正解:蛔虫其危害:蛔虫是世界性分布种类,是人体最常见的寄生虫,感染率可达70%以上.大部分人或多或少都有。但不是人人都得。农村高于城市,儿童高于成人。受感染后,出现不同程度的发热、咳嗽、食欲不振或善饥、脐周阵发性疼痛、营养不良、失眠、磨牙等症状,有时还可引起严重的并发症。如蛔虫扭集成团可形成蛔虫性肠梗阻,钻入胆道形成胆道蛔虫病,进入阑尾造成阑尾蛔虫病和肠穿等,对人体危害很大。但一般轻微的不致病。 蛔虫防冶:1.预防 .注意饮食卫生,不吃不洁的生冷食物,生食的蔬菜瓜果一定要洗净后才能食用。 养成良好的卫生习惯,不可随地大便。蛔虫病的传播途径为蛔虫排出的虫卵随大便排出体外,继而污染周围环境,又可污染蔬菜瓜果等。一旦吞食,即可感染。要做到饭前便后洗手,勤剪指甲。儿童不要吮吸指头。 治疗:去药店里买点蛔虫药…望采纳。
争营养,肠虫清
注意饮食卫生,勤洗手,注意通风,杀菌,保持干燥,就能够预防蛔虫病。
想要预防这个病的话,就需要我们平时吃东西的时候多多注意,不要吃一些生冷的食物,当然我们也要适当的去喝一些打虫药,这样的话就不会有这种寄生虫病的出现。
犬蛔虫病是由于犬蛔虫和狮蛔虫寄生于犬的小肠和胃内而引起的。它是1~3个月幼犬常见的寄生虫病之一,影响幼犬的生长发育,严重感染时也可导致犬死亡。
犬蛔虫卵随粪便排出体外,在适宜条件下发育为感染性虫卵,幼犬吞食了感染性虫卵后,在肠内孵出幼虫,钻入肠壁,随血流经肝脏进入肺脏。幼虫经肺泡、支气管,随痰咽入胃,到小肠后进一步发育为成虫。其中一部分幼虫移行到肺以后,经毛细血管进入体循环,随血流被带到其他脏器和组织内形成包囊,并在其内生长。如被其他肉食动物吞食,仍可发育成为成虫。移行至子宫的幼虫还可经胎盘感染胎儿,引起胎内感染。幼犬出生后20~40天,肠内即可出现成熟的蛔虫。新生幼犬也可经乳而感染,感染后幼虫直接发育成为成虫。
狮蛔虫虫卵在外界适宜的条件下,发育成为感染性虫卵,被宿主吞食后,幼虫在小肠内逸出,进而钻入肠壁内发育,然后返回肠腔,3~4周发育成为成虫。
患有蛔虫病的犬食欲不振,异嗜,呕吐,腹围增大,被毛粗乱,生长缓慢,可视黏膜苍白,日渐消瘦,腹泻,吮乳时有特殊的呼吸音,偶有癫痫性痉挛等神经症状;幼虫移行到肝脏可导致一过性肝炎症状;移行到肺可引起肺炎。严重感染时,其呕吐物和粪便中常见排出虫体。
治疗:本病有效的驱虫药有盐酸左旋咪唑按10毫克/千克体重剂量1次内服,隔7天后再服一次。也可选用驱蛔灵按80毫克/千克体重内服,两周后重服一次。及其他有效药物如阿福丁、驱虫净、丙硫咪唑(按5~20毫克/千克体重内服每日一次,连用3天)、噻嘧啶、灭虫丁注射液(按毫克/千克体重皮下注射,连用2~3次,间隔15天重复用药一次)等。
预防:除搞好清洁卫生及时清除粪便外,应对犬定期检查及预防性驱虫。幼犬断乳后每月驱虫一次,成年犬每季度驱虫一次。应注意的是,如幼犬通过胎盘或吮乳感染的,应在出生后20日龄开始驱虫,以后每月一次。
1.预防性驱虫,在仔犬20日龄时就可进行,常用左旋咪唑,10毫克/千克体重,1次内服。驱虫期间应将粪便集中烧毁或作其他无害化处理。2.保持犬舍地面干燥卫生,并定期进行消毒,以减少蛔虫卵污染。3.定期检查和驱虫。通常幼犬每月1次,成年犬每季度1次,发现感染犬应及时驱虫。驱虫药可选用:左旋咪唑10毫克/千克体重,每天1次,连服3次;驱蛔灵,100毫克/千克体重,1次内服;抗虫灵5~10毫克/千克体重,1次内服;山道年15~25毫克/千克体重,1次内服,连用2次;伊维菌素毫克/千克体重,1次皮下注射
(1)小狗的蛔虫病主在危害1~3月龄的仔犬,影响生长和发育,严重感染时可导致死亡。犬蛔虫(犬弓首蛔虫)呈淡黄白色,头端有3片唇,体侧有狭 长的颈翼膜。犬蛔虫的特点是在食道与肠管连接处有1个小胃。雄虫长50~110毫米,尾端弯曲;雌虫长90~180毫米,尾端直。狮蛔虫(狮弓蛔虫)颜色、形态与犬蛔虫相似,但无小胃;雄虫长35~70毫米,雌虫长30~100毫米。(2)临床症状 逐渐消瘦,粘膜苍白。食欲不振,呕吐、异嗜,消化障碍,先下痢而后便秘。偶见有癫痫性痉挛。幼犬腹部膨大,发育迟缓。感染严重时,其呕吐物和粪便中常排出蛔虫,即可确诊。(3)治疗(a)左旋咪唑,8-10毫克/千克体重,口服1次/日,连服3日。(b)丙硫苯咪唑,50毫克/千克体重,口服1次/日,连服3日。(c)硫苯咪唑,?20毫克/千克体重,口服1次/日、连服2-3日。
如果是吐出长长的虫子是因为体内寄生虫给狗狗造成了很大负担,所以要想办法吐出来。
蛔虫病是由犬蛔虫和狮蛔虫引起的疾病。犬蛔虫主要放生在1-2个月的幼犬,狮蛔虫则寄生于6月龄以上的狗。这两种蛔虫都是通过病狗的粪便排出虫卵,在温、湿度适当的情况下,经3-5天发育成侵袭性虫卵。
被蛔虫寄生的狗狗会出现什么症状感染这蛔虫的狗狗出现消瘦、粘膜苍白、食欲减退、呕吐,发育迟缓。蛔虫大量寄生可引起肠梗阻或阻塞胆道。由于蛔虫毒素的作用还可引起癫痫样神经症状。
主人该立即给狗狗吃驱虫药,用来消灭狗狗体内的寄生虫。含有甲苯咪唑的驱虫药对蛔虫、蛲虫、钩虫、鞭虫和线虫有效。市面上常见的低毒的驱虫药还有拜耳拜宠清和森巴,雷米高等等。
不论狗狗是否已经出现寄生虫的问题,主人都应该定期给狗狗驱虫,别等到出现了问题再解决就晚了,不论什么问题都是预防大于治疗。如果严重的话就会导致死亡的。所以一定要多重视。
生产优质苹果病虫害综合防治技术套袋苹果果实病虫害的发生与防治 套袋苹果的病虫害综合防治 苹果病虫害防治技术无公害苹果病虫害防治技术初探 苹果病虫害防治以上参考文献在中国知网上找的
森林病虫害防治与对策
