防病毒技術

從反病毒產品對計算機病毒的作用來講，防毒技術可以直觀地分為：病毒預防技術、病毒檢測技術及病毒清除技術。 ^[1] 

計算機病毒的預防技術就是通過一定的技術手段防止計算機病毒對系統的傳染和破壞。實際上這是一種動態判定技術，即一種行為規則判定技術。也就是説，計算機病毒的預防是採用對病毒的規則進行分類處理，而後在程序運作中凡有類似的規則出現則認定是計算機病毒。具體來説，計算機病毒的預防是通過阻止計算機病毒進入系統內存或阻止計算機病毒對磁盤的操作，尤其是寫操作。預防病毒技術包括：磁盤引導區保護、加密可執行程序、讀寫控制技術、系統監控技術等。例如，大家所熟悉的防病毒卡，其主要功能是對磁盤提供寫保護，監視在計算機和驅動器之間產生的信號。以及可能造成危害的寫命令，並且判斷磁盤當前所處的狀態：哪一個磁盤將要進行寫操作，是否正在進行寫操作，磁盤是否處於寫保護等，來確定病毒是否將要發作。計算機病毒的預防應用包括對已知病毒的預防和對未知病毒的預防兩個部分。目前，對已知病毒的預防可以採用特徵判定技術或靜態判定技術，而對未知病毒的預防則是一種行為規則的判定技術，即動態判定技術。

計算機病毒的檢測技術是指通過一定的技術手段判定出特定計算機病毒的一種技術。它有兩種：一種是根據計算機病毒的關鍵字、特徵程序段內容、病毒特徵及傳染方式、文件長度的變化，在特徵分類的基礎上建立的病毒檢測技術。另一種是不針對具體病毒程序的自身校驗技術。即對某個文件或數據段進行檢驗和計算並保存其結果，以後定期或不定期地以保存的結果對該文件或數據段進行檢驗，若出現差異，即表示該文件或數據段完整性已遭到破壞，感染上了病毒，從而檢測到病毒的存在。

計算機病毒的清除技術是計算機病毒檢測技術發展的必然結果，是計算機病毒傳染程序的一種逆過程。目前，清除病毒大都是在某種病毒出現後，通過對其進行分析研究而研製出來的具有相應解毒功能的軟件。這類軟件技術發展往往是被動的，帶有滯後性。而且由於計算機軟件所要求的精確性，解毒軟件有其侷限性，對有些變種病毒的清除無能為力。目前市場上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV，及我國的LANClear和Kill89等產品均採用上述三種防病毒技術。

現今市場上流行的單機防病毒產品種類繁多，性能各異。各防病毒產品之間的競爭也異常激烈，各開發商頻頻使出“變招”爭奪這一龐大的市場。無論這些反病毒產品性能多麼優越，下面兩個致命弱點則明顯地暴露出其不足之處，使反病毒產品一度走入低谷。

(1)防病毒產品均以單機為防病毒對象，不能有效地防止病毒在網上蔓延。而在網絡上，病毒正是以網絡服務器為傳播源，通過服務器，病毒迅速地在網絡上傳播，直到感染整個網絡，使網絡徹底癱瘓。

(2)一機一卡所帶來的缺陷。開發商從市場角度考慮，將防病毒卡與產品加密合二為一，但卻給用户帶來了許多不便：佔用硬件資源(如擴充槽口、I/O口或中斷資源)；增加內存開銷，易發生防病毒系統與其它應用系統的軟硬件衝突；影響計算機執行速度。因為防病毒軟件要實現實時監控，就一定要佔用CPU時間，這必然會使計算機執行速度下降。有鑑於此，需要徹底改變現有的防病毒產品模式，需要和單機防病毒技術有本質區別的網絡防病毒技術。

在網絡環境下，防範病毒問題顯得尤其重要。這有兩方面的原因：首先是網絡病毒具有更大破壞力。其次是遭到病毒破壞的網絡要進行恢復非常麻煩，而且有時恢復幾乎不可能。因此採用高效的網絡防病毒方法和技術是一件非常重要的事情。網絡大都採用“Client-Server”的工作模式，需要從服務器和工作站兩個結合方面解決防範病毒的問題。在網絡

上對付病毒有以下四種基本方法：

基於網絡目錄和文件安全性方法

以NetWare為例，在NetWare中，提供了目錄和文件訪問權限與屬性兩種安全性措施。“訪問權限有：防問控制權、建立權、刪除權、文件掃描權、修改權、讀權、寫權和管理權。屬性有：需歸檔、拷貝禁止、刪除禁止、僅執行、隱含、索引、清洗、讀審記、寫審記、只讀、讀寫、改名禁止、可共享、系統和交易。屬性優先於訪問權限。根據用户對目錄和文件的操作能力，分配不同的訪問權限和屬性。例如，對於公用目錄中的系統文件和工具軟件，應該只設置只讀屬性，系統程序所在的目錄不要授予修改權和管理權。這樣，病毒就無法對系統程序實施感染和寄生，其它用户也就不會感染病毒。

由此可見，網絡上公用目錄或共享目錄的安全性措施，對於防止病毒在網上傳播起到積極作用。至於網絡用户的私人目錄，由於其限於個別使用，病毒很難傳播給其它用户。採用基於網絡目錄和文件安全性的方法對防止病毒起到了一定作用，但是這種方法畢竟是基於網絡操作系統的安全性的設計，存在着侷限性。現在市場上還沒有一種能夠完全抵禦計算機病毒侵染的網絡操作系統，從網絡安全性措施角度來看，在網絡上也是無法防止帶毒文件的入侵。

採用工作站防病毒芯片

這種方法是將防病毒功能集成在一個芯片上，安裝在網絡工作站上，以便經常性地保護工作站及其通往服務器的路徑。工作站是網絡的門户，只要將這扇門户關好，就能有效地防止病毒的入侵。將工作站存取控制與病毒保護能力合二為一插在網卡的EPROM槽內，用户也可以免除許多繁瑣的管理工作。

Trend Micro Devices公司解決的辦法是基於網絡上每個工作站都要求安裝網絡接口卡網絡接口卡上有一個Boot Rom芯片，因為多數網卡的Boot Rom並沒有充分利用，都會剩餘一些使用空間，所以如果安全程序夠小的話，就可以把它安裝在網絡的Boot Rom的剩餘空間內，而不必另插一塊芯片。

市場上Chipway防病毒芯片就是採用了這種網絡防病毒技術。在工作站DOS引導過程中，ROMBIOS，Extended BIOS裝入後，Partition Table裝入之前，Chipway獲得控制權，這樣可以防止引導型病毒。Chipway的特點是：①不佔主板插槽，避免了衝突；②遵循網絡上國際標準，兼容性好；③具有他工作站防毒產品的優點。但目前，Chipway對防止網絡上廣為傳播的文件型病毒能力還十分有限。

