时跟踪最新漏洞补丁;
2、停掉Guest 帐号、并给guest 加一个异常复杂的密码,把Administrator改名或伪装!
3、隐藏重要文件/目录
可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi
-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
4、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
5、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
EnablePMTUDiscovery 值为0
NoNameReleaseOnDemand 值为1
EnableDeadGWDetect 值为0
KeepAliveTime 值为300,000
PerformRouterDiscovery 值为0
EnableICMPRedirects 值为0
6 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
7 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
8 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
9、禁用DCOM:
运行中输入 Dcomcnfgexe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。
清除“在这台计算机上启用分布式 COM”复选框。
10禁用服务里的
Workstation 这服务开启的话可以利用这个服务,可以获取服务器所有帐号
11阻止IUSR用户提升权限
三,这一步是比较关键的(禁用CMD运行)
运行-gpeditmsc-管理模板-系统
-阻止访问命令提示符
-设置
-已启用(E)
-也停用命令提示符脚本处理吗
(是)
四,防止SQL注入
打开SQL Server,在master库用查询分析器执行以下语句:
exec sp_dropextendedproc 'xp_cmdshell
使用了以上几个方法后,能有效保障你的服务器不会随便被人黑或清玩家数据,当然我技术有限,有的高手还有更多方法入侵你的服务器,这
需要大家加倍努力去学习防黑技术,也希望高手们对我的评论给予指点,修正出更好的解决方案,对玩家的数据做出更有力的保障~~~
Globelmposter勒索病毒防范提示
经安全专家分析,存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上、未做好内网安全隔离、Windows服务器或终端未部署或未及时更新杀毒软件等漏洞和风险的信息系统更容易遭受该病毒侵害。
防范提示:
一、及时加强终端、服务器防护。所有服务器、终端应强行实施复杂密码策略,杜绝弱口令;安装杀毒软件、终端安全管理软件并及时更新病毒库;及时安装补丁;服务器开启关键日志收集功能,为安全事件的追溯提供基础。
二、严格控制端口管理。尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445、135、139、3389;建议关闭远程桌面协议。
三、及时进行个人数据备份。
四、及时上报事件。
关于ApacheTomcat存在绕过漏洞的安全提示
近日,Apache发布了Tomcat存在2个安全限制绕过漏洞的安全公告。漏洞存在于7到9版本,存在漏洞的系统面临被恶意攻击者访问到目标系统表面上受限制的WEB应用程序资源的可能,直接影响到系统的安全性,此次漏洞被官方定为高危级别。具体漏洞情况、影响范围以及网络安全工作提示汇总如下:
一、影响范围
该漏洞影响的范围包括:
9版本(900M1到904)
8版本(850到8527, 800RC1到8049)
7版本(700到7084)
二、安全加固提示
1、及时更新Apache版本,按照目前官方已提供安全更新版本下载(漏洞修复后版本):9版本(905以后版本);8版本(8528以后版本);8版本(8050以后版本);7版本(7085以后版本)。
https://tomcatapaceorg/download-70cgi
https://tomcatapaceorg/download-80cgi
https://tomcatapaceorg/download-90cgi
2、建议使用该产品的单位通过部署安全防护设备及时防御。
怎样预防计算机病毒
随着网络的发展,人们使用网络的安全意识不断增强。况且,几乎每一位电脑用户都有过被病毒感染的经历。经历过病毒入侵,文件丢失,系统损坏的用户,都会意识到病毒的危害性,也有了防范电脑病毒的意识,可究竟怎么防病毒呢以下是我跟大家介绍怎样预防计算机病毒,欢迎大家阅读!