对森林造成破坏的病虫害是不断进化的生物,由于环境的原因外来物种也有可能对森林造成破坏。因此我们必须提高防治病虫害的科技水平,对害虫进行全面系统的研究才能保证在病虫害发生的时候可以对其进行防治。
摘要: 我国作为林业大国,拥有着丰富的林木种类,因此对森林树木危害极大的病虫的种类也很多。森林病虫害每年在对我国造成巨大的经济损失的同时,对生态环境也造成极其严重的破坏。在过去人们只是被动的治理森林病虫害,没有意识去防止病虫灾害的发生。近些年来人们逐渐认识到森林病虫害防治的重要性,并取得了一定的成绩,但还有很多的方面需要努力。森林病虫害的防治不仅可以保护树木,而且也可以保护生态环境,因此本研究将详细的分析森林病虫害的防治与对策。
关键词:森林病虫害;防治;对策
前言:
森林病虫灾害的防治主要是指对森林、树木、竹材的病害和虫害的防治。森林病虫害作为我国减灾工程中重要的一部分,不仅可以为保护我国的生态环境做出相应的贡献,而且还可以在保护树木的同时保证我国经济良好和快速的发展。人们在提高了对森林病虫害防治的重视程度的同时,人们对森林病虫害防治的方式也更加科学。只有合理的运用科学技术,对森林病虫害进行合理的防止,才能从根本上防止森林病虫害的发生和对生态环境进行有效的调节。
1.森林病虫害防止工作中所面临的问题
每年森林发生病虫害的面积不断增加
每年我国森林发生病虫灾害的面积都不断的增加,如果没有对这些发生病虫灾害的森林进行及时的防止,那么病虫害会迅速的绵延,从而威胁着整片的森林。根据不完全统计,我国每年发生病虫灾害的森林面积递增24%,其中在病虫灾害中死掉的树木不计其数,这对我国造成经济损失是巨大的。
森林病虫害的种类繁多
我国森林病虫害的种类繁多,其中可以对森林树木造成严重损害的病虫有上百种。这些病虫中对森林树木可以造成严重危害的病虫有松毛虫、小蠢虫、舞毒蛾、春尺蜂、杨树蛀干类害虫、食叶类害虫等等。这些害虫不仅可以对树木的树根、树干、树叶造成严重的损害,而且它们具有繁殖能力强,不易清除的特点。病虫是森林发生病虫害的主要原因,严重危害着森林树木的健康成长。
2.森林发生病虫害的原因
人工林的面积不断增加
由于多种原因我国不断的增加人工森林的面积,但是人工森林中树木种类单一,树木的年龄都较小,这就导致了人工森林生态系统非常脆弱,所以一旦人工森林发生病虫灾害就难以根治,防治人员如果未采取及时的防治措施,很可能会导致人工森林大面积的死亡。人工森林一旦发生病虫灾害就会造成巨大的经济损失,而且还对周边的生态环境造成不可想象的影响,因此如果防治人员对人工森林看管稍有失误的话很容易会发生严重的病虫灾害。
天然森林被乱砍乱伐
林业生产产业是以木材生产为中心的,长时间以来对天然树木的砍伐造成了天然森林树木的种类和质量极具下降,天然森林中的生物种类也因此而逐渐减少。因此天然森林的自愈能力急剧下降,所以被滥砍滥伐的天然森林一旦发生病虫灾害就会难以被控制。天然森林如果发生病虫灾害,因其独特的地理位置很难被发现,如果又被人们滥砍滥伐的话,发生病虫灾害就十分容易导致整片森林都受到严重的破坏。
防治森林病虫害的方法不科学
如果在森林发生病虫灾害的时候,只是一味的喷洒农药,这不仅可以使病虫产生了抗药性,而且对森林的生态系统也造成严重的破坏。因此,要想从根本上防止森林病虫害的发生,就要采用科学的方式。防治人员应采取引进病虫天敌和合理的喷洒药剂的方式对森林病虫害进行防治。保护森林的生态环境是防治森林病虫害的最终目的,我们不能在防治森林病虫害的'同时破坏掉了森林生态系统。
3.森林病虫害的解决对策
加强植物检疫加强
植物检疫是防治
森林发生病虫害最为有效的预防性措施。植物检疫团队要严格遵守相关规定严防范病虫害的发生,同时对国外的物种要进行严格的看管,保证进口商品中不会藏有会对我国森林造成严重破坏的病虫。植物检疫团队要了解各个国家的病虫灾害的分布情况,这样在对进口商品进行检测时才会有目的的对其进行检测。植物检疫团队也要从以前的工作中吸取经验,总结教训,这样才能有效的防止森林病虫害的发生。
提高防治病虫害的科技水平
对森林造成破坏的病虫害是不断进化的生物,由于环境的原因外来物种也有可能对森林造成破坏。因此我们必须提高防治病虫害的科技水平,对害虫进行全面系统的研究才能保证在病虫害发生的时候可以对其进行防治。提高防止病虫害的科技水平就要保证基础研究,也要提高测报水平。我们只有不断的提高自身的科技水平才能在病虫害发生的时候,对其进行根本的防防治。
主动采取各种措施
对森林病虫害的防治不应该只是停留在病虫害发生的时候。在育苗、造林的时候就要保证树木具有一定的抗病虫的能力。在对树木进行种植的时候要选取合适的地方,而且在人工林区要保证树木种类的多样性。防治人员可以采取封山育林的方式保证树木不被人们破坏。我们只有主动采取各种措施对森林病虫害进行防治,才能有效的防止森林病虫害的发生。
4.结语
森林病虫害一旦发生就难以对其进行防治,我国每年因为森林病虫害而死亡的树木多的不计其数,这对我国造成的经济损失是巨大的。我们要想对森林病虫害从根本上进行防止,就要了解森林病虫害发生的原因,这样才能保证我们制定的防治措施科学有效。在制定森林病虫害的防治措施时要保证所制定的措施具有可行性,同时防治人员要严格的遵守相关规定对森林病虫害进行防治。
参考文献:
[1]王永彬.加强森林病虫害防治及对策探析[J].科技资讯,2015(31):123-141.
[2]庞智慧中国森林病虫害防治措施及其应采取的对策.科技致富向导,2014(12):258-269.
[3]李嘉庆.试论森林病虫害防治工作存在的问题及对策研究.农业与技术,2014(12):345-365.