採用Station Lock網絡防毒方法

Station Lock是著名防病毒產品開發商Trend Micro Devices公司的新一代網絡防病毒產品。其防毒概念是建立在”病毒必須執行有限數量的程序之後，才會產生感染效力“的基礎之上。例如，病毒是一個不具自我辨別能力的小程序，在病毒傳染過程中至少必須攔截一個DOS中斷請求，而且必須試圖改變程序指針，以便讓系統優先執行病毒程序從而獲得系統控制權。引導型病毒必須使用系統的BIOS功能調用，文件型病毒必須將自己所有的程序代碼拷貝到另一個系統執行文件時才能複製感染。混合型病毒和多形體病毒在實施感染之前也必須獲取系統控制權，才能運行病毒體程序而實施感染。Station Lock就是通過這些特點，用間接方法觀察，精確地預測病毒的攻擊行為。其作用對象包括多型體病毒和未來型病毒。

Station Lock也能處理一些基本的網絡安全性問題，例如存取控制、預放未授權拷貝以及在一個點對點網絡環境下限制工作站資源相互存取等。Station Lock能根據病毒活動辯別可能的病毒攻擊意圖，並在它造成任何破壞之前予以攔截。由於Station Lock是在啓動系統開始之前，就接管了工作站上的硬件和軟件，所以病毒攻擊Station Lock是很困難的。Station Lock是目前網絡環境下防治病毒比較有效的方法。

基於服務器的防毒技術

服務器是網絡的核心，一旦服務器被病毒感染，就會使服務器無法啓動，整個網絡陷於癱瘓，造成災難性後果。目前基於服務器的防治病毒方法大都採用了NLM(NetWare Load Module)技術以NLM模塊方式進行程序設計，以服務器為基礎，提供實時掃描病毒能力。市場上的產品如Central Point公司的AntiVirus for Networks，Intel公司的LANdesk Virus Protect以及南京威爾德電腦公司的Lanclear for NetWare等都是採用了以服務器為基礎的防病毒技術。這些產品的目的都是保護服務器，使服務器不被感染。這樣，病毒也就失去了傳播途徑，因而從根本上杜絕了病毒在網上蔓延。

這一方法是對服務器的所有文件進行集中檢查看其是否帶毒，若有帶毒文件，則提供給網絡管理員幾種處理方法。允許用户清除病毒，或刪除帶毒文件，或更改帶毒文件名成為不可執行文件名並隔離到一個特定的病毒文件目錄中。

網絡防病毒技術必須保持全天24小時監控網絡是否有帶毒文件進入服務器。為了保證病毒監測實時性，通常採用多線索的設計方法，讓檢測程序作為一個隨時可以激活的功能模塊，且在NetWare運行環境中，不影響其它線索的運行。這往往是設計一個NLM最重要的部分，即多線索的調度。實時在線掃描能非常及時地追蹤病毒的活動，及時告之網絡管理員和工作站用户。

該功能允許網絡管理員定期檢查服務器中是否帶毒，例如可按每月、每星期、每天集中掃描一下網絡服務器，這樣就使網絡用户擁有極大的操作選擇餘地。

當網絡用户將帶毒文件有意或無意地拷入服務器中時，網絡防病毒系統必須立即通知網絡管理員，或涉嫌病毒的使用者，同時自己記入病毒檔案。病毒檔案一般包括：病毒類型、病毒名稱、帶毒文件所存的目錄及工作站標識等，另外，記錄對病毒文件處理方法。

考慮到基於服務器的防病毒軟件不能保護本地工作站的硬盤，有效的方法是在服務器上安裝防毒軟件，同時在上網的工作站內存中調入一個常駐掃毒程序，實時檢測在工作站中運行的程序。如LANdesk Virus Protect採用Lpscan，而LANClear for NetWare採用world程序等。

大家知道病毒及其變種層出不窮。據有關資料報道，截止1994年2月25日，全世界流傳的MSDOS病毒達2700多種。如何使防病毒系統能對付不斷出現的新病毒？這要求開發商能夠使自己的產品具有自動升級功能，也就是真正交給網絡用户防治病毒的一把金鑰匙。其典型的做法是開放病毒特徵數據庫。用户隨時將遇到的帶毒文件，經過病毒特徵分析程序，自動將病毒特徵加入特徵庫，以隨時增強抗毒能力。當然這一工作難度極大，需要不懈的努力。在上述四種網絡防毒技術中，Station Lock是一種針對病毒行為的防治方法，StationLock目前已能提供Intel以太網絡接口卡支持，而且未來還將支持各種普及型的以太令牌環(Token-Ring)網絡接口卡。

基於服務器的防治病毒方法，表現在可以集中式掃毒，能實現實時掃描功能，軟件升級方便。特別是當連網的機器很多時，利用這種方法比為每台工作站都安裝防病毒產品要節省成本。其代表性的產品有LANdesk、LANClear for NetWare等。

實時反病毒技術

早在80年代未，就有一些單機版靜態殺毒軟件在國內流行。但由於新病毒層出不窮以及產品售後服務與升級等方面的

原因，用户感覺到這些殺毒軟件無力全面應付病毒的大舉進攻。面對這種局面，當時國內就有人提出：為防治計算機病毒，

可將重要的DOS引導文件和重要系統文件類似於網絡無盤工作站那樣固化到PC機的BIOS中，以避免病毒對這些文件的感染。

這可算是實時化反病毒概念的雛形。

雖然固化操作系統的設想對防病毒來説並不可行，但沒過多久各種防病毒卡就在全國各地紛紛登場了。這些防病毒卡

插在系統主板上，實時監控系統的運行，對類似病毒的行為及時提出警告。這些產品一經推出，其實時性和對未知病毒的

預報功能便大受被病毒弄得焦頭爛額的用户的歡迎，一時間，實時防病毒概念在國內大為風行。據業內人士估計，當時全

國各種防病毒卡多達百餘種，遠遠超過了防病毒軟件產品的數量。不少廠家出於各方面的考慮，還將防病毒卡的實時反病

毒模式轉化為DOSTSR的形式，並以應用軟件的方式加以實現，同樣也取得了較不錯的效果。

為什麼防病毒卡或DOSTSR實時防病毒軟件能夠風行一時？從表面上來看，是因為當時靜態殺毒技術發展還不夠快，而

且售後服務與升級一時半會也都跟不上用户的需要，從而為防病毒卡提供了一個發展的契機。但究其最根本的原因，還是

因為以防病毒卡為代表的產品技術，較好地體現了實時化反病毒的思想。

如果單純從應用角度考慮，用户對病毒存在情況是一無所知的。用户判斷是否被病毒感染，唯一可行的辦法就是用反

病毒產品對系統或數據進行檢查，而用户又不能做到每時每刻都主動使用這種辦法進行反病毒檢查。用户渴望的是不需要

他們干預就能夠自動完成反病毒過程的技術，而實時反病毒思想正好滿足了用户的這種需求。這就是防病毒卡或DOSTSR防

病毒軟件當時能夠大受用户歡迎的根本原因。

實時反病毒技術一向為反病毒界所看好，被認為是比較徹底的反病毒解決方案。多年來其發展之所以受到制約，一方面是因為它需要佔用一部分系統資源而降低系統性能，使用户感到不堪忍受；另一方面是因為它與其他軟件（特別是操作系統）的兼容性問題始終沒有得到很好的解決。

