防病毒技术的基本方法

在网络环境下，防范病毒问题显得尤其重要。这有两方面的原因：首先是网络病毒具有更大破坏力。其次是遭到病毒破坏的网络要进行恢复非常麻烦，而且有时恢复几乎不可能。因此采用高效的网络防病毒方法和技术是一件非常重要的事情。网络大都采用“Client-Server”的工作模式，需要从服务器和工作站两个结合方面解决防范病毒的问题。在网络

上对付病毒有以下四种基本方法： 以NetWare为例，在NetWare中，提供了目录和文件访问权限与属性两种安全性措施。“访问权限有：防问控制权、建立权、删除权、文件扫描权、修改权、读权、写权和管理权。属性有：需归档、拷贝禁止、删除禁止、仅执行、隐含、索引、清洗、读审记、写审记、只读、读写、改名禁止、可共享、系统和交易。属性优先于访问权限。根据用户对目录和文件的 *** 作能力，分配不同的访问权限和属性。例如，对于公用目录中的系统文件和工具软件，应该只设置只读属性，系统程序所在的目录不要授予修改权和管理权。这样，病毒就无法对系统程序实施感染和寄生，其它用户也就不会感染病毒。

由此可见，网络上公用目录或共享目录的安全性措施，对于防止病毒在网上传播起到积极作用。至于网络用户的私人目录，由于其限于个别使用，病毒很难传播给其它用户。采用基于网络目录和文件安全性的方法对防止病毒起到了一定作用，但是这种方法毕竟是基于网络 *** 作系统的安全性的设计，存在着局限性。现在市场上还没有一种能够完全抵御计算机病毒侵染的网络 *** 作系统，从网络安全性措施角度来看，在网络上也是无法防止带毒文件的入侵。 这种方法是将防病毒功能集成在一个芯片上，安装在网络工作站上，以便经常性地保护工作站及其通往服务器的路径。工作站是网络的门户，只要将这扇门户关好，就能有效地防止病毒的入侵。将工作站存取控制与病毒保护能力合二为一插在网卡的EPROM槽内，用户也可以免除许多繁琐的管理工作。

Trend Micro Devices公司解决的办法是基于网络上每个工作站都要求安装网络接口卡网络接口卡上有一个Boot Rom芯片，因为多数网卡的Boot Rom并没有充分利用，都会剩余一些使用空间，所以如果安全程序够小的话，就可以把它安装在网络的Boot Rom的剩余空间内，而不必另插一块芯片。

市场上Chipway防病毒芯片就是采用了这种网络防病毒技术。在工作站DOS引导过程中，ROMBIOS，Extended BIOS装入后，Partition Table装入之前，Chipway获得控制权，这样可以防止引导型病毒。Chipway的特点是：①不占主板插槽，避免了冲突；②遵循网络上国际标准，兼容性好；③具有他工作站防毒产品的优点。但目前，Chipway对防止网络上广为传播的文件型病毒能力还十分有限。 Station Lock是著名防病毒产品开发商Trend Micro Devices公司的新一代网络防病毒产品。其防毒概念是建立在”病毒必须执行有限数量的程序之后，才会产生感染效力“的基础之上。例如，病毒是一个不具自我辨别能力的小程序，在病毒传染过程中至少必须拦截一个DOS中断请求，而且必须试图改变程序指针，以便让系统优先执行病毒程序从而获得系统控制权。引导型病毒必须使用系统的BIOS功能调用，文件型病毒必须将自己所有的程序代码拷贝到另一个系统执行文件时才能复制感染。混合型病毒和多形体病毒在实施感染之前也必须获取系统控制权，才能运行病毒体程序而实施感染。Station Lock就是通过这些特点，用间接方法观察，精确地预测病毒的攻击行为。其作用对象包括多型体病毒和未来型病毒。

