【正文】 并作病毒碼比對(duì)，即能偵測(cè)到是否有病毒。病毒碼掃描法又快又有效率( 例如趨勢(shì)科技的 PC cillin及 Server Protect，利用深層掃描技術(shù)，在即時(shí)掃描各個(gè)或大或小的文件 時(shí)，平均只需 1/20s的時(shí)間 )，大多數(shù)防毒軟件均采用這種方式， 但其缺點(diǎn)是無法偵測(cè)到未知的新病毒及以變種病毒。 (2) 加總比對(duì)法 (checksum) ? 根據(jù)每個(gè)程序的文件名稱、大小、時(shí)間、日期及內(nèi)容，加總為一個(gè)檢查碼，再將檢查碼附于程序的后面或是將所有檢查碼放在同一個(gè)資料庫中，再利用此 Check sum系統(tǒng)，追蹤并記錄每個(gè)程序的檢查碼是否遭到更改，以判斷是否中毒。這種技術(shù)可偵測(cè)到各式的病毒，但最大的缺點(diǎn)就是誤判較高，且無法確認(rèn)是哪種病毒感染的。 (3) 人工智能陷阱 ? 人工智能陷阱是一種監(jiān)測(cè)電腦行為的常駐式掃描技 術(shù)。它將所有病毒所產(chǎn)生的行為歸納起來，一旦發(fā)現(xiàn)內(nèi)存的程序有任何不當(dāng)?shù)男袨椋到y(tǒng)就會(huì)有所警覺，并告知使用。這種技術(shù)的優(yōu)點(diǎn)是執(zhí)行速度快、手續(xù)簡(jiǎn)便，且可以偵測(cè)到各式病毒；其缺點(diǎn)就是程序設(shè)計(jì)難，且不容易考慮周全。不過在這千變?nèi)f化的病毒世界中，人工智能陷阱掃描技術(shù)是一個(gè)至少具有保全功能的新觀點(diǎn)。 (4) 軟件模擬掃描法 ? 軟件模擬掃描技術(shù)專門用來對(duì)付千面人病毒(polymorphic/mutationvirus)。千面人病毒在每次傳染時(shí)，都以不同的隨機(jī)亂數(shù)加密于每個(gè)中毒的文件中，傳統(tǒng)病毒碼比對(duì)的方式根本就無法找到這種病毒。軟件模擬技術(shù)則是成功地模擬 CPU執(zhí)行，在 其設(shè)計(jì)的 DOS虛擬機(jī)器 (virtual machine)下假執(zhí)行病毒的變體引擎解碼程序，安全并確實(shí)地將多型體病毒解開，使其顯露原本的面目，再加以掃描。 (5) VICE(virus instruction code emulation)——先知掃描法 ? VICE先知掃描技術(shù)是繼軟件模擬后的一大技術(shù)上突破。既然軟件模擬可以建立一個(gè)保護(hù)模式下的DOS虛擬機(jī)器，模擬 CPU動(dòng)作并假執(zhí)行程序以解開變體引擎病毒，那么應(yīng)用類似的技術(shù)也可以用來分析一般程序檢查可疑的病毒碼。因此 ,VICE將工程師用來判斷程序是否有病毒碼存在的方法，分析歸納成專家系統(tǒng)知識(shí)庫，再利用軟件工程模擬技術(shù)(software emulation)假執(zhí)行新的病毒，則可分析出新的病毒碼以對(duì)付以后的病毒。 ? (6) 實(shí)時(shí) I/O掃描 (realtime I/O scan) ? Realtime I/O Scan的目的在于即時(shí)地對(duì)數(shù)據(jù)的輸入 /輸出動(dòng)作做病毒碼比對(duì)的動(dòng)作，希望能夠在病毒尚未被執(zhí)行之前，就能夠防堵下來。理論上，這樣的實(shí)時(shí)掃描技術(shù)會(huì)影響到數(shù)據(jù)的輸入輸出速度。但是使用實(shí)時(shí)掃描技術(shù)，文件傳送進(jìn)來之后，就等于掃過一次毒了。 計(jì)算機(jī)網(wǎng)絡(luò)病毒的防范 ? 