防范计算机病毒的常用方法 杀毒软件, 网络技术, 计算机, 全球性, 反病毒

forsuccess

随着这几年网络的迅猛发展，利用网络技术，以网络为载体频频暴发的间谍程序，蠕虫病毒、游戏木马、邮件病毒、MSN病毒、黑客程序等网络新病毒，已经颠覆了传统的病毒概念。与传统病毒相比，网络病毒呈现传播速度空前、数量与种类剧增、全球性暴发、攻击途径多样化、以利益获取为目的、造成损失具灾难性等突出特点，使防范病毒的必要性越来越紧迫。
特征值扫描是目前国际上反病毒公司普遍采用的查毒技术。其核心是从病毒体中提取病毒特征值构成病毒特征库，杀毒软件将用户计算机中的文件或程序等目标，与病毒特征库中的特征值逐一比对，判断该目标是否被病毒感染。该技术要求从病毒体中提取病毒特征值，所以只有等到新病毒出现后，才有可能获得病毒体，并针对它进行单独处理。这种方法的固有缺陷是对新病毒的防范始终滞后于病毒的出现。
因此我们需要对病毒进行主动防御，本文将从两个方面来论述如何进行主动防御。

1 反病毒软件更新换代
长期以来，人们把杀毒软件作为最主要的反病毒工具，杀毒软件几乎成了所有反病毒产品的代名词，杀毒软件赖以生存的“特征值扫描技术”也几乎成了所有反病毒技术的代名词。正因为如此，杀毒软件对新病毒的防范始终滞后于病毒出现的重大缺陷，似乎成为既合情又合理的反病毒逻辑，导致人们普遍认为反病毒产品不可能主动防御新病毒，甚至等同于防范一种未知的疾病。
其实，既然计算机病毒概念是人依据程序行为来定义的，现有杀毒软件本身如果不能发现新病毒，但是人本身是可以发现新病毒的。如果人不能发现新病毒，也就意味着反病毒公司研发人员也就不可能发现新病毒，不可能升级杀毒软件。也就是说，新病毒一定是人通过相应的方法判断出来的。
因此识别病毒可以采用采用动态分析，直接通过程序的行为判断它是否是病毒。即根据程序的行为是否符合病毒定义做出判断，如果符合就是病毒，不符合就不是。举例来说在对某个可疑程序进行判断时，为了做出准确判断，必须在可控范围内运行可疑程序，然后再根据程序的行为判断是否是病毒。如：MSN蠕虫病毒通过MSN自动给好友发送病毒文件。我们可以通过制定规则：如果MSN接收的某个文件运行后，模拟键盘或鼠标动作，自动点击MSN的“发送文件”命令，把它或它的生成物自动发送给其他MSN联系人，则这个文件就是病毒。
也许有人会说，建立杀毒软件自动识别新病毒会很难。第一，病毒防范是一个非常技术的工作，世界上反病毒软件专家和程序员本就非常少，培训起来也很困难；第二，不可能预知新的病毒会是什么模式的病毒，建立相关的规则也是非常庞大而不太可能实现的。然而，我们可以看到，虽然病毒越来越多，但真正有创意的、技术上有突破的病毒很少，不到总数的1％。而且这类病毒通常是概念病毒，一般破坏性不大。绝大多数病毒都是模仿其它病毒编写的，这些病毒的传播、感染、加载、破坏等行为特点都可以从已经存在的病毒找到，一个计算机本科毕业生经过短期培训，通常都可胜任人工识别这类新病毒的工作。因此识别绝大多数新病毒，并不是一件很难的事，只是要把人工识别转化为计算机自动判断的coding过程，对病毒的行为进行分析、归纳、总结，将人为的经验进行科学提炼。因此，我们说实现软件自动识别病毒是可行的。
跳出传统技术路线，尽快研制以行为自动监控、行为自动分析、行为自动诊断为新思路的主动防御型产品，从根本上克服杀毒软件重大缺陷，建立主动防御为主、结合现有反病毒技术的综合防范体系，实现反病毒技术的革命性飞跃和反病毒产业的升级，是具有极现实的紧迫性的。