Station Lock也能处理一些基本的网络安全性问题，例如存取控制、预放未授权拷贝以及在一个点对点网络环境下限制工作站资源相互存取等。Station Lock能根据病毒活动辩别可能的病毒攻击意图，并在它造成任何破坏之前予以拦截。由于Station Lock是在启动系统开始之前，就接管了工作站上的硬件和软件，所以病毒攻击Station Lock是很困难的。Station Lock是目前网络环境下防治病毒比较有效的方法。 服务器是网络的核心，一旦服务器被病毒感染，就会使服务器无法启动，整个网络陷于瘫痪，造成灾难性后果。目前基于服务器的防治病毒方法大都采用了NLM(NetWare Load Module)技术以NLM模块方式进行程序设计，以服务器为基础，提供实时扫描病毒能力。市场上的产品如Central Point公司的AntiVirus for Networks，Intel公司的LANdesk Virus Protect以及南京威尔德电脑公司的Lanclear for NetWare等都是采用了以服务器为基础的防病毒技术。这些产品的目的都是保护服务器，使服务器不被感染。这样，病毒也就失去了传播途径，因而从根本上杜绝了病毒在网上蔓延。

(1)对服务器中所有文件扫描

这一方法是对服务器的所有文件进行集中检查看其是否带毒，若有带毒文件，则提供给网络管理员几种处理方法。允许用户清除病毒，或删除带毒文件，或更改带毒文件名成为不可执行文件名并隔离到一个特定的病毒文件目录中。

(2)实时在线扫描

网络防病毒技术必须保持全天24小时监控网络是否有带毒文件进入服务器。为了保证病毒监测实时性，通常采用多线索的设计方法，让检测程序作为一个随时可以激活的功能模块，且在NetWare运行环境中，不影响其它线索的运行。这往往是设计一个NLM最重要的部分，即多线索的调度。实时在线扫描能非常及时地追踪病毒的活动，及时告之网络管理员和工作站用户。

(3)服务器扫描选择

该功能允许网络管理员定期检查服务器中是否带毒，例如可按每月、每星期、每天集中扫描一下网络服务器，这样就使网络用户拥有极大的 *** 作选择余地。

(4)自动报告功能及病毒存档

当网络用户将带毒文件有意或无意地拷入服务器中时，网络防病毒系统必须立即通知网络管理员，或涉嫌病毒的使用者，同时自己记入病毒档案。病毒档案一般包括：病毒类型、病毒名称、带毒文件所存的目录及工作站标识等，另外，记录对病毒文件处理方法。

(5)工作站扫描

考虑到基于服务器的防病毒软件不能保护本地工作站的硬盘，有效的方法是在服务器上安装防毒软件，同时在上网的工作站内存中调入一个常驻扫毒程序，实时检测在工作站中运行的程序。如LANdesk Virus Protect采用Lpscan，而LANClear for NetWare采用world程序等。

(6)对用户开放的病毒特征接口

大家知道病毒及其变种层出不穷。据有关资料报道，截止1994年2月25日，全世界流传的MSDOS病毒达2700多种。如何使防病毒系统能对付不断出现的新病毒？这要求开发商能够使自己的产品具有自动升级功能，也就是真正交给网络用户防治病毒的一把金钥匙。其典型的做法是开放病毒特征数据库。用户随时将遇到的带毒文件，经过病毒特征分析程序，自动将病毒特征加入特征库，以随时增强抗毒能力。当然这一工作难度极大，需要不懈的努力。在上述四种网络防毒技术中，Station Lock是一种针对病毒行为的防治方法，StationLock目前已能提供Intel以太网络接口卡支持，而且未来还将支持各种普及型的以太令牌环(Token-Ring)网络接口卡。

基于服务器的防治病毒方法，表现在可以集中式扫毒，能实现实时扫描功能，软件升级方便。特别是当连网的机器很多时，利用这种方法比为每台工作站都安装防病毒产品要节省成本。其代表性的产品有LANdesk、LANClear for NetWare等。 早在80年代未，就有一些单机版静态杀毒软件在国内流行。但由于新病毒层出不穷以及产品售后服务与升级等方面的

