“防病毒技术”的意思、由来-中文百科全书

词条

防病毒技术

释义

防病毒技术

§ 防病毒技术

CPU内嵌的防病毒技术是一种硬件防病毒技术，与操作系统相配合，可以防范大部分针对缓冲区溢出（buffer overrun）漏洞的攻击（大部分是病毒）。Intel的防病毒技术是EDB（Excute Disable Bit），AMD的防病毒技术是EVP（Ehanced Virus Protection），但不管叫什么，它们的原理都是大同小异的。严格来说，目前各个CPU厂商在CPU内部集成的防病毒技术不能称之为“硬件防毒”。首先，无论是Intel的EDB还是AMD的EVP，它们都是采用硬软结合的方式工作的，都必须搭配相关的操作系统和软件才能实现；其次，EDB和EVP都是为了防止因为内存缓冲区溢出而导致系统或应用软件崩溃的，而这内存缓冲区溢出有可能是恶意代码（病毒）所为，也有可能是应用程序设计的缺陷所致（无意识的），因此我们将其称之为“防缓冲区溢出攻击”更为恰当些。

在计算机内部，等待处理的数据一般都被放在内存的某个临时空间里，这个临时存放空间被称为缓冲区（Buffer），缓冲区的长度事先已经被程序或者操作系统定义好了。缓冲区溢出（buffer overrun）是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量。溢出的数据覆盖在合法数据上。理想情况是，程序检查数据长度并且不允许输入超过缓冲区长度的字符串。但是绝大多数程序都会假设数据长度总是与所分配的存储空间相匹配，这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区又被称为堆栈，在各个操作进程之间，指令被临时存储在堆栈当中，堆栈也会出现缓冲区溢出。当一个超长的数据进入到缓冲区时，超出部分就会被写入其他缓冲区，其他缓冲区存放的可能是数据、下一条指令的指针，或者是其他程序的输出内容，这些内容都被覆盖或者破坏掉。可见一小部分数据或者一套指令的溢出就可能导致一个程序或者操作系统崩溃。而更坏的结果是，如果相关数据里包含了恶意代码，那么溢出的恶意代码就会改写应用程序返回的指令，使其指向包含恶意代码的地址，使其被CPU编译而执行，而这可能发生“内存缓冲区溢出攻击”，名噪一时的“冲击波”、“震荡波”等蠕虫病毒就是采用这种手段来攻击电脑的。

缓冲区溢出是由编程错误引起的。如果缓冲区被写满，而程序没有去检查缓冲区边界，也没有停止接收数据，这时缓冲区溢出就会发生。缓冲区边界检查被认为是不会有收益的管理支出，计算机资源不够或者内存不足是编程者不编写缓冲区边界检查语句的理由，然而技术的飞速发展已经使这一理由失去了存在的基础，但是多数用户日常主要应用的程序中大多数其实仍然是十年甚至二十年前的程序代码，并没有检查缓冲区边界的功能。

缓冲区溢出是病毒编写者和特洛伊木马编写者偏爱使用的一种攻击方法。攻击者或者病毒善于在系统当中发现容易产生缓冲区溢出之处，运行特别程序，获得优先级，指示计算机破坏文件，改变数据，泄露敏感信息，产生后门访问点，感染或者攻击其他计算机。

对于缓冲区溢出攻击，防毒杀毒软件虽然也可以处理，但也只能是亡羊补牢，而操作系统和应用软件的漏洞又是难以预测的，随时可能被利用，引来缓冲区溢出攻击。在这种情况下，预防缓冲区溢出攻击应该从硬件层次着手，开始成为许多IT厂商的共识，于是大家俗称的CPU硬件防病毒功能应运而生了。

缓冲区溢出攻击最基本的实现途径是向正常情况下不包含可执行代码的内存区域插入可执行的代码，并欺骗CPU执行这些代码。而如果我们在这些内存页面的数据区域设置某些标志（No eXecute或eXcute Disable），当CPU读取数据时检测到该内存页面有这些标志时就拒绝执行该区域的可执行指令，从而可防止恶意代码被执行，这就是CPU的防缓冲区溢出攻击实现的原理。

