防病毒

病毒潛伏在計算機中，即使還沒有開始發作也總會留下一些“蛛絲馬跡”。用户要想知道自己的計算機是否感染有病毒，最簡單易行的方法就是使用反病毒軟件對磁盤進行全面的檢測。如果要想檢測出最新的病毒，則必須保證自己使用的反病毒軟件的病毒碼得到了及時的更新(也就是使用最新版的殺毒軟件並及時升級)。如果手頭沒有反病毒軟件，則可根據下列計算機中毒後所引起的系統異常症狀來做出初步的判斷。

(1)計算機系統經常無故死機。如果出現了這種現象，在排除了CPU故障、顯卡過熱等硬件可能出現的問題後，就要考慮計算機中是否感染了病毒。因為絕大部分的病毒是要駐留內存的，而設計的不太好的病毒則容易衝亂內存中的操作系統的內核，從而造成系統無故死機。

(2)計算機系統的運行速度明顯減慢。當感染有病毒的文件被系統執行時，寄生在其中的病毒就會爭奪系統的控制權。取得了系統控制權的病毒會搶先進行病毒自身的操作，然後才把控制權交給系統，這時系統才能進行正常的操作。這樣就會佔用系統執行正常命令的時間和相應的部分資源，造成系統的運行速度減慢。雖然造成系統運行速度減慢的原因還有許多，但是系統運行速度變慢是系統感染病毒後普遍出現的一種狀況。

(3)系統出現異常的重新啓動的現象。在windows系統的安裝過程中以及在Windows系統下安裝應用軟件時，有時候安裝程序需要重新啓動計算機，此時重新啓動計算機屬於正常的重啓現象。但是如果在使用計算機的過程中在毫無徵兆的情況下突然發生了重新啓動現象，此時用户就應該注意了，因為有些電腦病毒會在執行某一個文件時會讓計算機突然重新啓動。此時用户就應該檢查自己的計算機是否感染有病毒了。

(4)磁盤壞簇莫名其妙地增多。病毒為了隱藏自己，常常會把自身佔用的磁盤空間標誌為壞簇。

(5)操作系統無故頻繁地報警或虛假報警。當軟件執行出現錯誤時，系統會給出相應的提示信息，中止當前應用的程序。如果系統一直運行正常，並且使用的是正版軟件，但是最近運行任何軟件時經常會出現這樣的報警信息，即使重新安裝操作系統也沒有絲毫的改善時，那很有可能是病毒在發作。還有的病毒寄生在可執行文件中。當用户查看或運行該文件時會接收到虛假報警信息Filenot found，而當用户用乾淨無毒的系統盤重新啓動計算機時卻發現文件還在磁盤內。

(6)丟失文件或文件被破壞。有一些病毒在發作時，會將被傳染的文件刪除或重命名，或者將文件真正的內容隱藏起來，而文件的內容則變成了病毒的源代碼，此時文件則不能正確地讀取、複製或打開。

(7)系統中的文件時間、日期、大小發生了變化。這是最明顯的電腦病毒感染跡象。電腦病毒感染可執行文件後會自動地隱藏在原始文件後面，文件大小大多會有所改變，文件的訪問和修改日期、時間也會被改成感染時的時間。不過用户需要注意：應用程序使用到的數據文件，其文件大小、修改日期和時間有可能會改變，並不一定是電腦病毒在作怪。

(8)磁盤出現特殊標籤或系統無法正常引導磁盤。病毒會用一個自己的特殊標記給自己感染過的磁盤做上標籤，有時還會修改磁盤的卷標名；有的病毒寄生在磁盤的引導區內，會覆蓋掉引導區的部分代碼。如果病毒不具有彌補磁盤引導功能的能力，系統就不能正常地引導磁盤。

(9)磁盤空間迅速減少。沒有安裝新的應用程序，而系統可用的磁盤空間減少的很快，這很可能是電腦病毒感染所造成的。這是因為病毒在系統中大量地複製繁殖會減少存儲系統的存儲容量，另外有一些病毒還可以通過系統的反覆啓動來製造磁盤壞簇標記(使自身部分隱藏其中)，這樣就會造成磁盤的可用空間急劇減少。但是需要注意的是：經常瀏覽網頁、回收站中的文件過多、臨時文件夾下的文件數量過多過大、計算機系統有過意外斷電等情況也可能會造成可用的磁盤空間減少。

(10)計算機屏幕上出現異常顯示。有一些病毒在發作時，會在計算機的屏幕上顯現一些異常的信息，或是文字，或是圖像。比如“小球”病毒在發作時，屏幕上就會出現一個上下浮動的小球。當屏幕上出現類似的異常顯示時，那很可能是計算機已經被感染了一些惡意的病毒了。

(11)部分文檔自動加密碼。有些電腦病毒會利用加密算法，將加密密鑰保存在電腦病毒程序體內或其他隱蔽的地方，加密被感染的文件。如果內存中駐留有這種電腦病毒，那麼在系統訪問被感染的文件時它就會自動地將文檔解密，這樣用户就不會察覺到文檔被加密了。這種電腦病毒即使被清除，加密的文檔也很難恢復了。