原因，用户感觉到这些杀毒软件无力全面应付病毒的大举进攻。面对这种局面，当时国内就有人提出：为防治计算机病毒，

可将重要的DOS引导文件和重要系统文件类似于网络无盘工作站那样固化到PC机的BIOS中，以避免病毒对这些文件的感染。

这可算是实时化反病毒概念的雏形。

虽然固化 *** 作系统的设想对防病毒来说并不可行，但没过多久各种防病毒卡就在全国各地纷纷登场了。这些防病毒卡

插在系统主板上，实时监控系统的运行，对类似病毒的行为及时提出警告。这些产品一经推出，其实时性和对未知病毒的

预报功能便大受被病毒弄得焦头烂额的用户的欢迎，一时间，实时防病毒概念在国内大为风行。据业内人士估计，当时全

国各种防病毒卡多达百余种，远远超过了防病毒软件产品的数量。不少厂家出于各方面的考虑，还将防病毒卡的实时反病

毒模式转化为DOSTSR的形式，并以应用软件的方式加以实现，同样也取得了较不错的效果。

为什么防病毒卡或DOSTSR实时防病毒软件能够风行一时？从表面上来看，是因为当时静态杀毒技术发展还不够快，而

且售后服务与升级一时半会也都跟不上用户的需要，从而为防病毒卡提供了一个发展的契机。但究其最根本的原因，还是

因为以防病毒卡为代表的产品技术，较好地体现了实时化反病毒的思想。

如果单纯从应用角度考虑，用户对病毒存在情况是一无所知的。用户判断是否被病毒感染，唯一可行的办法就是用反

病毒产品对系统或数据进行检查，而用户又不能做到每时每刻都主动使用这种办法进行反病毒检查。用户渴望的是不需要

他们干预就能够自动完成反病毒过程的技术，而实时反病毒思想正好满足了用户的这种需求。这就是防病毒卡或DOSTSR防

病毒软件当时能够大受用户欢迎的根本原因。

实时反病毒技术一向为反病毒界所看好，被认为是比较彻底的反病毒解决方案。多年来其发展之所以受到制约，一方面是因为它需要占用一部分系统资源而降低系统性能，使用户感到不堪忍受；另一方面是因为它与其他软件（特别是 *** 作系统）的兼容性问题始终没有得到很好的解决。

2008-2009年来，随着硬件处理速度的不断提高，实时化反病毒技术所造成的系统负荷已经降低到了可被大家忽略的程度，而Windows95/98和NT等多任务、多线程 *** 作系统，又为实时反病毒技术提供了良好的运行环境。所以从1998年底开始，实时反病毒技术又重整旗鼓，卷土重来。表面看来这也许是某些反病毒产品争取市场的重要举措，但通过深入分析不难看出：重提实时反病毒技术是信息技术发展的必然结果。 对于同时运行多个任务的情况，传统基于DOS的反病毒技术无法在Windows环境下发挥正常的反病毒功能，因为它无法控制其他任务所使用的资源。只有在较高优先级上，对系统资源进行全面、实时的监控，才有可能解决Windows多任务环境下的反病毒问题。 由于防病毒卡存在与系统不兼容、只预防不杀毒、安装不便、误报警等原因，已使其无法在市场上立足。虽然在传统DOS环境下有些反病毒产品使用了TSR实现了病毒防治的实时化，但它们却普遍存在兼容性方面的问题。大家将看到Windows 仍将它作为实模式窗口（有时又被称为DOS虚拟机）打开，这种实模式窗口所能访问到的资源是固定的，是由Windows分配的。出于安全性考虑，Windows不允许这个TSR访问不属于它的资源（特别是系统关键数据）。如果此时系统遭受病毒入侵（比如病毒企图改写硬盘主引导扇区），将会发生什么情况？一般情况下，TSR检测不到这种病毒行为， 即发生了所谓“漏报”。更严重的情况可能是TSR发现了这种病毒行为，但由于系统认为所涉及的资源与该TSR所属于的实模式窗口无关而产生了 *** 作冲突，这种情况下，TSR非但杀不了病毒，还很有可能造成系统被挂起或系统崩溃。

卡巴斯基+天网防火墙(你大哥正在用!!!!!)

