【正文】 并作病毒碼比對，即能偵測到是否有病毒。病毒碼掃描法又快又有效率( 例如趨勢科技的 PC cillin及 Server Protect，利用深層掃描技術，在即時掃描各個或大或小的文件 時，平均只需 1/20s的時間 )，大多數(shù)防毒軟件均采用這種方式， 但其缺點是無法偵測到未知的新病毒及以變種病毒。 (2) 加總比對法 (checksum) ? 根據(jù)每個程序的文件名稱、大小、時間、日期及內(nèi)容，加總為一個檢查碼，再將檢查碼附于程序的后面或是將所有檢查碼放在同一個資料庫中，再利用此 Check sum系統(tǒng)，追蹤并記錄每個程序的檢查碼是否遭到更改，以判斷是否中毒。這種技術可偵測到各式的病毒，但最大的缺點就是誤判較高，且無法確認是哪種病毒感染的。 (3) 人工智能陷阱 ? 人工智能陷阱是一種監(jiān)測電腦行為的常駐式掃描技 術。它將所有病毒所產(chǎn)生的行為歸納起來，一旦發(fā)現(xiàn)內(nèi)存的程序有任何不當?shù)男袨?，系統(tǒng)就會有所警覺，并告知使用。這種技術的優(yōu)點是執(zhí)行速度快、手續(xù)簡便，且可以偵測到各式病毒；其缺點就是程序設計難，且不容易考慮周全。不過在這千變?nèi)f化的病毒世界中，人工智能陷阱掃描技術是一個至少具有保全功能的新觀點。 (4) 軟件模擬掃描法 ? 軟件模擬掃描技術專門用來對付千面人病毒(polymorphic/mutationvirus)。千面人病毒在每次傳染時，都以不同的隨機亂數(shù)加密于每個中毒的文件中，傳統(tǒng)病毒碼比對的方式根本就無法找到這種病毒。軟件模擬技術則是成功地模擬 CPU執(zhí)行，在 其設計的 DOS虛擬機器 (virtual machine)下假執(zhí)行病毒的變體引擎解碼程序，安全并確實地將多型體病毒解開，使其顯露原本的面目，再加以掃描。 (5) VICE(virus instruction code emulation)——先知掃描法 ? VICE先知掃描技術是繼軟件模擬后的一大技術上突破。既然軟件模擬可以建立一個保護模式下的DOS虛擬機器，模擬 CPU動作并假執(zhí)行程序以解開變體引擎病毒，那么應用類似的技術也可以用來分析一般程序檢查可疑的病毒碼。因此 ,VICE將工程師用來判斷程序是否有病毒碼存在的方法，分析歸納成專家系統(tǒng)知識庫，再利用軟件工程模擬技術(software emulation)假執(zhí)行新的病毒，則可分析出新的病毒碼以對付以后的病毒。 ? (6) 實時 I/O掃描 (realtime I/O scan) ? Realtime I/O Scan的目的在于即時地對數(shù)據(jù)的輸入 /輸出動作做病毒碼比對的動作，希望能夠在病毒尚未被執(zhí)行之前，就能夠防堵下來。理論上，這樣的實時掃描技術會影響到數(shù)據(jù)的輸入輸出速度。但是使用實時掃描技術，文件傳送進來之后，就等于掃過一次毒了。 計算機網(wǎng)絡病毒的防范 ? 防范網(wǎng)絡病毒的過程實際上就是技術對抗的過程，反病毒技術相應也得適應病毒繁衍和傳播方式的發(fā)展而不斷調(diào)整。網(wǎng)絡防病毒應該利用網(wǎng)絡的優(yōu)勢，使網(wǎng)絡防病毒逐漸成為網(wǎng)絡安全體系的一部分；重 在防，從防病毒、防黑客和災難恢復等幾個方面綜合考慮 , 形成一整套安全機制 , 才可最有效地保障整個網(wǎng)絡的安全。 ? 今天的網(wǎng)絡防病毒解決方案主要從下列幾個方面著手進行病毒防治。 (1) 以網(wǎng)為本，防重于治。 ? 防治病毒應該從網(wǎng)絡整體考慮，從方便減少管理人員的工作著手，透過網(wǎng)絡管理 PC機。