最重要的一点:防病毒软件不是万能的。很多人认为,只要装上了防病毒软件,就可以高枕无忧了,其实这是错误的。现在的病毒普通的利用系统的漏洞进行攻击,通过大范围的网络地址扫描,将自己传播。那么,如何才能有效的保护系统不受病毒感染呢关键是及时给系统打上补丁。系统的补丁会将病毒利用的后门堵死,将病毒拒绝在系统之外,有效的保护系统。设置电脑密码。
有了系统补丁和安全的密码,这样的系统基本上是安全的,但还不是100%的安全。杀毒软件还是要安装的,它可以帮助你防范那些邮件和网页中的病毒,以及你从网上下载的或和朋友交流的文件中的病毒。同时,杀毒软件还能够及早的发现病毒,保护你的文件不被病毒感染。
要想有效的防范病毒,要做到以下几方面:
预防病毒方法1、及时给系统打上补丁,设置一个安全的密码。
预防病毒方法2、安装杀毒软件。如果你的机器上没有安装病毒防护软件,你最好还是安装一个。如果你是一个家庭或者个人用户,下载任何一个排名最佳的程序都相当容易,而且可以按照安装向导进行操作。如果你在一个网络中,首先咨询你的网络管理员。
预防病毒方法3、定期扫描你的系统如果你刚好是第一次启动防病毒软件,最好让它扫描一下你的整个系统。干净并且无病毒问题地启动你的电脑是很好的一件事情。通常,防病毒程都能够设置成在计算机每次启动时扫描系统或者在定期计划的基础上运行。一些程序还可以在你连接到互联网上时在后台扫描系统。定期扫描系统是否感染有病毒,最好成为你的习惯。
预防病毒方法4、更新你的防病毒软件 既然你安装了病毒防护软件,就应该确保它是最 新的。一些防病毒程序带有自动连接到互联网上,并且只要软件厂商发现了一种新的威胁就会添加新的病毒探测代码的功能。你还可以在此扫描系统查找最新的安全更新文件。
预防病毒方法5、不要乱点击链接和下载软件,特别是那些网站的含有明显错误的网页如需要下载软件,请到正规官方网站上下载
预防病毒方法6、不要访问无名和不熟悉的网站,防止受到恶意代码攻击或是恶意篡改注册表和IE主页
预防病毒方法7、不要陌生人和不熟悉的网友聊天,特别是那些QQ病毒携带者,因为他们不时自动发送消息,这也是其中毒的明显特征
预防病毒方法8、关闭无用的应用程序,因为那些程序对系统往往会构成威胁,同时还会占用内存,降低系统运行速度
预防病毒方法9、安装软件时,切记莫要安装其携带软件,特别流氓软件,一旦安装了,想删都删除不了,一般都需要重装系统才能清除
预防病毒方法10、不要轻易执行附件中的EXE和COM等可执行程序 这些附件极有可能带有计算机病毒或是黑客程序,轻易运行,很可能带来不可预测的结果。对于认识的朋友和陌生人发过来的电子函件中的可执行程序附件都必须检查,确定无异后才可使用。
预防病毒方法11、不要轻易打开附件中的文档文件 对方发送过来的电子函件及相关附件的文档,首先要用“另存为…”命令(“Save As…”)保存到本地硬盘,待用查杀计算机病毒软件检查无毒后才可以打开使用。如果用鼠标直接点击两下DOC、XLS等附件文档,会自动启用Word或 Excel,如有附件中有计算机病毒则会立刻传染;如有“是否启用宏”的提示,那绝对不要轻易打开,否则极有可能传染上电子函件计算机病毒。
预防病毒方法12、不要直接运行附件 对于文件扩展名很怪的'附件,或者是带有脚本文件如VBS、SHS等的附件,千万不要直接打开,一般可以删除包含这些附件的电子函件,以保证计算机系统不受计算机病毒的侵害。
预防病毒方法13、邮件设置如果是使用Outlook作为收发电子邮件软件的话,应当进行一些必要的设置。选择“工具”菜单中的“选项”命令,在“安全”中设置“附件的安全性”为 “高”;在“其他”中按“高级选项”按钮,按“加载项管理器”按钮,不选中“服务器脚本运行”。最后按“确定”按钮保存设置。
预防病毒方法14、慎用预览功能 如果是使用Outlook Express作为收发电子函件软件的话,也应当进行一些必要的设置。选择“工具”菜单中的“选项”命令,在“阅读”中不选中“在预览窗格中自动显示新闻邮件”和“自动显示新闻邮件中的附件”。这样可以防止有些电子函件计算机病毒利用Outlook Express的缺省设置自动运行,破坏系统。
预防病毒方法15、卸载Scripting Host 对于使用Windows 98操作系统的计算机,在“控制面板”中的“添加/删除程序”中选择检查一下是否安装了Windows Scripting Host。如果已经安装,请卸载,并且检查Windows的安装目录下是否存在Wscriptexe文件,如果存在的话也要删除。因为有些电子函件计算机病毒就是利用Windows Scripting Host进行破坏的。
;计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。下面就让我带你去看看哪些防范电脑病毒的 知识大全 吧,希望能帮助到大家!