卡巴斯基简介：

Kaspersky(卡巴斯基)杀毒软件来源于俄罗斯，虽然在国内的知名度或许不如诺顿、瑞星、江民，但是不可否认，它是世界上最优秀、最顶级的网络杀毒软件，查杀病毒性能远高于同类产品。

Kaspersky(卡巴斯基)杀毒软件具有超强的中心管理和杀毒能力，能真正实现带毒杀毒。具备常驻于System Tray的自动监视功能，可帮你自动监视从磁盘、网路上、E-mail 夹档中开启文件的安全性，亦有鼠标右键的快速选单，还附有 LiveUpdate 线上更新病毒码的功能。为任何形式的个体和社团提供了一个广泛的抗病毒解决方案。

它提供了所有类型的抗病毒防护：抗病毒扫描仪，监控器，行为阻段和完全检验。它支持几乎是所有的普通 *** 作系统、e-mail通路和防火墙。Kaspersky控制所有可能的病毒进入端口，它强大的功能和局部灵活性以及网络管理工具为自动信息搜索、中央安装和病毒防护控制提供最大的便利和最少的时间来建构你的抗病毒分离墙。

Kaspersky抗病毒软件有许多国际研究机构、中立测试实告谨验室和IT出版机构的证书，确认了Kaspersky具有汇集行业最高水准的突出品质。

Kaspersky lab（卡巴斯基实验室有限制股份公司）成立于1997年6月，但早在1989年，现公司的病毒研究负责人E. Kaspersky就已开始领导开发Kaspersky 反病毒系列产品。Kaspersky Lab 致力于为个人企业用户提供信息安全保护。

目前，Kaspersky Lab 是俄罗斯最大的信息安全系统开发商，大约60%的俄罗斯用户使用Kaspersky Lab的产品。

Kaspersky Lab 的反病毒产品在海外市场影响也极其广泛。多年来，其产品已经遍布全球50多个国家和地区，这些国家包括澳大利亚、奥地利、比利时、英国、匈牙利、德国、希腊、丹麦、西班牙、意大利、加拿大、塞浦路斯、中国、墨西哥、马来西亚、荷兰、挪威、波兰、美国、泰国、芬兰、法国、捷克、瑞典、瑞士等。 Kaspersky Lab始终走在信息安全的最前列，很多先进的反病毒技术都是由Kaspersky Lab最先开发的。许多反病毒厂商都在自己的产品中引入了Kaspersky 核心技术。许多俄罗斯和国外媒体以及一些独立检测机构都肯定了Kaspersky反病毒产品的高品质及可靠性。

德国Internet Professionell评测，卡巴斯基反病毒软件商务套装获胜

卡巴斯基实验室：对新病毒的响应速度全球第一

2004.03.10.Kaspersky Labs.

德国的独立研究表明，俄罗斯反病毒软件服务名列榜首

通过互联网传播的病毒的数量一直呈上升趋势。因此，反病毒产品开发商对新病毒的反应速度就成为相关信息安全系统的有效性的极为重要的因素。进入2004年以来，已暴发了几次大规模的病毒攻击事件，且破坏性一次比一次严重。

针对这一情况纳友春，德国马德堡大学的知名研究机构——AV-Test.org——就反病毒软件开发商对新的恶意程序的反应速度做了独立评估研究。这项研究的目的是：揭示从某一新病毒首次被发现，到反病毒数据库完成升级的平均时间。近来一些臭名昭著的病毒如：Dumaru.y, Mydoom.a, Bagle.a 和 Bagle.b, 都通过启发式扫描被发现，并得到控制。

