防范計算機病毒的常用方法

摘要：研究防范計算機病毒的常用方法，通過反病毒軟件的更新?lián)Q代和實際應用，進行主動防御，來做好個人計算機和服務器的防范。
關鍵詞：反病毒軟件；個人終端防護；防火墻；備份

0 引言
隨著這幾年網(wǎng)絡的迅猛發(fā)展，利用網(wǎng)絡技術(shù)，以網(wǎng)絡為載體頻頻暴發(fā)的間諜程序，蠕蟲病毒、游戲木馬、郵件病毒、MSN病毒、黑客程序等網(wǎng)絡新病毒，已經(jīng)顛覆了傳統(tǒng)的病毒概念。與傳統(tǒng)病毒相比，網(wǎng)絡病毒呈現(xiàn)傳播速度空前、數(shù)量與種類劇增、全球性暴發(fā)、攻擊途徑多樣化、以利益獲取為目的、造成損失具災難性等突出特點，使防范病毒的必要性越來越緊迫。
特征值掃描是目前國際上反病毒公司普遍采用的查毒技術(shù)。其核心是從病毒體中提取病毒特征值構(gòu)成病毒特征庫，殺毒軟件將用戶計算機中的文件或程序等目標，與病毒特征庫中的特征值逐一比對，判斷該目標是否被病毒感染。該技術(shù)要求從病毒體中提取病毒特征值，所以只有等到新病毒出現(xiàn)后，才有可能獲得病毒體，并針對它進行單獨處理。這種方法的固有缺陷是對新病毒的防范始終滯后于病毒的出現(xiàn)。
因此我們需要對病毒進行主動防御，本文將從兩個方面來論述如何進行主動防御。

1 反病毒軟件更新?lián)Q代
長期以來，人們把殺毒軟件作為最主要的反病毒工具，殺毒軟件幾乎成了所有反病毒產(chǎn)品的代名詞，殺毒軟件賴以生存的“特征值掃描技術(shù)”也幾乎成了所有反病毒技術(shù)的代名詞。正因為如此，殺毒軟件對新病毒的防范始終滯后于病毒出現(xiàn)的重大缺陷，似乎成為既合情又合理的反病毒邏輯，導致人們普遍認為反病毒產(chǎn)品不可能主動防御新病毒，甚至等同于防范一種未知的疾病。
其實，既然計算機病毒概念是人依據(jù)程序行為來定義的，現(xiàn)有殺毒軟件本身如果不能發(fā)現(xiàn)新病毒，但是人本身是可以發(fā)現(xiàn)新病毒的。如果人不能發(fā)現(xiàn)新病毒，也就意味著反病毒公司研發(fā)人員也就不可能發(fā)現(xiàn)新病毒，不可能升級殺毒軟件。也就是說，新病毒一定是人通過相應的方法判斷出來的。
因此識別病毒可以采用采用動態(tài)分析，直接通過程序的行為判斷它是否是病毒。即根據(jù)程序的行為是否符合病毒定義做出判斷，如果符合就是病毒，不符合就不是。舉例來說在對某個可疑程序進行判斷時，為了做出準確判斷，必須在可控范圍內(nèi)運行可疑程序，然后再根據(jù)程序的行為判斷是否是病毒。如：MSN蠕蟲病毒通過MSN自動給好友發(fā)送病毒文件。我們可以通過制定規(guī)則：如果MSN接收的某個文件運行后，模擬鍵盤或鼠標動作，自動點擊MSN的“發(fā)送文件”命令，把它或它的生成物自動發(fā)送給其他MSN聯(lián)系人，則這個文件就是病毒。
也許有人會說，建立殺毒軟件自動識別新病毒會很難。第一，病毒防范是一個非常技術(shù)的工作，世界上反病毒軟件專家和程序員本就非常少，培訓起來也很困難；第二，不可能預知新的病毒會是什么模式的病毒，建立相關的規(guī)則也是非常龐大而不太可能實現(xiàn)的。然而，我們可以看到，雖然病毒越來越多，但真正有創(chuàng)意的、技術(shù)上有突破的病毒很少，不到總數(shù)的1％。而且這類病毒通常是概念病毒，一般破壞性不大。絕大多數(shù)病毒都是模仿其它病毒編寫的，這些病毒的傳播、感染、加載、破壞等行為特點都可以從已經(jīng)存在的病毒找到，一個計算機本科畢業(yè)生經(jīng)過短期培訓，通常都可勝任人工識別這類新病毒的工作。因此識別絕大多數(shù)新病毒，并不是一件很難的事，只是要把人工識別轉(zhuǎn)化為計算機自動判斷的coding過程，對病毒的行為進行分析、歸納、總結(jié)，將人為的經(jīng)驗進行科學提煉。因此，我們說實現(xiàn)軟件自動識別病毒是可行的。
跳出傳統(tǒng)技術(shù)路線，盡快研制以行為自動監(jiān)控、行為自動分析、行為自動診斷為新思路的主動防御型產(chǎn)品，從根本上克服殺毒軟件重大缺陷，建立主動防御為主、結(jié)合現(xiàn)有反病毒技術(shù)的綜合防范體系，實現(xiàn)反病毒技術(shù)的革命性飛躍和反病毒產(chǎn)業(yè)的升級，是具有極現(xiàn)實的緊迫性的。

2 做好個人計算機和服務器的防范
雖然現(xiàn)有反病毒軟件對新病毒的防范并不完美，但是防火墻+殺毒軟件畢竟是必要的工具，可以節(jié)省大量的時間和精力，也許大家有手工殺毒的能力。但普通用戶誰愿意自己搜索病毒呢?誰能知道那個正常進程被插入病毒，誰愿意一個一個殺病毒副本，許多東西我們沒辦法判斷的；而另外的防火墻，不太可能有人愿意手動不停地監(jiān)視連接情況，去手工抗DDOS，去手工丟棄非法的包……上面的這一切不是普通用戶可以掌握的技術(shù)。
2．1 殺毒軟件和網(wǎng)絡防火墻
無論是菜鳥還是飛鳥，殺毒軟件和網(wǎng)絡防火墻都是必需的。上網(wǎng)前或啟動機器后自動運行這些軟件，就好像給你的機器“穿”上了一層或許說并不完美的“保護衣”，就算不能完全杜絕網(wǎng)絡病毒的襲擊，起碼也能把大部分的網(wǎng)絡病毒拒之門外。目前殺毒軟件非常多，但千萬不能使用一些破解的殺毒軟件，以免因小失大。安裝軟件后，要堅持定期更新病毒庫和殺毒程序，以最大限度地發(fā)揮出軟件應有的功效，給計算機以保護。
2．2 下載文件后進行殺毒掃描
我們下載文件要小心仔細，網(wǎng)絡病毒之所以得以泛濫，很大程度上跟人們的惰性和僥幸心理有關。當我們下載文件后，最好立即用殺毒軟件掃描一遍，不要怕麻煩，尤其是對于一些Flash、MP3、文本文件同樣不能掉以輕心，因為現(xiàn)在已經(jīng)有病毒可以藏身在這些容易被大家忽視的文件中了。