例如，利用網(wǎng)絡喚醒功能，在夜間對全網(wǎng)的 PC機進行掃描，檢查病毒情況；利用在線報警功能，當網(wǎng)絡上每一臺機器出現(xiàn)故障、病毒侵入時，網(wǎng)絡管理人員都會知道，從而從管理中心處予以解決。 (2) 與網(wǎng)絡管理集成。 ? 網(wǎng)絡防病毒最大的優(yōu)勢在于網(wǎng)絡的管理功能，如果沒有把網(wǎng)絡管理加上，很難完成網(wǎng)絡防毒的任務。管理與防范相結合，才能保證系統(tǒng)的良好運行。管理功能就是管理全部的網(wǎng)絡設備：從 Hub、交換機、服務器到 PC，軟盤的存取、局域網(wǎng)上的信息互通及與 Inter的接駁等。 (3) 安全體系的一部分。 ? 計算機網(wǎng)絡的安全威脅主要來自計算機病毒、黑客攻擊和拒絕服務攻擊等 3個方面，因而計算機的安全體系也應從這幾個方面綜合考慮，形成一整套的安全機制。防病毒軟件、防火墻產(chǎn)品、可調(diào)整參數(shù)、能夠相互通信，形成一整套的解決方案。才是最有效的網(wǎng)絡安全手段。 (4) 多層防御。 ? 多層防御體系將病毒檢測、多層數(shù)據(jù)保護和集中式管理功能集成起來，提供了全面的病毒防護功能，從而保證了“治療”病毒的效果。病毒檢測一直是病毒防護的支柱，多層次防御軟件使用了 3層保護功能：實時掃描、完整性保護、完整性檢驗。 ? 后臺實時掃描驅(qū)動器能對未知的病毒包括異形病毒和秘密病毒進行連續(xù)的檢測。它能對 Email附加部分，下載的 Inter文件 (包括壓縮文件 )軟盤及正在打開的文件進行實時的掃描檢驗。掃描驅(qū)動器能阻止已被感染過的文件拷貝到服務器或工作站上。 ? 完整性保護可阻止病毒從一個受感染的工作站擴散到服務器。完整性保護不只是病毒檢測，實際上它 能制止病毒以可執(zhí)行文件的方式感染和傳播。完整性保護還可防止與未知病毒感染有關的文件崩潰和根除。 ? 完整性檢驗使系統(tǒng)無需冗余的掃描并且能提高實時檢驗的性能。 ? 集中式管理是網(wǎng)絡病毒防護最可靠、最經(jīng)濟的方法。多層次防御病毒軟件把病毒檢測、多層數(shù)據(jù)保護和集中式管理的功能集成在同一產(chǎn)品內(nèi)，因而極大地減輕了反病毒管理的負擔，而且提供了全面的病毒防護功能。 (5) 在網(wǎng)關、服務器上防御。 ? 大量的病毒針對網(wǎng)上資源的應用程序進行攻擊，這樣的病毒存在于信息共享的網(wǎng)絡介質(zhì)上，因而要在 網(wǎng)關上設防，網(wǎng)絡前端實時殺毒。防范手段應集中在網(wǎng)絡整體上，在個人計算機的硬件和軟件、LAN服務器、服務器上的網(wǎng)關、 Inter及 Intra的 Web Site上，層層設防，對每種病毒都實行隔離、過濾 。 病毒防治新產(chǎn)品 ? 病毒的發(fā)展促進了反病毒技術的發(fā)展，反病毒產(chǎn)品也得到了相應的發(fā)展，涌現(xiàn)出了許多既適合單機，也適合于局域網(wǎng)、廣域網(wǎng)的全方位防殺病毒的新產(chǎn)品。例如，防火墻技術與病毒防治技術的結合，就是一個新型的有效的抗網(wǎng)絡病毒方案。 ? 下面介紹一些現(xiàn)有的防病毒新產(chǎn)品： (1) KILL98: 冠群金辰公司產(chǎn)品 ? 最大特色是采用 CA獨有的主動內(nèi)核技術 (ActiveK)的反病毒技術，直接在操作系統(tǒng)內(nèi)核中加入反病毒功能。不僅可以在病毒入侵的瞬間做出反應，還可將企圖入侵系統(tǒng)的病毒攔截在系統(tǒng)之外并清除，給用戶帶來了很大的主動性。 KILL98能夠集中修改、更新、管理活動日志報告。