隨著計算機技術及Internet的發展,電腦已逐漸走進了千家萬戶。但是在我們平時的工作、學習中,危及用戶系統、數據安全的案例比比皆是。危害系統和數據安全的危險主要來自以下兩個方面:壹是受病毒攻擊所造成的各種不同程度的破壞;二是網上黑客對用戶隱私的窺探、惡意篡改數據等。病毒和黑客的破壞給人們造成了無可估量的損失:全球每年由此造成的直接或間接損失高達幾十億乃至上百億美元!其實對於病毒和黑客的破壞,只要我們掌握壹些基本的判斷、分析、處理、防範能力,就有可能避免病毒和黑客對我們造成的危害,將損失降低到最小限度。
3.1 練就五毒不侵之功
人們對計算機的應用越加廣泛,計算機病毒對人們的危害也就越大,這就使人們對計算機防毒概念已經有了更新的認識。作為壹個計算機用戶,為了保護自己的重要資源與數據,了解病毒的概念和發展趨勢,掌握常用反毒技術,做到知己知彼,方能練就五毒不侵之功。
導引:了解病毒的基本特性
為了識別病毒的廬山真面目,還必須從病毒的本質特征入手。
有壹些用戶存在以下壹些想法:
● 平時不經常與人交換數據就不會染毒;
● 不使用外來磁盤或光盤就不會染毒;
● 不上網就不會染毒。
其實這些想法都是片面的。因為病毒是壹種具有感染性、破壞性的程序,還具有隱蔽性、潛伏性、針對性及不可預知性。由於病毒種類繁多,各種病毒的表現形式和發作現象都千差萬別,因此絕對不能認為系統運行正常就壹定沒有病毒。通過使用本文所述的壹些技術手段,我們完全可以防毒於未然。
傳染性是病毒的基本特征。在生物界,病毒通過傳染從壹個生物體擴散到另壹個生物體,在適當的條件下,它可以大量繁殖,使被感染的生物體表現出病癥甚至死亡。同樣,計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機,在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是,計算機病毒是壹段人為編制的計算機程序代碼,這段程序代碼壹旦進入計算機並得以執行,它就會搜尋符合其傳染條件的其他程序或存儲介質,確定目標後再將自身代碼插入其中,達到自我繁殖的目的。壹臺計算機染毒,如不及時處理,那麽病毒會在這臺機子上迅速擴散,其中的大量文件(壹般是可執行文件)會被感染。而被感染的文件又成了新的傳染源,再與其他機器進行數據交換或通過網絡接觸,病毒就會繼續傳播。
病毒的傳染性和破壞性是有目***睹的,不感染、不破壞(即使是對用戶的幹擾也被看作是某種程序的破壞),就不能稱之為病毒!
病毒的隱藏性主要表現在絕大多數病毒都將自己依附於其它程序文件之上,通過添加、插入病毒代碼並修改文件頭部指針使染毒程序在運行時首先執行病毒代碼,而這壹切過程都是完全自動進行的且隱蔽性極強,用戶很難有所覺察。病毒的設計者為了使病毒得到隱藏,必須在病毒發作之前,讓染毒系統仍可暫時正常工作。
大部分的病毒感染系統之後壹般不會馬上發作,它可長期隱藏在系統中,只有在滿足其特定條件時才啟動其表現(破壞)模塊。只有這樣它才可以進行廣泛傳播。如CIH病毒的主要版本就是在每年的4月26日發作。與此類似,病毒往往還具有壹定的針對性,最明顯的就是有些病毒只感染PE結構的可執行文件,有些只感染Office文檔,而有些僅感染硬盤的引導區,還有的必須在滿足某些特定條件後才進行傳染或破壞。所以說,隱蔽性、潛伏性、傳染性、針對性等都只是病毒的手段,最終實現破壞才是病毒的主要目的。
