王志灏收集整理

 

 

(1)对新购置的电脑系统用检测病毒软件检查已知病毒,用 人工检测方法检查未知病毒,并经过实验,证实没有病毒传染和破 坏迹象再实际使用。新购置的电脑中是可能携带有病毒的。
    (2)新购置的硬盘或出厂时已格式化好的软盘中可能有病毒。 对硬盘可以进行检测或进行低级格式化, 因对硬盘只做DOS的 FORMAT格式化是不能去除主引导区(分区表扇区)病毒的。软盘做 DOS的FORMAT格式化可以去除病毒。
　　(3) 新购置的电脑软件也要进行病毒检测。有些著名软件 厂商在发售软件时, 软件已被病毒感染或存储软件的软盘已受感 染,这在国内、外都是有实例的。检测方法要用软件查已知病毒, 也要用人工检测和实际实验的方法检测。
　　(4) 在保证硬盘无病毒的情况下,能用硬盘引导启动的,尽量 不要用软盘去启动。在不联网的情况下, 软盘是传染病毒的最主要渠道。启动前,应将软盘驱动器的门打开,并抽出软盘。这是因 为有些软驱缺乏保养, 门虽然打开了,但磁头仍然锁定着,启动时 还会从软盘引导, 将病毒带入系统中。即使在启动不成功的情况 下,只要软盘在启动时被读过,病毒仍然会进入内存进行传染。很 多人认为, 软盘上没有COMMAND.COM等系统启动文件,就不会带病 毒,其实引导区型病毒根本不需要这些系统文件就能进行传染。
　　(5)很多以80386为CPU芯片的PC机中,可以通过设置CMOS参数, 使启动时直接从硬盘引导启动,而根本不去读A∶盘。这样即使软 盘驱动器中插着软盘, 启动时也会跳过读A∶软驱,尝试着进行引导。
　　(6) 定期与不定期地进行磁盘文件备份工作。不要等到由于 病毒破坏、PC机硬件或软件故障使用户数据受到损伤时再去急救。重要的数据应当时进行备份。当然备份前要保证没有病毒, 不然 也会将病毒备份。很难想象, 用户数据没有备份的机器在发生灾难后会造成什么影响。系统程序和应用程序用经费是可以买到的, 而用户数据是无法用钱买到的。
(7) 对于软盘,要尽可能将数据和程序分别存放,装程序的软 盘要贴有写保护签。现在还没有手段可以不在PC机硬件上进行修 改,而只用软件就可以绕过写保护签的方法,更不用说病毒了。抗 病毒软件SCAN的开发人John McAfee曾就此回答过记者的提问。6 K% X' U8 d: t+ k* z) G- P1 ~
(8)在别人的机器上使用过自己的已打开了写保护签的软盘, 再在自己的机器上使用, 就应进行病毒检测。在自己的机器上用 别人的软盘时也应进行检查。对重点保护的机器应做到专机、专 人、专盘、专用, 封闭的使用环境中是不会自然产生电脑病毒 的。- H) x9 L4 @% L& u1 k
(9)任何情况下,总应保留一张不开写保护口的、无病毒的、 带有各种DOS命令文件的系统启动软盘,用于清除病毒和维护系统。 有了CHKDSK.COM、FDISK.COM、DEBUG和COMP等等DOS程序,很多工 作都可以进行了。
　　(10) 用BOOTSAFE等实用程序或用DEBUG编程提取分区表等方 法做好分区表、DOS引导扇区等的备份工作,在进行系统维护和修 复工作时可作为参考。
　　(11)对于多人共用一台电脑的环境,例如实验室这种情况, 应建立登记上机制度,做到使问题能尽早发现,有病毒能及时追查、清除,不致扩散。
以上这些措施不仅可以应用在单机上, 也可以应用在作为网 络工作站的PC机上。而对于网络管理员supervisor, 还应采取下 列针对网络的措施,使网络不受病毒攻击或成为病毒传播渠道。
　　(12) 启动Novell网或其它网络的服务器时,一定要坚持用硬 盘引导启动,否则在受到引导扇区型病毒感染和破坏后,遭受损失 的将不是一个人的机器,而会影响到联接整个网络的中枢。
    (13) 在网络服务器安装生成时,应将整个文件系统划分成多 文件卷系统, 而不是只划分成不区分系统、应用程序和用户独占 的单卷文件系统。建议至少划分成SYS系统卷、共享的应用程序 卷和各个网络用户可以独占的用户数据卷。这种划分十分有利于维护网络服务器的安全稳定运行和用户数据的安全。例如,第一, 如果系统卷受到某种损伤, 导致服务器瘫痪,那么,通过重装系统卷,恢复网络操作系统,就可以使服务器又马上投入运行。而装在 共享的应用程序卷和用户卷内的程序和数据文件不会受到任何损 伤。第二, 用户卷内由于病毒或由于使用上的原因导致存储空间 拥塞时,系统卷是不受影响的,不会导致网络系统运行失常。第三, 这种划分十分有利于系统管理员设置网络安全存取权限, 保证网 络系统不受病毒感染和破坏