常见的病害主要有菌核病和病毒浸染。受菌核病浸染的植株,开始病部呈水渍状、浅褐色斑痕,然后向上蔓延。斑痕色泽由浅褐色变成灰白色。这时根茎基部软腐,长出白色絮状物,或黑色菌核粒。受害轻者,植株呈星点发黄,重则大片萎焉枯死。防治方法:首先将植株拔起,并集中处理,以减少蔓延。多雨季节注意排水,避免草地积水,减少发病条件。其次是用化学农药控制。常见的乙烯菌核剂,能使菌核细胞破裂。市售的50%农利灵可湿性粉剂,每亩用量75-100克,兑水喷雾,每周1次,连用3-4次,基本可以控制。还可选用25%扑海因悬浮剂,每亩用量66-100克,兑水喷雾,同样能收到防治效果。被病毒感染的白三叶,初期叶片出现花斑或叶脉黄化或皱缩,严重时植株枯死。防治方法,只能从改善栽培条件入手,用药物防治很难奏效。可采用种子消毒,土壤处理,杀灭传播昆虫媒介等方法。 三叶虫害主要有:叶蝉、白粉蝶、地老虎等,平时注意观测,一但发现,及时防治。 叶蝉:主要以幼虫和成虫栖息于叶背,吮吸叶汁液。轻者叶片退绿,并在叶片上出现小白点,重则叶片呈苍白色,观赏价值大大降低。防治方法:4月下旬检查,若发现幼虫,可以50%的杀螟松1500倍液,或以除虫菊酯类农药2000液倍喷杀。喷药要均匀,叶面叶背、植株上下里外都要喷到。 地老虎:早春危害根芽,尤其是砂质土和连作地发生较重,有的在地面咬断根茎,有的从地下啃食萌芽,造成植株成片死亡。防治除常用的毒液诱杀外,可用呋喃丹颗粒进行沟施或穴施,每亩用量1500-2000克。此药残效期长,施药后7-8周可免遭危害。 白粉蝶:是三叶草几大害虫之一。每年4-10月,常有白粉蝶幼虫危害叶片。尤其是在夏季干热少雨季节发生最重,幼虫能将叶片吃光。受害植物生长势减弱。可在幼虫危害期喷青虫菌杀灭。也可在早晨露水未干时,撒敌百虫粉剂,每亩用量3-4斤,效果较理想。 此外,在入夏前,对生长过旺的植株,可进行一次刈割,以利于通风透光,培养壮苗度夏,减少生理黄化。刈割下来的草叶或作为牲畜饲料,或沤绿肥。刈割之后注意灌溉,让其尽快回复生长,增强抗性。
可以去看看(计算机科学与应用)吧
计算机病毒是一种有很强破坏和感染力的计算机程序。这种程序与其他程序不同,当把这种程序输入正常工作的计算机后,会把已有的信息破坏,并且,这种程序具有再生的能力,能自动进入有关的程序进行自我复制。由于它像微生物一样,可以繁殖,因此,被称为“计算机病毒”。关于计算机病毒的确切定义,至今尚无一个公认的概念。目前,使用较多的是美国病毒专家科恩(Fred Cohen)博士所下的定义:计算机病毒是一种能够通过修改程序,并把自己的复制品包括在内去感染其它程序的程序。计算机病毒一直都是计算机系统及信息安全的巨大威胁,系统准确地掌握计算机病毒的特征及其防范措施是及其重要的。2 计算机病毒的特征计算机病毒赖以生存的基础是现代计算机均采用了冯•诺依曼的“存储程序”工作原理和操作系统的公开性和脆弱性,以及网络中的漏洞。程序和数据都存在计算机中,程序和数据都可以被读、写、修改和复制,即程序可以在内存中繁殖。计算机病毒常见的特性有:感染性、流行性、欺性、危害性、可插入性、潜伏性、可激发性、隐蔽性、顽固性和常驻内存。计算机病毒具有许多特征,主要表现在如下24个方面。这些特征可以作为检测病毒的重要依据,是进行病毒诊断和清除的基础。1) 不同的病毒,具有不同的感染标记。这些标记构成了各种病毒的特征代码。Internet以及很多书籍文献上都归纳了不少已发现的病毒的特征代码供参考。2) 磁盘重要区域,如引导扇区(BOOT)、文件分配表(FAT表)、根目录区被破坏,从而使系统盘不能使用或使数据和程序文件丢失。3) 病毒程序在计算机中繁殖,使程序加长。据统计,有52种病毒引起宿主程序长度增长。4) 程序加载时间变长,或执行时间比平时长。机器运行速度明显变慢,磁盘读/写时间明显增长。5) 文件的建立日期和时间被修改。6) 空间出现不可解释的变小,可执行文件因RAM区不足而不能加载。7) 可执行文件运行后,秘密地丢失了,或产生新的文件。8) 更改或重写卷标,使磁盘卷标发生变化,或莫名其妙地出现隐藏文件或其他文件。9) 磁盘上出现坏扇区,有效空间减少。有的病毒为了逃避检测,故意制造坏扇区,而将病毒代码隐藏在坏扇区内。10) 没有使用COPY命令,却在屏幕上显示“1 File(s)copied!”,或无明确原因,却向帖有写保护的软盘上写入数据,导致文件错误。11) 改变系统的正常进程;或使系统空挂,使屏幕或键盘处于封锁状态;或正常操作情况下,常驻程序失败。12) 屏幕上出现特殊的显示,如出现跳动的小球、雪花、局域闪烁、莫名其妙的提问,或出现一些异常的显示画面,如长方形亮块、小毛虫。13) 机器出现蜂鸣声,或发出尖叫声、警报声,或演奏某些歌曲。14) 系统出现异常启动或莫名其妙的重启动,或启动失控,或经常死机。15) 局域网或通信线路上发生异常加载等。16) 删除或改正磁盘特定的扇区,或对特定磁盘、扇区和整个磁盘作格式化。17) 改变磁盘上目标信息的存储状态,盗取有用的重要数据。18) 对于系统中用户特定的文件进行加密或解密。19) 使打印或通信端口异常,或使软盘驱动器磁头来回移动。20) 影响系统正常启动,或影响系统常驻内存程序的正常执行,使常驻程序失败,或使系统出现异常死机,或使系统突然重启动。21) 使屏幕上显示的汉字不全。如小球病毒在CCDOS环境下发作时,跳动的小球在遇到汉字时即消去汉字的一半。22) 使打印机速度减慢或使打印机失控,造成打印机不能打印,出现“No paper”提示。23) 使系统不承认硬盘或硬盘不能引导系统,显示“Invalid specification”。24) 异常地要求用户输入口令,或使用写保护软盘而没有进行写操作,却提示“软盘写保护”。3 计算机病毒的防范由于计算机病毒一旦破坏了没有副本的数据、文件,便无法再恢复了,因此,在反病毒的工作中,首先应采取有效的防范措施,使系统不被病毒感染,或者感染后能尽可能地减少损失。计算机病毒的防治要从防毒、查毒、杀毒三方面进行。一个系统对于计算机病毒的实际防治能力和效果也是从这三个方面的能力来评判的。防毒是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。查毒是指对于确定的环境,能够准确地报出病毒的名称,这些环境包括内存、文件、引导区(主引导区)、网络等。杀毒是指根据不同类型的病毒的清除以及对被感染对象进行恢复。恢复过程是基于不破坏未被病毒修改的内容的基础上的。感染对象包括内存、文件、引导区(主引导区)、可执行文件、文档文件、网络等。防毒能力是指预防病毒侵入计算机系统的能力,查毒能力是指发现和追踪病毒来源的能力,杀毒(解毒)能力是指从感染对象中清除病毒,恢复被病毒感染前的原始信息的能力。通常应该采用的预防计算机病毒的手段有:(1)安全防毒软件。如果经常上网,还应安全防毒软件中的防火墙,启动实时监控。另外,每周应至少更新一次病毒定义码或病毒引擎,此外,定期扫描计算机也是一个良好的习惯。(2)注意软盘、光盘媒介。在使用这些媒介之前,一定要先进行扫描,确信其未被感染再使用。(3)注意下载站点。下载一定要从可靠的站点上进行,对于在Internet上下载的文件与电子邮件,应该做病毒扫描。(4)用常识进行判断。比如,对于一些来历不明的邮件决不打开。(5)禁止使用Windows Scripting Host。很多病毒,特别是蠕虫病毒正是钻了这个漏洞,使得用户无需单击附件,就可自动打开一个被感染的附件。(6)定期和不定期地进行磁盘文件备份工作。重要的数据应当及时进行备份。(7)在任何情况下,都应保留一张不开写保护的、无病毒的、带有各种DOS命令文件的系统启动盘,用于清除病毒和维护系统。4 总结病毒可以做其他程序所做的任何事,唯一的区别在于它将自己附加在另一个程序上,并且在宿主程序运行时秘密地执行。一旦病毒执行时,它可以完成任何功能,比如删除程序和文件等,其危害性极大。现在很多人还没有养成定期进行系统升级、维护的习惯,这也是很多人受病毒侵害感染率高的原因之一。只要培养了良好的预防病毒的意识,并充分发挥杀毒软件的防护能力,完全可以将大部分病毒拒之门外的。
蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其 他的计算机系统中(通常是经过网络连接)。请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,有两种类型的蠕虫:主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中,并且使用网络的连接仅将自身拷贝到其他的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自身(因此在任意给定的时刻,只有一个蠕虫的拷贝运行),这种蠕虫有时也叫"野兔",蠕虫病毒一般是通过1434端口漏洞传播。 比如近几年危害很大的“尼姆亚”病毒就是蠕虫病毒的一种,2007年1月流行的“熊猫烧香”以及其变种也是蠕虫病毒。这一病毒利用了微软视窗操作系统的漏洞,计算机感染这一病毒后,会不断自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,最终破坏用户的大部分重要数据。蠕虫病毒的一般防治方法是:使用具有实时监控功能的杀毒软件,并且注意不要轻易打开不熟悉的邮件附件。 形成原因利用漏洞主动进行攻击此类病毒主要是“红色代码”和“尼姆亚”,以及至今依然肆虐的“求职信”等。由于IE浏览器的漏洞(IFRAMEEXECCOMMAND),使得感染了“尼姆亚”病毒的邮件在不去手工打开附件的情况下病毒就能激活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(远程缓存区溢出)来传播,SQL蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击。 传播方式多样如“尼姆亚”病毒和”求职信”病毒,可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等。 病毒制作技术新与传统的病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX、VBScript等技术,可以潜伏在HTML页面里,在上网浏览时触发。