这次分析比传统的IT出版物及研究中心的对比评测更客观。传统的对反病毒产品有效性的评测所使用的病毒样本，是在评测的一个多月前已检测到的病毒。这意味着反映反病毒产品品质的最重要的因素——反应时间——被忽略了。这就是这次研究的特殊意义：评测反病毒产品对抗新威胁的可*性。这项由马德堡大学的研究组完成的研究依次检测了信息安全产品的整体的水平，清晰地描绘了反病毒产品的真实品质。

为了最精确地分析反病毒数据库升级洞耐的速度，研究人员使用了专门的脚本程序，每5分钟扫描一次反病毒产品的升级服务器。获得的所有数据的平均结果显示，卡巴斯基实验室对新病毒攻击的响应速度最快。

卡巴斯基优点：

1、对病毒上报反应迅速，卡巴斯基具有全球技术领先的病毒运行虚拟机，可以自动分析70%左右未知病毒的行为，再加上一批高素质的病毒分析专家，反应速度就是快于别家。每小时升级病毒的背后是以雄厚的技术为支撑的。

2、对任何上报病毒的用户不问正版，D版，病毒分析师一律回信，有时还详细给出分析结论的依据，体贴呵护用户，有时我想就算写信和他们鬼扯，他们也会回复的，以前一直用D版心里不免愧疚，当网易降价销售卡巴的时候，赶紧去买套正版。这就是卡巴斯基，轻易征服潜在用户的杀毒软件公司。

3、随时修正自身错误，杀毒分析是项繁琐的苦活，卡巴斯基并不是不犯错，而是犯错后立刻纠正，只要用户去信指出，误杀误报会立刻得到纠正。知错就改，堪称其他杀软的楷模，你去试试看给symantec纠错，会是什么结果。

4、卡巴斯基的引擎技术是国内外许多杀毒软件的核心，这是公认的事实，另外，国外的我不知道，国内的杀毒厂商，对上报病毒一律先卡巴扫一遍，这是很有趣的现象，你说，卡巴斯基是不是其他杀软的师傅。

5、卡巴斯基的毒库数量不是最高，但实际可杀病毒数量绝对是世界第一，这是因为，卡巴斯基的超强脱壳能力，无论你怎么加壳，只要程序体还能运行，就逃不出卡巴斯基的掌心，它总唱是你是你还是你。因此卡巴斯基毒库目前的13多万病毒是真实可杀数量，某些杀软对病毒的加壳版要么傻眼要么列为变种，还沾沾自喜每天100多条升级，殊不知人家卡巴一条升级就顶你几十条了。

6、最重要的一点是，卡巴斯基对上报病毒的用户并没有物质奖励，但大家却趋之若鹜，原因在于：当我1小时前中了未知病毒，于是将病毒体文件发送给卡巴，然后悠悠然去洗澡吃饭，过1小时回来后，将卡巴斯基升级后，伴随着卡巴斯基悠扬的杀猪声响起，可恶的病毒被逐个扫除，那种心理快感和参与感，岂是别的杀软能够带给我们的？

卡巴斯基下载：

http://www.crsky.com/search.asp?keyword=%BF%A8%B0%CD%CB%B9%BB%F9&sType=ResName&action=s&imageField.x=37&imageField.y=8

安装360安全卫士，就可以获赠卡巴斯基6.0(正版）半年免费使用！

http://www.360safe.com/download.html

http://www.kaspersky.com.cn/KL-Downloads/KL-Product6.0.htm

天网防火墙:

软件大小：4292KB

软件语言：简体中文

软件类别：国产软件/试用版/网络安全

运行环境：Win9x/Me/NT/2000/XP/2003

加入时间：2006-8-11 11:24:28

下载次数：7782027

下载地址：

http://p2s.newhua.com/down/SkynetPFW_Trial_Release_6958.rar

http://down.96669.com:82/down/SkynetPFW_Trial_Release_6958.rar

http://ha.newhua.com/down/SkynetPFW_Trial_Release_6958.rar

软件简介：

天网防火墙个人版是个人电脑使用的网络安全程序，根据管理者设定的安全规则把守网络，提供强大的访问控制、信息过滤等功能，帮你抵挡网络入侵和攻击，防止信息泄露。天网防火墙把网络分为本地网和互联网，可针对来自不同网络的信息，来设置不同的安全方案，适合于任何方式上网的用户。 1)严密的实时监控 天网防火墙（个人版）对所有来自外部机器的访问请求进行过滤，发现非授权的访问请求后立即拒绝，随时保护用户系统的信息安全。 2)灵活的安全规则 天网防火墙（个人版）设置了一系列安全规则，允许特定主机的相应服务，拒绝其它主机的访问要求。用户还可以根据自已的实际情况，添加、删除、修改安全规则，保护本机安全。 3)应用程序规则设置 新版的天网防火墙增加对应用程序数据包进行底层分析拦截功能，它可以控制应用程序发送和接收数据包的类型、通讯端口，并且决定拦截还是通过，这是目前其它很多软件防火墙不具有的功能。 4)详细的访问记录和完善的报警系统 天网防火墙（个人版）可显示所有被拦截的访问记录，包括访问的时间、来源、类型、代码等都详细地记录下来，你可以清楚地看到是否有入侵者想连接到你的机器，从而制定更有效的防护规则。与以往的版本相比，天网防火墙（个人版）设置了完善的声音报警系统，当出现异常情况的时候，系统会发出预警信号，从而让用户作好防御措施。 天网防火墙个人版v3.0.0.1000 build0710新增特性 一、 采用优化的3.0内核引擎，优化了数据检测算法，使数据处理速度更快，确保在处理大批量数据时依然能应对自如。 二、 推出全新多彩的皮肤界面，让您的防火墙更多姿多彩。 三、 增加稳定的进程保护功能，防止恶意程序结束天网防火墙进程，保护更加安全。 四、 提供智能的入侵检测模块，自动拦截网络入侵，让您的电脑随时处于安全状态

以上是百度知道里面以前一个问题的答案，我个人认为还应该加上奇虎安全卫士360

1、不点击不明的网址或邮件、不扫描来历不明的二维码。较多木马是通过网址链接、二维码或邮件传播，当收到来历不明的邮件时，也不要随便打开，应尽快删除。智能客户端不要随意扫描未经认证的二维码。

2、不下载非官方提供的软件。如需下载必须常备软件，最好找一些知名的网站下载，而且不要下载和运行来历不明的软件。而且，在安装软件前最好用杀毒软件查看有没有病毒，再进行安装。

3、及时给 *** 作系统打官方补丁包进行漏洞修复，只开常用端口。一般木马是通过漏洞在系统上打开端口留下后门，以便上传木马文件和执行代码，在把漏洞修复上的同时，需要对端口进行检查，把可疑的端口封关闭，确保誉带无法病毒无法传播。

扩展资料：

从网络病毒功能区分。可以分为木马病毒和蠕虫病毒。木马病毒是一种后门程序，它会潜伏在 *** 作系统中，窃取用户资料比如QQ、网上银行密码、账号、游戏账号密码等。蠕虫病毒相对来说要先进一点，它的传播途径很广，可以利用 *** 作系统和程序的漏洞主动发起攻击，每种蠕虫都有一个能够昌亩扫描到计算机当中的漏洞的模块。

一旦发现后立即传播出去，由于蠕虫的这一特点，它的危害性也更大，它可以在感染了一台计算机后通过网络感染这个网络内的所有计算机，被感染后，蠕虫会发送大量数据包，所以被感染的网络速度就会变慢，也会因为CPU、内存占用过高耐虚森而产生或濒临死机状态。

参考资料来源：百度百科-网络病毒

---