　　(14) 安装服务器时应保证没有病毒存在,即安装环境不能带 病毒,网络操作系统本身不感染病毒。
    (15) 网络系统管理员应将SYS系统卷设置成对其它用户为只 读状态,屏蔽其它网络用户对系统卷除读以外的所有其它操作,如修改、改名、删除、创建文件和写文件等操作权限。保证除系统 管理员外, 其它网络用户不可能将病毒感染到系统卷中。使网络用户总有一个安全的联网工作环境。
　　(16)在应用程序卷安装共享软件时,应由系统管理员进行,或由系统管理员临时授权进行。软件本身应不含病毒, 安装环境不 得带病毒, 以保护网络用户使用共享资源时总是安全无毒的。应用卷也应设置成对一般用户是只读的,不经授权、不经检测病毒, 就不允许在共享的应用程序卷中安装程序。
　　(17)系统管理员对网络内的共享电子邮件系统、共享存储区 域和用户卷进行病毒扫描,发现异常情况应及时处理,不使其扩散。 如果可能, 在应用程序卷中维持最新版本的反病毒软件供用户使用。
　　(18)系统管理员的口令应严格管理,不使泄漏,定期不定期地 予以更换,保护网络系统不被非法存取,感染上病毒或遭受破坏。
    (19) 在网络工作站上采取必要的抗病毒技术措施,可使网络 用户一开机就有一个良好的上机环境, 不必再耽心来自网络内和网络工作站本身的病毒。 可供采取的方法有基于硬件支持的ROM BIOS存取控制和防病毒卡,以及基于软件的病毒防御程序,如前面介绍的VSAFE、VSHI ELD或自行开发的软件系统。
　　(20)在服务器上安装LAN PROTECT等防病毒系统。实践表明, 这些简单易行的措施是非常有效的。通过采取上述的一部分措施, 作者所在单位的多个局域网、近百台网络工作站已安全运行了两 年多,从未发生过在网络上串扰病毒的情况。另外,作为应急措施,网络系统管理员应牢记下列几条。
　　(21) 在互联网络中,由于不可能有百分之百的把握来阻止某些未来可能出现的电脑病毒的传染,因此,当出现病毒传染迹象 时,应立即隔离被感染系统和网络,并进行处理。不应带病毒继续 工作下去, 要按照特别情况查清整个网络,使病毒无法反复出现, 干扰工作。
　　(22) 由于电脑病毒在网络中传播得非常迅速,很多用户不 知应如何处理。因此,应立即得到专家的帮助。
　　由于技术上的防病毒方法尚无法达到完美的境地, 难免有新 病毒会突破防护系统的保护,传染到电脑中。因此,及时发现异 常情况, 不使病毒传染到整个磁盘,传染到相邻的电脑,应对可 能由病毒引起的现象予以注意。
　　(23) 注意观察下列现象:
·文件的大小和日期是否变化;
·系统启动速度是否比平时慢;
·没做写操作时出现"磁盘有写保护"信息;
·对贴有写保护的软盘操作时音响很大;
·系统运行速度异常慢;
·用MI检查内存会发现不该驻留的程序已驻留;
·键盘、打印、显示有异常现象;
·有特殊文件自动生成;
·磁盘空间自动产生坏簇或磁盘空间减少;
文件莫名其妙有丢失;
·系统异常死机的次数增加。
这里不再一一列举。要说明的是, 异常情况并不一定说明系 统内肯定有病毒,而需要进一步做检查。
　　说到预防电脑病毒, 正如不可能研究出一种像能包治人类 百病的灵丹妙药一样, 研制出万能的防电脑病毒程序也是不可 能的。但针对病毒的特点, 利用现有的技术,开发出新的技术,防 御病毒软件在与电脑病毒的对抗中会不断得到完善, 更好地发 挥保护电脑的作用。
一、防病毒策略
    通过分析病毒的工作原理, 我们知道了病毒利用直接读写能 进行感染, 利用驻留内存、利用截取中断向量等方法能进行传染和破坏。通过分析PC机的系统结构和DOS的组成及工作方式,我们 知道了病毒正是利用系统安全存取方面的漏洞进行传染。预防电脑病毒的软件就是要监视、跟踪系统内类似病毒的操作, 提供 对系统的保护。
    老一代的防病毒软件只能对电脑系统提供有限的保护, 只能识 别出已知的病毒。新一代的防病毒软件则不仅能识别出已知的病 毒,提前在病毒获得运行权之前发出警报,还能屏蔽掉病毒程序的传染功能和破坏功能而不使受感染的程序得不到运行 (即所谓带 毒运行技术) ,同时还能利用病毒行为特征,防范未知病毒的侵扰和破坏(即前面第三章提到的ACTIVITY TRAP技术, 也有人称之为 人工智能的防病毒技术)。另外,新研制的防病毒软件还应实现超前防御,即将系统中可能被病毒利用的资源都加以保护,不给病毒 以可乘之机。
