病毒知识介绍（三）

PainSolo

病毒行为语言
从程序语言角度来讲，计算机病毒是一段有规律的代码，通常查找病毒的过程就是查找病毒所用的代码。病毒行为语言使用一种数学的计算方法对病毒代码算出一个公式，用这个公式可以准确的描述病毒。
这种描述计算机病毒的方法具有：描述精确、查找迅速、误报率低的特点。
数据描述解毒技术
病毒寄生在系统中的过程是对文件和扇区的一种数学变换，从宏观上来讲可以看成是一段数据运算，它的逆运算就是数据解毒技术。（注：这里所指的“文件”是磁盘逻辑结构单位，通常用于保存程序、数据库、文本和其它数据。这里所指的“扇区”是在格式化磁盘时产生，是磁盘上最小的分配单位）
这种技术解毒具有：解毒准确、解毒效率高、解毒效果好等特点。
病毒家族分类法：
“家族”是指几种或数十种病毒均由同一种病毒发展而来，它们的性质相近，表现方法相近，甚至连检测、消除的方法都十分相象。对同一家族的病毒指定相同的基名称，并冠以不同的副名称，基名称与副名称之间用小数点分开，这样可以有效的对种类繁多的计算机病毒进行科学地、有效地分类。
数据代码分离技术
数据代码分离技术把对一种病毒的查解分成了两类，一种是病毒符合标准的查毒解毒算法，只要增加有关这种病毒的几个数据（只有几个字节），就可查解这种病毒；另一种是不符合标准解毒算法的病毒，只要增加有关这种病毒的查解代码（只有几十个字节），就可增加这类病毒的查解算法。这种方法的特点是在系统文件版本不变的情况下，只要追加新的病毒资料，就不仅可以对一般新病毒有效查解，并且能对新一代病毒自动升级查解，解决了反病毒软件升级中对新病毒的即要查找又要消除的问题。
病毒的检测与解除
(1) 文件型病毒解除
在计算机病毒中绝大部分是文件型。所谓文件型病毒是指此类病毒寄生在可执行文件上，传播的途径也是靠可执行文件。从数学角度而言，消除病毒的过程实际上是病毒感染过程的逆过程。通过检测工作、（跳转、解码），已经得到了病毒体的全部代码，用于还原病毒的数据肯定在病毒体内，只要找到这些数据，依照一定的程式或方法即可将文件恢复，也就是说可以将病毒解除。
(2)引导型病毒的解除
这类病毒的种类也比较多，我国发现的第一例病毒--“小球”病毒就是引导型病毒，它们占据软盘或硬盘的第一个扇区，在开机后先于操作系统得到对计算机的控制，影响系统的I/O存取速度，干扰系统的正常运行；此类病毒可用：地址法、相对法、逻辑法、覆盖法、特殊法予以解除。
(3)内存解毒
因为内存中的活病毒体会干扰反病毒软件的检测结果，所以几乎所有反病毒软件设计者都要考虑到内存解毒。新的内存解毒技术是找到病毒在内存中的位置，重构其中部分代码，使其传播功能失效。
(4)未知病毒的检测
通过对大量病毒的分析，可以掌握病毒的共性，并按照其发展衍生规律进行分类，总结病毒常用代码（这些代码是病毒存在传播发作的根本），以文件中包含这些代码的加权统计值作为对未知病毒检测的依据，使用可执行文件格式知识分析启始代码，通过一定程度的反汇编和预测跳转，综合结果报告未知病毒。这种方法是建立在独特病毒描述语言基础上的，具有描述准确、误报率低等特点。
(5)包裹文件病毒检测
包裹程序是一些常见的工具软件，它可以包裹可执行文件，减小磁盘占用空间，加快运行速度。但把一个病毒包裹后，病毒就会被保护起来，使得各种反病毒软件无法查到。已被包裹并含有病毒的可执行文件在执行时，病毒会到处传播，使用解毒软件将病毒解除之后，被包裹的可执行文件中的病毒却保留下来，危害较大。通过特有的解包裹模块，可以即查解被包裹后的病毒，又不破坏被包裹后没有病毒的可执行文件。
(6)检测被压缩工具处理过的文件
磁盘上经常会有一些被压缩工具处理过的文件，这样做可以节省磁盘空间，便于保密和携带。但如果有人无意将病毒传染的文件使用压缩工具压缩了，那么一般反病毒软件就无法将病毒从压缩文件中查出；采用解压缩算法和流程处理可以根治这种病毒。