2 做好个人计算机和服务器的防范
虽然现有反病毒软件对新病毒的防范并不完美，但是防火墙+杀毒软件毕竟是必要的工具，可以节省大量的时间和精力，也许大家有手工杀毒的能力。但普通用户谁愿意自己搜索病毒呢?谁能知道那个正常进程被插入病毒，谁愿意一个一个杀病毒副本，许多东西我们没办法判断的；而另外的防火墙，不太可能有人愿意手动不停地监视连接情况，去手工抗DDOS，去手工丢弃非法的包……上面的这一切不是普通用户可以掌握的技术。
2．1 杀毒软件和网络防火墙
无论是菜鸟还是飞鸟，杀毒软件和网络防火墙都是必需的。上网前或启动机器后自动运行这些软件，就好像给你的机器“穿”上了一层或许说并不完美的“保护衣”，就算不能完全杜绝网络病毒的袭击，起码也能把大部分的网络病毒拒之门外。目前杀毒软件非常多，但千万不能使用一些破解的杀毒软件，以免因小失大。安装软件后，要坚持定期更新病毒库和杀毒程序，以最大限度地发挥出软件应有的功效，给计算机以保护。
2．2 下载文件后进行杀毒扫描
我们下载文件要小心仔细，网络病毒之所以得以泛滥，很大程度上跟人们的惰性和侥幸心理有关。当我们下载文件后，最好立即用杀毒软件扫描一遍，不要怕麻烦，尤其是对于一些Flash、MP3、文本文件同样不能掉以轻心，因为现在已经有病毒可以藏身在这些容易被大家忽视的文件中了。2．3 对不良站点和邮件的防范
很多中了网页病毒的朋友，都是因为访问不良站点惹的祸，因此，不去浏览这类网页会让你省心不少。另外，当我们在论坛、聊天室等地方看到有推荐浏览某个URL时，要千万小心，以免不幸“遇害”，或者尝试使用以下步骤加以防范：1)打开杀毒软件和网络防火墙；2)把Internet选项的安全级别设为“高”；3)尽量使用以IE为内核的浏览器(如MyIE2)，然后在MyIE2中新建一个空白标签，并关闭Script、java Apple、ActiveX功能后再输入URL。
特别是，当我们发现有“你中奖啦!”、“打开附件会有意外惊喜哦!”这些话，千万别信!看到类似广告的邮件标题，最好马上把它删掉。对于形迹可疑的邮件(特别是HTML格式)，不要随便打开，如果是你熟悉的朋友发来的，可以先与对方核实后再作处理。同时，也有必要采取一定措施来预防邮件病毒：
(1)尽量不要用Outlook作为你的邮件客户端，改以Foxmail等代替，同时以文本方式书写和阅读邮件，这样就不用担心潜伏在HTML中的病毒了；
(2)多使用远程邮箱功能，利用远程邮箱的预览功能(查看邮件Header和部分正文)，可以及时找出垃圾邮件和可疑邮件，从而把病毒邮件直接从服务器上赶走；
(3)不要在Web邮箱中直接阅读可疑邮件，因为这种阅读方法与浏览网页的原理一样，需要执行一些脚本或Applet才能显示信息，有一定危险性。
还有，当前各种各样的安全漏洞给网络病毒开了方便之门(其中以IE和PHP脚本语言的漏洞最多)，我们平时除了注意及时对系统软件和网络软件进行必要升级外，还要尽快为各种漏洞打上最新的补丁。其中一个检测漏洞的简易方法就是直接使用系统中自带的“WindowsUpdate”功能，让微软为你的电脑来一次“全身检查”并打上安全补丁。当然也可以使用其他软件对计算机进行安全检测(例如东方卫士的“系统漏洞检测精灵”就是一个不错的软件)，以便及早发现漏洞。
不管网络病毒如何神通广大，它要对计算机进行破坏，总是要调用系统文件的执行程序(例如format．exe、delete．exe、deltree．exe等)，根据这个特点，我们可以对这些危险文件采用改名、更改后缀、更换存放目录、用软件进行加密保护等多种方法进行防范，让病毒无从下手。
2．4 定时备份
我们要做到有备无患，正所谓“智者干虑，必有一失”，为保证计算机内重要数据的安全，定时备份少不了。如果我们能做好备份工作，即使遭受网络病毒的全面破坏，也能把损失减至最小。当然，前提条件是必须保证备份前数据没被感染病毒，否则只能是徒劳无功。另外，要尽量把备份文件刻录到光盘上或存放到隐藏分区中，以免“全军覆没”。
2．5 一些防范病毒的常用方法
2．5．1 清空浏览器的临时文件