（12）以前能正常運行的應用程序運行時經常發生死機或者出現非法錯誤。在硬件和操作系統沒有進行改動並且正確使用應用程序的情況下，以前能夠正常運行的應用程序在運行時產生非法錯誤或死機的情況明顯增加，這很可能是由於電腦病毒感染應用程序後破壞了應用程序本身的正常功能，或者電腦病毒程序本身存在着兼容性方面的問題造成的。

（13）自動發送電子郵件。大多數電子郵件病毒都是採用自動發送電子郵件的方式來作為其傳播的手段的。一些電子郵件電腦病毒還能做到在某一特定的時間向同一個郵件服務器發送大囂無用的信件，以達到阻塞該郵件服務器正常服務功能的目的。 ^[1] 

來歷不明的入侵軟件(尤其是通過網絡傳過來的)不得進入系統。

應當認識到，病毒總是有可能進入系統的，系統中應設置檢測病毒的機制。除了檢測已知類病毒外，能否檢測未知病毒是一個重要的指標。

應當認識到，沒有一種方法能檢測出所有的病毒。一旦病毒進入了系統，應不讓病毒在系統中到處傳播。系統一定要有控制病毒傳播的能力。

如果病毒突破了系統的防護，即使它的傳播受到了控制，也要有相應的措施將它清除掉。對於已知病毒，可以使用專用消毒軟件，對於未知類病毒，在發現後使用軟件工具對它進行分析，儘快編寫出消毒軟件。當然，如果有後備文件，也可使用它直接覆蓋受感染文件．但一定要查清楚病毒的來源。

有可能在消除病毒以前，病毒就破壞了系統中的數據，系統應提供一種高效的方法來恢復這些數據。

可能會遇到這種情況：當發生問題時，手頭沒有可用的技術，任務又必須執行下去。系統應該提供一種替代操作方案。在恢復系統時可用替代系統工作，等問題解決以後再換回來。這一準則對於戰時的軍事系統是必的。 ^[2] 

殺毒軟件主要由掃描器、特徵信息庫、消毒器三部分組成。掃描器是研製者事先編制好的一段程序。它能夠對用户所要求檢測的對象進行病毒特徵串掃描，即將特徵信息庫中的病毒特徵串逐個與檢查對象中的數據進行比較，如果相符，則認為有病毒，如果一條都不符，則認為無毒。特徵信息庫中存放的是消毒軟件研製者通過對具體病毒分析後所得到的該病毒最具代表性的特徵串。消毒器的消毒過程是按事先約定好的過程將有關信息恢復到原來位置，此過程是研製者通過對具體病毒分析後設計出來的。

病毒的消毒/殺毒過程是病毒傳染的逆過程，它主要依賴於消毒/殺毒軟件研製者對具體某個病毒剖析後選取的病毒特徵串。特徵串是病毒掃描、檢測、消毒的基礎。特徵串的選取是一個關鍵因素，選取具有代表性的特徵串，有可能覆蓋一類病毒的許多變種病毒，而選取普通化的特徵串，有可能造成“誤報”現象，如：SCAN8會對2．13H漢字系統中的PRINTA．C()M誤報有“FamR”病毒。

消毒是被動的，只有在發現病毒後，對其剖析、選取特徵串，才能設計出該“已知”病毒的消毒軟件。當發現新病毒或變種病毒時，又要對其剖析、選取特徵串，才能設計出新的消毒軟件。它不能檢測和消除研製者未曾見過的“未知”病毒，甚至對已知病毒的特徵串稍作改動，就可能無法檢測出這種變種病毒或者在消毒時會出錯。

發現病毒——剖析特徵串——設計掃描、消毒軟件——變種或新病毒

(1)加強網絡管理員安全管理水平，提高安全意識。由於蠕蟲病毒利用的是系統漏洞進行攻擊，所以需要在第一時間內保持系統和應用軟件的安全性，保持各種操作系統和應用軟件的更新。由於各種漏洞的出現，使得安全不再是一種一勞永逸的事，而作為企業用户而言，所經受攻擊的危險也是越來越大，要求企業的管理水平和安全意識越來越高。

(2)建立病毒檢測系統。能夠在第一時間內檢測到網絡異常和病毒攻擊。

(3)建立應急響應系統，將風險降到最低。由於蠕蟲病毒爆發的突然性，可能在病毒發現的時候已經蔓延到整個網絡，所以在突發情況下．建立一個緊急響應系統是很有必要的，在病毒爆發的第一時間即能提供解決方案。

(4)建立災難備份系統。對於數據庫和數據系統，必須採用定期備份，多機備份措施，防止意外災難下的數據丟失。

(5)對於局域網而言，可以採用以下一些主要手段：

①在互聯網接人口處安裝防火牆式防殺計算機病毒產品，將病毒隔離在局域網之外

②對郵件服務器進行監控，防止帶毒郵件進行傳播。

③對局域網用户進行安全培訓。

④建立局域網內部的升級系統，包括各種操作系統的補丁升級，各種常用的席用軟件升級．各種殺毒軟件病毒庫的升級．等等， ^[3]