网络蠕虫病毒分析和防范措施[转自赛迪网] 2003-12-13 10:20:33 赛迪网 NetCenter_Lzg 阅读1775次 凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说,蠕虫也是一种病毒!网络蠕虫病毒,作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽视.与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对象!本文中将蠕虫病毒分为针对企业网络和个人用户2类,并从企业用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施! 本文根据蠕虫病毒的发作机制,将其分为利用系统级别漏洞(主动传播)和利用社会工程学(欺传播)两种,并从用户角度中将蠕虫病毒分为针对企业网络和个人用户2类,从企业用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施! 目录 一、蠕虫病毒定义 1、蠕虫病毒的定义 2、蠕虫病毒与一般病毒的异同 3、蠕虫病毒的危害和趋势 二、蠕虫病毒的分析和防范 1、利用系统漏洞的恶性蠕虫病毒分析 2、企业防范蠕虫病毒措施 3、对个人用户产生直接威胁的蠕虫病毒 4、个人用户对蠕虫病毒的防范措施 三、研究蠕虫的现实意义 一、 蠕虫病毒的定义 1、蠕虫病毒的定义 计算机病毒自出现之日起,就成为计算机的一个巨大威胁,而当网络迅速发展的时候,蠕虫病毒引起的危害开始显现!从广义上定义,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说,蠕虫也是一种病毒!但是蠕虫病毒和一般的病毒有着很大的区别.对于蠕虫,现在还没有一个成套的理论体系,一般认为,蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等等!在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪! 在本论文中,根据使用者情况将蠕虫病毒分为2类,一种是面向企业用户和局域网而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网可造成瘫痪性的后果!以“红色代码”,“尼姆达”,以及最新的“sql蠕虫王”为代表。另外一种是针对个人用户的,通过网络(主要是电子邮件,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒,求职信病毒为例.在这两类中,第一类具有很大的主动攻击性,而且爆发也有一定的突然性,但相对来说,查杀这种病毒并不是很难。第二种病毒的传播方式比较复杂和多样,少数利用了微软的应用程序的漏洞,更多的是利用社会工程学()对用户进行欺和诱使,这样的病毒造成的损失是非常大的,同时也是很难根除的,比如求职信病毒,在2001年就已经被各大杀毒厂商发现,但直到2002年底依然排在病毒危害排行榜的首位就是证明!出得在接下来的内容中,将分别分析这两种病毒的一些特征及防范措施! 2、蠕虫病毒与一般病毒的异同 蠕虫也是一种病毒,因此具有病毒的共同特征。一般的病毒是需要的寄生的,它可以通过自己指令的执行,将自己的指令代码写到其他程序的体内,而被感染的文件就被称为”宿主”,例如,windows下可执行文件的格式为pe格式(Portable Executable),当需要感染pe文件时,在宿主程序中,建立一个新节,将病毒代码写到新节中,修改的程序入口点等,这样,宿主程序执行的时候,就可以先执行病毒程序,病毒程序运行完之后,在把控制权交给宿主原来的程序指令。可见,病毒主要是感染文件,当然也还有像DIRII这种链接型病毒,还有引导区病毒。引导区病毒他是感染磁盘的引导区,如果是软盘被感染,这张软盘用在其他机器上后,同样也会感染其他机器,所以传播方式也是用软盘等方式。 蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策! 可以预见,未来能够给网络带来重大灾难的主要必定是网络蠕虫! 3、蠕虫的破坏和发展趋势 1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造成了数千台计算机停机,蠕虫病毒开始现身网络;而后来的红色代码,尼姆达病毒疯狂的时候,造成几十亿美元的损失;北京时间2003年1月26日, 一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球,致使互联网网路严重堵塞,作为互联网主要基础的域名服务器(DNS)的瘫痪造成网民浏览互联网网页及收发电子邮件的速度大幅减缓, 同时银行自动提款机的运作中断, 机票等网络预订系统的运作中断, 信用卡等收付款系统出现故障!专家估计,此病毒造成的直接经济损失至少在12亿美元以上! 由表可以知道,蠕虫病毒对网络产生堵塞作用,并造成了巨大的经济损失! 通过对以上蠕虫病毒的分析,可以知道,蠕虫发作的一些特点和发展趋势: 1.利用操作系统和应用程序的漏洞主动进行攻击.. 此类病毒主要是“红色代码”和“尼姆达”,以及至今依然肆虐的”求职信”等.由于IE浏览器的漏洞(Iframe ExecCommand),使得感染了“尼姆达”病毒的邮件在不去手工打开附件的情况下病毒就能激活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软IIS服务器软件的漏洞(远程缓存区溢出)来传播。Sql蠕虫王病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击! 2.传播方式多样 如“尼姆达”病毒和”求职信”病毒,可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等. 3.病毒制作技术新 与传统的病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX、VB Script等技术,可以潜伏在HTML页面里,在上网浏览时触发。 4.与黑客技术相结合! 潜在的威胁和损失更大!以红色代码为例,感染后的机器的web目录的\scripts下将生成一个,可以远程执行任何命令,从而使黑客能够再次进入! 二、网络蠕虫病毒分析和防范 蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞,这里的漏洞或者说是缺陷,我们分为2种,软件上的缺陷和人为上的缺陷。软件上的缺陷,如远程溢出,微软ie和outlook的自动执行漏洞等等,需要软件厂商和用户共同配合,不断的升级软件。而人为的缺陷,主要是指的是计算机用户的疏忽。这就是所谓的社会工程学(social engineering),当收到一封邮件带着病毒的求职信邮件时候,大多数人都会报着好奇去点击的。对于企业用户来说,威胁主要集中在服务器和大型应用软件的安全上,而个人用户而言,主要是防范第二种缺陷。 1、利用系统漏洞的恶性蠕虫病毒分析 在这种病毒中,以红色代码,尼姆达和sql蠕虫为代表!他们共同的特征是利用微软服务器和应用程序组件的某个漏洞进行攻击,由于网上存在这样的漏洞比较普遍,使得病毒很容易的传播!而且攻击的对象大都为服务器,所以造成的网络堵塞现象严重! 以2003年1月26号爆发的sql蠕虫为例,爆发数小时内席卷了全球网络,造成网络大塞车.亚洲国家中以人口上网普及率达七成的韩国所受影响较为严重。韩国两大网络业KFT及南韩电讯公司,系统都陷入了瘫痪,其它的网络用户也被迫断线,更为严重的是许多银行的自动取款机都无法正常工作, 美国许美国银行统计,该行的13000台自动柜员机已经无法提供正常提款。网络蠕虫病毒开始对人们的生活产生了巨大的影响! 这次sql蠕虫攻击的是微软数据库系Microsoft SQL Server 2000的,利用了MSSQL2000服务远程堆栈缓冲区溢出漏洞, Microsoft SQL Server 2000是一款由Microsoft公司开发的商业性质大型数据库系统。 SQL Server监听UDP的1434端口,客户端可以通过发送消息到这个端口来查询目前可用的连接方式(连接方式可以是命名管道也可以是TCP),但是此程序存在严重漏洞,当客户端发送超长数据包时,将导致缓冲区溢出,黑客可以利用该漏洞在远程机器上执行自己的恶意代码。 