计算机病毒
计算机病毒是指编制或者在计算机程序中插入的,破坏计算机功能或数据、影响计算机使用, 并能自我复制的一组计算机指令或者程序代码。
1计算机病毒的特点
电脑病毒的主要特点如下。
(1)隐蔽性
电脑病毒的隐蔽性使得人们不容易发现它,例如有的病毒要等到某个月13日且是星期五才发作,平时的日子不发作。一台电脑或者一张软盘被感染上病毒一般是无法事先知道的,病毒程序是一个没有文件名的程序。
(2)潜伏性
从被感染上电脑病毒到电脑病毒开始运行,一般是需要经过一段时间的。当满足病毒发作的指定环境条件时,病毒程序才开始发作。
(3)传染性
电脑病毒程序的一个主要特点是能够将自身的程序复制给其他程序(文件型病毒),或者放入指定的位置,如引导扇区(引导型病毒)。
(4)欺骗性
每个电脑病毒都具有特洛伊木马的特点,用欺骗手段寄生在其他文件上,一旦该文件被加载,就会让病毒发作并破坏电脑的软、硬件资源,迫使电脑无法正常工作。
(5)危害性
病毒的危害性是显然的,几乎没有一个无害的病毒。它的危害性不仅体现在破坏系统,删除或者修改数据方面,而且还要占用系统资源,干扰机器的正常运行等。
2计算机病毒的分类
21按传染方式分类
病毒按传染方式可分为:
1)引导区电脑病毒
2)文件型电脑病毒
3)复合型电脑病毒
4)宏病毒
5)木马
6)蠕虫
1)引导区电脑病毒:
隐藏在磁盘内,在系统文件启动以前电脑病毒已驻留在内存内。这样一来,电脑病毒就可完全控制DOS中断功能,以便进行病毒传播和破坏活动。那些设计在DOS或Windows31上执行的引导区病毒是不能够在新的电脑 操作系统 上传播。
2)文件型电脑病毒
又称寄生病毒,通常感染执行文件(E__E),但是也有些会感染 其它 可执行文件,如DLL,SCR等。每次执行受感染的文件时,电脑病毒便会发作(电脑病毒会将自己复制到其他可执行文件,并且继续执行原有的程序,以免被用户所察觉)。
典型例子:CIH会感染Windows95/98的E__E文件,并在每月的26号发作日进行严重破坏。于每月的26号当日,此电脑病毒会试图把一些随机资料覆写在系统的硬盘,令该硬盘无法读取原有资料。此外,这病毒又会试图破坏Flash BIOS 内的资料。
3)复合型电脑病毒:
具有引导区病毒和文件型病毒的双重特点。
4)宏病毒:
宏病毒专门针对特定的应用软件,可感染依附于某些应用软件内的宏指令,它可以很容易透过电子邮件附件、软盘、文件下载和群组软件等多种方式进行传播如Microsoft Word和E__cel。
与其他电脑病毒类型的区别是宏病毒是攻击数据文件而不是程序文件。
5)特洛伊或特洛伊木马
是一个看似正当的程序,但事实上当执行时会进行一些恶性及不正当的活动。特洛伊可用作黑客工具去窃取用户的密码资料或破坏硬盘内的程序或数据。
特洛伊木马与电脑病毒的重大区别是特洛伊木马不具传染性,它并不能像病毒那样复制自身,也并不"刻意"地去感染其他文件,它主要通过将自身伪装起来,吸引用户下载执行。
6)蠕虫:
一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合,等等。
根据使用者情况将蠕虫病毒分为两类:一种是面向企业用户和局域网而言;这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网可造成瘫痪性的后果。另外一种是针对个人用户的,通过网络(主要是电子邮件、恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒、求职信病毒为代表。
蠕虫病毒的传染目标是互联网内的所有计算机,局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等。
它跟电脑病毒有些不同,电脑病毒通常会专注感染其它程序,但蠕虫是专注于利用网络去扩散。
22按连接方式分类
病毒按连接方式分为源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒等四种。
(1) 源码型病毒
该病毒攻击高级语言编写的程序,该病毒在高级语言所编写的程序编译前插入到原程序中,经编译成为合法程序的一部分。
(2)嵌入型病毒