而对于开启了EDB或EVP功能的计算机来说，一般也就可实现数据和代码的分离，而在内存某个页面将被设置为只做数据页，而任何企图在其中执行代码的行为都将被CPU所拒绝。当然，开启EDB、EVP功能的CPU是无法独立完成标注不可执行代码内存页面以及进行相关检测防治工作的，它还需要相关操作系统和应用程序的配合。

目前，Windows XP SP2、Windows Server 2003 SP1及64bit的Windows操作系统都提供了对EDB、EVP技术的支持。如果你使用的操作系统是Windows XP SP2，那么启用其中的DEP（Data Execution Protection，数据执行保护）功能即可为你的电脑提供比较全面的防缓冲区溢出攻击功能。DEP是可以独立运行的，并也可帮助防御某些类型的恶意代码攻击，但要充分利用DEP可以提供的保护功能，就需要CPU的配合了。DEP可单独或和兼容的CPU一起将内存的某些页面位置标注为不可执行，如果某个程序尝试从被保护的位置运行代码，将会被CPU拒绝同时DEP会关闭程序并通知用户，从而在一定程度上保障用户电脑的安全。

CPU内嵌的防病毒技术以及操作系统的防病毒技术因此在目前来说可能还存在着一些兼容性的问题，例如因应用程序设计的缺陷或驱动程序而导致的误报（特别是一些比较老的驱动程序）；另外，对于有些程序来说，是采用实时生成代码方式来执行动态代码的，而生成的代码就有可能位于标记为不可执行的内存区域，这就有可能导致DEP将其检测为非法应用程序而将其关闭。而这些都还有赖于硬件和软件厂商的相互配合解决，当然，这些都是需要的时间。因此，DEP、EDB、EVP等技术都还在向前发展。防病毒技术

§ 防病毒再感染

在很多情况下，同一台电脑经常会发生反复中同一种病毒的事件。比如，中了恶邮差后刚杀完毒暂时没事儿了，可过一段时间，病毒又不请自来。这就是所谓的“同一病毒的再感染”。其实，如何防止病毒再感染是有一些小窍门的。

病毒再感染一般有两个原因:一是病毒有了新的变种，二是没有封堵住病毒的传播途径。对第一种原因，我们采用对杀毒软件在线升级到最新版后，就可以完全解决；第二种原因常会在使用电脑的过程中引发以下多种情况。我们只要认真区别对待，就能解决病毒再感染的相关问题。

1．系统、工具软件的漏洞

很多病毒利用操作系统和网络工具的漏洞进行传播，比如求职信、恶邮差、妖怪等，它会利用微软浏览器软件的“Iframe”漏洞，即使用户没有打开邮件的附件，仅仅是点击了邮件，病毒就会自动运行了。

2．病毒伪装，引诱用户上当

这是大多数蠕虫、木马类病毒的常用手段。信件标题或是内容有引诱用户打开附件的文字，利用聊天工具传播藏有恶意代码的网址等等。

3．用户安全意识不够高

一些用户为图使用方便，对于密码的管理过于简单、过于松懈。比如将密码保存到电脑里，使用一些有规律而且很简单的密码，如1234、abcd等，甚至空密码，这样就会给一些有猜密码功能的病毒创造传播的途径。

4．局域网管理的松懈

局域网里的所有电脑都可以互联，非常随意地使用共享资源，对共享资源的使用没有设置相应的权限等。

5．没有共同防毒

朋友、家人、联系人之间，如果只有少部分用户在防毒，同样会造成病毒的泛滥。

以上所有的这些因素都会造成病毒的再感染，在现实使用过程中我们经常只是在中毒后简单地进行杀毒，而没有阻断病毒入侵的通道，这就会使我们经常遭受病毒的骚扰，还抱怨杀毒软件不中用，严重影响正常工作。