微软在200年7月份的时候就为这个漏洞发布了一个安全公告,但当sql蠕虫爆发的时候,依然有大量的装有ms sqlserver 2000的服务器没有安装最新的补丁,从而被蠕虫病毒所利用,蠕虫病毒通过一段376个字节的恶意代码,远程获得对方主机的系统控制权限, 取得三个Win32 API地址,GetTickCount、socket、sendto,接着病毒使用GetTickCount获得一个随机数,进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发送至1434端口(Microsoft SQL Server开放端口),该蠕虫传播速度极快,其使用广播数据包方式发送自身代码,每次均攻击子网中所有255台可能存在机器。由于这是一个死循环的过程,发包密度仅和机器性能和网络带宽有关,所以发送的数据量非常大。该蠕虫对被感染机器本身并没有进行任何恶意破坏行为,也没有向硬盘上写文件,仅仅存在与内存中。对于感染的系统,重新启动后就可以清除蠕虫,但是仍然会重复感染。由于发送数据包占用了大量系统资源和网络带宽,形成Udp Flood,感染了该蠕虫的网络性能会极度下降。一个百兆网络内只要有一两台机器感染该蠕虫就会导致整个网络访问阻塞。 通过以上分析可以知道,此蠕虫病毒本身除了对网络产生拒绝服务攻击外,并没有别的破坏措施.但如果病毒编写者在编写病毒的时候加入破坏代码,后果将不堪设想! 2、企业防范蠕虫病毒措施 此次sql蠕虫病毒,利用的漏洞在2002年7月份微软的一份安全公告中就有详细说明!而且微软也提供了安全补丁提供下载,然而在时隔半年之后互联网上还有相当大的一部分服务器没有安装最新的补丁,其网络管理员的安全防范意识可见一斑! 当前,企业网络主要应用于文件和打印服务共享、办公自动化系统、企业业务(MIS)系统、Internet应用等领域。网络具有便利信息交换特性,蠕虫病毒也可以充分利用网络快速传播达到其阻塞网络目的。企业在充分地利用网络进行业务处理时,就不得不考虑企业的病毒防范问题,以保证关系企业命运的业务数据完整不被破坏。 企业防治蠕虫病毒的时候需要考虑几个问题:病毒的查杀能力,病毒的监控能力,新病毒的反应能力。而企业防毒的一个重要方面是是管理和策略。推荐的企业防范蠕虫病毒的策略如下: 1.加强网络管理员安全管理水平,提高安全意识。由于蠕虫病毒利用的是系统漏洞进行攻击,所以需要在第一时间内保持系统和应用软件的安全性,保持各种操作系统和应用软件的更新!由于各种漏洞的出现,使得安全不在是一种一劳永逸的事,而作为企业用户而言,所经受攻击的危险也是越来越大,要求企业的管理水平和安全意识也越来越高! 2.建立病毒检测系统。能够在第一时间内检测到网络异常和病毒攻击。 3.建立应急响应系统,将风险减少到最小!由于蠕虫病毒爆发的突然性,可能在病毒发现的时候已经蔓延到了整个网络,所以在突发情况下,建立一个紧急响应系统是很有必要的,在病毒爆发的第一时间即能提供解决方案。 4.建立灾难备份系统。对于数据库和数据系统,必须采用定期备份,多机备份措施,防止意外灾难下的数据丢失! 5.对于局域网而言,可以采用以下一些主要手段:(1)在因特网接入口处安装防火墙式防杀计算机病毒产品,将病毒隔离在局域网之外。(2)对邮件服务器进行监控,防止带毒邮件进行传播!(3)对局域网用户进行安全培训。(4)建立局域网内部的升级系统,包括各种操作系统的补丁升级,各种常用的应用软件升级,各种杀毒软件病毒库的升级等等! 3、对个人用户产生直接威胁的蠕虫病毒 在以上分析的蠕虫病毒中,只对安装了特定的微软组件的系统进行攻击,而对广大个人用户而言,是不会安装iis(微软的因特网服务器程序,可以使允许在网上提供web服务)或者是庞大的数据库系统的!因此上述病毒并不会直接攻击个个人用户的电脑(当然能够间接的通过网络产生影响),但接下来分析的蠕虫病毒,则是对个人用户威胁最大,同时也是最难以根除,造成的损失也更大的一类蠕虫病毒! 对于个人用户而言,威胁大的蠕虫病毒采取的传播方式一般为电子邮件(Email)以及恶意网页等等! 对于利用email传播得蠕虫病毒来说,通常利用的是社会工程学(Social Engineering),即以各种各样的欺手段那诱惑用户点击的方式进行传播! 恶意网页确切的讲是一段黑客破坏代码程序,它内嵌在网页中,当用户在不知情的情况下打开含有病毒的网页时,病毒就会发作。这种病毒代码镶嵌技术的原理并不复杂,所以会被很多怀不良企图者利用,在很多黑客网站竟然出现了关于用网页进行破坏的技术的论坛,并提供破坏程序代码下载,从而造成了恶意网页的大面积泛滥,也使越来越多的用户遭受损失。 对于恶意网页,常常采取vb script和java script编程的形式!由于编程方式十分的简单!所以在网上非常的流行! Vb script和java script是由微软操作系统的wsh(Windows Scripting HostWindows脚本主机)解析并执行的,由于其编程非常简单,所以此类脚本病毒在网上疯狂传播,疯狂一时的爱虫病毒就是一种vbs脚本病毒,然后伪装成邮件附件诱惑用户点击运行,更为可怕的是,这样的病毒是以源代码的形式出现的,只要懂得一点关于脚本编程的人就可以修改其代码,形成各种各样的变种。 下面以一个简单的脚本为例: Set objFs=CreateObject (“”)(创建一个文件系统对象) ("C:\", 1)(通过文件系统对象的方法创建了TXT文件) 如果我们把这两句话保存成为.vbs的VB脚本文件,点击就会在C盘中创建一个TXT文件了。 倘若我们把第二句改为: ().Copy ("C:\")就可以将自身复制到C盘这个文件。本句前面是打开这个脚本文件,指明是这个程序本身,是一个完整的路径文件名。GetFile函数获得这个文件,Copy函数将这个文件复制到C盘根目录下这个文件。这么简单的两句就实现了自我复制的功能,已经具备病毒的基本特征——自我复制能力。 此类病毒往往是通过邮件传播的,在vb script中调用邮件发送功能也非常的简单,病毒往往采用的方法是向outlook中的地址薄中的邮件地址发送带有包含自身的邮件来达到传播目的,一个简单的实例如下: Set objOA= ("")(创建一个OUTLOOK应用的对象)Set objMapi= ("MAPI")(取得MAPI名字空间)For i=1 to (遍历地址簿) Set objAddList= (i) For j=1 To objAddList. Set objMail= (0) (objAddList. AddressEntries (j))(取得收件人邮件地址 )"你好!" (设置邮件主题,这个往往具有很大的诱惑性质)"这次给你的附件,是我的新文档!" (设置信件内容) (“c:\")(把自己作为附件扩散出去 ) (发送邮件)NextNext Set objMapi=Nothing (清空objMapi变量,释放资源)set objOA=Nothing (清空objOA变量)这一小段代码的功能是向地址簿中的用户发送电子邮件,并将自己作为附件扩散出去。这段代码中的第一行是创建一个Outlook的对象,是必不可少的。在其下是一个循环,在循环中不断地向地址簿中的电子邮件地址发送内容相同的信件。这就是蠕虫的传播性。 由此可以看出,利用vb script编写病毒是非常容易的,这就使得此类病毒的变种繁多,破坏力极大,同时也是非常难以根除的! 4、个人用户对蠕虫病毒的防范措施 通过上述的分析,我们可以知道,病毒并不是非常可怕的,网络蠕虫病毒对个人用户的攻击主要还是通过社会工程学,而不是利用系统漏洞!所以防范此类病毒需要注意以下几点: 1.购合适的杀毒软件!网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍,杀毒软件必须向内存实时监控和邮件实时监控发展!另外面对防不胜防的网页病毒,也使得用户对杀毒软件的要求越来越高!在杀毒软件市场上,赛门铁克公司的norton系列杀毒软件在全球具有很大的比例!经过多项测试,norton杀毒系列软件脚本和蠕虫阻拦技术能够阻挡大部分电子邮件病毒,而且对网页病毒也有相当强的防范能力!目前国内的杀毒软件也具有了相当高的水平.像瑞星,kv系列等杀毒软件,在杀毒软件的同时整合了防火强功能,从而对蠕虫兼木马程序有很大克制作用. 2 。经常升级病毒库,杀毒软件对病毒的查杀是以病毒的特征码为依据的,而病毒每天都层出不穷,尤其是在网络时代,蠕虫病毒的传播速度快,变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒! 3.提高防杀毒意识.不要轻易去点击陌生的站点,有可能里面就含有恶意代码! 当运行IE时,点击“工具→Internet选项→安全→ Internet区域的安全级别”,把安全级别由“中”改为“高” 。、因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaScript的网页文件 ,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。具体方案是:在IE窗口中点击“工具”→“Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。 4.不随意查看陌生邮件,尤其是带有附件的邮件,,由于有的病毒邮件能够利用ie和outlook的漏洞自动执行,所以计算机用户需要升级ie和outlook程序,及常用的其他应用程序! 三、研究蠕虫的现实意义 网络蠕虫病毒作为一种互联网高速发展下的一种新型病毒,必将对网络产生巨大的危险。在防御上,已经不再是由单独的杀毒厂商所能够解决,而需要网络安全公司,系统厂商,防病毒厂商及用户共同参与,构筑全方位的防范体系! 蠕虫和黑客技术的结合,使得对蠕虫的分析,检测和防范具有一定的难度,同时对蠕虫的网络传播性,网络流量特性建立数学模型也是有待研究的工作!