这种病毒是将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的,一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术,超级病毒技术和隐蔽性病毒技术,将给当前的反病毒技术带来严峻的挑战。
(3)外壳型病毒
外壳型病毒将其自身包围在主程序的四周,对原来的程序不作修改。这种病毒最为常见,易于编写,也易于发现,一般测试文件的大小即可知。
(4)操作系统型病毒
这种病毒用它自已的程序意图加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。
这种病毒在运行时,用自己的逻辑部分取代操作系统的合法程序模块,根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用以及病毒取代操作系统的取代方式等,对操作系统进行破坏。
23按照计算机病毒激活的时间分类
按照计算机病毒激活时间可分为定时的和随机的。定时病毒仅在某一特定时间才发作,而随机病毒一般不是由时钟来激活的。
24按照传播媒介分类
按照计算机病毒的传播媒介来分类,可分为单机病毒和网络病毒。
(1)单机病毒
单机病毒的载体是磁盘,常见的是病毒从软盘传入硬盘,感染系统,然后再传染其他软盘,软盘又传染其他系统。
(2)网络病毒
网络病毒的传播媒介不再是移动式载体,而是网络通道,这种病毒的传染能力更强,破坏力更大。
25按照寄生方式和传染途径分类
计算机病毒按其寄生方式大致可分为两类,一是引导型病毒,二是文件型病毒;它们再按其传染途径又可分为驻留内存型和不驻留内存型,驻留内存型按其驻留内存方式又可细分。混合型病毒集引导型和文件型病毒特性于一体。
26按病毒的特性分类
Trojan--特洛伊木马,有这个前缀的就是木马了,在此类病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有**密码的功能。比如 Trojuanqqpassa。
Win32 PE Win95 W32 W95--系统病毒,特性是可以感染windows操作系统的 __e__e 和 __dll 文件。
Worm--蠕虫病毒,通过网络或者系统漏洞进行传播。比较著名的有冲击波。
Script--脚本病毒 一般来说,脚本病毒还会有如下前缀:VBSJS(表明是何种脚本编写的)比如欢乐时光。
Backdoor--后门病毒,特性是通过网络传播,给系统开后门,最著名的就是灰鸽子为代表。
Dropper-- 种植 程序病毒,特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,代表就是落雪了。
Joke--玩笑病毒 ,只是吓吓人而已,没什么危害。
HackTool--黑客工具。
Downloader--木马下载者,以体积小的下载者下载体积大的木马,方便隐藏。
AdWare-- 广告 病毒,监视你在上网时的一举一动,然后把信息反馈到用它的公司。
3计算机病毒程序结构
31引导模块
病毒引导模块的主要作用是将静态病毒激活,使之成为动态病毒(加载)。
病毒程序的加载分为两个步骤:一是系统加载过程;二是病毒附加的加载过程。病毒程序选择的加载点、目标多是计算机的固有弱点或软件系统的输入节点。
病毒程序的加载受到操作系统的制约。DOS系统下,病毒程序的加载有3种方式:①参与系统启动过程②依附正常文件加载③直接运行病毒程序
DOS系统下,病毒的加载过程,主要由3个步骤组成:
(1)开辟内存空间;
(2)病毒体定位和驻留;
其中驻留内存的 方法 有以下几种:
① 减少DOS系统可分配空间
② 利用系统模块间的空隙和DOS间隙
③利用功能调用驻留内存
④占用系统程序使用空间(又称程序覆盖方法)
一般Windows环境下的病毒有3种方法驻留内存:一是将病毒作为一个Windows环境下的应用程序,拥有自己的窗口(隐藏的)和消息处理函数;二是使用DPMI申请一块系统内存,将病毒代码放入其中;三是将病毒作为一个V__D(WIN 9__下的设备驱动程序)或VDD(WIN2000/NT下的设备驱动程序)加载到内存中运行。