2008-2009年來，隨着硬件處理速度的不斷提高，實時化反病毒技術所造成的系統負荷已經降低到了可被大家忽略的程度，而Windows95/98和NT等多任務、多線程操作系統，又為實時反病毒技術提供了良好的運行環境。所以從1998年底開始，實時反病毒技術又重整旗鼓，捲土重來。表面看來這也許是某些反病毒產品爭取市場的重要舉措，但通過深入分析不難看出：重提實時反病毒技術是信息技術發展的必然結果。 對於同時運行多個任務的情況，傳統基於DOS的反病毒技術無法在Windows環境下發揮正常的反病毒功能，因為它無法控制其他任務所使用的資源。只有在較高優先級上，對系統資源進行全面、實時的監控，才有可能解決Windows多任務環境下的反病毒問題。 由於防病毒卡存在與系統不兼容、只預防不殺毒、安裝不便、誤報警等原因，已使其無法在市場上立足。雖然在傳統DOS環境下有些反病毒產品使用了TSR實現了病毒防治的實時化，但它們卻普遍存在兼容性方面的問題。大家將看到Windows 仍將它作為實模式窗口（有時又被稱為DOS虛擬機）打開，這種實模式窗口所能訪問到的資源是固定的，是由Windows分配的。出於安全性考慮，Windows不允許這個TSR訪問不屬於它的資源（特別是系統關鍵數據）。如果此時系統遭受病毒入侵（比如病毒企圖改寫硬盤主引導扇區），將會發生什麼情況？一般情況下，TSR檢測不到這種病毒行為， 即發生了所謂“漏報”。更嚴重的情況可能是TSR發現了這種病毒行為，但由於系統認為所涉及的資源與該TSR所屬於的實模式窗口無關而產生了操作衝突，這種情況下，TSR非但殺不了病毒，還很有可能造成系統被掛起或系統崩潰。

隨着計算機網絡技術的發展，網絡防病毒技術的發展也將日新月異，我們認為其發展方向是：

計算機病毒的真正危險在於威脅網絡和大型信息系統的安全。在網絡上防範計算機病毒涉及到病毒檢測、網絡技術發展及病毒對網絡攻擊的機理。可以預見，網絡操作系統集成網絡防病毒技術是必由之路，這是一項涉及多學科、多領域，具有開拓性的重要工作。2。網絡防病毒技術向集成化發展

網絡開放式防病毒技術是一種讓用户自我更新的防病毒技術，它將病毒的結構用一個統一的數據結構加以描述，用户可根據對病毒的一些特徵進行分析，通過特徵識別隨時更新自己的病毒庫，從而自己就使防病毒產品升級，以達到和新病毒的對抗。計算機網絡技術及防治病毒技術的迅速發展使人們完全有理由深信；會有更多更好的防病毒產品推出，這些技術會越來越成熟、越來越完善。

當計算機出現異常，大家首先想到的是用殺毒軟件。令人擔憂的是，在殺毒軟件作為最主要的反病毒工具被廣泛使用的今天，病毒造成的損失不是每年減少，反而每年增加。著名反病毒專家、“國家八六三計劃反計算機入侵和防病毒研究中心”專家委員會委員劉旭最近提出，殺毒軟件作為病毒防範的最主要工具，已經明顯暴露出重大缺陷———對新病毒的防範始終滯後於病毒出現。我國反病毒領域應儘快研製主動防禦型產品，以適應網絡時代信息安全防護新的要求。在深刻反思國際國內反病毒實踐和當前網絡新病毒日益氾濫的現狀後，劉旭認為，在過去病毒傳播速度不快、新病毒數量和種類較少、感染多為區域性、利益危害相對較小的情況下，殺毒軟件因其對廠商已捕獲的病毒具有良好的識別效果、可有效清除和阻止病毒進一步傳播與破壞的優點，被政府、企業和個人作為最主要的反病毒工具，為病毒防範作出了重要貢獻。但是，伴隨網絡在全球的飛速應用，利用網絡技術、以網絡為載體頻頻暴發的間諜程序、蠕蟲病毒、遊戲木馬、郵件病毒、QQ病毒、MSN病毒、黑客程序等網絡新病毒，已經顛覆了傳統的病毒概念。與傳統病毒相比，網絡病毒呈現傳播速度空前、數量與種類劇增、全球性暴發、攻擊途徑多樣化、以利益獲取為目的、造成損失具災難性等突出特點，使殺毒軟件面臨嚴峻挑戰。 ^[2] 

CPU內嵌的防病毒技術是一種硬件防病毒技術，與操作系統相配合，可以防範大部分針對緩衝區溢出（buffer overrun）漏洞的攻擊（大部分是病毒）。Intel的防病毒技術是EDB（Execute Disable Bit），AMD的防病毒技術是EVP（Ehanced Virus Protection），但不管叫什麼，它們的原理都是大同小異的。嚴格來説，目前各個CPU廠商在CPU內部集成的防病毒技術不能稱之為“硬件防毒”。首先，無論是Intel的EDB還是AMD的EVP，它們都是採用硬軟結合的方式工作的，都必須搭配相關的操作系統和軟件才能實現；其次，EDB和EVP都是為了防止因為內存緩衝區溢出而導致系統或應用軟件崩潰的，而這內存緩衝區溢出有可能是惡意代碼（病毒）所為，也有可能是應用程序設計的缺陷所致（無意識的），因此我們將其稱之為“防緩衝區溢出攻擊”更為恰當些。

在計算機內部，等待處理的數據一般都被放在內存的某個臨時空間裏，這個臨時存放空間被稱為緩衝區（Buffer），緩衝區的長度事先已經被程序或者操作系統定義好了。緩衝區溢出（buffer overrun）是指當計算機程序向緩衝區內填充的數據位數超過了緩衝區本身的容量。溢出的數據覆蓋在合法數據上。理想情況是，程序檢查數據長度並且不允許輸入超過緩衝區長度的字符串。但是絕大多數程序都會假設數據長度總是與所分配的存儲空間相匹配，這就為緩衝區溢出埋下隱患。操作系統所使用的緩衝區又被稱為堆棧，在各個操作進程之間，指令被臨時存儲在堆棧當中，堆棧也會出現緩衝區溢出。當一個超長的數據進入到緩衝區時，超出部分就會被寫入其他緩衝區，其他緩衝區存放的可能是數據、下一條指令的指針，或者是其他程序的輸出內容，這些內容都被覆蓋或者破壞掉。可見一小部分數據或者一套指令的溢出就可能導致一個程序或者操作系統崩潰。而更壞的結果是，如果相關數據裏包含了惡意代碼，那麼溢出的惡意代碼就會改寫應用程序返回的指令，使其指向包含惡意代碼的地址，使其被CPU編譯而執行，而這可能發生“內存緩衝區溢出攻擊”，名噪一時的“衝擊波”、“震盪波”等蠕蟲病毒就是採用這種手段來攻擊電腦的。