计算机病毒与防范李 刚和一般的生物学病毒不同的是,计算机病毒的传染是以计算机系统的运行及读写磁盘为基础的。没有这样的条件,计算机病毒是不会传染的,因为计算机不启动、不运行时,就谈不上对磁盘的读写操作或数据共享,没有磁盘的读写,病毒就传播不到磁盘上或网络里。所以只要计算机运行,就会有磁盘读写动作,病毒传染的两个先决条件就很容易得到满足。系统运行为病毒驻留内存创造了条件,病毒传染的第一步是驻留内存,一旦进入内存之后,便寻找传染机会,寻找可攻击的对象,判断条件是否满足,决定是否可传染。当条件满足时进行传染,将病毒写入磁盘系统。而且,所有的计算机病毒都是人为地制造出来的,有时一旦扩散出去连制造者自己也无法控制。因此,病毒已经不是一个简单的纯计算机学术问题,而是一个严重的社会问题了。为此,了解计算机病毒的来源,认识计算机病毒的危害性,懂得防治计算机病毒的常用措施,就成为了目前比较急迫的问题。1 计算机病毒概述1. 1 计算机病毒的分类目前世界上估计有20多万种病毒,按照基本类型划分,可归结为6种类型: (1)引导型病毒; (2)可执行文件病毒;(3)宏病毒; (4)混合型病毒; (5)特洛伊木马型病毒; (6) In-ternet语言病毒。1. 2 计算机病毒的产生计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是:(1)计算机病毒是计算机犯罪的一种新的衍化形式。计算机病毒是高技术犯罪,具有瞬时性、动态性和随机性。不易取证,风险小破坏大,从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现。(2)计算机软硬件产品的脆弱性是根本的技术原因。计算机是电子产品,数据从输入、存储、处理到输出等环节,易被误入、篡改、丢失、作假和破坏;程序易被删除、改写;计算机软件设计的手工方式效率低下且生产周期长;人们至今没有办法事先了解一个程序有没有错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便。(3)微机的普及应用是计算机病毒产生的必要环境。1983年11月3日美国计算机专家首次提出了计算机病毒的概念并进行了验证。计算机病毒蔓延到我国才是近些年来的事。而这几年正是我国微型计算机普及应用的高潮期。1. 3 计算机病毒的传播途径计算机病毒之所以称之为病毒是因为其具有传染性的本质。传染渠道通常有以下几种:(1)可移动媒体。计算机病毒和其他恶意软件最初的也可能是最多的传送器是文件传输,开始于软盘,慢慢发展到一切移动介质。(2)网络共享。一旦为计算机提供了通过网络彼此直接连接的机制,就会为恶意软件编写者提供另一个传输机制,从而可以传播恶意代码。(3)对等(P2P)网络程序。QQ对等程序的出现,为P2P文件传输提供了途径,这种途径同样也被计算机病毒利用。目前,已经出现多种针对QQ对等程序的病毒。(4)电子邮件。电子邮件已成为许多恶意软件攻击所选择的传输机制。(5)远程利用。恶意软件可能会试图利用服务或应用程序的特定漏洞来复制,此行为在蠕虫中见到。2 计算机病毒的危害及防范2. 1 病毒的危害性级别计算机病毒绝大多数危害性不大,此类病毒又统称为良性病毒,它们占用一定的内存和磁盘空间,降低计算机系统的运行速度,干扰显示器屏幕的显示等,一般不会造成严重破坏。还有少数计算机病毒会破坏磁盘甚至只读存储器(ROM)芯片里的数据,使计算机系统瘫痪,它们具有可运行性、复制性、传染性、潜伏性、破坏性、欺性、精巧性、可触发性、隐藏性和顽固性等特点,这类病毒又统称为恶性计算机病毒,它们可通过不同的途径潜伏或寄生在存储媒体(磁盘)、内存或程序里,当某种条件或时机成熟时,便会自身复制并传播,使计算机资源、程序或数据受到损坏。通常它们对计算机资源的破坏情况及破坏程度完全不一样。2. 2 防范病毒的感染计算机病毒防治最有效的方法是以预防为主。防止病毒入侵要比病毒入侵后再去检测和清除更重要,所以病毒的防治重点应该放在预防上。消灭传染源、堵塞传染途径、保护易感染部分是防治病毒入侵的有效方法。虽然计算机病毒有成千上万种,但它们有一定的共性,即传播途径基本相同,只要把好关口,就可以防患于未然。使用软盘、光盘和移动磁盘时要慎重,更不能用来历不明的磁盘,特别是游戏程序盘,应养成先清查病毒后再使用的习惯。不轻易从不可靠的网站下载软件,不要打开或浏览来历不明的电子邮件,定期检测操作系统及应用软件,将自己的重要数据定期备份保存,给系统盘和文件盘加上写保护,常备一张真正“干净”的引导盘,将其写保护,尽可能做几个备份,在以后准备查、杀病毒或相应场合时用这张干净引导盘启动你的计算机。有时仅仅通过人工预防还是远远不够的,还应该在计算机中安装防病毒软件,仔细研究所使用的反病毒软件的各项功能及不同模块各负担什么样的职责、都有哪些应用组合、不同的运行命令(选项设置)参数具有怎样不同的查杀效果等,最大限度地发挥该反病毒工具的作用。在计算机中设置病毒防火墙,实现在线检测。将病毒防治软件常驻内存,它对操作系统当前的文件实时检测病毒,以保证在病毒试图感染你的系统前发现病毒并报警。这样无论你是从软盘拷贝文件、光盘安装程序还是从网上下载文件,病毒在线检测软件会首先将它检测一遍以确保没有病毒。3 整体防御病毒的实施方案[M].北京:清华大学出版社, 2004.
