防范計算機病毒的常用方法

摘要：研究防范計算機病毒的常用方法，通過(guò)反病毒軟件的更新?lián)Q代和實(shí)際應用，進(jìn)行主動(dòng)防御，來(lái)做好個(gè)人計算機和服務(wù)器的防范。
關(guān)鍵詞：反病毒軟件；個(gè)人終端防護；防火墻；備份

0 引言
隨著(zhù)這幾年網(wǎng)絡(luò )的迅猛發(fā)展，利用網(wǎng)絡(luò )技術(shù)，以網(wǎng)絡(luò )為載體頻頻暴發(fā)的間諜程序，蠕蟲(chóng)病毒、游戲木馬、郵件病毒、MSN病毒、黑客程序等網(wǎng)絡(luò )新病毒，已經(jīng)顛覆了傳統的病毒概念。與傳統病毒相比，網(wǎng)絡(luò )病毒呈現傳播速度空前、數量與種類(lèi)劇增、全球性暴發(fā)、攻擊途徑多樣化、以利益獲取為目的、造成損失具災難性等突出特點(diǎn)，使防范病毒的必要性越來(lái)越緊迫。
特征值掃描是目前國際上反病毒公司普遍采用的查毒技術(shù)。其核心是從病毒體中提取病毒特征值構成病毒特征庫，殺毒軟件將用戶(hù)計算機中的文件或程序等目標，與病毒特征庫中的特征值逐一比對，判斷該目標是否被病毒感染。該技術(shù)要求從病毒體中提取病毒特征值，所以只有等到新病毒出現后，才有可能獲得病毒體，并針對它進(jìn)行單獨處理。這種方法的固有缺陷是對新病毒的防范始終滯后于病毒的出現。
因此我們需要對病毒進(jìn)行主動(dòng)防御，本文將從兩個(gè)方面來(lái)論述如何進(jìn)行主動(dòng)防御。

1 反病毒軟件更新?lián)Q代
長(cháng)期以來(lái)，人們把殺毒軟件作為最主要的反病毒工具，殺毒軟件幾乎成了所有反病毒產(chǎn)品的代名詞，殺毒軟件賴(lài)以生存的“特征值掃描技術(shù)”也幾乎成了所有反病毒技術(shù)的代名詞。正因為如此，殺毒軟件對新病毒的防范始終滯后于病毒出現的重大缺陷，似乎成為既合情又合理的反病毒邏輯，導致人們普遍認為反病毒產(chǎn)品不可能主動(dòng)防御新病毒，甚至等同于防范一種未知的疾病。
其實(shí)，既然計算機病毒概念是人依據程序行為來(lái)定義的，現有殺毒軟件本身如果不能發(fā)現新病毒，但是人本身是可以發(fā)現新病毒的。如果人不能發(fā)現新病毒，也就意味著(zhù)反病毒公司研發(fā)人員也就不可能發(fā)現新病毒，不可能升級殺毒軟件。也就是說(shuō)，新病毒一定是人通過(guò)相應的方法判斷出來(lái)的。
因此識別病毒可以采用采用動(dòng)態(tài)分析，直接通過(guò)程序的行為判斷它是否是病毒。即根據程序的行為是否符合病毒定義做出判斷，如果符合就是病毒，不符合就不是。舉例來(lái)說(shuō)在對某個(gè)可疑程序進(jìn)行判斷時(shí)，為了做出準確判斷，必須在可控范圍內運行可疑程序，然后再根據程序的行為判斷是否是病毒。如：MSN蠕蟲(chóng)病毒通過(guò)MSN自動(dòng)給好友發(fā)送病毒文件。我們可以通過(guò)制定規則：如果MSN接收的某個(gè)文件運行后，模擬鍵盤(pán)或鼠標動(dòng)作，自動(dòng)點(diǎn)擊MSN的“發(fā)送文件”命令，把它或它的生成物自動(dòng)發(fā)送給其他MSN聯(lián)系人，則這個(gè)文件就是病毒。
也許有人會(huì )說(shuō)，建立殺毒軟件自動(dòng)識別新病毒會(huì )很難。第一，病毒防范是一個(gè)非常技術(shù)的工作，世界上反病毒軟件專(zhuān)家和程序員本就非常少，培訓起來(lái)也很困難；第二，不可能預知新的病毒會(huì )是什么模式的病毒，建立相關(guān)的規則也是非常龐大而不太可能實(shí)現的。然而，我們可以看到，雖然病毒越來(lái)越多，但真正有創(chuàng )意的、技術(shù)上有突破的病毒很少，不到總數的1％。而且這類(lèi)病毒通常是概念病毒，一般破壞性不大。絕大多數病毒都是模仿其它病毒編寫(xiě)的，這些病毒的傳播、感染、加載、破壞等行為特點(diǎn)都可以從已經(jīng)存在的病毒找到，一個(gè)計算機本科畢業(yè)生經(jīng)過(guò)短期培訓，通常都可勝任人工識別這類(lèi)新病毒的工作。因此識別絕大多數新病毒，并不是一件很難的事，只是要把人工識別轉化為計算機自動(dòng)判斷的coding過(guò)程，對病毒的行為進(jìn)行分析、歸納、總結，將人為的經(jīng)驗進(jìn)行科學(xué)提煉。因此，我們說(shuō)實(shí)現軟件自動(dòng)識別病毒是可行的。
跳出傳統技術(shù)路線(xiàn)，盡快研制以行為自動(dòng)監控、行為自動(dòng)分析、行為自動(dòng)診斷為新思路的主動(dòng)防御型產(chǎn)品，從根本上克服殺毒軟件重大缺陷，建立主動(dòng)防御為主、結合現有反病毒技術(shù)的綜合防范體系，實(shí)現反病毒技術(shù)的革命性飛躍和反病毒產(chǎn)業(yè)的升級，是具有極現實(shí)的緊迫性的。