緩衝區溢出是由編程錯誤引起的。如果緩衝區被寫滿，而程序沒有去檢查緩衝區邊界，也沒有停止接收數據，這時緩衝區溢出就會發生。緩衝區邊界檢查被認為是不會有收益的管理支出，計算機資源不夠或者內存不足是編程者不編寫緩衝區邊界檢查語句的理由，然而技術的飛速發展已經使這一理由失去了存在的基礎，但是多數用户日常主要應用的程序中大多數其實仍然是十年甚至二十年前的程序代碼，並沒有檢查緩衝區邊界的功能。

緩衝區溢出是病毒編寫者和特洛伊木馬編寫者偏愛使用的一種攻擊方法。攻擊者或者病毒善於在系統當中發現容易產生緩衝區溢出之處，運行特別程序，獲得優先級，指示計算機破壞文件，改變數據，泄露敏感信息，產生後門訪問點，感染或者攻擊其他計算機。

對於緩衝區溢出攻擊，防毒殺毒軟件雖然也可以處理，但也只能是亡羊補牢，而操作系統和應用軟件的漏洞又是難以預測的，隨時可能被利用，引來緩衝區溢出攻擊。在這種情況下，預防緩衝區溢出攻擊應該從硬件層次着手，開始成為許多IT廠商的共識，於是大家俗稱的CPU硬件防病毒功能應運而生了。

緩衝區溢出攻擊最基本的實現途徑是向正常情況下不包含可執行代碼的內存區域插入可執行的代碼，並欺騙CPU執行這些代碼。而如果我們在這些內存頁面的數據區域設置某些標誌（No eXecute或eXcute Disable），當CPU讀取數據時檢測到該內存頁面有這些標誌時就拒絕執行該區域的可執行指令，從而可防止惡意代碼被執行，這就是CPU的防緩衝區溢出攻擊實現的原理。

而對於開啓了EDB或EVP功能的計算機來説，一般也就可實現數據和代碼的分離，而在內存某個頁面將被設置為只做數據頁，而任何企圖在其中執行代碼的行為都將被CPU所拒絕。當然，開啓EDB、EVP功能的CPU是無法獨立完成標註不可執行代碼內存頁面以及進行相關檢測防治工作的，它還需要相關操作系統和應用程序的配合。

Windows XP SP2、Windows Server 2003 SP1及64bit的Windows操作系統都提供了對EDB、EVP技術的支持。如果你使用的操作系統是Windows XP SP2，那麼啓用其中的DEP（Data Execution Protection，數據執行保護）功能即可為你的電腦提供比較全面的防緩衝區溢出攻擊功能。DEP是可以獨立運行的，並也可幫助防禦某些類型的惡意代碼攻擊，但要充分利用DEP可以提供的保護功能，就需要CPU的配合了。DEP可單獨或和兼容的CPU一起將內存的某些頁面位置標註為不可執行，如果某個程序嘗試從被保護的位置運行代碼，將會被CPU拒絕同時DEP會關閉程序並通知用户，從而在一定程度上保障用户電腦的安全。

CPU內嵌的防病毒技術以及操作系統的防病毒技術因此在目前來説可能還存在着一些兼容性的問題，例如因應用程序設計的缺陷或驅動程序而導致的誤報（特別是一些比較老的驅動程序）；另外，對於有些程序來説，是採用實時生成代碼方式來執行動態代碼的，而生成的代碼就有可能位於標記為不可執行的內存區域，這就有可能導致DEP將其檢測為非法應用程序而將其關閉。而這些都還有賴於硬件和軟件廠商的相互配合解決，當然，這些都是需要的時間。因此，DEP、EDB、EVP等技術都還在向前發展。

防範蠕蟲病毒

網絡蠕蟲是一種智能化、自動化，綜合網絡攻擊、密碼學和計算機病毒技術，無須計算機使用者干預即可運行的攻擊程序或代碼，它會掃描和攻擊網絡上存在系統漏洞的節點主機，過局域網或者國際互聯網從一個節點傳播到另外一個節點”。

以下將從企業防範蠕蟲病毒和個人用户防範兩方面來介紹：

當前，企業網絡主要應用於文件和打印服務共享、辦公自動化系統、企業業務（MIS）系統、Internet應用等領域。網絡具有便利信息交換特性，蠕蟲病毒也可以充分利用網絡快速傳播達到其阻塞網絡目的。企業在充分地利用網絡進行業務處理時，就不得不考慮企業的病毒防範問題，以保證關係企業命運的業務數據完整不被破壞。

企業防治蠕蟲病毒的時候需要考慮幾個問題：病毒的查殺能力，病毒的監控能力，新病毒的反應能力。而企業防毒的一個重要方面是是管理和策略。推薦的企業防範蠕蟲病毒的策略如下：

1．加強網絡管理員安全管理水平，提高安全意識。由於蠕蟲病毒利用的是系統漏洞進行攻擊，所以需要在第一時間內保持系統和應用軟件的安全性,保持各種操作系統和應用軟件的更新！由於各種漏洞的出現，使得安全不在是一種一勞永逸的事，而作為企業用户而言，所經受攻擊的危險也是越來越大，要求企業的管理水平和安全意識也越來越高。

2．建立病毒檢測系統。能夠在第一時間內檢測到網絡異常和病毒攻擊。

3．建立應急響應系統，將風險減少到最小！由於蠕蟲病毒爆發的突然性，可能在病毒發現的時候已經蔓延到了整個網絡，所以在突發情況下，建立一個緊急響應系統是很有必要的，在病毒爆發的第一時間即能提供解決方案。