病毒的不可預知性是目前令反病毒業界最為頭痛的壹個問題。盡管目前經過廣大反病毒廠商多年的艱苦努力,我們已經在廣義病毒特征、對病毒的跟蹤解密、設計病毒陷阱、實時動態監視等技術上取得了壹系列重大進展,但要從根本上做到對病毒識別和清除還有很長的路要走。由於病毒程序與正常程序都是壹段代碼,它們之間從本質上說沒有什麽不同,只是它們所要達到的目的不同而已。隨著反病毒水平的不斷提高,病毒編制的水平也在提高,在“先有雞還是先有蛋”這個問題上,業界的答案最為明確:正是由於先出現了病毒然後才出現了反病毒軟件。
到目前為止,還沒有哪壹家反病毒廠商能保證可以徹底殺除壹切已知和未知的病毒。
病毒的基本特性表明 :壹個目前工作正常的系統並不能完全保證幹凈無毒。要得到壹個99.9%沒有病毒的相對“純凈”的系統,除了從硬盤分區格式化、系統安裝等初始階段就保持高度警惕外,還必須經常用最新工具掃描病毒,盡量正確安裝使用防火墻。壹句話,必須先提高對病毒的警惕,樹立正確的計算機安全意識。
壹、如何正確判斷電腦是否“中毒”
判斷壹臺電腦是否“中毒”,必須從多方面綜合考慮,進行細致的分析。我們只有了解了病毒的壹些基本特征、掌握基本的查毒方法,並將病毒的幹擾與其他表現相似的軟硬件故障區別開來,才會不犯“誤診”、“漏診”的錯誤。
(壹)病毒與其它軟硬件故障的區別與聯系
許多用戶在使用電腦過程中壹旦發現系統有什麽不正常的現象就懷疑計算機中有病毒,似乎病毒是造成壹切異常現象的罪魁禍首。其實計算機系統的各種故障原因極其復雜,病毒破壞只不過是其中的重要因素之壹。因此為了及時排除故障,解決問題、最大限度地減少損失,必須分清是病毒破壞還是其他故障。
下表簡要列舉了病毒破壞與其它軟硬件故障的區別與聯系,我們應根據具體的現象進行認真地分析,特別是註意故障異常的產生是整體體現還是局部體現,是偶然發生還是具有壹定的規律性,然後針對可能的原因進行排查。對於有壹定經驗的用戶,可以從屏幕上顯示的提示信息分析出故障發生的根本所在;而對於初級用戶,則可以根據故障現象,用下面的列表進行對照,以確定故障的大致所在。
(二)病毒的檢查與判斷方法
我們有了對病毒的基本認識之後,該如何采取具體措施檢查系統是否染毒呢?有矛必有盾!即使是普通初級電腦用戶,也可以采取適當的方法對病毒進行檢測和清除。這些方法可以歸納為以下幾類:
1.程序掃描法
即通過專門的病毒掃描程序對系統進行掃描,這是最方便快捷的方法,通常可選用壹種或多種殺毒軟件,如傳統的KV以及Kill98、Kill2000、PC-CilLin系統、Norton Antivirus系列、McAfree Virusscan、熊貓衛士、瑞星、VRV等等;在對付網絡類型病毒方面比較有名的有Lockdown、TheCleaner;還有壹些專門針對某種病毒的掃描程序,如“求職信”病毒專殺工具、“笑哈哈”病毒專殺工具、“尼姆達”病毒專殺工具等等。我們選用殺毒軟件壹般是優先考慮使用品牌產品,對此在後文還要提及。
程序掃描法的理論依據主要為特征代碼掃描、校驗和檢查、病毒行為描述、軟件模擬(即虛擬機技術)、VICE先知掃描法等。除了采用現有的殺毒軟件外,有能力的用戶也可以自己編制壹些針對某壹種或某些病毒的程序進行查殺。由於具體情況太復雜,在此不再詳述。
2.觀察法
(1)現象觀察
如果在計算機使用過程中發現以下現象,應當懷疑存在病毒:
硬盤引導時死機;系統引導時間比平時長;磁盤上出現不正常的壞簇(除軟盤外,硬盤是不容易出現壞簇的);運行速度減慢;硬盤引導成功,但用軟盤引導後不能訪問硬盤;出現特殊聲音、圖像或文字;訪問硬盤文件時卻提示A盤未準備好或者寫保護;以往運行正常的程序出現運行時死機或工作不正常;在系統配置正常且文件執行正常的情況下卻報告內存不足;平時使用正常的光驅或打印機等設備不能正常使用;在設置正確的情況下,Windows 9X系統屬性“性能”選項報告A盤正在使用MS-DOS兼容方式等等,具體還要結合上文所述的病毒與軟硬件故障的區別和聯系來進行綜合判斷。
(2)註冊表及系統配置觀察
新出現的網絡病毒以及類病毒常利用Windows 9X的註冊表中設置自動運行鍵值或者通過Win.ini中的“load=”和“run=”命令以及System.ini中的“shell=”命令來將自己加載到內存中,從而在後臺得以運行,以下幾個註冊表項為自動運行程序位置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce]
在Windows 98中系統自帶壹個名為Msconfig.exe的系統配置實用程序,可以通過“開始”→“運行”命令直接執行,使用它可以極方便地查看和管理所有的自動運行程序,要禁止某項命令的自動運行只需要取消對該命令的選定即可(見圖3-1-1)。
圖3-1-1 系統配置實用程序
除此之外,也有壹些第三方軟件可以完成上述工作。如註冊表優化工具RegCleanr,它不但可查看以上註冊表的系統配置文件的內容,而且還可以隨時中止系統的自啟動程序,在查看、管理自動運行程序時非常方便;對於針對木馬類型,則可以選用LockDown及TheCleaner等等,以上程序的下載地址附後。
(3)內存觀察
這是最傳統的方法,優點是方便快捷;缺點是局限性較大,壹般多用在DOS下檢測病毒。
檢測程序很多,壹般有以下幾種:
如果硬盤分區為FAT16(現在已經不多了),則可以采用PCTools軟件,通過按F3鍵來查看基本內存的總空間是否與DOS報告的相等(均為640KB),如果不相等,則意味著內存中可能有病毒存在。
我們也可以使用Debug程序,在啟動Debug後,在“——”提示後輸入命令“D0:400”回車,則0:413到0:414字節中顯示的內容應當為8002,即十六進制的0280H,這相當於十進制數的640,否則內存中可能有病毒活動,病毒占用的內存空間大小等於系統真正的內存空間大小減去0:413到0:414的內存空間大小。
我們還可以使用Mi.exe及DOS本身的Mem.exe程序,使用mem/c/p是比較方便的(在Windows 2000/XP的命令行下/P參數無效)。該命令可以方便直觀地顯示出當前基本內存中運行了哪些程序以及各自占用了多少內存空間等,如果發現顯示的內存空間總量不正常,或者發現存在無名的程序、以“——”為名稱的程序或者亂字符為名稱的程序在內存中,則應當立即懷疑存在病毒。不過對於許多設計比較高明的病毒而言,此方法不太有效,因為它們會偽裝自己,即當它們在活動狀態時,會欺騙DOS從而顯示出壹個虛假的內存狀態報告。
(4)特征字串觀察