木马的检测、清除与防范 来源:CNCERT/CC广东分中心编写 木马程序不同于病毒程序,通常并不象病毒程序那样感染文件。木马一般是以寻找后门、窃取密码和重要文件为主,还可以对电脑进行跟踪监视、控制、查看、修改资料等操作,具有很强的隐蔽性、突发性和攻击性。由于木马具有很强的隐蔽性,用户往往是在自己的密码被盗、机密文件丢失的情况下才知道自己中了木马。在这里将介绍如何检测自己的机子是否中了木马,如何对木马进行清除和防范。木马检测 1、查看开放端口 当前最为常见的木马通常是基于TCP/UDP协议进行Client端与Server端之间的通讯的,这样我们就可以通过查看在本机上开放的端口,看是否有可疑的程序打开了某个可疑的端口。例如冰河使用的监听端口是7626,Back Orifice 2000使用的监听端口是54320等。假如查看到有可疑的程序在利用可疑端口进行连接,则很有可能就是中了木马。查看端口的方法有几种: (1)使用Windows本身自带的netstat命令 C:\>netstat -an Active Connections Proto Local Address Foreign Address State TCP LISTENING TCP LISTENING TCP LISTENING TCP LISTENING TCP LISTENING TCP LISTENING TCP LISTENING TCP LISTENING TCP LISTENING TCP LISTENING TCP : LISTENING TCP TIME_WAI TCP LISTENING UDP *:* UDP *:* UDP *:* UDP *:* UDP *:* UDP *:* UDP *:* UDP *:* UDP *:* UDP *:* (2)使用windows2000下的命令行工具fport E:\software> FPort - TCP/IP Process to Port Mapper Copyright 2000 by Foundstone, Inc. Pid Process Port Proto Path 420 svchost -> 135 TCP E:\WINNT\system32\ 8 System -> 139 TCP 8 System -> 445 TCP 768 MSTask -> 1025 TCP E:\WINNT\system32\ 8 System -> 1027 TCP 8 System -> 137 UDP 8 System -> 138 UDP 8 System -> 445 UDP 256 lsass -> 500 UDP E:\WINNT\system32\ (3)使用图形化界面工具Active Ports 这个工具可以监视到电脑所有打开的TCP/IP/UDP端口,还可以显示所有端口所对应的程序所在的路径,本地IP和远端IP(试图连接你的电脑IP)是否正在活动。这个工具适用于Windows NT/2000/XP平台。 2、查看和系统配置文件 查看和文件是否有被修改的地方。例如有的木马通过修改文件中windows节 的“load= ,run=”语句进行自动加载。此外可以修改中的boot节,实现木马加载。例如 “妖之吻” 病毒,将“Shell=” (Windows系统的图形界面命令解释器)修改成“Shell=”,在电脑每次启动后就自动运行程序。修改的方法是将“shell=”还原为“shell=”就可以了。 3、查看启动程序 如果木马自动加载的文件是直接通过在Windows菜单上自定义添加的,一般都会放在主菜单的“开始->程序->启动”处,在Win98资源管理器里的位置是“C:\windows\start menu\programs\启动”处。通过这种方式使文件自动加载时,一般都会将其存放在注册表中下述4个位置上: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 检查是否有可疑的启动程序,便很容易查到是否中了木马。 在Win98系统下,还可以直接运行Msconfig命令查看启动程序和、、等文件。 4、查看系统进程 木马即使再狡猾,它也是一个应用程序,需要进程来执行。可以通过查看系统进程来推断木马是否存在。 在Windows NT/XP系统下,按下“CTL+ALT+DEL”,进入任务管理器,就可看到系统正在运行的全部进程。在Win98下,可以通过Prcview和winproc工具来查看进程。查看进程中,要求你要对系统非常熟悉,对每个系统运行的进程要知道它是做什么用的,这样,木马运行时,就很容易看出来哪个是木马程序的活动进程了。 5、查看注册表 木马一旦被加载,一般都会对注册表进行修改。一般来说,木马在注册表中实现加载文件一般是在以下等处: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices 此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=““%1” %*”处,如果其中的“%1”被修改为木马,那么每次启动一个该可执行文件时木马就会启动一次,例如著名的冰河木马就是将TXT文件的改成了它自己的启动文件,每次打开记事本时就会自动启动冰河木马,做得非常隐蔽。还有“广外女生”木马就是在HKEY_CLASSES_ROOT\exefile\shell\open\command=““%1” %*”处将其默认键值改成"%1" %*",并在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices添加了名称为"Diagnostic Configuration"的键值; 6、使用检测软件 上面介绍的是手工检测木马的方法,此外,我们还可以通过各种杀毒软件、防火墙软件和各种木马查杀工具等检测木马。各种杀毒软件主要有:KV3000,Kill3000、瑞星等,防火墙软件主要有国外的Lockdown,国内的天网、金山网镖等,各种木马查杀工具主要有:The Cleaner、木马克星、木马终结者等。这里推荐一款工具防护工具McAfee VirusScan ,它集合了入侵防卫及防火墙技术,为个人电脑和文件服务器提供全面的病毒防护。木马清除 检测到电脑中了木马后,就要根据木马的特征来进行清除。查看是否有可疑的启动程序、可疑的进程存在,是否修改了、系统配置文件和注册表。如果存在可疑的程序和进程,就按照特定的方法进行清除。主要的步骤都不外乎以下几个:(但并不是所有的木马清除都能够根据下列步骤删除,这里只是介绍清除木马的基本方法) 1、删除可疑的启动程序 查看系统启动程序和注册表是否存在可疑的程序后,判断是否中了木马,如果存在木马,则除了要查出木马文件并删除外,还要将木马自动启动程序删除。例如病毒、后门就会拷贝自身到一些固定的windows自启动项中: WINDOWS\All Users\Start Menu\Programs\StartUp WINNT\Profiles\All Users\Start Menu\Programs\Startup WINDOWS\Start Menu\Programs\Startup Documents and Settings\All Users\Start Menu\Programs\Startup 查看一下这些目录,如果有可疑的启动程序,则将之删除。 2、恢复和系统配置文件的原始配置 许多病毒会将和系统配置文件修改,使之能在系统启动时加载和运行木马程序。例如电脑中了“妖之吻”病毒后,病毒会将中的boot节的“Shell=”字段修改成“Shell=”,清除木马的方法是把给恢复原始配置,即“Shell=”修改回“Shell=”,再删除掉病毒文件即可。 病毒,也会更改以便在下一次重新开机时执行木马程序。主要是将中的windows节的“Run=”字段修改成“Run= C:%WINDIR%”字段。执行清除的步骤如下: (1)打开文本文件,将字段“RUN=C:%WINDIR%”中 等号后面的字符删除,仅保留“RUN=”。 (2)将被病毒感染的文件删除。 3、停止可疑的系统进程 木马程序在运行时都会在系统进程中留下痕迹。通过查看系统进程可以发现运行的木马程序,在对木马进行清除时,当然首先要停掉木马程序的系统进程。例如病毒、后门除了将自身拷贝到一些固定的windows自启动项中外,还在进程中运行程序,修改了注册表,以便病毒可随机自启动。在看到有木马程序在进程中运行,则需要马上杀掉进程,并进行下一步操作,修改注册表和清除木马文件。 4、修改注册表 查看注册表,将注册表中木马修改的部分还原。例如上面所提到的病毒、后门,向注册表的以下地方: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 添加了键值"Microsoft Update" = "",以便病毒可随机自启动。