防范計算機(jī)病毒的常用方法

摘要：研究防范計算機(jī)病毒的常用方法，通過反病毒軟件的更新?lián)Q代和實際應(yīng)用，進(jìn)行主動防御，來做好個人計算機(jī)和服務(wù)器的防范。
關(guān)鍵詞：反病毒軟件；個人終端防護(hù)；防火墻；備份

0 引言
    隨著這幾年網(wǎng)絡(luò)的迅猛發(fā)展，利用網(wǎng)絡(luò)技術(shù)，以網(wǎng)絡(luò)為載體頻頻暴發(fā)的間諜程序，蠕蟲病毒、游戲木馬、郵件病毒、MSN病毒、黑客程序等網(wǎng)絡(luò)新病毒，已經(jīng)顛覆了傳統(tǒng)的病毒概念。與傳統(tǒng)病毒相比，網(wǎng)絡(luò)病毒呈現(xiàn)傳播速度空前、數(shù)量與種類劇增、全球性暴發(fā)、攻擊途徑多樣化、以利益獲取為目的、造成損失具災(zāi)難性等突出特點，使防范病毒的必要性越來越緊迫。
    特征值掃描是目前國際上反病毒公司普遍采用的查毒技術(shù)。其核心是從病毒體中提取病毒特征值構(gòu)成病毒特征庫，殺毒軟件將用戶計算機(jī)中的文件或程序等目標(biāo)，與病毒特征庫中的特征值逐一比對，判斷該目標(biāo)是否被病毒感染。該技術(shù)要求從病毒體中提取病毒特征值，所以只有等到新病毒出現(xiàn)后，才有可能獲得病毒體，并針對它進(jìn)行單獨處理。這種方法的固有缺陷是對新病毒的防范始終滯后于病毒的出現(xiàn)。
    因此我們需要對病毒進(jìn)行主動防御，本文將從兩個方面來論述如何進(jìn)行主動防御。

1 反病毒軟件更新?lián)Q代
    長期以來，人們把殺毒軟件作為最主要的反病毒工具，殺毒軟件幾乎成了所有反病毒產(chǎn)品的代名詞，殺毒軟件賴以生存的“特征值掃描技術(shù)”也幾乎成了所有反病毒技術(shù)的代名詞。正因為如此，殺毒軟件對新病毒的防范始終滯后于病毒出現(xiàn)的重大缺陷，似乎成為既合情又合理的反病毒邏輯，導(dǎo)致人們普遍認(rèn)為反病毒產(chǎn)品不可能主動防御新病毒，甚至等同于防范一種未知的疾病。
    其實，既然計算機(jī)病毒概念是人依據(jù)程序行為來定義的，現(xiàn)有殺毒軟件本身如果不能發(fā)現(xiàn)新病毒，但是人本身是可以發(fā)現(xiàn)新病毒的。如果人不能發(fā)現(xiàn)新病毒，也就意味著反病毒公司研發(fā)人員也就不可能發(fā)現(xiàn)新病毒，不可能升級殺毒軟件。也就是說，新病毒一定是人通過相應(yīng)的方法判斷出來的。
    因此識別病毒可以采用采用動態(tài)分析，直接通過程序的行為判斷它是否是病毒。即根據(jù)程序的行為是否符合病毒定義做出判斷，如果符合就是病毒，不符合就不是。舉例來說在對某個可疑程序進(jìn)行判斷時，為了做出準(zhǔn)確判斷，必須在可控范圍內(nèi)運行可疑程序，然后再根據(jù)程序的行為判斷是否是病毒。如：MSN蠕蟲病毒通過MSN自動給好友發(fā)送病毒文件。我們可以通過制定規(guī)則：如果MSN接收的某個文件運行后，模擬鍵盤或鼠標(biāo)動作，自動點擊MSN的“發(fā)送文件”命令，把它或它的生成物自動發(fā)送給其他MSN聯(lián)系人，則這個文件就是病毒。
    也許有人會說，建立殺毒軟件自動識別新病毒會很難。第一，病毒防范是一個非常技術(shù)的工作，世界上反病毒軟件專家和程序員本就非常少，培訓(xùn)起來也很困難；第二，不可能預(yù)知新的病毒會是什么模式的病毒，建立相關(guān)的規(guī)則也是非常龐大而不太可能實現(xiàn)的。然而，我們可以看到，雖然病毒越來越多，但真正有創(chuàng)意的、技術(shù)上有突破的病毒很少，不到總數(shù)的1％。而且這類病毒通常是概念病毒，一般破壞性不大。絕大多數(shù)病毒都是模仿其它病毒編寫的，這些病毒的傳播、感染、加載、破壞等行為特點都可以從已經(jīng)存在的病毒找到，一個計算機(jī)本科畢業(yè)生經(jīng)過短期培訓(xùn)，通常都可勝任人工識別這類新病毒的工作。因此識別絕大多數(shù)新病毒，并不是一件很難的事，只是要把人工識別轉(zhuǎn)化為計算機(jī)自動判斷的coding過程，對病毒的行為進(jìn)行分析、歸納、總結(jié)，將人為的經(jīng)驗進(jìn)行科學(xué)提煉。因此，我們說實現(xiàn)軟件自動識別病毒是可行的。
    跳出傳統(tǒng)技術(shù)路線，盡快研制以行為自動監(jiān)控、行為自動分析、行為自動診斷為新思路的主動防御型產(chǎn)品，從根本上克服殺毒軟件重大缺陷，建立主動防御為主、結(jié)合現(xiàn)有反病毒技術(shù)的綜合防范體系，實現(xiàn)反病毒技術(shù)的革命性飛躍和反病毒產(chǎn)業(yè)的升級，是具有極現(xiàn)實的緊迫性的。