网络病毒防治

对于单机病毒防治，运用以上技术或使用具有相应功能的反病毒软件即可基本保障计算机系统不受病毒的侵扰。相对于单机病毒的防护来说，网络病毒的防治具有更大的难度，网络病毒防治应与网络管理集成。网络防病毒最大的优势在于网络的管理功能，如果没有把管理功能加上，很难完成网络防毒的任务。只有管理与防范相结合，才能保证系统的良好运行。
管理功能就是管理全部的网络设备：从Hub、交换机、服务器到PC，软盘的存取、局域网上的信息互通及与Internet的接驳等等，所有病毒能够进来的地方。一般来讲，计算机病毒的防治在于完善操作系统和应用软件的安全机制，但在网络环境下，可相应采取新的防范手段。
在网络环境下，病毒传播扩散快，仅用单机防杀病毒产品已经难以清除网络病毒，必须有适用于局域网、广域网的全方位防杀病毒产品。
为实现计算机病毒的防治，可在计算机网络系统上安装网络病毒防治服务器；可在内部网络服务器上安装网络病毒防治软件；可在单机上安装单机环境的反病毒软件
安装网络病毒防治服务器的目标是以实时作业方式扫描所有进出网络的文件。如上图所示本地网络与其它网络（包括INTERNET和各种局域网）间的数据交换、本地网络工作站与服务器间的数据交换、本地网络各工作站之间的数据交换都要经过网络病毒防治服务器的检测与过滤，这样就保证了网络病毒的实时查杀与防治,其常见功能如下：
1 持续扫描
能保持全天24小时监控，实时扫描所有进出网络的文件。
2强大的病毒查解功能
可查解已知病毒99.36%以上，未知病毒85%以上。
3自动报警功能
发现病毒时可立即产生报警，通知管理员，并可追踪病毒来源。
4 功能强大的扫描日志与报告
记录规定时间内追踪网络所有病毒的活动，可给出扫描报告、扫描日志等多种报告。
5 其它功能
·能递归地扫描包裹和压缩文件中的病毒
·内含的智能分析模块-“代码分析”能够查到新的还没有命名的病毒
·能够检查和解除在内存中驻留的病毒
·检查文件和系统扇区并找到它们的变化
·快速升级
·可以按照用户需要设置保存和装入工作配置
·友好的帮助系统和病毒信息资料
·查毒、解毒、设置、相关工具于一体。

网络病毒防治服务的常见设置：
网络病毒服务器可以进行下述的各种设置，下面将分别对各项设置内容进行详细说明：
1扫描位置
通过设置“扫描位置”，可以指定需要进行扫描的硬盘、网络盘、文件夹及具体文件。
2扫描目标
通过设置“扫描目标”，可以指定扫描的目标类型及文件扩展名的过滤掩码。
3文件过滤：
设置文件过滤是为了加快扫描的速度；当设置了过滤方式之后， 将按设置进行文件过滤
5扫描选项
在"扫描选项"中可以设置不同的病毒扫描模式和其它程序选项。
6在线监控
可以进行后台监视；监视的内容主要是其它应用程序进行的文件操作，即当系统中任何一个应用程序打开文件或执行程序时，首先对要操作的文件进行查毒操作。该项设置用来定义监视的方式。
7扫描计划
可以在某一天或一天的某一时刻自动进行病毒扫描操作；
8统计信息
“统计信息”显示扫描工作的进展和病毒处理的情况。
9提示信息
显示当前扫描文件的状态信息和后台在线监视的状态信息。

内部网络服务器的功能合设置与上面所述类似，单机环境的病毒防治也与上述类似，只是不具备网络上的一些功能。对于一个企业或一个INTRANET网而言，如果设置了网络病毒防治服务器、内部网络病毒防治系统和单机（或工作站）防毒系统三级防护措施，且每级都采用了本方案所阐述的先进技术，那么这个计算机系统的安全病毒防治工作就是可行的而且是非常有效的。


