3.7.2 计算机病毒的防范

作者: 刘宝旭 蒋文保 王晓箴编著 出处:电子工业出版社博文视点 　2007-12-17 19:42　   砖    好    评论  条 　进入论坛

阅读提示：《黑客入侵的主动防御》第三章主要讲了黑客入侵的传统防御技术，本节是计算机病毒的防范.

3.7.2  计算机病毒的防范

计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。

计算机病毒利用读写文件能进行感染，利用驻留内存、截取中断向量等方式进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作，提供对系统的保护，最大限度地避免各种计算机病毒的传染破坏。

老一代的防杀计算机病毒软件只能对计算机系统提供有限的保护，只能识别出已知的计算机病毒。新一代的防杀计算机病毒软件则不仅能识别出已知的计算机病毒，在计算机病毒运行之前发出警报，还能屏蔽掉计算机病毒程序的传染功能和破坏功能，使受感染的程序可以继续运行。同时还能利用计算机病毒的行为特征，防范未知计算机病毒的侵扰和破坏。另外，新一代的防杀计算机病毒软件还能实现超前防御，将系统中可能被计算机病毒利用的资源都加以保护，不给计算机病毒可乘之机。防御是对付计算机病毒的积极而又有效的措施，比等待计算机病毒出现之后再去扫描和清除能更有效地保护计算机系统。

计算机病毒的工作方式是可以分类的，防杀计算机病毒软件就是针对已归纳总结出的这几类计算机病毒工作方式来进行防范的。当被分析过的已知计算机病毒出现时，由于其工作方式早已被记录在案，防杀计算机病毒软件能识别出来；当未曾被分析过的计算机病毒出现时，如果其工作方式仍可被归入已知的工作方式，则这种计算机病毒能被反病毒软件所捕获。这也就是采取积极防御措施的计算机病毒防范方法优越于传统方法的地方。

当然，如果新出现的计算机病毒不按已知的方式工作，这种新的传染方式又不能被反病毒软件所识别，那么反病毒软件也无能为力了。这时只能采取两种措施进行保护：

第一是依靠管理上的措施，及早发现疫情，捕捉计算计算机病毒，修复系统；
第二是选用功能更加完善的、具有更强超前防御能力的反病毒软件，尽可能多地堵住能被计算机病毒利用的系统漏洞。

计算机病毒防范工作，首先是防范体系的建设和制度的建立。没有一个完善的防范体系，一切防范措施都将滞后于计算机病毒的危害。

计算机病毒防范制度是防范体系中每个主体都必须遵循的行为规程，没有制度，防范体系就不可能很好地运作，就不可能达到预期的效果。必须依照防范体系对防范制度的要求，结合实际情况，建立符合自身特点防范制度。

1．常见病毒发作症状

计算机病毒和人体中病毒一样，它的发作也有自己的典型症状，主要有：

（1）屏幕异常滚动，和行同步无关。
（2）系统文件长度发生变化。
（3）出现异常信息、异常图形。
（4）运行速度减慢，系统引导、打印速度变慢。
（5）存储容量异常减少。
（6）系统不能由硬盘引导。
（7）系统出现异常死机。
（8）数据丢失。
（9）执行异常操作。
（10） 绑架安全软件，杀毒软件、系统管理工具、反间谍软件不能正常启动。

2．计算机病毒的预防技术

（1）新购置的计算机硬软件系统的测试  新购置的计算机是有可能携带计算机病毒的。因此，在条件许可的情况下，要用检测计算机病毒软件检查已知计算机病毒，用人工检测方法检查未知计算机病毒，并经过证实没有计算机病毒感染和破坏迹象后再使用。

新购置计算机的硬盘可以进行检测或低级格式化来确保没有计算机病毒存在。对硬盘做FORMAT格式化是不能去除主引导区（分区表）计算机病毒的。

新购置的计算机软件也要进行计算机病毒检测。有些软件厂商发售的软件，可能无意中已被计算机病毒感染。就算是正版软件也难保证没有携带计算机病毒的可能性，更不要说盗版软件了。这在国内外都是有实例的。这时不仅要用杀毒软件查找已知的计算机病毒，还要用人工检测和实验的方法检测。