2 做好個人計算機(jī)和服務(wù)器的防范
    雖然現(xiàn)有反病毒軟件對新病毒的防范并不完美，但是防火墻+殺毒軟件畢竟是必要的工具，可以節(jié)省大量的時間和精力，也許大家有手工殺毒的能力。但普通用戶誰愿意自己搜索病毒呢?誰能知道那個正常進(jìn)程被插入病毒，誰愿意一個一個殺病毒副本，許多東西我們沒辦法判斷的；而另外的防火墻，不太可能有人愿意手動不停地監(jiān)視連接情況，去手工抗DDOS，去手工丟棄非法的包……上面的這一切不是普通用戶可以掌握的技術(shù)。
2．1 殺毒軟件和網(wǎng)絡(luò)防火墻
    無論是菜鳥還是飛鳥，殺毒軟件和網(wǎng)絡(luò)防火墻都是必需的。上網(wǎng)前或啟動機(jī)器后自動運行這些軟件，就好像給你的機(jī)器“穿”上了一層或許說并不完美的“保護(hù)衣”，就算不能完全杜絕網(wǎng)絡(luò)病毒的襲擊，起碼也能把大部分的網(wǎng)絡(luò)病毒拒之門外。目前殺毒軟件非常多，但千萬不能使用一些破解的殺毒軟件，以免因小失大。安裝軟件后，要堅持定期更新病毒庫和殺毒程序，以最大限度地發(fā)揮出軟件應(yīng)有的功效，給計算機(jī)以保護(hù)。
2．2 下載文件后進(jìn)行殺毒掃描
    我們下載文件要小心仔細(xì)，網(wǎng)絡(luò)病毒之所以得以泛濫，很大程度上跟人們的惰性和僥幸心理有關(guān)。當(dāng)我們下載文件后，最好立即用殺毒軟件掃描一遍，不要怕麻煩，尤其是對于一些Flash、MP3、文本文件同樣不能掉以輕心，因為現(xiàn)在已經(jīng)有病毒可以藏身在這些容易被大家忽視的文件中了。
2．3 對不良站點和郵件的防范
    很多中了網(wǎng)頁病毒的朋友，都是因為訪問不良站點惹的禍，因此，不去瀏覽這類網(wǎng)頁會讓你省心不少。另外，當(dāng)我們在論壇、聊天室等地方看到有推薦瀏覽某個URL時，要千萬小心，以免不幸“遇害”，或者嘗試使用以下步驟加以防范：1)打開殺毒軟件和網(wǎng)絡(luò)防火墻；2)把Internet選項的安全級別設(shè)為“高”；3)盡量使用以IE為內(nèi)核的瀏覽器(如MyIE2)，然后在MyIE2中新建一個空白標(biāo)簽，并關(guān)閉Script、java Apple、ActiveX功能后再輸入URL。