4．立災難備份系統。對於數據庫和數據系統，必須採用定期備份，多機備份措施，防止意外災難下的數據丟失

5．對於局域網而言，可以採用以下一些主要手段：

（1）在因特網接入口處安裝防火牆式防殺計算機病毒產品，將病毒隔離在局域網之外。

（2）對郵件服務器進行監控，防止帶毒郵件進行傳播！

（3）對局域網用户進行安全培訓。

（4）建立局域網內部的升級系統，包括各種操作系統的補丁升級，各種常用的應用軟件升級，各種殺毒軟件病毒庫的升級等等。

在以上分析的蠕蟲病毒中，只對安裝了特定的微軟組件的系統進行攻擊，而對廣大個人用户而言，是不會安裝iis(微軟的因特網服務器程序，可以使允許在網上提供web服務)或者是龐大的數據庫系統的！因此上述病毒並不會直接攻擊個個人用户的電腦(當然能夠間接的通過網絡產生影響)，但接下來分析的蠕蟲病毒，則是對個人用户威脅最大，同時也是最難以根除，造成的損失也更大的一類蠕蟲病毒。

防範木馬程序和惡意代碼

木馬程序會竊取所植入電腦中的有用信息，因此我們也要防止被黑客植入木馬程序，常用的辦法有：

在下載文件時先放到自己新建的文件夾裏，再用殺毒軟件來檢測，起到提前預防的作用。在“開始”→“程序”→“啓動”或“開始”→“程序”→“Startup”選項裏看是否有不明的運行項目，如果有，刪除即可。將註冊表裏 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”為前綴的可疑程序全部刪除即可。

用户在上網是最有可能接觸到惡意代碼，因此，惡意代碼成了寬帶的最大威脅之一。以前使用Modem，因為打開網頁的速度慢，在完全打開前關閉惡意網頁還有避免中招的可能性。現在寬帶的速度這麼快，所以很容易就被惡意代碼攻擊。一般惡意代碼都是因為加入了用編寫的惡意代碼才有破壞力的。這些惡意代碼就相當於一些小程序，只要打開該網頁就會被運行。所以要避免惡意代碼的攻擊只要禁止這些惡意代碼的運行就可以了。運行IE瀏覽器，點擊“工具/Internet選項/安全/自定義級別”，將安全級別定義為“安全級-高”，對“ActiveX控件和插件”中第2、3項設置為“禁用”，其它項設置為“提示”，之後點擊“確定”。這樣設置後，當你使用IE瀏覽網頁時，就能有效避免惡意網頁中惡意代碼的攻擊。

郵件病毒的防範

防範郵件病毒的措施有以下幾條：1.在收到信的時候，不管是不是認識的還是不認識的，附件一定先不要打開，雖然有些E-mail在上傳附件的時候都進行了殺毒，不怕一萬就怕萬一。除非，你和他正在研究郵件病毒，或者在製造郵件病毒。

2.看見帶有附件的郵件，可以把附件下下來，然後用殺毒軟件殺毒，如果還是怕中毒，你可以這樣做。

（1）打開我的電腦，在工具欄中找到工具選擇文件夾選項，在彈出的對話框中選擇查看這個選項，把“隱藏已知文件類型的擴展”前面的勾去掉。

（2）在郵件的附件上右擊 選擇另存為， 在要你重命名的時候在文件名的後面打上“　.txt” 然後再殺毒。

（3）如果還是不放心，你可以選擇刪除。

3.記住自己常用的一些註冊網站的管理員郵箱，或者記住他們的郵箱後綴。在看見這些郵件的時候一點要仔細核對這些信息，使用社會工程學的人一定會偽造一個極像的或者一字之差的郵箱與你溝通。例如，前一段時間有一個病毒文件的計算機進程，如下： rundll32.exe（真實的）rund1l32.exe（病毒）rund1132.exe（病毒）,你不認真看，一下還真有點看不出來。這樣的郵件不管三七二十一，統統不要。

4. 為了能安全上網，安全的發郵件，有時候在QQ，MSN，SKY裏面別人給你的莫名的網站一定不要打開，除非你特別信任他，或者你已經知道了結果是什麼。

網頁病毒的防範措施

1.利用Windows Update功能打全系統補丁，避免病毒從網頁方式入侵到系統中。

2.將應用軟件升級到最新版本，其中包括各種IM即時通訊工具、下載工具、播放器軟件、搜索工具條等；更不要登錄來歷不明的網站，避免病毒利用其他應用軟件漏洞進行木馬病毒傳播。

3.當有未知插件提示是否安裝時，請首先確定其來源。

（二）服務器病毒及網上交易的防範：

WEB服務器自身脆弱性：Web服務器軟件自身存在安全問題，如Web服務器軟件缺省安裝提供了過多的不必要功能，密碼過於簡單遭到破解，當服務器管理員使用了不安全協議的軟件（如telnet）進行管理時，被監聽而導致信息外泄。 Web應用程序安全性差：主要是指CGI程序和ASP、PHP腳本等等程序的安全性。這些程序大大擴展了Web服務器的功能，但它們往往只重功能而忽視了安全性。

保護WEB服務的方法:

1.用防火牆保護網站，可以有效地對數據包進行過濾，是網站的第一道防線；

2.用入侵監測系統監測網絡數據包，可以捕捉危險或有惡意的訪問動作，並能按指定的規則，以記錄、阻斷、發警報等等多種方式進行響應，既可以實時阻止入侵行為，又能夠記錄入侵行為以追查攻擊者；

3.正確配置Web服務器，跟蹤並安裝服務器軟件的最新補丁；

4.服務器軟件只保留必要的功能，關閉不必要的諸如FTP、SMTP等公共服務，修改系統安裝時設置的默認口令，使用足夠安全的口令；

5.遠程管理服務器使用安全的方法如SSH，避免運行使用明文傳輸口令的telnet、ftp等程序；

6.謹慎使用CGI程序和ASP、PHP腳本程序7、使用網絡安全檢測產品對安全情況進行檢測，發現並彌補安全隱患。

3.防護FTP服務器

（1）禁止匿名登錄；

（2）設置訪問日誌；

（3）通過訪問日誌可以準確得到哪些IP地址和用户訪問的準確紀錄；

（4）強化訪問控制列表；

（5）採用NTFS訪問許可，運用ACL[訪問控制列表]控制對您的FTP目錄的的訪問；

（6）設置站點為不可視；

（7）使用磁盤配額；

（8）基於IP策略的訪問控制；

（9）使用安全密碼策略；

（10）限制登錄次數。

4.防護郵件服務器：

被攻擊的方法有三種：第一種是升級高版本的服務器軟件，利用軟件自身的安全功能限制垃圾郵件的大量轉發或訂閲反垃圾郵件服務； 第二種就是採用第三方軟件利用諸如動態中繼驗證控制功能來實現，從而確保接受郵件的正確性；第三種是配置病毒網關、病毒過濾等功能。

5.拒絕服務：

對某些域名服務器的大規模拒絕服務攻擊會造成互聯網速度普遍下降或停止運行；域劫持：通過利用客户升級自己的域註冊信息所使用的不安全機制，攻擊者可以接管域註冊過程來控制合法的域；泄漏網絡拓樸結構的。保護路由器安全還需要網管員在配置和管理路由器過程中採取相應的安全措施。