现今的病毒可谓是“面面俱到”，部分恶性病毒，例如“妖怪”，把能用上的传播方法都捆绑于一身，极大增强了病毒传染的效率。为了防止这类病毒的感染，不仅仅需要杀毒软件厂商的高效工作，还需要互联网用户提高自身的防范意识。同样防病毒只有部分人在做，或只是防住了病毒传播的某一途径，也达不到全面防毒的真正目的。所以，只有广大用户都提高了防毒的安全意识，堵住病毒传染的所有途径，才能真正的让病毒无机可乘，无孔而入防病毒技术

网络还需防什么

只防病毒不安全

上网的人中，很少有谁没被病毒侵害过。但在大多数人将注意力放在对付病毒上时，业内权威人士新近指出，现在要想保证上网安全，必须对以下这三种威胁同时设防。第一是以传统宏病毒、蠕虫等为代表的入侵性病毒；第二是以间谍软件、广告软件、网络钓鱼软件、木马程序为代表的扩展类威胁；第三是以黑客为首的有目标的专门攻击或无目标的随意攻击为代表的网络侵害。

三大新威胁

Spyware(间谍软件)：主要是用作偷取用户个人资料的恶意程序，如用户使用网上银行、网上购物等电子商务应用时，如果没有相关的防御措施与意识，那么用户的网银账号和密码就很容易被窃取。

Adware(广告软件)：是一种软件，一般表现为用户点击网站后就一连出现好多叠加着的网页，非常不好关。它通常都跟某些工具软件绑在一起，当你安装这些软件后，也就跟着进入你的电脑了。它不但占用系统资源，还常常连着一些色情网站。除强行向用户做广告外，更会刺探用户的个人隐私资料，例如姓名、邮箱、银行资料、电话、地址等，因此隐藏着不小的危害性，需要尽快清除。

Phishing(网络钓鱼软件，又称电子黑饵)：是fishing和phone的缩写。是指盗取他人个人资料、银行及财务账户资料的网络相关诱骗行为，可分为诱骗式及技术式两种。诱骗式是利用特制的电邮，引导收件人连接到特制的网页，这些网页通常会伪装成真正的银行或理财网页，令登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等；技术性的Phishing则是将程序安装到受害者的电脑中，直接盗取个人资料或使用木马程序、按键记录程序等。

只防病毒不安全

5月12日，信息产业部发布的最新统计数据显示，目前中国互联网上网人数已达9880万。目前众多网民已不再是简单地上网浏览网页及收发电邮，随着网上银行、网上购物等电子商务应用的出现，来自网上的威胁不仅仅是传统的病毒了。

有报道称，中国目前已经成黑客首选的攻击目标，每天有3万台PC机处于随时可能被攻击的失控状态。业内人士指出，未来对电脑及电脑用户造成最大威胁的并不是我们惯常认为的电脑病毒(Virus)，而是一些Spyware(间谍软件)、Adware(广告软件)、Phishing(网络钓鱼软件)、Trojan(木马程序)、Worms(蠕虫)。原因是大部分用户及商业机构对一般的电脑病毒已有一定的防范，譬如安装防毒程序等，再新的病毒也能在短时间内被解决，可是对于Spyware、Trojan及Worms绝大多数网民防范意识较为薄弱。虽然一般的电脑上也安装了防毒程序，但实际上单一的防毒程序并不能阻挡来自网上的侵袭。数码周刊在此向大家介绍如何架构一个缜密的“三防”电脑防御系统，以保证上网安全。

害人四大新趋势

Symantec中国区技术总监Robert在接受记者采访时表示，总体来说，以前的黑客攻击和犯罪的目的性不很明确，他们大多出于好奇、出风头的目的。而现在多是有组织、有目的的经济犯罪。据我们分析，黑客的攻击大致有如下四大趋势：

1.盗取个人资料

近年来利用Phishing攻击的犯罪增长非常快，主要出现在电子商务应用中。黑客假借银行之名给银行用户发电子邮件，提示银行系统升级要求用户重新注册，用户一旦轻信进行注册，银行账号即落入黑客掌中，与此伴随的将是你的银行存款不翼而飞。