註意這裏不是指某些殺毒軟件所稱的“特征串掃描法”,在此不對具體的反病毒方法作專業的深入闡述,而是特指普通用戶都能夠采用的壹種病毒判斷方法。很多病毒的編制者為了實現自己的表現欲望,大多給病毒起了某個特定名稱,如大名鼎鼎的CIH病毒的代碼中就存在“CIH……”等字樣。因此如果懷疑系統已被某種特定的病毒感染,可以抽取系統中壹個代表性的文件(壹般為系統必用的程序文件,如Explorer.exe等),必要時復制到某個臨時目錄,然後通過任何十六進制編輯器(如UltraEdit)查找可疑的病毒特征字符串。如果不會使用十六進制編輯器或手裏沒有這類工具,也可以用普通的Edit.exe或記事本直接打開樣本文件並進行特征字符串搜索,當然屏幕顯示的全是亂碼,不過只要找到了某壹病毒的特征字串就值得引起我們足夠的警惕,必要時還可以檢查幾個文件以進壹步確認。此方法雖然較好,但也有誤報的時候,比如有些文件曾經被感染但又被某些僅修改文件指針的殺毒軟件殺過毒,其中就可能殘存有部分病毒代碼(即“病毒僵屍”),因此使用這些方法發現線索後還必須結合其他方法做進壹步的排查。
(5)其它觀察法
如檢查中斷向量、Debug分析、檢測磁盤異常壞簇等。其中中斷向量的檢查及Debug分析需要較專業的知識,對普通用戶並不適用,因此暫且略過;而檢查磁盤異常壞簇則只需要通過運行Chkdsk命令,就可得到壹個有關磁盤壞簇及空間利用率的詳細報告(見圖3-1-2)。
圖3-1-2 磁盤分析報告
3.比較法
與其它檢查方法相比,比較法通常較為準確可靠,但前提是必須事先保存有對應的、可靠的數據源文件。比較法又可以細分為以下幾種情況:
(1)系統重要數據對比
病毒中特別是引導型病毒大都要修改系統的重要數據,如磁盤的引導扇區、DOS引導扇區、內存中的中斷向量表、設備驅動程序頭、CMOS設置參數等。如果將當前的這些重要數據與對應的源文件數據進行比較,是否受到病毒的感染就壹目了然了。作為普通用戶要比較和備份源文件是很困難的,我們可以借用壹些比較優秀的殺毒軟件所提供的系統數據備份及比較功能來實現。目前瑞星殺毒軟件2002版在這方面做得比較好,用它制作的緊急修復磁盤,其備份信息詳盡細致,比較和恢復功能方便快捷。
(2)可疑文件與正常文件對比
文件對比的方式和內容比較多,通常有:
文件基本屬性對比。主要是文件的長度、文件創建及修改的日期和時間、文件的特定內容等,如果這些內容發生變化,則應當考慮受到病毒感染的可能性。
“校驗和”對比。“校驗和”,即對文件內容的全部字節進行特殊的函數運算並產生出適當字節長度的結果。它能夠較客觀地反映出原始文件的特征,“校驗和”所取的字節長度越大,它所反映原始文件特征的唯壹性就越大,但這種方法具有壹定的技術難度,且使用也不夠方便(正常修改文件後還得同時修改“校驗和”),如果在產生“校驗和”之前文件就已經被病毒感染,則此法毫無實用價值。實際使用中,由於病毒感染文件時,對於前綴式COM型病毒,染毒文件的開頭部分就是病毒代碼 ;對於後綴式COM文件型病毒,則必須替換宿主程序的第壹條指令以便跳轉到程序尾部的病毒代碼處執行;對於EXE文件型病毒,病毒必然改變EXE文件頭的程序入口指針。因此無論是直接對比還是“校驗和”對比都只需要針對文件頭部的5~20個字節即可。以前曾有某些殺毒軟件采用此法,目前只有少數程序由開發者添加了對文件本身的“校驗和”檢查,如著名的Arj.exe,當非法修改了它的任意字節,則運行時就會報警。
文件內容的逐個字節對比。DOS及Windows 9X都有壹個Fc.exe命令,加上/B參數後可以逐個字節地對文件進行對比,如果能夠保證源文件的純凈無毒,則此法檢測文件準確度極高。添加、修改、刪除了哪怕僅壹個字節都無法逃出Fc.exe的“法眼”。在此以對Msgsrv32.exe這個系統文件的比較為例說明比較方法:
在剛剛安裝完畢Windows 98後,將Msgsrv32.exe文件改名備份,如Msgsrv32.bak,然後使用Edit或記事本編寫如下內容的批處理文件(設文件名為Killvir.bat):
@echo off
fc %winbootdir%\system\msgsrv32.exe %winbootdir%\msgrv32.bak /b>nul|find"00";以二進制方式將樣
本文件與源文件進行比較,註意要加/B參數。
if error level1 goto end;無任何更改則結束。
if error level0 goto virus;有更改跳轉至virus處;
:virus
(此處添加調用殺毒軟件的命令行或警告信息)
:end;比較結束。
在自動批處理文件(C:\Autoexec.bat)中通過Call Killvir命令調用上述文件,這樣每次系統啟動時都自動對樣本文件進行比較,發現異常後立即做出相關處理。不過這種方法僅供借鑒參考,它存在以下缺陷:壹是有些病毒在感染時是以文件頭部特征而不以文件擴展名來判斷目標文件是否感染對象,這就可能造成源文件同樣被感染的危險(但這種情況對每次感染代碼都不相同的變形病毒仍然有效) ;二是個別抽樣並不能完全反映所有文件的變化情況,比如有些病毒在感染時還要對文件的長度、文件名等有所要求;三是靈活性差,比如需要比較很多文件時就必須準備許多源文件,這在某些情況下是不現實的;四是由於系統在每次啟動時都要對文件進行比較,如果比較的文件較多,將會大大延長系統的啟動時間。
(3)幹凈軟盤引導與直接硬盤引導比較
如果懷疑系統感染了加密引導記錄和分區表的病毒,除了使用殺毒軟件外,最簡單的判別方法就是使用幹凈的引導軟盤引導啟動,然後看看是否能夠正常訪問硬盤。有些引導型病毒為了達到“自殺”的目的,對硬盤分區表進行了搬移或加密,因此必須在內存中有病毒存在的情況下由病毒對分區表臨時加密,這時才能正常訪問硬盤分區。如果用軟盤引導,則由於分區表被病毒還原,因此無法正常訪問硬盤。對付此類病毒必須極其小心。壹般必須在帶毒的情況下將已臨時還原的分區表備份出來,再在殺毒後將備份的分區表恢復,否則可能造成硬盤數據的全部丟失。
二、系統染毒後緊急處置措施
如果通過上述途徑發現病毒蹤跡後,首先是冷靜對待,不要急於處理,“心急吃不了熱豆腐”!,以免處理不當造成更大的損失。我們在發現病毒跡象後必須立即采取適當的隔離和保護措施:
(壹)立即停止使用計算機並對病毒進行全面絞殺
即使病毒正在發作,立即關閉計算機電源總是壹個不錯的主意。註意不是按“Ctrl+Alt+Del”鍵,熱啟動並不能中止許多病毒的駐留。如果發現網絡中有病毒,則應立即斷開網絡並通知網絡管理員和所有網絡用戶全面殺毒。
(二)制訂殺毒策略
查殺病毒應當遵循以下原則:以備份覆蓋為上策,直接殺毒為下策;先備份後殺毒為上策,直接殺毒為下策;盡量恢復數據為上策,分區格式化重新安裝系統為下策;徹底掃描所有磁盤(包括手頭所有軟盤、光盤)為上策,只掃描部分磁盤為下策;立即升級殺毒軟件再殺毒為上策,直接使用殺毒軟件現有特征病毒庫查殺為下策;多種殺毒軟件交叉查殺為上策,只使用某壹種殺毒軟件查殺為下策。
(三)謹慎行事,留好退路