6.利用移動設備進行傳播的病毒的預防措施：

（1）.在使用移動介質（如：U盤、移動硬盤等）之前，建議先進行病毒查殺。

（2）.禁用系統的自動播放功能，防止病毒從U盤、移動硬盤、MP3等移動存儲設備進入到計算機。

禁用Windows 系統的自動播放功能的方法：在運行中輸入 gpedit.msc 後回車，打開組策略編輯器，依次點擊：計算機配置－＞管理模板－＞系統－＞關閉自動播放－＞已啓用－＞所有驅動器－＞確定

（3）.儘量不要使用雙擊打開U盤，而是選擇右鍵--＞打開。

7.網絡交易防範措施：網上銀行、在線交易的預防措施：

（1）在登錄電子銀行實施網上查詢交易時，儘量選擇安全性相對較高的USB證書認證方式。不要在公共場所，如網吧，登錄網上銀行等一些金融機構的網站，防止重要信息被盜。

（1）網上購物時也要選擇註冊時間相對較長、信用度較高的店鋪。 ^[3] 

系統防毒措施

在“Melissa”病毒出現之前，人們並未意識到為電子郵件系統提供專門的防病毒保護的重要性。如今，電子郵件系統已從簡單的信息發佈發展到可提供協作存儲器、基於Web的用户界面以及無線設備接入等方面。因此，要從系統角度設計一套全面的防毒計劃。

● 制定系統的防病毒策略。為了正確選擇、配置和維護病毒防護解決方案，您的系統必須明確地規定保護的級別和所需採取的對策。

● 部署多層防禦戰略。伴隨着網絡的發展，病毒可從多種渠道進入系統，因此在儘可能多的點採取病毒防護措施是至關重要的。其中包括網關防病毒、服務器及羣件防病毒、個人桌面計算機防病毒以及所有防病毒產品的統一管理等。

● 定期更新防病毒定義文件和引擎。在大多數系統瞭解到使其病毒定義文件保持最新版本的重要性的同時，並不是人人都瞭解確保檢測引擎為最新版本同等重要。一般情況下，更新是自動進行的，但更重要的是應定期檢查日誌文件以確保正確地執行了更新。

基於服務器的電子郵件病毒防護是提供系統內部保護的最有效方式，但是根據系統安全保護策略的細節不同，它不能對所有類型的信息（如加密信息）都提供防護。因此還應定期更新桌面計算機中的防病毒軟件。

● 定期備份文件。一旦病毒破壞了您的數據，您可以利用您的存儲檔案恢復相關文件。建議您制訂一個標準程序來定期檢查從備份中恢復的數據。

● 預訂可發佈新病毒威脅警告的電子郵件警報服務。有許多不同的機構提供這種服務，但是最關鍵的應該是您的防病毒服務供應商。其原因在於每個防病毒軟件供應商的能力不同，對新病毒的估定也不同，而且採取的措施也有差異。例如，一位供應商已經在過去的更新版本中提供了類屬病毒檢測，從而對某種新病毒提供了防護，因此對於他們的客户而言，這一特殊病毒將被估定成低風險的。但是其他未能提供當前保護的供應商卻會將同類病毒估定為“高”風險的。

● 為全體職員提供全面的防病毒培訓。如果全體職員都瞭解容易遭受電子郵件病毒攻擊的風險、防護措施以及遇到可疑病毒時應該採取的建議性措施等，就可以最大程度地降低系統內大多數病毒的發作。

終端用户防毒措施

隨着電子郵件與辦公套件應用的日益密切集成，單從電子郵件客户應用的角度來檢驗防病毒措施的缺陷是不夠的。相反，還必須充分保護用户所使用的整個PC。

禁用預覽窗口功能。某些電子郵件程序，如 Microsoft Outlook 和 Microsoft Outlook Express，都有一個允許用户不打開信息，而是在一個單獨窗口查看此信息的功能，但是因為預覽窗口具有處理嵌套腳本的能力，某些病毒只需預覽就能夠執行。

如果將 Microsoft Word 當作電子郵件編輯器使用，就需要將 NORMAL.DOT 在操作系統級設置成只讀文件。同時將 Microsoft Word 的設置更改為“Prompt to Save Normal Template（保存常規模板）”。許多病毒通過更改 NORMAL.DOT 文件進行自我傳播，採取上述措施至少可產生一定的阻止作用。

使用.rtf和.csv來代替.doc和.xls。要想應付宏所產生的問題，可以使用.rtf 格式的字處理文檔來代替.doc格式文檔，並用.csv格式的電子表格來代替.xls格式電子表格，因為這些格式不支持宏的應用。

刪除Windows Scripting Host。如果系統不使用 Windows Script Hosting (WSH)，應該考慮刪除或禁用它。在 Windows 9x 中的操作方法是，先進入“控制面板”，選中“添加/刪除程序”，點擊“Windows安裝程序”選項卡，然後雙擊“附件”。向下滾動到“Windows Script Host”之處，刪除此項，最後選擇“確定”。操作完畢可能需要重新啓動系統。

使用收件箱規則來處理可疑的電子郵件。如果系統不採用基於服務器的電子郵件內容過濾方式，可以使用電子郵件收件箱規則來自動刪除可疑信息或將其移到專門的文件夾中。不要打開來源不明、可疑或不安全的電子郵件上的任何附件。一定要確保所有電子郵件附件的來源是合法規範的。

不輕易下傳病毒警告。由於病毒本身和惡作劇式的非法警告數量龐大，下傳這類病毒警告將會無謂地浪費時間和空間。在將警告傳給其他人之前，應先查看防病毒產品供應商的網站，以確定系統是否已得到保護或者這只是個惡作劇。

加上寫保護。此項措施適用於在其他計算機上使用可移動介質。假如要使用可移動介質在計算機之間（如從工作單位到家中）傳遞電子郵件，那麼在可疑係統中使用此類介質之前應將其加上寫保護，以防止它受到病毒感染。

服務器防毒措施

有些人以為只要他們保護了自己的電子郵件網關和內部的桌面計算機，就無需基於電子郵件服務器的防病毒解決方案了。這在幾年前或許是對的，但是目前隨着基於 Web 的電子郵件訪問、公共文件夾以及訪問存儲器的映射網絡驅動器等方式的出現，病毒可以通過多種方式進入電子郵件服務器。這時，就只有基於電子郵件服務器的解決方案才能夠檢測和刪除受感染項。 攔截受感染的附件。許多利用電子郵件傳輸方式的病毒傳播者（又稱“海量寄件者”）經常利用可在大多數計算機中找到的可執行文件，如EXE、VBS和SHS散佈病毒。實際上，大多數電子郵件用户並不需要接收帶這類文件擴展的附件，因此當它們進入電子郵件服務器或網關時可以將其攔截下來。