2.“僵尸”入侵

据Symantec今年3月份公布的安全报告显示，去年7月—12月，从全球来看，僵尸即机器人(BOT)程序在中国的增长最快，而整个亚太区也居于全球前十名。BOT类似于木马程序，它执行的是预先没有设置好的程序，通过所有被程序控制的“僵尸”电脑一同对某一目标发起攻击。这种攻击的危险性最大，因为它不像病毒可以提前监控。

3.Adware、Spyware偷袭

Symantec的技术中心曾在用户送修的笔记本电脑中发现，其已经被植入了多达近百种的Adware或Spyware软件。它们一般通过小的用户在下载Flash和小游戏时安装，由于它们不像病毒和蠕虫那么敏感，于是得以在不知不觉中入侵你的电脑。现在一些正规的软件厂商也在应用这些软件来搜集用户的资料。尽管目前这类软件不见得都有害，但它们搜集的毕竟是你的个人隐私信息。这也将成为未来防范的重点。

4.垃圾邮件改头换面

从当前来看，垃圾邮件的总量虽然呈下降态势，但其逃避技术却越来越强。这类邮件中携带着大量的病毒、Phishing、蠕虫、木马及额外的风险。

三防靠六招

人们常常认为，只要安装一些单纯的网络防御产品就等于构建了一个完备的电脑防御系统。殊不知，这些还不足以构建起一个完善的网络整体防御体系，还需要在网络安全管理标准的指导下，通过网络安全管理整体解决方案，结合各种不同的网络防御技术和产品，在整体上维护网络和信息系统的安全。

1.基本防(杀)毒软件不可少

对于一般用户而言，首先要做的就是为电脑安装一套杀毒软件。只要是正规厂商的正版杀毒软件，任选一套即可。安装的步骤很简单，只要将安装盘放入光驱，按照系统的自动安装界面的提示选择安装**杀毒软件→选择安装的语言版本→再一路NEXT即可。

推荐软件：《NortonAntiVirus2005》、支持Windows(All)；《瑞星杀毒软件2005版》、支持Windows95/98/Me或WindowsNT4.0/2000/XP/2003；《金山毒霸2005》、支持Windows9X/2000/XP；《江明杀毒软件kv2005》、支持WinXPSP2、WinXP，Win2000，Win9X。

2.个人防火墙设定是关键

在上述防病毒软件中都含有个人防火墙，所以可用同一张光盘运行个人防火墙安装，重点提示防火墙在安装后一定要根据需求进行详细配置。

各种防火墙的设置技巧有一定的共通之处，那就是在选择将目前上网中的“区域连线 ”→“设定值”的“服务”中的大部分连接协议剔除，只保留基本的HTTP、HTTPS、SMTP、POP3项目能够通过防火墙，按下确定后你的电脑就能防范大部分的蠕虫入侵了。

3.斩断Phishing鱼钩

反网络钓鱼组织APWG(Anti-PhishingWorkingGroup)最新统计指出，约有70.8%的网络欺诈是针对金融机构而来。从国内前几年的情况看大多Phishing只是被用来骗取QQ密码与游戏点卡与装备，但今年国内的众多银行已经多次被Phishing过了。可以下载一些工具来防范Phishing活动。

推荐软件：《NetcraftToolbar》。该软件是IE上的Toolbar，当用户开启IE里的网址时，就会检查是否属于被拦截的危险或嫌疑网站，若属此范围就会停止连接到该网站并显示提示。除了拦截Phishing外，它还可以拦截Pop—up视窗广告。

4.反间谍、广告软件必杀

要防范Spyware的话，除了需要在电脑上安装有如防毒程序的反间程序，时常监察及清除电脑的Spyware外。还要对将要在计算机上安装的共享软件进行甄别选择，尤其是那些你并不熟悉的，可以登录其官方网站了解详情。此外，在安装共享软件时，不要总是心不在焉地一路单击“OK”按钮，而应仔细阅读各个步骤出现的协议条款，特别留意那些有关Spyware行为的语句。

