【文章內(nèi)容簡介】 離不再遙遠，“相隔天涯，如在咫尺”，但也為計算機病毒的傳播提供了新的“高速公路”。計算機病毒可以附著在正常文件中通過網(wǎng)絡進入一個又一個系統(tǒng)，國內(nèi)計算機感染一種“進口”病毒已不再是什么大驚小怪的事了。在我們信息國際化的同時，我們的病毒也在國際化。第三章 病毒的防治第一節(jié) 網(wǎng)絡病毒的防御一、網(wǎng)絡病毒防御的常識①用常識進行判斷。決不打開來歷不明郵件的附件或你并未預期接到的附件。對看來可疑的郵件附件要自覺不予打開。 ②安裝防病毒產(chǎn)品并保證更新最新的病毒定義碼。我們建議您至少每周更新一次病毒定義碼，因為防病毒軟件只有最新才最有效。③當你首次在計算機上安裝防病毒軟件時，一定要花費些時間對機器做一次徹底的病毒掃描，以確保它尚未受過病毒感染。領先的防病毒軟件供應商現(xiàn)在都已將病毒掃描作為自動程序，當用戶在初裝其產(chǎn)品時自動執(zhí)行。 ④確保你的計算機對插入的軟盤、光盤和其他的可插拔介質(zhì)。及對電子郵件和互聯(lián)網(wǎng)文件都會做自動的病毒檢查。 ⑤不要從任何不可靠的渠道下載任何軟件。因為通常我們無法判斷什么是不可靠的渠道，所以比較保險的辦法是對安全下載的軟件在安裝前先做病毒掃描。 ⑥警惕欺騙性的病毒。如果你收到一封來自朋友的郵件，聲稱有一個最具殺傷力的新病毒，并讓你將這封警告性質(zhì)的郵件轉(zhuǎn)發(fā)給你所有認識的人，這十有八九是欺騙性的病毒。建議你訪問防病毒軟件供應商，證實確有其事。⑦使用其他形式的文檔，如RTF（Rich Text Format）和PDF（Portable ）。常見的宏病毒使用Microsoft Office的程序傳播，減少使用這些文件類型的機會將降低病毒感染風險。嘗試用Rich Text存儲文件，這并不表明僅在文件名稱中用RTF后綴，而是要在Microsoft Word中，用“另存為”指令，在對話框中選擇Rich Text形式存儲。盡管Rich Text Format依然可能含有內(nèi)嵌的對象，但它本身不支持Visual Basic Macros或Jscript。而PDF文件不僅是跨平臺的，而且更為安全。當然，這也不是能夠徹底避開病毒的萬全之計。 ⑧不要用共享的軟盤安裝軟件，或者是復制共享的軟盤。這是導致病毒從一臺機器傳播到另一臺機器的方式。 ⑨禁用Windows Scripting Host。Windows Scripting Host(WSH) 運行各種類型的文本，但基本都是VBScript或Jscript。⑩使用基于客戶端的防火墻或過濾措施。如果你使用互聯(lián)網(wǎng)，特別是使用寬帶，并總是在線，那就非常有必要用個人防火墻保護你的隱私并防止不速之客訪問你的系統(tǒng)。第二節(jié) 病毒的治理一、計算機病毒的治理措施 建立有效的計算機病毒防護體系有效的計算機病毒防護體系應包括多個防護層。一是訪問控制層；二是病毒檢測層；三是病毒遏制層；四是病毒清除層；五是系統(tǒng)恢復層；六是應急計劃層。上述六層計算機防護體系，須有有效的硬件和軟件技術的支持，如安全設計及規(guī)范操作。 嚴把收硬件安全關國家的機密信息系統(tǒng)所用設備和系列產(chǎn)品，應建立自己的生產(chǎn)企業(yè)，實現(xiàn)計算機的國產(chǎn)化、系列化；對引進的計算機系統(tǒng)要在進行安全性檢查后才能啟用，以預防和限制計算機病毒伺機入侵。 防止電磁輻射和電磁泄露采取電磁屏蔽的方法，阻斷電磁波輻射，這樣，不僅可以達到防止計算機信息泄露的目的，而且可以防止“電磁輻射式”病毒的攻擊。 