防范網(wǎng)絡(luò)病毒的過程實(shí)際上就是技術(shù)對(duì)抗的過程，反病毒技術(shù)相應(yīng)也得適應(yīng)病毒繁衍和傳播方式的發(fā)展而不斷調(diào)整。網(wǎng)絡(luò)防病毒應(yīng)該利用網(wǎng)絡(luò)的優(yōu)勢(shì)，使網(wǎng)絡(luò)防病毒逐漸成為網(wǎng)絡(luò)安全體系的一部分；重 在防，從防病毒、防黑客和災(zāi)難恢復(fù)等幾個(gè)方面綜合考慮 , 形成一整套安全機(jī)制 , 才可最有效地保障整個(gè)網(wǎng)絡(luò)的安全。 ? 今天的網(wǎng)絡(luò)防病毒解決方案主要從下列幾個(gè)方面著手進(jìn)行病毒防治。 (1) 以網(wǎng)為本，防重于治。 ? 防治病毒應(yīng)該從網(wǎng)絡(luò)整體考慮，從方便減少管理人員的工作著手，透過網(wǎng)絡(luò)管理 PC機(jī)。例如，利用網(wǎng)絡(luò)喚醒功能，在夜間對(duì)全網(wǎng)的 PC機(jī)進(jìn)行掃描，檢查病毒情況；利用在線報(bào)警功能，當(dāng)網(wǎng)絡(luò)上每一臺(tái)機(jī)器出現(xiàn)故障、病毒侵入時(shí)，網(wǎng)絡(luò)管理人員都會(huì)知道，從而從管理中心處予以解決。 (2) 與網(wǎng)絡(luò)管理集成。 ? 網(wǎng)絡(luò)防病毒最大的優(yōu)勢(shì)在于網(wǎng)絡(luò)的管理功能，如果沒有把網(wǎng)絡(luò)管理加上，很難完成網(wǎng)絡(luò)防毒的任務(wù)。管理與防范相結(jié)合，才能保證系統(tǒng)的良好運(yùn)行。管理功能就是管理全部的網(wǎng)絡(luò)設(shè)備：從 Hub、交換機(jī)、服務(wù)器到 PC，軟盤的存取、局域網(wǎng)上的信息互通及與 Inter的接駁等。 (3) 安全體系的一部分。 ? 計(jì)算機(jī)網(wǎng)絡(luò)的安全威脅主要來自計(jì)算機(jī)病毒、黑客攻擊和拒絕服務(wù)攻擊等 3個(gè)方面，因而計(jì)算機(jī)的安全體系也應(yīng)從這幾個(gè)方面綜合考慮，形成一整套的安全機(jī)制。防病毒軟件、防火墻產(chǎn)品、可調(diào)整參數(shù)、能夠相互通信，形成一整套的解決方案。才是最有效的網(wǎng)絡(luò)安全手段。 (4) 多層防御。 ? 多層防御體系將病毒檢測(cè)、多層數(shù)據(jù)保護(hù)和集中式管理功能集成起來，提供了全面的病毒防護(hù)功能，從而保證了“治療”病毒的效果。病毒檢測(cè)一直是病毒防護(hù)的支柱，多層次防御軟件使用了 3層保護(hù)功能：實(shí)時(shí)掃描、完整性保護(hù)、完整性檢驗(yàn)。 ? 后臺(tái)實(shí)時(shí)掃描驅(qū)動(dòng)器能對(duì)未知的病毒包括異形病毒和秘密病毒進(jìn)行連續(xù)的檢測(cè)。它能對(duì) Email附加部分，下載的 Inter文件 (包括壓縮文件 )軟盤及正在打開的文件進(jìn)行實(shí)時(shí)的掃描檢驗(yàn)。掃描驅(qū)動(dòng)器能阻止已被感染過的文件拷貝到服務(wù)器或工作站上。 ? 完整性保護(hù)可阻止病毒從一個(gè)受感染的工作站擴(kuò)散到服務(wù)器。完整性保護(hù)不只是病毒檢測(cè)，實(shí)際上它 能制止病毒以可執(zhí)行文件的方式感染和傳播。完整性保護(hù)還可防止與未知病毒感染有關(guān)的文件崩潰和根除。 ? 完整性檢驗(yàn)使系統(tǒng)無需冗余的掃描并且能提高實(shí)時(shí)檢驗(yàn)的性能。 ? 集中式管理是網(wǎng)絡(luò)病毒防護(hù)最可靠、最經(jīng)濟(jì)的方法。多層次防御病毒軟件把病毒檢測(cè)、多層數(shù)據(jù)保護(hù)和集中式管理的功能集成在同一產(chǎn)品內(nèi)，因而極大地減輕了反病毒管理的負(fù)擔(dān)，而且提供了全面的病毒防護(hù)功能。 (5) 在網(wǎng)關(guān)、服務(wù)器上防御。 ? 大量的病毒針對(duì)網(wǎng)上資源的應(yīng)用程序進(jìn)行攻擊，這樣的病毒存在于信息共享的網(wǎng)絡(luò)介質(zhì)上，因而要在 網(wǎng)關(guān)上設(shè)防，網(wǎng)絡(luò)前端實(shí)時(shí)殺毒。防范手段應(yīng)集中在網(wǎng)絡(luò)整體上，在個(gè)人計(jì)算機(jī)的硬件和軟件、LAN服務(wù)器、服務(wù)器上的網(wǎng)關(guān)、 Inter及 Intra的 Web Site上，層層設(shè)防，對(duì)每種病毒都實(shí)行隔離、過濾 。 病毒防治新產(chǎn)品 ? 病毒的發(fā)展促進(jìn)了反病毒技術(shù)的發(fā)展，反病毒產(chǎn)品也得到了相應(yīng)的發(fā)展，涌現(xiàn)出了許多既適合單機(jī)，也適合于局域網(wǎng)、廣域網(wǎng)的全方位防殺病毒的新產(chǎn)品。例如，防火墻技術(shù)與病毒防治技術(shù)的結(jié)合，就是一個(gè)新型的有效的抗網(wǎng)絡(luò)病毒方案。 ? 下面介紹一些現(xiàn)有的防病毒新產(chǎn)品： (1) KILL98: 冠群金辰公司產(chǎn)品 ? 最大特色是采用 CA獨(dú)有的主動(dòng)內(nèi)核技術(shù) (ActiveK)的反病毒技術(shù)，直接在操作系統(tǒng)內(nèi)核中加入反病毒功能。不僅可以在病毒入侵的瞬間做出反應(yīng)，還可將企圖入侵系統(tǒng)的病毒攔截在系統(tǒng)之外并清除，給用戶帶來了很大的主動(dòng)性。 KILL98能夠集中修改、更新、管理活動(dòng)日志報(bào)告。這種支持 NetWare目錄服務(wù) (NDS)集成的功能，大大簡(jiǎn)化了保護(hù)網(wǎng)絡(luò)免受病毒困擾的工作。此外，它還具備實(shí)時(shí)病毒檢測(cè)、壓縮文件自動(dòng)掃描、關(guān)鍵磁盤保護(hù)、災(zāi)難恢復(fù)等多項(xiàng)功能。 ? 最新版本的 KILL能夠探測(cè)到所有流行病毒并有效保護(hù)計(jì)算機(jī)及網(wǎng)絡(luò)免受潛在病毒的攻擊，并避免引 發(fā)巨大的經(jīng)濟(jì)損失。 KILL的核心由完備而卓有成效的病毒掃描引擎構(gòu)成，其獨(dú)特之處包括：實(shí)時(shí)修復(fù)、統(tǒng)一管理、防火墻、病毒隔離、無人值守自動(dòng)升級(jí)病毒特征庫、廣泛的預(yù)警選項(xiàng)與群件防護(hù)等。KILL總是在獨(dú)立實(shí)驗(yàn)室的對(duì)比測(cè)試中勝出對(duì)手，一系列的測(cè)試表明 KILL能夠提供有效的主動(dòng)防護(hù)，可有效避免各種類型病毒的攻擊。 (2) McAfee TVD： 網(wǎng)絡(luò)聯(lián)盟公司 (NAI)產(chǎn)品 ? NAI 提供了 3套解決方案： VSS是一個(gè)高級(jí)桌面反病毒解決方案，可殺滅 1500種病毒，其 Web ScanX功能可以防止用戶在 Inter下載時(shí)，一些惡意 Java和 Active X小程序?qū)ε_(tái)式機(jī)造成的破壞；NSS可以提供對(duì)企業(yè)基于 Windows NT 、 Netware 、 UNIX的文件服務(wù)器與應(yīng)用程序服務(wù)器以及 Exchange與 Lotus Notes群件服務(wù)器，HTTP/FTP代理服務(wù)器的病毒保護(hù)。 (3) Norton AntiVirus： Symantec公司產(chǎn)品 ? 它的最大特點(diǎn)是智能化，其防毒體系由桌面、服務(wù)器、 Inter網(wǎng)關(guān)以及病毒防火墻構(gòu)成，能殺滅 15 600多種病毒。在 Windows NT環(huán)境下，如果不激活最新的防病毒軟件，它不允許任何工作站訪問網(wǎng)絡(luò)，并能夠自動(dòng)把最新版本的病毒定義無縫的分布到網(wǎng)絡(luò)中的每一臺(tái)設(shè)備上。而當(dāng)網(wǎng)絡(luò)中任何一臺(tái)工作站或服務(wù)器發(fā)現(xiàn)病毒時(shí)，它都會(huì)自動(dòng)通知網(wǎng)絡(luò)管理員。此外它還可防范電子郵件及其附件病毒。 (4) LANDesk Virus Protect: Intel公司產(chǎn)品 ? 最大特色是運(yùn)用多層次防病毒技術(shù)并能集中管理反病毒解決方案，能在 Netware、 Windows NT兩種網(wǎng)絡(luò)的客戶機(jī)和服務(wù)器上監(jiān)測(cè)和防止數(shù)據(jù)丟失。在操作系統(tǒng)變遷期間或是存在多個(gè) NOS的網(wǎng)絡(luò)域上，客戶不需要購(gòu)買新的或額外的病毒防護(hù)產(chǎn)品。 (5) 瑞星殺毒毒軟件 ： 瑞星公司產(chǎn)品 ? 最大特色是單機(jī)版與網(wǎng)絡(luò)版合二為一，極好地解決了殺毒軟件既可在單機(jī)上使用，又能適應(yīng)網(wǎng)絡(luò)化需要的技術(shù)難題。 (6) Kaspersky Anti Virus(AVP)： Kaspersky lab 公司產(chǎn)品 ? 這是 Kaspersky lab公司針對(duì) Linux操作系統(tǒng)而開發(fā) 的 Kaspersky Anti Virus(AVP)的新版本。其最新版本所具有的獨(dú)特功能使程序簡(jiǎn)單易操作，而且它是全球首個(gè)將防病毒程序與 Email網(wǎng)關(guān) Sendmail和Qmail整合為一體的防病毒解決方案。這個(gè)新版本分為工作站版和服務(wù)器版兩款產(chǎn)品。這個(gè)新版本還提供了為 Email網(wǎng)關(guān)程序 Sendmail和 Qmail建立集成式病毒防火墻的能力。它可持續(xù)的對(duì)往來的 Email進(jìn)行過濾并能夠迅速的擊退那些企圖通過 Email進(jìn)行惡意攻擊的程序。 ? 上述產(chǎn)品各有特色，幾種綜合起來使用可以優(yōu)勢(shì)互補(bǔ)，產(chǎn)生最強(qiáng)的防御效果。 網(wǎng)絡(luò)病毒實(shí)例 CIH病毒機(jī)制及防護(hù) ? CIH病毒屬文件型病毒，其別名有 Win ，Space filler， Win ， PE_CIH，它主要感染W(wǎng)indows 95/98下的可執(zhí)行文件 (PE格式， Portable Executable Format)，目前的版本不感染 DOS以及Windows (NE格式， Windows and OS/2， Windows Execute File Format)下的可執(zhí)行文件，并且在 Windows NT中無效。