千萬不要指望畢其功於壹役!很多用戶非常迷信殺毒軟件,發現病毒後以為“病毒入侵,壹殺就靈”,因此往往不考慮後果就直接殺毒,這是極不好的習慣。因為壹些狡猾的病毒可能將硬盤引導信息或用戶數據進行加密處理,使用時需要對病毒程序進行解密,如果貿然殺毒,壹旦內存沒有病毒,被加密的信息也就不能被還原。因此,殺除引導區病毒前必須備份當時“壞”的引導信息,必要時為保險起見還必須進行多個備份(具體備份方法後文介紹);對於染毒分區中的工作文件最好在帶毒的情況下備份至軟盤或其它位置,以免殺毒後硬盤分區不可訪問從而造成更大的損失。
三、傳統病毒的防範
防範病毒必須從兩個方面入手,壹是正確選擇和使用殺毒軟件,因為多數用戶都不具備手工分析和殺除病毒的能力,即使少數用戶有壹定的手工反毒經驗,但對於層出不窮的各種病毒,靠個人的力量進行手工分析殺毒是極其麻煩的事情,因此還是使用殺毒軟件要方便快捷壹些;二是嚴把“病從口入”這個關口,因為亡羊補牢總不如未雨綢繆,防止病毒破壞最好的方法是盡量不要讓機器中毒,這雖然有點過於理想化,但只要通過多方努力,多數情況下還是能夠做到的。
通常情況下,殺毒軟件廠家都將病毒和黑客程序當作病毒壹並對待,因此在使用軟件查殺問題上我們將二者壹同進行討論。下面從傳播類型病毒和網絡類型病毒兩個方面對殺毒軟件的選擇、安裝、使用技巧等方面進行全方位的介紹。
(壹)選擇殺毒軟件的技巧
由於病毒的破壞力越來越大,面對五花八門的反病毒產品,多數用戶眼花繚亂,不知取舍。首先要提醒大家註意的是:決不能以廣告的宣傳導向作為選擇的唯壹依據,事實上的確有個別廠家對其產品宣傳得天花亂墜,但其產品性能實在壹般。在此筆者將必需的選擇標準羅列如下,以供讀者在選購殺毒軟件時參考。
1. 能查殺足夠多的種類及數目
我們使用殺毒軟件的目的就是為了針對“萬壹”,如果壹種殺毒軟件殺毒數量不多,無論廠家宣傳的技術多麽先進,最終只能是令人失望的。
2. 能夠實時監控,實時查殺病毒
這是對反病毒產品的最起碼的客觀要求。亡羊補牢固然必要,未雨綢繆卻更能夠最大限度減小損失,因此目前成熟的殺毒軟件都具有實時監控、實時查殺病毒的功能,沒有這個功能的殺毒軟件絕不推薦使用。實時防護是互聯網時代的要求,它是衡量壹個殺毒產品是否跟得上時代步伐的最基本的標準之壹。值得註意的是,我們在評價壹個產品的實時監控功能時,絕對不能片面地僅以品牌知名度、資源占用率等壹般屬性來衡量其性能的優劣。實踐證明:有的大牌廠家的實時監控程序對系統某些操作有幹擾,而有的實時監控雖然資源占用率比較低,低防毒的靈敏度也比較低,以致病毒被激活後監控程序才捕獲到病毒事件。還有不少用戶認為某個殺毒軟件因某次殺掉了壹些病毒就感覺不錯,其實殺毒軟件本來就是用來殺毒的,能夠殺除流行病毒是最起碼要求,關鍵是能夠阻止系統再次感染此病毒,如果不能實時監控,還要靠用戶經常手工查殺,還不如多做備份、勤做備份更加穩妥!
3. 能夠過濾多層壓縮包、電子郵件及惡意ActiveX控件和Java類
CIH病毒不但設計思想先進,而且借助網上大量的壓縮文件作為藏身之處,當時很多殺毒軟件沒有掃描壓縮包的能力,有些殺毒軟件雖然能夠掃描壓縮包但能夠處理的類型或打包層數有限,因此造成屢殺不絕的嚴重後果;現在的電子郵件病毒(如“求職信”病毒等)更是以壹種全新的方式進行感染和破壞;還有壹些惡意Java小程序夾雜在HTML代碼之中能夠被瀏覽器直接解釋執行或調用(後文將詳細討論)。這些都給殺毒軟件提出了更高的要求。沒有註重全方位防護的殺毒軟件同樣在技術上還不成熟、不完善!