推荐软件：MircrosoftAntiSpyware是一款专门针对Spyware的程序，支持Windows2000/XP/2003。它是用于监测和移除系统中存在的Spyware和其他潜在的不受信任程序的软件。可以减少因为这些软件带来的非法弹出广告窗口、计算机运行速度减慢、对Internet选项设置的随意改动，以及窃取私人信息的情况。但该软件还在测试阶段，所以应谨慎使用。

Adware和其他恶意程序相近，它们中简单的会出现在控制面板的添加或删除程序里，用户可直接把它们移除。不过大部分Adware为了掩人耳目都不会直接显示程序本体，要删除它们就需要利用一些针对性的软件。

推荐软件：《SpybotSearch＆Destory》。只要安装时采用默认的“Fullinstallation”，安装完毕后，S-S＆D1.3就直接包含中文界面在“Language”下拉菜单中选择“Chinese(simplified)”即可。初次使用时，S—S＆D会提示用户备份注册表(提示：为保险起见，强烈建议在做任何修改之前首先备份注册表，这类软件多数都内置备份注册表的功能)，之后照例点击“查找更新”按钮升级主程序和参考文件。再点击“检查问题”按钮，S-S＆D就会自动开始对系统进行扫描，并将发现的可疑项目列出在“Problem”框中，待检查完毕后，用户可以选择想要清除的项目，然后点击“修复选定的问题”即可。最后查杀完已有的间谍软件，用户只要点击“免疫”按钮，然后稍待几秒钟，S-S＆D就会自动为系统打上“预防针”，避免这些间谍软件的再次入侵，并且这种“免疫”也是可以随时撤销的。此外，还有针对Adware的《Ad—aware6.0档案》和全能的《Spyware/AdwareRemover》档案。

5.自建网站黑名单

清除了广告程序后，并不代表已存在浏览器内的问题会自动被还原，还需要用户手动重新更改标题及首页。虽然《SpybotSearch＆Destory》也有相近的功能，但使用起来却没有一款叫《SpywareBlaster》的软件方便。通过该软件用户可以先对有问题的网站做出预防，限制他们对电脑安装程序，并能清除目前已经安装的有害ActiveX控件。建议与上述软件同时安装。另外，用户若要防备有问题的网站对电脑安装不明软件，同样可使用《SpywareBlaster》来解决。

6.训练软件认垃圾

相信拥有电子邮箱的用户都受到过不同程度的垃圾邮件(SPAM)骚扰，令人不胜其烦，特别是每每长假过后邮箱被塞爆之虞。为此，用户要做的就是安装一款电邮过滤程序，把SPAM过滤掉。

推荐软件：《Spamihilator》是作为电邮程序与电邮伺服器间的过滤网，电邮会先下载到程序并进行过滤，被判断为垃圾的电邮会储存在程序的回收站中(这样就可避免被误删的重要邮件丢失)，而被判断为正常电邮的则会进入邮箱的收件夹中。该软件使用两种方式来过滤邮件，一是预设的Word—Filter，检查电邮中是否包含常见于垃圾邮件的字眼；另一种则是Learning—Filter，可应对日常接收到的电邮做过滤。然而，使用Learning—Filter前需要先训练程序。在日常过滤电邮时，在TrainingArea中点选正常邮件，按Nonspam标记为正常电邮。按Pre—mark则可让程序自动点选所有垃圾或正常邮件，不过在使用时，用户最好亲自检查一遍，确保正确。之后按Learn程序就会根据电邮的分类进行识别垃圾的学习。

培养9个好习惯

专家指出，从技术的角度看网络是没有绝对安全的，一个防护体系光有产品是不够的，日常工作学习中养成好的使用习惯也是不可或缺的。用户应该养成如下9个好习惯。

一是应该定期升级所安装的杀毒软件(如果安装的是网络版，可在安装时可先将其设定为自动升级)，给操作系统打补丁、升级引擎和病毒定义码。

二是一定不要打开不认识的邮件，不要随意下载软件，要下载就一定要到正规的网站去下载。同时，网上下载的程序或者文件在运行或打开前要对其进行病毒扫描。如果遇到病毒及时清除，遇到清除不了的病毒，及时提交给反病毒厂商。