安排全面隨機掃描。即使能夠保證使用所有最新的手段防範病毒，新型病毒也總是防不勝防。它們有可能乘人們還沒來得及正確識別，防病毒產品廠商也尚未相應地制定出新的定義文件之前，進入系統。通過使用最新定義文件，對所有數據進行全面、隨機地掃描，確保檔案中沒有任何受感染文件矇混過關，就顯得尤為重要。

試探性掃描。利用試探性掃描，可以尋找已知病毒的特徵，以識別是已知病毒變異的新病毒，提供較高級別的保護，但缺點是它需要更多的處理時間來掃描各項病毒，而且偶爾還會產生錯誤的識別結果。不管怎樣，只要服務器配置正確，根據性能的需要，利用試探性掃描提供額外保護，還是值得一試的。

用防病毒產品中的病毒發作應對功能。海量郵寄帶來的病毒可以迅速傳遍一個系統。對於管理員而言，沒有防病毒廠商所提供的適當的檢測驅動程序，要根除這些病毒是極其費力的。幸運的是，某些病毒防護產品提供了系統設置功能，一旦出現特定病毒發作的特徵，這些產品就會自動發出通知或採取修正措施。

重要數據定期存檔。並非所有病毒都立即顯示出自己的特徵；根據感染位置以及系統的設置情況，有些病毒可能要潛伏一段時間才能被發現。最好是至少每月進行一次數據存檔，這樣，如前所述，在防病毒解決方案的自動刪除功能不起作用時，就可以利用存檔文件，成功地恢復受感染項。

1、病毒查殺能力

病毒查殺能力是衡量網絡版殺毒軟件性能的重要因素。用户在選擇軟件的時候不僅要考慮可查殺病毒的種類數量，更應該注重其對流行病毒的查殺能力。很多廠商都以擁有大病毒庫而自豪，但其實很多惡意攻擊是針對政府、金融機構、門户網站的，而並不對普通用户的計算機構成危害。過於龐大的病毒庫，一方面會降低殺毒軟件的工作效率，同是也會增大誤報、誤殺的可能性。

2、對新病毒的反應能力

對新病毒的反應能力也是考察防病毒軟件查殺病毒能力的一個重要方面。通常，防病毒軟件供應商都會在全國甚至全世界建立一個病毒信息收集、分析和預測的網絡，使其軟件能更加及時、有效地查殺新出現的病毒。這一搜集網絡體現了軟件商對新病毒的反應能力。

3、病毒實時監測能力

對網絡驅動器的實時監控是網絡版殺毒軟件的一個重要功能。很多企業中，特別是網吧、學校、機關中有一些老式機器因為資源、系統等問題不能安裝殺毒軟件時，就需要用該功能進行實時監控。同時，實時監控還應識別儘可能多的郵件格式，具備對網頁的監控和從端口進行攔截病毒郵件的功能。

4、快速、方便的升級能力

和個人版殺毒軟件一樣，只有不斷更新病毒數據庫，才能保證網絡版防病毒軟件對新病毒的查殺能力。升級的方式應該多樣化，防病毒軟件廠商必須提供多種升級方式，特別是對於公安、醫院、金融等不能連接到公共互聯網絡的用户，必須要求廠商提供除Internet以外的本地服務器、本機等升級方式。自動升級的設置也應該多樣。

5、智能安裝、遠程識別

對於中小企業用户，由於網絡結構相對簡單，網絡管理員可以手工安裝相應軟件，只需要明確各種設備的防護需求即可。但對於計算機網絡應用複雜的用户(跨國機構、國內連鎖機構、大型企業等)選擇軟件時，應該考慮到各種情況，要求能提供多種安裝方式，如域用户的安裝、普通非域用户的安裝、未連網用户的安裝和移動客户的安裝等。

6、管理方便，易於操作

系統的可管理性是系統管理員尤其需要注意的問題，對於那些多數員工對計算機知識不是很瞭解的單位，應該限制客户端對軟件參數的修改權限；對於軟件開發、系統集成等科技企業，根據員工對網絡安全知識的瞭解情況以及工作需要，可適當開放部分參數設置的權限，但必須做到可集中控管。對於網絡管理技術薄弱的企業，可以考慮採用遠程管理的措施，把企業用户的防病毒管理交給專業防病毒廠商的控制中心專門管理，從而降低用户企業的管理難度。

7、對資源的佔用情況

防病毒程序進行實時監控都或多或少地要佔用部分系統資源，這就不可避免地要帶來系統性能的降低。如一些單位上網速度太慢，有一部分原因是防病毒程序對文件過濾帶來的影響。企業應該根據自身網絡的特點，靈活配置網絡版防病毒軟件的相關設置。

8、系統兼容性與可融合性

系統兼容性是選購防病毒軟件時需要考慮的事。防病毒軟件的一部分常駐程序如果跟其它軟件不兼容將會帶來很多問題，比如説引起某些第三方控件的無法使用，影響系統的運行。在選購安裝時，應該經過嚴密的測試，以免影響正常系統的運行。對於機器操作系統千差萬別的企業，還應該要求網絡版防病毒能適應不同的操作系統平台。

內網安全未來的趨勢是SCM（SecurityComplianceManagement，安全合規性管理）。從被動響應到主動合規、從日誌協議到業務行為審計、從單一系統到異構平台、從各自為政到整體運維是SCM的四大特點，精細化的內網管理可以使現有的內網安全達到真正的“可信”。

目前，內網安全的需求有兩大趨勢：一是終端的合規性管理，即終端安全策略、文件策略和系統補丁的統一管理；二是內網的業務行為審計，即從傳統的安全審計或網絡審計，向對業務行為審計的發展，這兩個方面都非常重要。

（1）從被動響應到主動合規。通過規範終端行為，避免未知行為造成的損害，使IT管理部門將精力放在策略的制定和維護上，避免被動響應造成人力、物力的浪費和服務質量的下降。

（2）從日誌協議審計到業務行為審計。傳統的審計概念主要用於事後分析，而沒有辦法對業務行為的內容進行控制，SCM審計要求在合規行為下實現對業務內容的控制，實現對業務行為的認證、控制和審計。

（3）對於內網來説，儘管Windows一統天下,但是隨着業務的發展，Unix、Linux等平台也越來越多地出現在企業的信息化解決方案中，這就要求內網安全管理實現從單一系統到異構平台的過渡，從而避免了由異構平台的不可管理引起的安全盲點的出現。 ^[4] 

是國產殺軟的龍頭老大，其監控能力是十分強大的，但同時佔用系統資源較大。瑞星採用第八代殺毒引擎，能夠快速、徹底查殺大小各種病毒，這個絕對是全國頂尖的。但是瑞星的網絡監控不行，最好再加上瑞星防火牆彌補缺陷。另外，瑞星2009的網頁監控更是疏而不漏，這是雲安全的結果。