这就需要我们进入注册表,将这个键值给删除。注意:可能有些木马会不允许执行.exe文件,这样我们就需要先将改成系统能够运行的,比如可以改成。这里就说说如何清除病毒、后门的。 (1)将进程中运行的进程停止,这是一个木马程序; (2)将拷贝到windows启动项中的启动文件删除; (3)将添加到注册表中的键值"Microsoft Update"= ""删除; (4)手工或用专杀工具删除被病毒感染的文件。并全面检查系统。 5、使用杀毒软件和木马查杀工具进行木马查杀 常用的杀毒软件包括KV3000、瑞星、诺顿等,这些软件对木马的查杀是比较有效的,但是要注意时刻更新病毒库,而且对于一些木马查杀不彻底,在系统重新启动后还会自动加载。此外,你还可以使用The Cleaner、木马克星、木马终结者等各种木马转杀工具对木马进行查杀。这里推荐一款工具Anti-Trojan Shield,这是一款享誉欧洲的专业木马侦测、拦截及清除软件。可以在网站下载。木马防范 随着网络的普及,硬件和软件的高速发展,网络安全显得日益重要。对于网络中比较流行的木马程序,传播时间比较快,影响比较严重,因此对于木马的防范就更不能疏忽。我们在检测清除木马的同时,还要注意对木马的预防,做到防范于未然。 1、不要随意打开来历不明的邮件 现在许多木马都是通过邮件来传播的,当你收到来历不明的邮件时,请不要打开,应尽快删除。并加强邮件监控系统,拒收垃圾邮件。 2、不要随意下载来历不明的软件 最好是在一些知名的网站下载软件,不要下载和运行那些来历不明的软件。在安装软件的同时最好用杀毒软件查看有没有病毒,之后才进行安装。 3、及时修补漏洞和关闭可疑的端口 一般木马都是通过漏洞在系统上打开端口留下后门,以便上传木马文件和执行代码,在把漏洞修补上的同时,需要对端口进行检查,把可疑的端口关闭。 4、尽量少用共享文件夹 如果必须使用共享文件夹,则最好设置帐号和密码保护。注意千万不要将系统目录设置成共享,最好将系统下默认共享的目录关闭。Windows系统默认情况下将目录设置成共享状态,这是非常危险的。 5、运行实时监控程序 在上网时最好运行反木马实时监控程序和个人防火墙,并定时对系统进行病毒检查。 6、经常升级系统和更新病毒库 经常关注厂商网站的安全公告,这些网站通常都会及时的将漏洞、木马和更新公布出来,并第一时间发布补丁和新的病毒库等。采用注册表来管理系统配置,主要是为了提高系统的稳定性,平时操作系统出现的一些问题,诸如系统无法启动、应用程序无法运行、系统不稳定等情况,很多都是因为注册表出现错误而造成的,而通过修改相应的数据就能解决这些问题,所以,掌握如何正确备份、恢复注册表的方法,可以让每一个用户更加得心应手地使用自己的电脑。 一、利用注册表编辑器手工备份注册表 注册表编辑器(Regedit)是操作系统自带的一款注册表工具,通过它就能对注册表进行各种修改。当然,"备份"与"恢复"注册表自然是它的本能了。 (1)通过注册表编辑器备份注册表 由于修改注册表有时会危及系统的安全,因此不管是WINDOWS 98还是WINDOWS 2000甚至WINDOWS XP,都把注册表编辑器"藏"在了一个非常隐蔽的地方,要想"请"它出山,必须通过特殊的手段才行。点击"开始"菜单,选择菜单上的"运行"选项,在弹出的"运行"窗口中输入"Regedit"后,点击"确定"按钮,这样就启动了注册表编辑器。 点击注册表编辑器的"注册表"菜单,再点击"导出注册表文件"选项,在弹出的对话框中输入文件名"regedit",将"保存类型"选为"注册表文件",再将"导出范围"设置为"全部",接下来选择文件存储位置,最后点击"保存"按钮,就可将系统的注册表保存到硬盘上。 完成上述步骤后,找到刚才保存备份文件的那个文件夹,就会发现备份好的文件已经放在文件夹中了。 (2)在DOS下备份注册表 当注册表损坏后,WINDOWS(包括"安全模式")无法进入,此时该怎么办呢?在纯DOS环境下进行注册表的备份、恢复是另外一种补救措施,下面来看看在DOS环境下,怎样来备份、恢复注册表。 在纯DOS下通过注册表编辑器备份与恢复注册表前面已经讲解了利用注册表编辑器在WINDOWS环境下备份、恢复注册表,其实""这个注册表编辑器不仅能在WINDOWS环境中运行,也能在DOS下使用。 虽然在DOS环境中的注册表编辑器的功能没有在WINDOWS环境中那么强大,但是也有它的独到之处。比如说通过注册表编辑器在WINDOWS中备份了注册表,可系统出了问题之后,无法进入WINDOWS,此时就可以在纯DOS下通过注册表编辑器来恢复注册表。 应该说在DOS环境中备份注册表的情况还是不多见的,一般在WINDOWS中备份就行了,不过在一些特殊的情况下,这种方式就显得很实用了。 进入DOS后,再进入C盘的WINDOWS目录,在该目录的提示符下输入"regedit"后按回车键,便能查看"regedit"的使用参数。 通过"Regedit"备份注册表仍然需要用到""和""这两个文件,而该程序的具体命令格式是这样的: Regedit /L:system /R:user /E Regpath 参数含义: /L:system指定文件所在的路径。 /R:user指定文件所在的路径。 /E:此参数指定注册表编辑器要进行导出注册表操作,在此参数后面空一格,输入导出注册表的文件名。 Regpath:用来指定要导出哪个注册表的分支,如果不指定,则将导出全部注册表分支。在这些参数中,"/L:system"和"/R:user"参数是可选项,如果不使用这两个参数,注册表编辑器则认为是对WINDOWS目录下的""和""文件进行操作。如果是通过从软盘启动并进入DOS,那么就必须使用"/L"和"/R"参数来指定""和""文件的具体路径,否则注册表编辑器将无法找到它们。 比如说,如果通过启动盘进入DOS,则备份注册表的命令是"Regedit /L:C:\windows\/R:C:\windows\/e ",该命令的意思是把整个注册表备份到WINDOWS目录下,其文件名为""。而如果输入的是"regedit /E D:\"这条命令,则是说把整个注册表备份到D盘的根目录下(省略了"/L"和"/R"参数),其文件名为""。 ( 3)用注册表检查器备份注册表 在DOS环境下的注册表检查器可以用来备份注册表。 命令格式为: Scanreg /backup /restore /comment 参数解释: /backup用来立即备份注册表 /restore按照备份的时间以及日期显示所有的备份文件 /comment在/restore中显示同备份文件有关的部分 注意:在显示备份的注册表文件时,压缩备份的文件以 .CAB文件列出,CAB文件的后面单词是Started或者是NotStarted,Started表示这个文件能够成功启动Windows,是一个完好的备份文件,NotStarted表示文件没有被用来启动Windows,因此还不能够知道是否是一个完好备份。 比如:如果我们要查看所有的备份文件及同备份有关的部分,命令如下: Scanreg /restore /comment注册表恢复注册表中存放着计算机软硬件的配置信息,病毒、网页恶意代码往往要修改注册表,平时安装、操作软件也会使注册表内容发生变化。当计算机工作不正常时,往往可以通过恢复注册表来修复。所以,平时我们应经常备份注册表(运行regedit,导出注册表文件)。这样,需要时就可以导入过去某个备份,使电脑恢复正常。 如果平时没有导出注册表,则只好通过运行 scanreg /restore来恢复注册表,或运行scanreg /fix来修复注册表。不过该命令应该在DOS下执行。对于win98系统,开机时按F8,选择Command Prompt Only进入DOS;对于WinMe系统,则可以运行Command进入DOS。当然,也可以用软盘引导系统,进入C:\windows\command子目录,然后执行上述修复注册表的命令。 目前网页恶意代码最可恶的破坏行为之一是在注册表中禁止了程序运行。此时因IE无法运行,不能使用在线自动修复;且“微机数据维护”等修复软件也不能运行;同样也不能导入注册表文件来修复注册表。此时唯一的办法就是在DOS下运行C:\windows scanreg /restore来修复注册表。
浅析计算机病毒及防范
你好,计算机病毒的预防和诊断的毕业论文
随着Internet的迅速发展我国的互联网用户不断的增加,成为仅次于美国的国家,位居世界第二。互联网的发展也使得计算机病毒开始渗透到信息社会的各个领域,给计算机网络系统带来了巨大的破坏和潜在的威胁。为了确保信息的安全与畅通,研究计算机病毒的防范措施已迫在眉睫。计算机病毒的防治目前主要有主动防御技术和启发式病毒扫描技术等,也在朝着一些新的趋势发展。【目前主要有主动防御技术和启发式病毒扫描技术等。本文将从计算机的特点入手,来探讨对付计算机病毒维护计算机网络安全的方法和措施。
欢迎来电脑管家企业平台访问