加強計算機應急反應分隊建設應成立自動化系統(tǒng)安全支援分隊，以解決計算機防御性的有關問題。早在1994年，美國軟件工程學院就成立了計算機應急反應分隊。計算機病毒攻擊與防御手段是不斷發(fā)展的，要在計算機病毒對抗中保持領先地位，必須根據(jù)發(fā)展趨勢，在關鍵技術環(huán)節(jié)上實施跟蹤研究。實施跟蹤研究應著重圍繞以下方面進行：一是計算機病毒的數(shù)學模型。二是計算機病毒的注入方式，重點研究“固化”病毒的激發(fā)。三是計算機病毒的攻擊方式，重點研究網(wǎng)絡間無線傳遞數(shù)據(jù)的標準化，以及它的安全脆弱性和高頻電磁脈沖病毒槍置人病毒的有效性。四是研究對付計算機病毒的安全策略及防御技術。第四章 計算機病毒的檢測和清除第一節(jié) 計算機病毒的檢測一、病毒的檢測方法[5]特征代碼法 特征代碼法是檢測已知病毒的最簡單、開銷最小的方法。它的實現(xiàn)是采集已知病毒樣本。病毒如果既感染COM文件，又感染EXE文件，對這種病毒要同時采集COM型病毒樣本和EXE型病毒樣本。打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒數(shù)據(jù)庫中的病毒特征代碼。如果發(fā)現(xiàn)病毒特征代碼，由于特征代碼與病毒一一對應，便可以斷定，被查文件中患有何種病毒。校驗和法 將正常文件的內(nèi)容，計算其校驗和，將該校驗和寫入文件中或?qū)懭雱e的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗和與原來保存的校驗和是否一致，因而可以發(fā)現(xiàn)文件是否感染，這種方法叫校驗和法，它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代碼法之外，還納入校驗和法，以提高其檢測能力。行為監(jiān)測法 利用病毒的特有行為特征性來監(jiān)測病毒的方法，稱為行為監(jiān)測法。通過對病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。在正常程序中，這些行為比較罕見。當程序運行時，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立即報警。軟件模擬法 多態(tài)性病毒每次感染都變化其病毒密碼，對付這種病毒，特征代碼法失效。因為多態(tài)性病毒代碼實施密碼化，而且每次所用密鑰不同，把染毒的病毒代碼相互比較，也無法找出相同的可能做為特征的穩(wěn)定代碼。雖然行為檢測法可以檢測多態(tài)性病毒，但是在檢測出病毒后，因為不知病毒的種類，難于做消毒處理。第二節(jié) 計算機病毒的清除一、病毒的清除[6][7]刪除可疑的啟動程序 查看系統(tǒng)啟動程序和注冊表是否存在可疑的程序后，判斷是否中了木馬，如果存在木馬，則除了要查出木馬文件并刪除外，還要將木馬自動啟動程序刪除。 ，使之能在系統(tǒng)啟動時加載和運行木馬程序。停止可疑的系統(tǒng)進程 木馬程序在運行時都會在系統(tǒng)進程中留下痕跡。通過查看系統(tǒng)進程可以發(fā)現(xiàn)運行的木馬程序，在對木馬進行清除時，當然首先要停掉木馬程序的系統(tǒng)進程。修改注冊表 查看注冊表，將注冊表中木馬修改的部分還原。使用殺毒軟件和木馬查殺工具進行木馬查殺 常用的殺毒軟件包括KV3000、瑞星、諾頓等，這些軟件對木馬的查殺是比較有效的，但是要注意時刻更新病毒庫，而且對于一些木馬查殺不徹底，在系統(tǒng)重新啟動后還會自動加載。第五章 計算機系統(tǒng)的修復第一節(jié) 病毒感