金山毒霸是金山公司推出的電腦安全產品，監控、殺毒全面、可靠，佔用系統資源較少。其軟件的組合版功能強大（毒霸主程序、金山清理專家、金山網鏢），集殺毒、監控、防木馬、防漏洞為一體，是一款具有市場競爭力的殺毒軟件。

是一款老牌的殺毒軟件了。它具有良好的監控系統，獨特的主動防禦使不少病毒望而卻步。建議與江民防火牆配套使用。本人在多次病毒測試中，發現江民的監控效果非常出色，可以與國外殺軟媲美。佔用資源不是很大。是一款不錯的殺毒軟件。另外江民2009與360安全衞士有衝突，建議選擇其一安裝。

卡巴斯基是俄羅斯民用最多的殺毒軟件

卡巴斯基有很高的警覺性，它會提示所有具有危險行為的進程或者程序，因此很多正常程序會被提醒確認操作。其實只要使用一段時間把正常程序添加到卡巴斯基的信任區域就可以了。

在殺毒軟件的歷史上，有這樣一個世界紀錄：讓一個殺毒軟件的掃描引擎在不使用病毒特徵庫的情況下，掃描一個包含當時已有的所有病毒的樣本庫。結果是，僅僅靠“啓發式掃描”技術，該引擎創造了95%檢出率的紀錄。這個紀錄，是由AVP創造的。

卡巴斯基總部設在俄羅斯首都莫斯科，Kaspersky Labs是國際著名的信息安全領導廠商。公司為個人用户、企業網絡提供反病毒、防黒客和反垃圾郵件產品。經過十四年與計算機病毒的戰鬥，被眾多計算機專業媒體及反病毒專業評測機構譽為病毒防護的最佳產品。

諾頓是Symantec公司個人信息安全產品之一，亦是一個廣泛被應用的反病毒程序。到2009年，該項產品的發展，除了原有的防毒外，還有防間諜等網絡安全風險的功能。諾頓反病毒產品包括：諾頓網絡安全特警 （Norton Internet Security）諾頓反病毒（Norton Antivirus）諾頓360（Norton ALL-IN-ONE Security）諾頓計算機大師（Norton SystemWorks）等產品。賽門鐵克另外還有一種專供企業使用的版本被稱做Symantec Endpoint Protection 。

NOD32是ESET公司的產品，為了保證重要信息的安全，在平靜中呈現極佳的性能。不需要那些龐大的互聯網安全套裝，ESET NOD32就可針對肆虐的病毒威脅為人們提供快速而全面的保護。它極易使用，人們所要做的只是：設置它，並忘記它！

360安全衞士是一款由奇虎公司推出的完全免費(奇虎官方聲明：“永久免費”)的安全類上網輔助工具軟件，擁有木馬查殺、惡意軟件清理、漏洞補丁修復、電腦全面體檢、垃圾和痕跡清理、系統優化等多種功能。

360安全衞士軟件硬盤佔用很小，運行時對系統資源的佔用也相對效低，是一款值得普通用户使用的較好的安全防護軟件。

主動防禦軟件

是北京東方微點信息技術有限責任公司自主研發的具有完全自主知識產權的新一代反病毒產品，在國際上首次實現了主動防禦技術體系，並依此確立了反病毒技術新標準。微點主動防禦軟件最顯著的特點是，除具有特徵值掃描技術查殺已知病毒的功能外，更實現了用軟件技術模擬反病毒專家智能分析判定病毒的機制，自主發現並自動清除未知病毒。

(Twister Anti-TrojanVirus) 是一款同時擁有反木馬、反病毒、反Rootkit功能的強大防毒軟件。擁有海量的病毒特徵庫，支持Windows安全中心，支持右鍵掃描，支持對ZIP、RAR等主流壓縮格式的全面多層級掃描。能對硬盤、軟盤、光盤、移動硬盤、網絡驅動器、網站瀏覽Cache、E-mail附件中的每一個文件活動進行實時監控，並且資源佔用率極低。先進的動態防禦系統(FDDS)會動態跟蹤電腦中的每一個活動程序，智能偵測出其中的未知木馬病毒，並擁有極高的識別率。解疑式在線掃描系統可以對檢測出的可疑程序進行在線診斷掃描。 SmartScan快速掃描技術使其具有非凡的掃描速度。國際一流的網頁病毒分析技術，擁有最出色的惡意網站識別能力。能夠識別出多種經過加殼處理的文件，有效防範加殼木馬病毒。它的“系統快速修工具”可以對IE、Windows、註冊表等常見故障進行一鍵修復。 “木馬強力清除助手”可以輕鬆清除那些用普通防毒軟件難以清除掉的頑固性木馬病毒，並可抑制其再次生成。註冊表實時監控能夠高效阻止和修復木馬病毒對註冊表的惡意破壞。支持病毒庫在線增量升級和自動升級，不斷提升對新木馬新病毒的反應能力。 費爾託斯特安全提供的一系列安全保護措施可以讓電腦變得更加穩固，是最值得信賴的安全專家。

來自捷克斯洛伐克的avast!，已有數十年的歷史，它在國外市場一直處於領先地位。avast!的實時監控功能十分強大，免費版的avast!antivirus home edition它擁有七大防護模塊：網絡防護、標準防護、網頁防護、即時消息防護、互聯網郵件防護、P2P防護、網絡防護。免費版的需要每年註冊一次,註冊是免費的！收費的avast!antivirus professional還有腳本攔截、PUSH 更新、命令行掃描器、增大用户界面等4項家庭版沒有的功能。

avast!是捷克一家軟件公司(ALWIL Software)的產品。ALWIL軟件公司的研發機構在捷克的首都－布拉格，他們和世界上許多國家的安全軟件機構都有良好的合作關係。早在80年代末ALWIL公司的安全軟件已經獲得良好的市場佔有率，但當時僅限於捷克地區。

McAfee是全球最暢銷的殺毒軟件之一，McAfee防毒軟件, 除了操作介面更新外,也把該公司的WebScanX功能合在一起,增加了許多新功能， 除了幫助偵測和清除病毒，它還有VShield自動監視系統，會常駐在System Tray，當從磁盤、網絡上、E-mail夾文件中開啓文件時便會自動偵測文件的安全性，若文件內含病毒，便會立即警告，並作適當的處理，而且支持鼠標右鍵的快速選單功能，並可使用密碼把個人的設定鎖住讓別人無法亂改設定。

McAfee 公司是世界上第八大獨立軟件公司，簡稱M字頭，是全球最大的致力於提供網絡信息安全和管理的專業廠商，也是全球最有影響力的十大網絡軟件公司之一。　McAfee公司( NYSE: MFE ) 總部位於加利福尼亞的聖克拉拉市，1998年收購歐洲第一大反病毒廠商Dr. Solomon，利用最新的加速處理和智能識別技術全面更新了其防病毒產品引擎。