计算机病毒的预防技术
说到预防计算机病毒,正如不可能研究出一种像能包治人类百病的灵丹妙药一样,研制出万能的防计算机病毒程序也是不可能的。但可针对病毒的特点,利用现有的技术,开发出新的技术,使防御病毒软件在与计算机病毒的对抗中不断得到完善,更好地发挥保护计算机的作用。
计算机病毒预防是指在病毒尚未入侵或刚刚入侵时,就拦截、阻击病毒的入侵或立即报警。目前在预防病毒工具中采用的技术主要有:
1.将大量的消毒/杀毒软件汇集一体,检查是否存在已知病毒,如在开机时或在执行每一个可执行文件前执行扫描程序。这种工具的缺点是:对变种或未知病毒无效;系统开销大,常驻内存,每次扫描都要花费一定时间,已知病毒越多,扫描时间越长。
2.检测一些病毒经常要改变的系统信息,如引导区、中断向量表、可用内存空间等,以确定是否存在病毒行为。其缺点是:无法准确识别正常程序与病毒程序的行为,常常报警,而频频误报警的结果是使用户失去对病毒的戒心。
3.监测写盘操作,对引导区BR或主引导区MBR的写操作报警。若有一个程序对可执行文件进行写操作,就认为该程序可能是病毒,阻击其写操作,并报警。其缺点是:一些正常程序与病毒程序同样有写操作,因而被误报警。
4.对计算机系统中的文件形成一个密码检验码和实现对程序完整性的验证,在程序执行前或定期对程序进行密码校验,如有不匹配现象即报警。其缺点是:易于早发现病毒,对已知和未知病毒都有防止和抑制能力。
5.智能判断型:设计病毒行为过程判定知识库,应用人工智能技术,有效区分正常程序与病毒程序行为,是否误报警取决于知识库选取的合理性。其缺点是:单一的知识库无法覆盖所有的病毒行为,如对不驻留内存的新病毒,就会漏报。
6.智能监察型:设计病毒特征库(静态),病毒行为知识库(动态),受保护程序存取行为知识库(动态)等多个知识库及相应的可变推理机。通过调整推理机,能够对付新类型病毒,误报和漏报较少。这是未来预防病毒技术发展的方向。
如何将病毒拒之门外
一、选择防毒软件
根据杀毒软件的查毒杀毒机制,一般情况下分为五种类型:扫描型、行为封锁型、访问控制型、完整性检查程序、启发式分析程序。其中以扫描型为主,这种类型具有检测速度快、误报少的优点,对被已知病毒感染的程序和数据,一般都能恢复。让人感觉不便的地方,是需要经常升级。这类程序只有使用了适当的扫描引擎才能对付变形病毒。在选择防病毒软件时,应以“扫描式”为主,其它方式为辅。
二、工作站防毒
由于网络是一个互联的整体,再加上现在很多病毒都有可能在网上传播,即一台电脑上染上病毒,通过网络很快使其它电脑都有可能染上病毒,所以对于网络防病毒,首先要从工作站抓起。
具体说来,个人用户要注意如下几点:
1.慎用软盘、光盘等移动存储介质。
2.选用优秀反病毒软件。
3.正确使用反病毒软件,第一要保持及时升级或更新反病毒软件,使它最有效地防杀最新出现的病毒;第二是不要关闭反病毒软件的实时监视功能。
如果个人用户经常上网,除要严格遵守以上三点以外,还要从以下几个方面引起注意:
1.不要轻易打开中的附件,尤其是可执行文件、Office文档文件。
计算机病毒的定义2. 浏览网页(特别是个人网页)时要谨慎──当浏览器出现“是否要下载ActiveX控件或Java脚本”警告通知框,为安全起见,不要轻易下载。
3.定义浏览器安全设置:以IE5为例,选择“工具”菜单下的“Internet选项”,选择其中的“安全”标签,点击“自定义级别”按钮,可设置禁止(或提示)下载ActiveX、禁用(或提示启动)Java脚本等安全设置。
4.使用免费、共享软件时要注意先查毒。
5.设置CMOS安全功能:将CMOS中Virus Warning设置为Enabled;将CMOS中FlashBIOS Protect设置为Enabled。
6.以RTF格式作为交换文档文件:当前寄生在Word等文档文件中的宏病毒非常猖獗,防不胜防。RTF格式的文档文件无法储存宏代码,从根本上杜绝了宏病毒的传播。
7.不要在线启动、阅读某些文件,否则你很有可能成为网络病毒的传播者,尤其是在这个蠕虫病毒流行的年代。
三、服务器防毒
网络环境中服务器实际上扮演着病毒中转站的角。服务器中只要有一个共享程序或文件受到感染,那么连接到这个共享资源的用户势必受到感染。
受染文件存在服务器有以下原因:
1.受染文件直接由工作站拷贝至服务器;
2.由服务器自己的可移动媒介复制到硬盘上;
3.一个带有受染文件的备份被恢复至系统;
4.病毒由服务器的通讯端口传入系统。
一般来说,一个专职的服务器将不会直接受到病毒的感染。但是,如果工作站拥有管理员权限,那么服务器仍然有可能受到病毒攻击。
保护服务器的一些方法:
1.经常备份系统;
2.为不同的用户分配各自相应的权限;
3.不要将服务器用作工作站;
4.不要在服务器上运行应用程序;
5.仅安装正版程序;
6.禁止软盘启动。
瑞星反病毒专家的安全建议:
1.建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
2.关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如FTP 客户端、Telnet 和Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
3.经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象红代码、尼姆达等病毒,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。
4.使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6.了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏:如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、遇到问题要上报,这样才能真正保障计算机的安全。