（2）单台计算机系统的安全使用  在自己的机器上用别人可移动存储设备（如U盘、移动硬盘）前应进行检查。在别人的计算机上使用过自己的已打开了写保护的U盘，再在自己的计算机上使用前，也应进行计算机病毒检测。对重点保护的计算机系统应做到专机、专盘、专人、专用，封闭的使用环境中是不会自然产生计算机病毒的。

（3）重要数据文件要有备份  硬盘分区表、引导扇区等的关键数据应作备份工作，并妥善保管。在进行系统维护和修复工作时可作为参考。

重要数据文件定期进行备份工作。不要等到由于计算机病毒破坏、计算机硬件或软件出现故障，使用户数据受到损伤时再去急救。

（4）三防：防邮件病毒，用户收到邮件时首先要进行病毒扫描，不要随意打开电子邮件里携带的附件；防木马病毒，木马病毒一般是通过恶意网站散播，用户从网上下载任何文件后，一定要先进行病毒扫描再运行；防恶意“好友”，现在很多木马病毒可以通过 MSN、 QQ等即时通信软件或电子邮件传播，一旦你的在线好友感染病毒，那么所有好友将会遭到病毒的入侵。

（5）计算机网络的安全使用  以上这些措施不仅可以应用在单机上，也可以应用在作为网络工作站的计算机上。而对于网络计算机系统，还应采取下列针对网络的防杀计算机病毒措施：

◆安装网络服务器时应，应保证没有计算机病毒存在，即安装环境和网络操作系统本身没有感染计算机病毒。

◆在安装网络服务器时，应将文件系统划分成多个文件卷系统，至少划分成操作系统卷、共享的应用程序卷和各个网络用户可以独占的用户数据卷。这种划分十分有利于维护网络服务器的安全稳定运行和用户数据的安全。

如果系统卷受到某种损伤，导致服务器瘫痪，那么通过重装系统卷，恢复网络操作系统，就可以使服务器又马上投入运行。而装在共享的应用程序卷和用户卷内的程序和数据文件不会受到任何损伤。如果用户卷内由于计算机病毒或由于使用上的原因导致存储空间拥塞时，系统卷是不受影响的，不会导致网络系统运行失常，并且这种划分十分有利于系统管理员设置网络安全存取权限，保证网络系统不受计算机病毒感染和破坏。

◆一定要用硬盘启动网络服务器，否则在受到引导型计算机病毒感染和破坏后，遭受损失的将不是一个人的机器，而会影响到整个网络的中枢。

◆为各个卷分配不同的用户权限。将操作系统卷设置成对一般用户为只读权限，屏蔽其他网络用户对系统卷除读和执行以外的所有其他操作，如修改、改名、删除、创建文件和写文件等操作权限。应用程序卷也应设置成对一般用户是只读权限的，不经授权、不经计算机病毒检测，就不允许在共享的应用程序卷中安装程序。保证除系统管理员外，其他网络用户不可能将计算机病毒感染到系统中，使网络用户总有一个安全的联网工作环境。

◆在网络服务器上必须安装真正有效的防杀计算机病毒软件，并经常进行升级。必要的时候还可以在网关、路由器上安装计算机病毒防火墙产品，从网络出入口保护整个网络不受计算机病毒的侵害。在网络工作站上采取必要的防杀计算机病毒措施，可使用户不必担心来自网络内和网络工作站本身的计算机病毒侵害。

◆系统管理员的职责：系统管理员的口令应严格管理，不使泄漏，不定期地予以更换，保护网络系统不被非法存取，不被感染上计算机病毒或遭受破坏。

在安装应用程序软件时，应由系统管理员进行，或由系统管理员临时授权进行。以保护网络用户使用共享资源时总是安全无毒的。

系统管理员对网络内的共享电子函件系统、共享存储区域和用户卷应定期进行计算机病毒扫描，发现异常情况及时处理。如果可能，在应用程序卷中安装最新版本的防杀计算机病毒软件供用户使用。

网络系统管理员应在做好日常管理事务的同时，还要准备应急措施，及时发现计算机病毒感染迹象。当出现计算机病毒传播迹象时，应立即隔离被感染的计算机系统和网络，并进行处理。不应当带毒继续工作下去，要按照特别情况清查整个网络，切断计算机病毒传播的途径，保障正常工作的进行。必要的时候应立即得到专家的帮助。

回书目   上一节   下一节