這種支持 NetWare目錄服務 (NDS)集成的功能，大大簡化了保護網(wǎng)絡免受病毒困擾的工作。此外，它還具備實時病毒檢測、壓縮文件自動掃描、關鍵磁盤保護、災難恢復等多項功能。 ? 最新版本的 KILL能夠探測到所有流行病毒并有效保護計算機及網(wǎng)絡免受潛在病毒的攻擊，并避免引 發(fā)巨大的經(jīng)濟損失。 KILL的核心由完備而卓有成效的病毒掃描引擎構成，其獨特之處包括：實時修復、統(tǒng)一管理、防火墻、病毒隔離、無人值守自動升級病毒特征庫、廣泛的預警選項與群件防護等。KILL總是在獨立實驗室的對比測試中勝出對手，一系列的測試表明 KILL能夠提供有效的主動防護，可有效避免各種類型病毒的攻擊。 (2) McAfee TVD： 網(wǎng)絡聯(lián)盟公司 (NAI)產(chǎn)品 ? NAI 提供了 3套解決方案： VSS是一個高級桌面反病毒解決方案，可殺滅 1500種病毒，其 Web ScanX功能可以防止用戶在 Inter下載時，一些惡意 Java和 Active X小程序?qū)ε_式機造成的破壞；NSS可以提供對企業(yè)基于 Windows NT 、 Netware 、 UNIX的文件服務器與應用程序服務器以及 Exchange與 Lotus Notes群件服務器，HTTP/FTP代理服務器的病毒保護。 (3) Norton AntiVirus： Symantec公司產(chǎn)品 ? 它的最大特點是智能化，其防毒體系由桌面、服務器、 Inter網(wǎng)關以及病毒防火墻構成，能殺滅 15 600多種病毒。在 Windows NT環(huán)境下，如果不激活最新的防病毒軟件，它不允許任何工作站訪問網(wǎng)絡，并能夠自動把最新版本的病毒定義無縫的分布到網(wǎng)絡中的每一臺設備上。而當網(wǎng)絡中任何一臺工作站或服務器發(fā)現(xiàn)病毒時，它都會自動通知網(wǎng)絡管理員。此外它還可防范電子郵件及其附件病毒。 (4) LANDesk Virus Protect: Intel公司產(chǎn)品 ? 最大特色是運用多層次防病毒技術并能集中管理反病毒解決方案，能在 Netware、 Windows NT兩種網(wǎng)絡的客戶機和服務器上監(jiān)測和防止數(shù)據(jù)丟失。在操作系統(tǒng)變遷期間或是存在多個 NOS的網(wǎng)絡域上，客戶不需要購買新的或額外的病毒防護產(chǎn)品。 (5) 瑞星殺毒毒軟件 ： 瑞星公司產(chǎn)品 ? 最大特色是單機版與網(wǎng)絡版合二為一，極好地解決了殺毒軟件既可在單機上使用，又能適應網(wǎng)絡化需要的技術難題。 (6) Kaspersky Anti Virus(AVP)： Kaspersky lab 公司產(chǎn)品 ? 這是 Kaspersky lab公司針對 Linux操作系統(tǒng)而開發(fā) 的 Kaspersky Anti Virus(AVP)的新版本。其最新版本所具有的獨特功能使程序簡單易操作，而且它是全球首個將防病毒程序與 Email網(wǎng)關 Sendmail和Qmail整合為一體的防病毒解決方案。這個新版本分為工作站版和服務器版兩款產(chǎn)品。這個新版本還提供了為 Email網(wǎng)關程序 Sendmail和 Qmail建立集成式病毒防火墻的能力。它可持續(xù)的對往來的 Email進行過濾并能夠迅速的擊退那些企圖通過 Email進行惡意攻擊的程序。 ? 上述產(chǎn)品各有特色，幾種綜合起來使用可以優(yōu)勢互補，產(chǎn)生最強的防御效果。 