(3)恢复系统功能
32感染模块
感染模块主要完成病毒的动态感染,是各种病毒必不可少的模块。病毒在取得对系统的控制权后,先执行它的感染操作中的条件判断模块,判断感染条件是否满足,如果满足感染条件,进行感染,将病毒代码放入宿主程序;然后再执行其他的操作(如执行病毒的表现(破坏)模块),最后再执行系统正确的处理,这是病毒感染经常采取的手段之一。
感染标记又称病毒签名,表明了某种病毒的存在特性,往往是病毒的一个重要的感染条件。感染标记是一些具有唯一不变性的数字或字符串,它们以ASCII码方式存放在程序里的特定位置。感染标记可以存在于病毒程序的任何一点,也有可能是组合在程序中的代码。感染标记是由病毒制造者有意设置的,但也可以不设置标记。不同病毒的感染标记位置不同、内容不同。病毒程序感染宿主程序时,要把感染标记写入宿主程序,作为该程序已被感染的标记。
病毒在感染健康程序以前,先要对感染对象进行搜索,查看它是否带有感染标记。如果有,说明它已被感染过,就不会再被感染;如果没有,病毒就会感染该程序。
病毒的感染目标和感染方式
就目前出现的各种计算机病毒来看,其寄生目标有两种:
一种是寄生在磁盘(主)引导扇区(利用转储或直接存取扇区的方法,此方法还可将病毒驻入磁盘的文件分配表、文件目录区和数据存储区等,常利用INT 13H中断);
另一种是寄生在可执行文件(如E__E,COM, BAT, SYS, OVL, DLL,V__D文件等)中 。
而近来常被感染的一些数据文件(主要是微软的办公软件系统,Word文档、数据表格、数据库、演示文档等等)其实也是可以看作一种特殊的可执行文件(宏) 。
文件型病毒常利用INT 21H中断来感染可执行文件,病毒的感染通常采用替代法、链接法和独立存在法
病毒的感染机制
病毒在不同的载体上感染的机制不同。网络上或系统上的感染是利用网络间或系统间的通信或数据共享机制实现的。存储介质(软盘、硬盘或磁带等)或文件间的感染一般利用内存作为中间媒介,病毒先由带毒介质或文件进入内存,再由内存侵入无毒介质或文件。
病毒从内存侵入无毒介质,经常利用操作系统的读写磁盘中断向量入口地址或修改加载机制(例如INT l3H或INT 21H),使该中断向量指向病毒程序感染模块。内存中的病毒时刻监视着操作系统的每一个操作,这样,一旦系统执行磁盘读写操作或系统功能调用,病毒感染模块就会被激活,感染模块在判断感染条件满足的条件下,把病毒自身感染给被读写的磁盘或被加载的程序,实施病毒的感染,病毒被按照病毒的磁盘储存结构存放在磁盘上,然后再转移到原中断服务程序执行原有的操作。另外还有被动感染。
33表现(破坏)模块
表现(破坏)模块主要完成病毒的表现或破坏功能。
它的发作部分应具备两个特征:程序要有一定的隐蔽性及潜伏性,病毒发作的条件性和多样性。
计算机病毒的破坏和表现模块一般分为两个部分:一个是破坏模块的触发条件的判断部分;一个是破坏功能的实施部分。
和病毒的感染模块一样,破坏模块可能在病毒程序第一次加载时就运行,也可能在第一次加载时只将引导模块引入内存,以后再通过某些中断机制触发才运行。破坏机制在设计原则上也与感染机制基本相同。
4DOS基本系统知识
DOS系统基本程序模块由以下几个部分组成(以MS-DOS为例):
(1)引导程序(BOOT)。它驻留在系统盘的0面0道1扇区,在启动计算机时,它首先被自动读入内存,然后由它负责把DOS的其他程序调入内存。
(2)BOM中的ROMBIOS。它提供对计算机输入/输出设备进行管理的程序,被固化在主机板上的ROM中,是计算机硬件与软件的最低层的接口。
(3)输入输出管理IOSYS模块。其功能是初始化操作系统,并提供DOS系统与ROM BIOS之间的接口。
(4)核心MSDOSSYS模块。它主要提供设备管理、内存管理、磁盘文件及目录管理的功能,这些功能可以通过所谓的系统功能调用INT 21H来使用,它是用户程序与计算机硬件之间的高层软件接口。
(5)命令处理COMMANDCOM模块。它是DOS调入内存的最后一个模块,它的任务是负责接收和解释用户输入的命令,可以执行DOS的所有内、外部命令和批命令。它主要由3部分组成:常驻部分、初始化部分和暂驻部分。
DOS的启动过程主要有以下一些步骤:
(1)在系统复位或加电时,计算机程序的指令指针自动从内存地址0FFFF:0000H外开始执行,该处含有一条无条件转移指令,使控制转移到系统的ROM板上,执行ROM BIOS中的系统自检和最初的初始化工作程序,以及建立INT 1FH以前的中断向量表。如果自检正常,则把系统盘上存于0面0道1扇区的系统引导记录读入内存地址0000:7000H,并把控制权交给引导程序中的第一条指令。
(2)引导记录用于检查系统所规定的两个文件IOSYS和MSDOSSYS是否按规定的位置存于启动盘中,如符合要求就把它们读入内存地址0060:0000H,否则启动盘被认为不合法,启动失败。
(3)IOSYS与MSDOSSYS被装入内存以后,引导记录的使命即完成,控制权交给IOSYS,该程序完成初始化系统、定位MSDOSSYS以及装入COMMANDCOM等工作。
其主要过程是:
①建立新的磁盘基数表并修改INT lEH向量地址指向该磁盘基数表。
②初始化异步通信口R5-232和打印机口。
③修改0lH,03H,04H和1BH中断入口。
④调用INT 11H及INT l2H确定系统的硬件配置和内存RAM容量。
⑤将系统初始化程序移到内存高端并将MSDOSSYS程序下移占据其位置。
⑥控制权交给MSDOSSYS。MSDOSSYS是DOS的核心部分,它在接受控制以后,也进行一系列的初始化工作,这些工作包括:初始化DOS内部表和工作区、初始化DOS的中断向量20H~2EH、建立磁盘输入/输出参数表以及设置磁盘缓冲区和文件控制块等。完成这些工作以后,继续执行IOSYS的系统初始化程序。
⑦初始化程序检查系统盘上的系统配置程序CONFIGSYS,如果存在,则执行该程序,按配置命令建立DOS的运行环境:设置磁盘缓冲区大小、能同时打开的句柄文件个数、加载可安装的设备驱动程序等。
⑧将命令处理程序COMMANDCOM程序装入内存,并把控制权交给该程序。至此IOSYS文件的使命即告完成。
(4)命令处理程序在接受控制以后,重新设置中断向量22H、23H、24H和27H入口地址,然后检查系统盘上是否存在AUTOE__ECBAT文件。若系统盘上不存在该文件,则显示日期和时间等待用户输入,显示DOS提示符。若存在该文件,则程序转入暂驻区,由批处理程序对其进行解释和执行,执行完成后显示DOS提示符。至此,DOS的整个启动过程全部结束,系统处于命令接受状态。
DOS启动后,内存的组织即分配如图26所示,该图仅说明了DOS在基本内存(640KB)运行时的内存分配状态。在计算机通常的工作方式(实方式)下,总体上来说,DOS可以管理的内存空间为1 MB。此lMByte空间可分为两大部分,一部分是RAM区,另一部分则是ROM区。而RAM区又分为系统程序、数据区和用户程序区两部分。由于DOS的版本不同,DOS系统文件的长度就不同,从而驻留在内存中的系统程序占用的内存空间也就不同,这样用户程序区的段地址就是一个不确定的值。
从内存绝对地址0040:0000H~0040:00FFH开始存放一些重要的数据,这些数据是由ROM BIOS程序在引导过程中装入的,记录了有关系统的设备配置和存储单元的系统参数,它们是提供给ROM BIOS例行程序在进行设备操作时必备的重要数据。其中地址为40:13~40:14的两个字节存放了以lKB为单位的内存总容量(含存储扩展板容量),例如640 KB RAM为280H。有些病毒程序通过调入内皴高端并修改40:13~40:14内存而驻留内存;地址为40:6C~40:6F的4个字节为时钟数据区;前两个字节(40:6C~40:6D)为0~65535之间的一个数,由8253定时器每55 ms调1NT 8H使数值加1;后两个字节(40:6E~40:6F)为小时数,当计数值满65 535时(恰好1小时),小时数加1。病毒常通过调用这一时钟数据来检测激活的时机是否成熟。
你get到这些防范电脑病毒知识点吗
咱们日常学习生活中经常使用电脑,信商的好多小伙伴大都经历过电脑中病毒的烦恼。含有电脑的实验室,老师们也不建议同学们带优盘拷贝东西,就是怕电脑中病毒影响大家日常上课。为了大家的信息安全和安全上网,今天我就来给大家讲解一下计算机病毒的相关知识。如果对你有帮助,别忘了 文章 最后赞赏一下呦!