    特別是，當(dāng)我們發(fā)現(xiàn)有“你中獎啦!”、“打開附件會有意外驚喜哦!”這些話，千萬別信!看到類似廣告的郵件標(biāo)題，最好馬上把它刪掉。對于形跡可疑的郵件(特別是HTML格式)，不要隨便打開，如果是你熟悉的朋友發(fā)來的，可以先與對方核實后再作處理。同時，也有必要采取一定措施來預(yù)防郵件病毒：
    (1)盡量不要用Outlook作為你的郵件客戶端，改以Foxmail等代替，同時以文本方式書寫和閱讀郵件，這樣就不用擔(dān)心潛伏在HTML中的病毒了；
    (2)多使用遠(yuǎn)程郵箱功能，利用遠(yuǎn)程郵箱的預(yù)覽功能(查看郵件Header和部分正文)，可以及時找出垃圾郵件和可疑郵件，從而把病毒郵件直接從服務(wù)器上趕走；
    (3)不要在Web郵箱中直接閱讀可疑郵件，因為這種閱讀方法與瀏覽網(wǎng)頁的原理一樣，需要執(zhí)行一些腳本或Applet才能顯示信息，有一定危險性。
    還有，當(dāng)前各種各樣的安全漏洞給網(wǎng)絡(luò)病毒開了方便之門(其中以IE和PHP腳本語言的漏洞最多)，我們平時除了注意及時對系統(tǒng)軟件和網(wǎng)絡(luò)軟件進(jìn)行必要升級外，還要盡快為各種漏洞打上最新的補(bǔ)丁。其中一個檢測漏洞的簡易方法就是直接使用系統(tǒng)中自帶的“WindowsUpdate”功能，讓微軟為你的電腦來一次“全身檢查”并打上安全補(bǔ)丁。當(dāng)然也可以使用其他軟件對計算機(jī)進(jìn)行安全檢測(例如東方衛(wèi)士的“系統(tǒng)漏洞檢測精靈”就是一個不錯的軟件)，以便及早發(fā)現(xiàn)漏洞。
    不管網(wǎng)絡(luò)病毒如何神通廣大，它要對計算機(jī)進(jìn)行破壞，總是要調(diào)用系統(tǒng)文件的執(zhí)行程序(例如format．exe、delete．exe、deltree．exe等)，根據(jù)這個特點，我們可以對這些危險文件采用改名、更改后綴、更換存放目錄、用軟件進(jìn)行加密保護(hù)等多種方法進(jìn)行防范，讓病毒無從下手。
2．4 定時備份
    我們要做到有備無患，正所謂“智者干慮，必有一失”，為保證計算機(jī)內(nèi)重要數(shù)據(jù)的安全，定時備份少不了。如果我們能做好備份工作，即使遭受網(wǎng)絡(luò)病毒的全面破壞，也能把損失減至最小。當(dāng)然，前提條件是必須保證備份前數(shù)據(jù)沒被感染病毒，否則只能是徒勞無功。另外，要盡量把備份文件刻錄到光盤上或存放到隱藏分區(qū)中，以免“全軍覆沒”。
2．5 一些防范病毒的常用方法
2．5．1 清空瀏覽器的臨時文件