2．5．2 关闭共享文件夹

2．5．3 删除病毒／木马程序的自启动项
步骤：打开注册表编辑器：“开始”>>“运行”，输入“REGEDIT”，点击“确定”打开注册表编辑器，找到下面的键值：
2．5．4 打开系统配置实用程序
步骤：“开始”>>“运行”，输入“msconfig”，点击“确定”打开系统配置实用程序，禁用不必要的配置

2．5．5 关闭一些可能会成为安全隐患的服务
步骤：打开控制面板一计算机管理一服务，关闭下列具有危险性质的服务(可能已经被禁止)
(1)NetMeeting Remote Desktop Sharing：允许授权的用户通过NetMeeting在网络上互相访问对方。这项服务对大多数个人用户并没有多大用处，况且服务的开启还会带来安全问题，因为上网时该服务会把用户名以明文形式发送到连接它的客户端，黑客的嗅探程序很容易就能探测到这些账户信息。
(2)Universal plug and pray Device Host：此服务是为通用的即插即用设备提供支持。这项服务存在一个安全漏洞，运行此服务的计算机很容易受到攻击。攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包，就可能会造成这些Win XP主机对指定的主机进行攻击(DDoS)。另外如果向该系统1900端口发送一个UDP包，令“Location”域的地址指向另一系统的chargen端口，就有可能使系统陷入一个死循环，消耗掉系统的所有资源(需要安装硬件时需手动开启)。
(3)Messenger：俗称信使服务，电脑用户在局域网内可以利用它进行资料交换(传输客户端和服务器之间的Net Send和Alerter服务消息，此服务与Windows Messenger无关。如果服务停止，Alerter消息不会被传输)。这是一个危险而讨厌的服务，Messenger服务基本上是用在企业的网络管理上，但是垃圾邮件和垃圾广告厂商，也经常利用该服务发布弹出式广告，标题为“信使服务”。而且这项服务有漏洞，MSBlast和Slammer病毒就是用它来进行快速传播的。
(4)Terminal Services：允许多位用户连接并控制一台机器，并且在远程计算机上显示桌面和应用程序。如果你不使甩Win XP的远程控制功能，可以禁止它。
(5)Remote Registry：使远程用户能修改此计算机上的注册表设置。注册表可以说是系统的核心内容，一般用户都不建议自行更改，更何况要让别人远程修改，所以这项服务是极其危险的。
(6)Fast User Switching Compatibility：在多用户下为需要协助的应用程序提供管理。Windows XP允许在一台电脑上进行多用户之间的快速切换，但是这项功能有个漏洞，当你点击“开始→注销→快速切换”，在传统登录方式下重复输入一个用户名进行登录时，系统会认为是暴力破解，而锁定所有非管理员账户。如果不经常使用，可以禁止该服务。或者在“控制面板→用户账户→更改用户登录或注销方式”中取消“使用快速用户切换”。
(7)Telnet：允许远程用户登录到此计算机并运行程序，并支持多种TCP／IP Teinet客户，包括基于UNIX和Windows的计算机。又一个危险的服务，如果启动，远程用户就可以登录、访问本地的程序，甚至可以用它来修改你的ADSL Modem等的网络设置。除非你是网络专业人员或电脑不作为服务器使用，否则一定要禁止它。
(8)Performance LogsAndAlerts：收集本地或远程计算机基于预先配置的日程参数的性能数据，然后将此数据写入日志或触发警报。为了防止被远程计算机搜索数据，坚决禁止它。
(9)Remote Desktop Help Session Manager：如果此服务被终止，远程协助将不可用。

3 结束语
以上从病毒防范的基本思路和个人终端防护两个方面作了基本阐述，总而言之，与病毒的抗争是个长期的过程。不可能存在一种方法或者一个软件可以防范所有的病毒，也不可能存在一种病毒可以绕过所有的防病毒措施。因此，我们要正面认识病毒，客观承认计算机病毒的存在，但不要惧怕病毒。树立计算机病毒意识，掌握必要的计算机病毒知识和病毒防治技术，积极采取预防(备份等)措施。