知识点,圈起来
也许我们曾听人说过:“电脑有病毒了,赶紧找杀毒软件!”电脑又不是动物和人类,它怎么会有病毒呢
电脑病毒是由人所编写的,存在电脑中的一种短小、特殊的程序,这种程序平时处于“安静”状态,并不马上发作,在一定情况下,它就会发作,对电脑系统造成破坏。例如,小球病毒就是一种电脑病毒,它发作时,会出现许多跳跃的小球,再提示“你的电脑成为石头!”接着,电脑中的数据就慢慢被破坏掉了。使计算机无法启动。另外,蠕虫病毒能通过网络邮件系统快速自动扩散传播,在短时间内造成大面积网络阻塞或造成世界的互联网络瘫痪。有一些病毒还可以通过网络任意控制你的计算机,并获得重要文件等等。电脑病毒能够像生物病毒一样,在许多电脑之间传播,危害极大。电脑可以通过软件盘、网络传播,使电脑“生病”。
预防与防护
1、如何预防电脑中病毒
安装杀毒软件及网络防火墙,及时更新病毒库。
不随意安装不知晓的软件。
不去安全性得不到保障的网站 。
从网络下载后及时杀毒。
关闭多余端口,做到使电脑在合理的使用范围之内。
关闭IE安全中的ACTIVE__运行,好多网站都是使用它来入侵你的电脑。
如果有条件,尽量使用非IE内核的浏览器,如OPERA。
不要使用修改版的软件,如果一定要用,请在使用前查杀病毒&木马,以确保安全。
2、中勒索病毒怎么办
Win7、Win8、Win10的处理流程:
打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙。
选择启动防火墙,并点击确定。
点击高级设置。
点击入站规则,新建规则。
选择端口,下一步。
特定本地端口,输入445,下一步。
选择阻止连接,下一步。
配置文件,全选,下一步。
名称,可以任意输入,完成即可。
3、中其他病毒怎么办
(1)电脑还可以运行。
1 如果电脑中毒后,可以正常运行,那么就千万不要再去进行登录什么账号或者是修改密码等操作,应该及时的使用电脑杀毒软件给你的电脑杀毒。
2 然后等待杀毒完成后,一定要重启电脑,因为大多数病毒都是在重启后,才会彻底清除的,重启完成后,再去修改你中毒期间用过的账号密码。
(2)电脑无法正常运行。
1如果中毒后,电脑出现无法正常运行的情况,例如说程序打不开,电脑 键盘鼠标 被锁定 死机 ,那么一定要及时的拔出的你网线,用无线路由器的直接关闭路由器。
2然后重启电脑的过程中,不停按F8进入网络安全模式,然后再去正常连接网络,下载电脑中的杀毒软件,给你的电脑杀毒就可以了。
3或者直接重装系统,然所有盘的都格式化一遍。
计算机病毒知识
繁殖性:计算机病毒可以像生物病毒一样进行繁殖。
破坏性:计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏。
传染性:计算机病毒传染性是指计算机病毒通过修改别的程序将自身的复制品或其变体传染到其它无毒的对象上。
潜伏性:计算机病毒潜伏性是指计算机病毒可以依附于其它媒体寄生的能力,侵入后的病毒潜伏到条件成熟才发作。
隐蔽性:计算机病毒具有很强的隐蔽性,可以通过病毒软件检查出来少数,隐蔽性使计算机病毒时隐时现、变化无常,这类病毒处理起来非常困难。
可触发性:编制计算机病毒的人,一般都为病毒程序设定了一些触发条件,例如,系统时钟的某个时间或日期、系统运行了某些程序等。
常见计算机病毒
01
木马/僵尸网络
有些也叫作远程控制软件,如果木马能连通的话,那么可以说控制者已经得到了远程计算机的全部操作控制权限,操作远程计算机与操作自己计算机基本没什么大的区别。
02
蠕虫病毒
蠕虫病毒利用系统漏洞,通过网络和电子邮件传播,蠕虫病毒是自包含的程序(或是一套程序),与一般病毒不同,蠕虫不需要将其自身附着到宿主程序。比如“熊猫烧香”以及其变种都是蠕虫病毒。
03
脚本病毒
脚本病毒通常是脚本语言代码编写的恶意代码,一般带有广告性质,会修改浏览器首页、修改注册表等信息,造成用户使用计算机不方便。
04
宏病毒
宏病毒的感染对象为 Microsoft 开发的办公系列软件。Word、E__cel 这些办公软件本身支持运行可进行某些文档操作的命令,所以也被 Office 文档中含有恶意的宏病毒所利用。