其發(fā)展過程經(jīng)歷了， ， ， ， 5個(gè)版本，目前最流行的是 。 1. CIH病毒分析 ? CIH病毒是迄今為止發(fā)現(xiàn)的最陰險(xiǎn)的病毒之一。它 發(fā)作時(shí)不僅破壞硬盤的引導(dǎo)區(qū)和分區(qū)表，而且破壞計(jì)算機(jī)系統(tǒng) Flash BIOS芯片中的系統(tǒng)程序，導(dǎo)致主板損壞。 CIH病毒是發(fā)現(xiàn)的首例直接破壞計(jì)算機(jī)系統(tǒng)硬件的病毒。該病毒的特點(diǎn)是只感染 32位的Windows 95/98可執(zhí)行文件，對(duì)于 DOS下 Windows NT下的文件不影響。因?yàn)?CIH病毒使用的是 VXD技術(shù)，而且被 CIH病毒感染了的文件長(zhǎng)度不會(huì)改變，所以很難發(fā)現(xiàn)。當(dāng)一個(gè)感染在內(nèi)存中發(fā)現(xiàn)有新的可執(zhí)行文件在運(yùn)行時(shí)，就去檢查該文件中是否包含某一個(gè)特定的字符串，如果沒有找到就開始感染。它感染時(shí)首先檢測(cè)到文件的頭部，當(dāng)發(fā)現(xiàn)至少有 184個(gè)字節(jié)的空間時(shí)，就將本身的引導(dǎo)信息寫入此空間，病毒中所含的其余代碼部分則分別寫入文件內(nèi)部的空閑區(qū)域，所以感染前后的文件不會(huì)增 加長(zhǎng)度。 CIH病毒本身的長(zhǎng)度約為 1KB左右。 4月 26日； 的發(fā)作日期是每年的 6月 26日； 期則是每月的 26日 (有些變種是在 27或 28日發(fā)作 )。所以在每月的 26日之前，請(qǐng)務(wù)必備份自己的重要數(shù)據(jù)。這里所說的發(fā)作日是指病毒損壞硬盤和主板的日期。如果在某月的 26日開機(jī)時(shí)，屏幕出現(xiàn)的提示是： Disk Boot Failure, Insert System Disk And Press Enter，然后您可能會(huì)插入系統(tǒng)軟盤啟動(dòng)機(jī)器，但當(dāng)需要轉(zhuǎn)到硬盤提示符時(shí)，卻得到 Invalid Drive Specification的信息，就表明硬盤的主引導(dǎo)區(qū)已經(jīng)被改寫了，這極有可能表明 CIH病毒已經(jīng)成功地攻擊了你的系統(tǒng)了。 2. CIH病毒發(fā)作現(xiàn)象 ? CIH病毒發(fā)作時(shí)，將用凌亂的信息覆蓋硬盤主引導(dǎo)區(qū)和系統(tǒng) BOOT區(qū)，改寫硬盤數(shù)據(jù)，破壞 Flash BIOS，用隨機(jī)數(shù)填充 Flash內(nèi)存，導(dǎo)致機(jī)器無法運(yùn)行。 CIH病毒對(duì) Flash BIOS的操作，僅在主板和芯片允許寫 Flash存儲(chǔ)器時(shí)才有可能，所以該病毒發(fā)作時(shí)僅會(huì)破壞大多數(shù)可升級(jí)主板的 Flash BIOS。 ? 一旦系統(tǒng)不幸遇到了這樣的情況，出了硬盤中的數(shù)據(jù)丟失外，很有可能主板也已經(jīng)報(bào)廢，只能更換主板或請(qǐng)專業(yè)人員重新填寫 Flash BIOS信息。 ? CIH病毒有多個(gè)變種，只感染 Windows 95，Windows 98的 .EXE的 .PE格式文件，病毒代碼分解為一個(gè)或多個(gè)不同大小的碎塊，潛伏在文件內(nèi)部的不同的地方，文件總長(zhǎng)度無變化。 ? PE文件格式是 32位的，文件頭標(biāo)存放了文件各模塊參數(shù)。 CIH病毒修改了這些 32位參