2．5．2 關(guān)閉共享文件夾

2．5．3 刪除病毒／木馬程序的自啟動項
    步驟：打開注冊表編輯器：“開始”>>“運行”，輸入“REGEDIT”，點擊“確定”打開注冊表編輯器，找到下面的鍵值：

2．5．4 打開系統(tǒng)配置實用程序
    步驟：“開始”>>“運行”，輸入“msconfig”，點擊“確定”打開系統(tǒng)配置實用程序，禁用不必要的配置

2．5．5 關(guān)閉一些可能會成為安全隱患的服務(wù)
    步驟：打開控制面板一計算機(jī)管理一服務(wù)，關(guān)閉下列具有危險性質(zhì)的服務(wù)(可能已經(jīng)被禁止)
    (1)NetMeeting Remote Desktop Sharing：允許授權(quán)的用戶通過NetMeeting在網(wǎng)絡(luò)上互相訪問對方。這項服務(wù)對大多數(shù)個人用戶并沒有多大用處，況且服務(wù)的開啟還會帶來安全問題，因為上網(wǎng)時該服務(wù)會把用戶名以明文形式發(fā)送到連接它的客戶端，黑客的嗅探程序很容易就能探測到這些賬戶信息。
    (2)Universal plug and pray Device Host：此服務(wù)是為通用的即插即用設(shè)備提供支持。這項服務(wù)存在一個安全漏洞，運行此服務(wù)的計算機(jī)很容易受到攻擊。攻擊者只要向某個擁有多臺Win XP系統(tǒng)的網(wǎng)絡(luò)發(fā)送一個虛假的UDP包，就可能會造成這些Win XP主機(jī)對指定的主機(jī)進(jìn)行攻擊(DDoS)。另外如果向該系統(tǒng)1900端口發(fā)送一個UDP包，令“Location”域的地址指向另一系統(tǒng)的chargen端口，就有可能使系統(tǒng)陷入一個死循環(huán)，消耗掉系統(tǒng)的所有資源(需要安裝硬件時需手動開啟)。
    (3)Messenger：俗稱信使服務(wù)，電腦用戶在局域網(wǎng)內(nèi)可以利用它進(jìn)行資料交換(傳輸客戶端和服務(wù)器之間的Net Send和Alerter服務(wù)消息，此服務(wù)與Windows Messenger無關(guān)。如果服務(wù)停止，Alerter消息不會被傳輸)。這是一個危險而討厭的服務(wù)，Messenger服務(wù)基本上是用在企業(yè)的網(wǎng)絡(luò)管理上，但是垃圾郵件和垃圾廣告廠商，也經(jīng)常利用該服務(wù)發(fā)布彈出式廣告，標(biāo)題為“信使服務(wù)”。而且這項服務(wù)有漏洞，MSBlast和Slammer病毒就是用它來進(jìn)行快速傳播的。
    (4)Terminal Services：允許多位用戶連接并控制一臺機(jī)器，并且在遠(yuǎn)程計算機(jī)上顯示桌面和應(yīng)用程序。如果你不使甩Win XP的遠(yuǎn)程控制功能，可以禁止它。
    (5)Remote Registry：使遠(yuǎn)程用戶能修改此計算機(jī)上的注冊表設(shè)置。注冊表可以說是系統(tǒng)的核心內(nèi)容，一般用戶都不建議自行更改，更何況要讓別人遠(yuǎn)程修改，所以這項服務(wù)是極其危險的。
    (6)Fast User Switching Compatibility：在多用戶下為需要協(xié)助的應(yīng)用程序提供管理。Windows XP允許在一臺電腦上進(jìn)行多用戶之間的快速切換，但是這項功能有個漏洞，當(dāng)你點擊“開始→注銷→快速切換”，在傳統(tǒng)登錄方式下重復(fù)輸入一個用戶名進(jìn)行登錄時，系統(tǒng)會認(rèn)為是暴力破解，而鎖定所有非管理員賬戶。如果不經(jīng)常使用，可以禁止該服務(wù)?；蛘咴?ldquo;控制面板→用戶賬戶→更改用戶登錄或注銷方式”中取消“使用快速用戶切換”。
    (7)Telnet：允許遠(yuǎn)程用戶登錄到此計算機(jī)并運行程序，并支持多種TCP／IP Teinet客戶，包括基于UNIX和Windows的計算機(jī)。又一個危險的服務(wù)，如果啟動，遠(yuǎn)程用戶就可以登錄、訪問本地的程序，甚至可以用它來修改你的ADSL Modem等的網(wǎng)絡(luò)設(shè)置。除非你是網(wǎng)絡(luò)專業(yè)人員或電腦不作為服務(wù)器使用，否則一定要禁止它。
    (8)Performance LogsAndAlerts：收集本地或遠(yuǎn)程計算機(jī)基于預(yù)先配置的日程參數(shù)的性能數(shù)據(jù)，然后將此數(shù)據(jù)寫入日志或觸發(fā)警報。為了防止被遠(yuǎn)程計算機(jī)搜索數(shù)據(jù)，堅決禁止它。
    (9)Remote Desktop Help Session Manager：如果此服務(wù)被終止，遠(yuǎn)程協(xié)助將不可用。

3 結(jié)束語
    以上從病毒防范的基本思路和個人終端防護(hù)兩個方面作了基本闡述，總而言之，與病毒的抗?fàn)幨莻€長期的過程。不可能存在一種方法或者一個軟件可以防范所有的病毒，也不可能存在一種病毒可以繞過所有的防病毒措施。因此，我們要正面認(rèn)識病毒，客觀承認(rèn)計算機(jī)病毒的存在，但不要懼怕病毒。樹立計算機(jī)病毒意識，掌握必要的計算機(jī)病毒知識和病毒防治技術(shù)，積極采取預(yù)防(備份等)措施。