　　防御是对付电脑病毒的积极而又有效的措施, 比等待病毒出现 之后再去扫描和清除更能有效地保护电脑系统。病毒的工作方 式是可以按类划分的。防病毒软件就是针对这几类已归纳总结出的病毒工作方式进行防范的。当被分析过的已知病毒出现时, 由 于其工作方式早已被记录在案, 防病毒软件能识别出它是很自然的事情。当以前未曾被分析过的新病毒, (又称为未知病毒)出现 时,如果其工作方式仍可被归入已知的病毒工作方式,则这种病毒应能被防病毒软件所捕获。这也就是采取积极防御措施的防病毒 方法优越于"必须等待捕获到并分析以后才能进行扫描和清除这 种病毒"的地方。当然, 如果新出现的病毒不按以往已知的方式 工作,这种新的传染方式又不能被防病毒软件所识别,则防病毒软件只得放其过关了。这时人们只能采取两种措施进行保护: 第一 是依靠管理上的措施, 及早发现疫情,捕捉病毒,修复系统。第二是设计功能更加完善的、 具有更多超前防御功能的防病毒软件, 尽可能多地堵住能被病毒利用的PC机和DOS的漏洞。
    作为防病毒的主要技术措施之一,防病毒软件都是驻留内存的,有 的以设备驱动程序的形式,有的以TSR程序的形式来提供对病毒的 实时监测, 对类似病毒行为的监控和提供对重要的系统区域的保护。
三、防病毒程序应具备的功能
    下面列出电脑病毒防御程序应具备的功能:
　　(1)对请求运行的程序检查是否染有已知病毒,拒绝其运行请 求或屏蔽其传染和破坏功能后,实现安全带毒运行。
    (2)程序驻留请求的监视,发出警告或予以登记,待后续处理。 这里的驻留请求是指DOS的INT 27H和INT 21H的31号子功能。
    (3)对直接修改MCB方式驻留的程序进行监视,或予以登记,待 后续处理。
    (4)监视读写可执行文件的请求,因为文件型病毒主要是依靠 传染可执行文件。除了在软件开发环境下和个别软件要自我修改配置的情况,在大多数电脑应用环境下,不应该有对可执行文件 的读写请求。这是个不容易准确判断的问题。采用不好的判别准则会发生大量假警报,将正常操作当作病毒行为向用户报告,造成 "狼来了"的假象,容易引起用户的反感,要么对这类警报不再留意而一律放行,将病毒也放了过去;要么干脆放弃使用这类软件。 采用较好的判别准则时,只会出现很少的假警报,而且为完成这种防病毒所做的操作只占用极少的CPU处理时间, 既高效又准确,使 用户感觉不到由于使用了这种防病毒软件而使整机运行速度受到 影响。
　　(5)利用预先生成的文件校验码对被存取的文件进行检查,发 现异常时进一步作病毒检查并发出警报。校验码的生成需要好的 算法,否则发现不了由于感染了病毒而使文件发生的变化。
　　(6)监视PC机系统内一些特别中断向量的变化,予以登记或发 出警报。这些中断有2、8、9、13、16、1C、21、26、2F等(以上中断向量均以十六进制表示) 。这些中断有属于ROM BIO S的,有 属于DOS的。 病毒利用这些中断进行抗跟踪、定时、传染、键盘控制以及信息显示等。早期的防病毒软件特别重视中断向量表的 监视和管理, 甚至专门保留一份用于进行比较和恢复。这在一定程度上发挥了作用。但现在已出现很多新病毒不通过修改中断向 量表, 仍能完成传染功能。因此新一代防病毒软件应重视中断向 量表的变化, 但不应将其作为判断病毒的唯一条件和防护PC机的 唯一手段。
    (7) 病毒防御程序应检查DOS引导扇区是否已感染病毒,或者 利用预先生成的核验码进行检查。对这个扇区的写操作也应进行 检查。
　　(8) 硬盘内的主引导扇区是一般DOS程序不必去存取的扇区, 除非要进行分区划分, 平时这个扇区内容不应被改变。防病毒程 序应对这个扇区提供保护。很多防病毒程序也都是这样做的, 在 发生对主引导扇区的写操作或格式化操作时应发出警报。
    (9)对重要的系统文件提供保护,例如引导时必需的COMMAND. COM等,对这类文件的非病毒变更一般只会发生在更新操作系统版 本的时候,不会是经常发生的情况。
    (10) 对磁盘提供全面的写禁止功能,通过划分合适的分区大 小, 对某些分区提供保护。例如对C∶盘设置写禁止功能后,可以保证病毒不会感染到C∶盘,从而使硬盘引导启动后的环境总是个 无病毒的干净环境。 根据不断总结出来的防病毒经验, 在具体实现一个防病毒系统时,可以按照实际情况对上述功能进行取舍,并增加新的功能