ActiveX控件和Java類
由於Internet的普及,網站設計已變得更加復雜多樣。許多站點如今都包括交互式元素,如腳本、表單、搜索引擎、動畫以及其它很多多媒體功能,使Web瀏覽更加實用有效,更加精彩誘人。帶給我們這些功能的很多技術都來自易於下載的小程序。它們與妳的瀏覽器軟件進行交互以交流信息,顯示多媒體文件,制訂數據庫查詢並執行其它任務。除其它工具外,網站設計者和程序員還用Java和ActiveX來編寫這些類型的程序。
Java程序語言最早出自Sun Microsystems公司。有了它,設計人員可以編寫小規模專用應用程序,或稱“小程序”,它可以直接或作為插件模塊融入瀏覽器軟件的Java“虛擬機”上運行。
Java類是預先寫好的軟件模塊,程序員可對它進行修改,為己所用。程序員使用Microsoft ActiveX技術達到類似的目的。ActiveX同Java的區別主要在於運行方式:Java在專門建造用來解釋小程序的虛擬機上運行,而ActiveX在現有程序之間,或其它程序與Windows本身之間起著壹種先進的軟件橋梁作用。ActiveX“控件”是壹種鏈接程序的軟件模塊,使程序能夠***享數據,而在鏈接的兩個程序中,此程序無須知曉彼程序是如何運行的。Java類和ActiveX控件統稱為“對象”。
4. 附帶完善的系統重要信息備份及恢復功能
現在的反病毒概念是“防、殺、修”三位壹體,能防、查、殺固然重要,但新的病毒層出不窮,廠家及用戶誰都不能夠保證萬無壹失。因此好的殺毒軟件應當同時具備較完善的修復系統的能力。在這個問題上“VRV殺毒專家”曾提出了系統修復的概念,瑞星、PC-cillin、Norton AntiVirus等的制作急救磁盤功能也高度體現了緊急事件快速修復的理念。其它的如金山公司、行天98等廠家的產品在能夠備份系統重要數據的同時,有的還向用戶免費提供了專門的硬盤修復工具,如金山的KavFix、北信源的VrvFix等。令人遺憾的是,無論是哪個廠家,它們目前的產品對系統的修復功能都是有針對性的(如專門開發針對CIH破壞的功能)、有特殊條件的(如必須事先進行急救盤的制作或備份了系統重要數據)、有局限性的(如KV3000雖然在修復硬盤引導區和分區表方面“技高壹籌”,但不能支持NTFS分區),而其它許多同類的DOS及Windows 平臺的產品也同樣如此。
5. 對新病毒的快速反應能力
衡量壹個反病毒廠家的實力主要有兩個方面:壹是編程水平;二是對新病毒的快速反應能力。國內許多廠家的編程水平是不錯的,但由於管理、人力、財力及其它條件的限制,無力組建世界範圍的病毒監測網,因此在對新病毒的快速反應能力上稍遜於國外名牌產品壹籌。令人高興的是:現在已經有了不少有實力的國外公司來中國投資與國內廠家合作生產殺毒軟件,產品的本地化,使得我們在優秀產品中的選擇余地更大了。
6. 極低的資源占用率及與系統和應用程序良好的兼容性
實時監控功能壹定會占用系統資源,因此在保證可靠性的同時資源占用率越低越好,目前各主要產品之間的差異不是太大,用戶對此不必強求,往往是人們在啟動組中自動運行的許多後臺程序消耗了更多的系統資源。如果實時監控設計得不周全的話殺毒軟件會與某些應用程序產生沖突,造成系統穩定性降低,這是我們不願看到的。如NAV早期的版本與壹些有軟盤操作的程序會有沖突 ;VRV以前的某些版本會幹擾磁盤碎片整理等,類似的這些問題也不同程度地存在於其它反病毒產品中,我們應當通過試用,結合自己的工作特點和需要進行取舍。
(二)常見殺毒軟件的性能特點和設置技巧
1. Norton AntiVirus 2002
性能特點:方便的自動升級功能;實時監視、查殺能力均較好;E-mail收件保護(註意:不能自動保護FoxMail,只能保護Outlook Express)。
應用要領:第壹,某些涉及軟盤的操作會因實時監視器的影響而不能成功,請用鼠標右鍵單擊系統托盤圖標,臨時禁用實時防護功能(見圖3-1-3)。
第二,在“進行掃描文件的類型”中,最好不要選擇“全面文件掃描”,而是選擇“SmartScan掃描文件”,以避免占用太多的系統資源(見圖3-1-4)。如果有特殊需要,還可以點擊“自定義”按鈕,手工添加欲進行病毒掃描的文件類型。
第三,由於Norton