计算机病毒防治小常识

计算机病毒经常会以人们预料不到的方式入侵到电脑系统中，所以即使使用了反病毒软件，也不能忽略了平时的预防工作。建议采用"防、杀"结合的方式对付计算机病毒，将病毒对系统的破坏可能性减到最少。我们总结了多年的反病毒经验，将其中常识性的东西归纳起来，为您提供以下几点参考：

一 怎样保持计算机不染病毒

1、有规律的备份您的系统关键数据。这里所说的系统关键数据一般是指您日常工作中自己创作、收集而来的数据文件，比如您手工输入的文章、您费了很大劲得到的股票数据等。这类数据您一定要至少每周备份一次，通常可以备份到软盘上。

2、制作一个"干净的"，确认没有病毒的系统应急引导盘，并复制一个反病毒软件到这个盘上，还有一些您认为有用的其他工具软件，然后关上写保护。如果您不知道如何制作一个"干净的"引导盘，您可以利用一些反病毒软件提供的制作应急盘功能(如：行天98提供应急盘制作向导)。

3、在使用软磁盘之前检查病毒，尽量不要使用软盘启动，多数的常见病毒是引导型的。不要执行没有检验的文件，包括您从LAN/WAN 或因特网下传的文件。使用前请一定要先进行查毒处理。

4、限制使用您的计算机的人的数量。尽量不要让别人使用您的计算机。如果不能做到这一点，最少，不要在您的计算机上使用别人的软盘。

5、经常升级您的反病毒软件。请留意反病毒厂商的升级通告。

6、注意您的计算机有没有奇怪的现象（例如速度变慢、出现奇怪的文件、文件尺寸变大、内存减少），这些奇怪的现象的出现意味着您的计算机感染了病毒、计算机中存在有问题的软件或出现了硬件故障。

7、使用从正规渠道买到的正版软件。（注：有个别案例，在这些正常的软件中也出现过病毒，不要担心，这说明大家对反病毒软件同样需要常备）



二 如果您的计算机感染了病毒怎么办

首先，不要惊慌，这远不是一件能够让您大惊小怪的事。

下面是我们建议采用的几个基本步骤：

在解毒之前，要先备份重要的数据文件，哪怕是有毒的文件。如果解毒失败了，您仍可以恢复回来，再使用其它解毒软件修复。尽管这种可能性不大，但也要预防万一。

启动反病毒软件，在"扫描位置"设置表中选择全部硬盘（还没有糟糕到要检查网络，除非您是网络系统管理员，并且刚好最近访问过服务器。）

在"扫描目标"中打开对"内存"、"扇区目标"、"文件"、"压缩程序"的设置。如果您怀疑病毒是从BBS 和因特网下传的包裹文件中感染的，请一定要打开"包裹文件"这项设置。

当发现病毒时您可以选择摻舛緮进行处理，但不幸的是，并不是所有的病毒都能解除，一些病毒感染文件时已经把文件破坏，以至于使解毒成为不可能（您可以从备份中恢复），在这种情况下建议您删除感染的文件。


如果您的计算机感染了一个新的未知病毒。此时，您应尽量隔离这些目标，并送到反病毒软件厂商的研究中心，以供详细分析。

如果在 Windows 95 环境下没有解毒成功，请用一个"干净"的带写保护的DOS 软盘启动您的计算机，并运行。如果您没有DOS版，请用您制作的应急盘来启动。


三 碰到可疑的目标怎么办
对于文件，请将"可疑"的文件复制到一个软盘，或者把它们打包成ZIP或ARJ文件。
对于磁盘扇区，请复制一个系统扇区，包括Boot扇区, MBR扇区和FAT 到一个文件(这里您需要供助于一些工具，如HD－COPY）。

把磁盘或包裹文件送到反病毒的技术支持站，最快的办法是发送E-Mail。如果您有PGP 并知道用法，我们建议加密后传送，这样能够保证正确的送到和升级文件的获得。