防御计算机病毒必知步骤
全球互联网计算机病毒是用户头痛的老问题，怎样有效防御计算机病毒、蠕虫和特洛伊木马呢？请详细阅读以下必知步骤： 

　　1、用常识进行判断 

　　决不打开来历不明邮件的附件或你并未预期接到的附件。对看来可疑的邮件附件要自觉不予打开。千万不可受骗，认为你知道附件的内容，即使附件看来好象是.doc、.xls、.ppt、.jpg文件 -- 因为Windows允许用户在文件命名时使用多个后缀，而许多电子邮件程序只显示第一个后缀，例如，你看到的邮件附件名称是wow.PPT，而它的全名实际是wow.PPT.vbs，打开这个附件意味着运行一个恶意的VBScript病毒，而不是你的.PPT察看器。 

　　2、安装防病毒产品并保证更新最新的病毒定义码 

　　建议你至少每周更新一次病毒定义码，因为防病毒软件只有最新才最有效。需要提醒你的是，你所使用的防病毒软件，不仅是更新病毒定义码，而且同时更新产品的引擎，这是与其它防病毒软件所不一样的。这样的好处在于，可以满足新引擎在侦破和修复方面的需要，从而有效地抑制病毒和蠕虫。

　　3、首次安装防病毒软件时，一定要对计算机做一次彻底的病毒扫描 

　　当你首次在计算机上安装防病毒软件时，一定要花费些时间对机器做一次彻底的病毒扫描，以确保它尚未受过病毒感染。功能先进的防病毒软件供应商现在都已将病毒扫描做为自动程序，当用户在初装其产品时自动执行。

　　 4、插入优盘、光盘和其他可插拔介质前，一定对它们进行病毒扫描。 

　　确保你的计算机对插入的软盘、光盘和其他的可插拔介质，及对电子邮件和互联网文件都会做自动的病毒检查。 

　　 5、不要从任何不可靠的渠道下载任何软件 

　　这一点比较难于做到，因为通常我们无法判断什么是不可靠的渠道。比较容易的做法是认定所有较有名气的在线图书馆未受病毒感染，但是提供软件下载的网站实在太多了，我们无法肯定它们一定都采取了防病毒的措施，所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。 

　　6、警惕欺骗性的病毒 

　　如果你收到一封来自朋友的邮件，声称有一个最具杀伤力的新病毒，并让你将这封警告性质的邮件转发给你所有认识的人，这十有八九是欺骗性的病毒。建议你访问防病毒软件供应商，证实确有其事。这些欺骗性的病毒，不仅浪费收件人的时间，而且可能与其声称的病毒一样有杀伤力。 

　　7、使用其它形式的文档，如.rtf（Rich Text Format）和.pdf（Portable Document Format） 

　　常见的宏病毒使用Microsoft Office的程序传播，减少使用这些文件类型的机会将降低病毒感染风险。尝试用Rich Text存储文件，这并不表明仅在文件名称中用.rtf后缀，而是要在Microsoft Word中，用“另存为”指令，在对话框中选择Rich Text形式存储。尽管Rich Text Format依然可能含有内嵌的对象，但它本身不支持Visual Basic Macros或Jscript。而pdf文件不仅是跨平台的，而且更为安全。当然，这也不是能够彻底避开病毒的万全之计