2 做好個(gè)人計算機和服務(wù)器的防范
雖然現有反病毒軟件對新病毒的防范并不完美，但是防火墻+殺毒軟件畢竟是必要的工具，可以節省大量的時(shí)間和精力，也許大家有手工殺毒的能力。但普通用戶(hù)誰(shuí)愿意自己搜索病毒呢?誰(shuí)能知道那個(gè)正常進(jìn)程被插入病毒，誰(shuí)愿意一個(gè)一個(gè)殺病毒副本，許多東西我們沒(méi)辦法判斷的；而另外的防火墻，不太可能有人愿意手動(dòng)不停地監視連接情況，去手工抗DDOS，去手工丟棄非法的包……上面的這一切不是普通用戶(hù)可以掌握的技術(shù)。
2．1 殺毒軟件和網(wǎng)絡(luò )防火墻
無(wú)論是菜鳥(niǎo)還是飛鳥(niǎo)，殺毒軟件和網(wǎng)絡(luò )防火墻都是必需的。上網(wǎng)前或啟動(dòng)機器后自動(dòng)運行這些軟件，就好像給你的機器“穿”上了一層或許說(shuō)并不完美的“保護衣”，就算不能完全杜絕網(wǎng)絡(luò )病毒的襲擊，起碼也能把大部分的網(wǎng)絡(luò )病毒拒之門(mén)外。目前殺毒軟件非常多，但千萬(wàn)不能使用一些破解的殺毒軟件，以免因小失大。安裝軟件后，要堅持定期更新病毒庫和殺毒程序，以最大限度地發(fā)揮出軟件應有的功效，給計算機以保護。
2．2 下載文件后進(jìn)行殺毒掃描
我們下載文件要小心仔細，網(wǎng)絡(luò )病毒之所以得以泛濫，很大程度上跟人們的惰性和僥幸心理有關(guān)。當我們下載文件后，最好立即用殺毒軟件掃描一遍，不要怕麻煩，尤其是對于一些Flash、MP3、文本文件同樣不能掉以輕心，因為現在已經(jīng)有病毒可以藏身在這些容易被大家忽視的文件中了。