網(wǎng)絡病毒實例 CIH病毒機制及防護 ? CIH病毒屬文件型病毒，其別名有 Win ，Space filler， Win ， PE_CIH，它主要感染W(wǎng)indows 95/98下的可執(zhí)行文件 (PE格式， Portable Executable Format)，目前的版本不感染 DOS以及Windows (NE格式， Windows and OS/2， Windows Execute File Format)下的可執(zhí)行文件，并且在 Windows NT中無效。其發(fā)展過程經(jīng)歷了， ， ， ， 5個版本，目前最流行的是 。 1. CIH病毒分析 ? CIH病毒是迄今為止發(fā)現(xiàn)的最陰險的病毒之一。它 發(fā)作時不僅破壞硬盤的引導區(qū)和分區(qū)表，而且破壞計算機系統(tǒng) Flash BIOS芯片中的系統(tǒng)程序，導致主板損壞。 CIH病毒是發(fā)現(xiàn)的首例直接破壞計算機系統(tǒng)硬件的病毒。該病毒的特點是只感染 32位的Windows 95/98可執(zhí)行文件，對于 DOS下 Windows NT下的文件不影響。因為 CIH病毒使用的是 VXD技術，而且被 CIH病毒感染了的文件長度不會改變，所以很難發(fā)現(xiàn)。當一個感染在內(nèi)存中發(fā)現(xiàn)有新的可執(zhí)行文件在運行時，就去檢查該文件中是否包含某一個特定的字符串，如果沒有找到就開始感染。它感染時首先檢測到文件的頭部，當發(fā)現(xiàn)至少有 184個字節(jié)的空間時，就將本身的引導信息寫入此空間，病毒中所含的其余代碼部分則分別寫入文件內(nèi)部的空閑區(qū)域，所以感染前后的文件不會增 加長度。 CIH病毒本身的長度約為 1KB左右。 4月 26日； 的發(fā)作日期是每年的 6月 26日； 期則是每月的 26日 (有些變種是在 27或 28日發(fā)作 )。所以在每月的 26日之前，請務必備份自己的重要數(shù)據(jù)。這里所說的發(fā)作日是指病毒損壞硬盤和主板的日期。如果在某月的 26日開機時，屏幕出現(xiàn)的提示是： Disk Boot Failure, Insert System Disk And Press Enter，然后您可能會插入系統(tǒng)軟盤啟動機器，但當需要轉(zhuǎn)到硬盤提示符時，卻得到 Invalid Drive Specification的信息，就表明硬盤的主引導區(qū)已經(jīng)被改寫了，這極有可能表明 CIH病毒已經(jīng)成功地攻擊了你的系統(tǒng)了。 2. CIH病毒發(fā)作現(xiàn)象 ? CIH病毒發(fā)作時，將用凌亂的信息覆蓋硬盤主引導區(qū)和系統(tǒng) BOOT區(qū)，改寫硬盤數(shù)據(jù)，破壞 Flash BIOS，用隨機數(shù)填充 Flash內(nèi)存，導致機器無法運行。 CIH病毒對 Flash BIOS的操作，僅在主板和芯片允許寫 Flash存儲器時才有可能，所以該病毒發(fā)作時僅會破壞大多數(shù)可升級主板的 Flash BIOS。 ? 一旦系統(tǒng)不幸遇到了這樣的情況，出了硬盤中的數(shù)據(jù)丟失外，很有可能主板也已經(jīng)報廢，只能更換主板或請專業(yè)人員重新填寫 Flash BIOS信息。 ? CIH病毒有多個變種，只感染 Windows 95，Windows 98的 .EXE的 .PE格式文件，病毒代碼分解為一個或多個不同大小的碎塊，潛伏在文件內(nèi)部的不同的地方，文件總長度無變化。 ? PE文件格式是 32位的，文件頭標存放了文件各模塊參數(shù)。 CIH病毒修改了這些 32位參