(1)对请求运行的程序检查是否染有已知病毒,拒绝其运行请求或屏蔽其传染和破坏功能后,实现安全带毒运行。
(2)程序驻留请求的监视,发出警告或予以登记,待后续处理。
(3)对直接修改mcb方式驻留的程序进行监视,或予以登记,待后续处理。
(4)监视读写可执行文件的请求,因为文件型病毒主要是依靠传染可执行文件。
(5)利用预先生成的文件校验码对被存取的文件进行检查,发现异常时进一步作病毒检查并发出警报。校验码的生成需要好的算法,否则发现不了由于感染了病毒而使文件发生的变化。
(6)监视计算机系统内一些特别中断向量的变化,予以登记或发出警报。
(7)病毒防御程序应检查dos引导扇区是否已感染病毒,或者利用预先生成的核验码进行检查。对这个扇区的写操作也应进行检查。
(8)硬盘内的主引导扇区是一般dos程序不必去存取的扇区,除非要进行分区划分,平时这个扇区内容不应被改变。防病毒程序应对这个扇区提供保护。很多防病毒程序也都是这样做的,在发生对主引导扇区的写操作或格式化操作时应发出警报。
(9)对重要的系统文件提供保护,比如:引导时必需的command.com等,对这类文件的非病毒变更一般只会发生在更新操作系统版本时,不会是经常发生的情况。
(10)对磁盘提供全面的写禁止功能,通过划分合适的分区大小,对某些分区提供保护。
四、网络黑客的防范
网络黑客就是在计算机网络中通过破译各种密码、以非法手段进行别人的计算机系统中,盗取重要的数据信息和对计算机网络系统进行破坏的人。
l.网络黑客攻击网络的方法。
网络黑客攻击网络的主要方法是找到计算机系统中的安全漏洞,从而发起毫不留情的攻击,其主要途径是因特网。网络黑客攻击网络的具体方法有以下几种:获取口令、放置特洛伊木马程序、www的欺骗技术、电子邮件攻击、通过一个节点来攻击其他节点、网络监听、寻找系统漏洞、利用帐号进行攻击、偷取特权等等。
2.对黑客的防范。
对黑客的防范可以采用以下一些措施:
(l)使用telnet、ftp等进行传送口令的重要机密信息应用的主机应该单独设立一个网段,
以避免某一台计算机被攻破,被攻击者装上sniffer,
造成整个网段通信全部暴露。有条件的情况下,重要主机应装在交换机上,这样可以避免sniffer偷听密码。
(2)专用主机只开设专用功能,比如,运行网管、数据库重要进程的主机上不应该运行安全漏洞比较多的程序。网管网段路由器中的访问控制应该限制在最小限度,应该研究清楚各类进程必需的进程端口号,关闭不必要的端口。
(3)对用户开放的各个主机的日志文件全部定向到一个syslogd
server上,集中管理,该服务器可以由一台拥有大容量存储设备的unix或windowsnt主机承当,并定期检查备份日志主机上的数据。
(4)网管不得访问因特网,并应该设立专门的计算机使用ftp或www下载工具和资料。
(5)提供电子邮件、www、dns功能的主机不要安装任何开发工具,避免攻击者编译攻击程序。
(6)网络配置的原则应该是“用户权限最小化”,比如,关闭不必要或者不了解的网络服务,不用电子邮件寄送密码等。
(7)下载安装最新的操作系统及其他应用软件的安全和升级补丁,安装几种必要的安全加强工具,限制对主机的访问,加强日志记录,对系统进行完整性检查,定期检查用户的脆弱口令并通知用户尽快修改。重要用户的口令应该定期修改,不同主机使用不同的口令。