05
文件型病毒
文件型病毒通常寄居于可执行文件(扩展名为e__e 或com 的文件),当被感染的文件被运行,病毒便开始破坏电脑。
06
勒索病毒
勒索病毒,是一种新型电脑病毒,这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破译。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。
勒索病毒主要通过漏洞、邮件、程序木马、网页挂马的形式进行传播。也可以通过移动设备传播。
传播途径和清除方式
计算机病毒主要通过:移动存储设备、计算机网络、电子邮件来进行传播。
清除方式:使用杀毒软件、手工清除、格式化存储设备、重装系统。
防范电脑病毒的知识大全相关文章:
★ 病毒预防:计算机病毒的基础知识介绍
★ 电脑安全设置及防护
★ 网络安全知识内容
★ Linux防范病毒的方法有哪些一般需要我们怎么做
★ 电脑中了病毒如何解决
★ 2020预防春季常见传染病小常识分享
★ 预防新型冠状病毒
★ 最新2020预防新型冠状病毒口诀大全
★ 网络安全知识主题班会教案最新2020精选5篇
★ 网络安全知识教案设计5篇精选大全
1、为计算机安装最新的安全补丁,微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快安装此安全补丁;对于windows XP、2003等微软已不再提供安全更新的机器,可使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。
2、关闭445、135、137、138、139端口,关闭网络共享。
3、强化网络安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开……
4、尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。
5、建议仍在使用windows xp, windows 2003操作系统的用户尽快升级到 window 7/windows 10,或 windows 2008/2012/2016操作系统。
系统启动盘要专用,并且要加上写保护,以防病毒侵入。
尽量不使用来历不明的软盘或U盘,除非经过彻底检查,不要使用非法复制或解密的软件。
不要轻易让他人使用自己的系统,如果无法做到这点,至少不能让他们自己带程序盘来使用
对于重要的系统盘、数据盘及硬盘上的重要文件内容要经常备份,以保证系统或数据遭到破坏后能及时得到恢复。
经常利用各种病毒检测软件对硬盘做相应的检查,以便及时发现和消除病毒。
对于网络上的计算机用户,要遵守网络软件的使用规定,不要下载或随意使用网络上外来的软件。尤其是当从电子邮电或从互联网上下载文件时,在打开这些文件之前,应用反病毒工具扫描该文件。
安装防病毒软件、防火墙软件等,预防计算机病毒对系统的入侵。
如果电脑操作时发现计算机有异常情况,进行杀毒时,请先备份重要的数据文件,即使这些文件已经带毒,万一杀毒失败后,还有机会将计算机恢复原貌,然后再使用其他杀毒软件对数据文件进行修复。
很多病毒都可以通过网络中的共享文件进行传播,所以计算机一旦遭受病毒感染应首先断开网络,再进行漏洞的修补以及病毒的检测和清除,从而避免病毒大范围传播,造成更严重的危害。
有些病毒发作以后,会破坏WINDOS的一些关键文件,导致无法在WINDOWS下运行杀毒软件进行病毒的清除,所以应该制作一张DOS环境下的杀毒软盘,作为应对措施,进行杀毒。
有些病毒针对WINDOWS操作系统的漏洞,杀毒完成后,应及时给系统打上补丁,防止重复感染。
及时更新杀毒软件的病毒库,使其可以发现和清除最新的病毒。
计算机病毒和木马怎么预防和清除_百度经验
http://jingyanbaiducom/article/d5a880ebb2131a13f147cc34htmlst=2&os=0&bd_page_type=1&net_type=1
0条评论