三是不要随意浏览黑客网站(包括正规的黑客网站)、色情网站。

四是尽量去备份。其实备份是最安全的，尤其是重要的数据和文章，很多时候，其重要性比安装防御产品更甚。

五是用户每个星期都应该对电脑进行一次全面地杀毒、扫描工作，以便发现并清除隐藏在系统中的病毒。

六是应该注意尽量不要所有的地方都使用同一个密码，这样一旦被黑客猜测出来，一切个人资料都将被泄漏。

七是上网时不要轻易听信他人通过电子邮件或者P2P软件发来的消息。

八是对于经常使用P2P类下载软件(如BT)的用户，推荐每个月整理一下磁盘碎片，只要不是频繁地整理碎片是不会对硬盘造成伤害的，另外，注意不要经常使用低级格式化。

九是当用户不慎感染上病毒时，应该立即将杀毒软件升级到最新版本，然后对整个硬盘进行扫描操作。清除一切可以查杀的病毒。如果病毒无法清除，或者杀毒软件不能做到对病毒体进行清晰的辨认，那么应该将病毒提交给杀毒软件公司，杀毒软件公司一般会在短期内给予用户满意的答复。而面对网络攻击之时，我们的第一反应应该是拔掉网络连接端口，或按下杀毒软件上的断开网络连接钮。

§ 让U盘做到100％预防病毒

话题背景：

U盘对病毒的传播要借助autorun.inf文件的帮助，病毒首先把自身复制到u盘，然后创建一个autorun.inf,在你双击u盘时，会根据autorun.inf中的设置去运行u盘中的病毒,我们只要可以阻止autorun.inf文件的创建，那么U盘上就算有病毒也只能躺着睡大觉了,大家可能也想到这个，但是不管给autorun.inf设置了什么属性，病毒都会更改它，我提到的方法就是，在根目录下，删除autorun.inf文件，然后，根目下建立一个文件夹，名字就叫autorun.inf，这样一来，因为在同一目录下，同名的文件和文件夹不能共存的原理，病毒就无能为力，创建不了autorun.inf文件了,以后会不会出新病毒，自动去删文件夹，然后再建立文件就不知道了，但至少现阶段，这种方法是非常有效的.

现状分析：

事实表明，目前已经有新的病毒能够有意识地检测autorun.inf的存在，对于能直接删除的则删之，对于“无法删除”的则用重命名的方式毁之;还有一种很早就出现的以文件名诱骗用户点击的病毒(如：重要文件.exe，小说.exe)。对于以上这两种传播方式的病毒，仅仅建立autorun.inf文件夹是抵御不了的。

应对策略：

1、在插入U盘时按住键盘shift键直到系统提示“设备可以使用”，然后打开优盘时不要双击打开，也不要用右键菜单的打开选项打开，而要使用资源管理器(开始-所有程序-附件-windows资源管理器)将其打开，或者使用快捷键winkey+E打开资源管理器后，一定通过左侧栏的树形目录打开可移动设备!(要养成这样的良好习惯)

2、如果盘内有来路不明的文件，尤其是文件名比较诱惑人的文件，必须多加小心;需要特别提示的是，不要看到图标是文件夹就理所当然是文件夹，不要看到图标是记事本就理所当然是记事本，伪装图标是病毒惯用伎俩.

§ MicroWorld Winsock层技术

MicroWorld Winsock层技术

MicroWorld Winsock层技术（MWL）是一项由MicroWorld自主研发的革命性技术。它位于Winsock层和用户的应用程序之间。MWL使MicroWorld的产品可以在传输层阻挡危险的内容，这样危险就不会触及应用层，由此达到实时保护信息系统的目的。

为拦截垃圾邮件和诈骗信息，MicroWorld引入了一种特有的技术叫做非侵入式学习样本（NILP）。这种顺应机制能根据用户的行为模式分析每封邮件然后进行知情处理。这种机制一方面是进行自主行为模式学习，一方面也可整合从MicroWorld服务器上取得的研究结果。

随便看

百科全书收录594082条中文百科知识，基本涵盖了大多数领域的百科知识，是一部内容开放、自由的电子版百科全书。