计算机病毒的防治

9.3.2　计算机病毒的防治

就像治病不如防病一样，杀毒不如防毒。防治感染病毒的途径可概括为两类：一是用户遵守和加强安全操作控制措施；二是使用硬件和软件防病毒工具。

由于在病毒治疗过程上，存在对症下药的问题，即只能是发现一种病毒以后，才可以找到相应的治疗方法，因此具有很大的被动性。而对病毒进行预防，则可掌握工作的主动权，所以治疗的重点应放在预防上。根治计算机病毒要从以下几个方面着手。

1.建立、健全法律和管理制度

法律是国家强制实施的、公民必须遵循的行为准则。国家和部门的管理制度也是约束人们行为的强制措施。必须在相应的法律和管理制度中明确规定禁止使用计算机病毒攻击、破坏的条文，以制约人们的行为，起到威慑作用。

除国家制定的法律、法规外，凡使用计算机的单位都应制定相应的管理制度，避免蓄意制造、传播病毒的事件发生。例如，对接触重要计算机系统的人员进行选择和审查；对系统的工作人员和资源进行访问权限划分；对外来人员上机或外来磁盘的使用严格限制，特别是不准用外来系统盘启动系统；不准随意玩游戏；规定下载文件要经过严格检查，有时还规定下载文件、接收E－mail等需要使用专门的终端和账号，接收到的程序要严格限制执行等。

2.加强教育和宣传

加强计算机安全教育特别重要。要大力宣传计算机病毒的危害，引起人们的重视。要宣传可行的预防病毒的措施，使大家提高警惕。要普及计算机硬、软件的基础知识，使人们了解病毒入侵计算机的原理和感染方法，以便及早发现、及早消除。建立安全管理制度，提高包括系统管理员和用户在内的技术素质和职业道德素质。

计算机软件市场的混乱也是造成病毒泛滥的根源之一。大量盗版的软件、光盘存在，以及非法拷贝软件、游戏盘的现象是我国计算机病毒流行的一个重要原因。因此，加强软件市场管理，加强版权意识的教育，打击盗版软件的非法出售是防止计算机病毒蔓延的一种有效办法。

此外，要严格控制病毒的研究和管理。计算机病毒是一种犯罪工具，必须限制对病毒机理的研究范围。实际上反病毒软件在许多情况下也是一种病毒。特别是对各种病毒程序的收集、实验必须慎之又慎，稍有不慎就可能加速它的扩散。我国已明文规定，对计算机病毒和危害公共安全的其他有害数据的防治研究工作，由公安部相关部门管理。

3.采取更有效的技术措施

除管理方面的措施外，防止计算机病毒的感染和蔓延还应采取有效的技术措施。隔离是保护计算机系统免遭病毒危害的有效方法，但是计算机系统应用的目的在于开放和共享，严格地隔离会取消计算机系统的许多功能，违背了计算机应用的目的。因此，技术措施只能基于有限地隔离和审查。常用的方法有系统安全、软件过滤、文件加密、生产过程控制、后备恢复、安装防病毒软件等措施。本部分只讲述前面的几种方法，软件防病毒技术将专门论述。

（1）系统安全

对病毒的预防依赖于计算机系统本身的安全，而系统的安全又首先依赖于操作系统的安全。DOS本质上是单用户系统，任何用户都可以访问系统的所有资源，包括操作系统本身，所以很容易感染计算机病毒。而UNIX系统下的病毒数量就比DOS下的病毒数量要少得多。

因此，开发并完善高安全的操作系统并向之迁移，例如，从DOS平台移至安全性较高的UNIX或Windows NT平台，并且跟随版本的升级全面升级。这是有效防止病毒的入侵和蔓延的一种根本手段。

此外，操作系统支持下的开机检测和扫描病毒的应用程序也可有效地防御病毒的侵袭。每次系统启动或插入新的磁盘都要自动扫描和检查一遍，确认无异常后再继续向下执行，若有异常，则提问并停止执行。过一段时间系统还可自动扫描。这就有效地防止了病毒的入侵和扩散。

除软件防病毒外，采用防病毒卡和防病毒芯片也是十分有效的方法。这是一种硬、软结合的防病毒方法。防病毒卡和芯片与系统结合成一体，系统启动后，在加载执行前获得控制权并开始监测病毒，使病毒一进入内存即被查出。同时使自身的检测程序固化在芯片上，让病毒无法改变其内容，可有效地抵制病毒对自身的攻击。

（2）软件过滤

软件过滤的目的是识别某一类特殊的病毒，防止它们进入系统和不断复制。对于进入系统内的病毒，一般采用专家系统对系统参数进行分析，以识别系统的不正常处和未经授权的改变。也可采用类似疫苗的方法识别和清除。这种方法已被用来保护一些大、中型计算机系统。如国外使用的一种T-cell程序集，对系统中的数据和程序用一种难以复制的印章加以保护。如果印章被改变，则系统就认为发生了非法入侵。又如Digital公司的一些操作系统采用CA－examine程序作为病毒检测工具，主要用来分析关键的系统程序和内存常驻模块，能检测出多种修改系统的病毒。

（3）文件加密

文件加密是对付病毒的有效的技术措施，但由于开销较大，目前只用于特别重要的系统。这种方法的原理是将系统中可执行文件加密，以避免病毒的危害。可执行文件是可被操作系统和其他软件识别和执行的文件。若施放病毒者不能在可执行文件加密前得到该文件，或不能破译加密算法，则该文件不可能被感染。即使病毒在可执行文件加密前传染了该文件，该文件解码后，病毒也不能向其他可执行文件传播，从而杜绝了病毒的复制，而不能自我复制的病毒就不算是真正的病毒。

文件加密也可采用一种开销较小且简单的方法。即将加密的签名块附在可执行文件（明文）之后。签名块是对该文件附加的单向加密函数（如密码校验和）。加密的签名块在文件执行前用公钥解密并与重新计算的校验和相比较，如有误，则说明可执行文件已有改变，可能是病毒入侵所造成，故应停止执行并进行检查。

（4）生产过程控制

软件的复制和生产环节对病毒的防御十分重要。一旦混入病毒，影响面很大，远超过单个软件的影响。因此，对生产过程要严加控制。应提供一种隔离和受控的环境，以防病毒入侵生产环节。复制软件副本的源程序只能来自严格控制的程序库的程序，在灌入前须严格校对和检查，复制后仍须检查并保持审查记录。

（5）后备恢复

适当的开机备份很重要，对付病毒破坏最有效的办法是制作备份。经常会发生已发现病毒的存在，但又无法清除或不能确定是否彻底清除的情况。这时可通过与后备副本比较或重新装入一个备份的、干净的源程序来解决。

（6）其他有效措施

①对重要的磁盘和重要的带后缀.COM和.EXE的文件赋予只读功能，避免病毒写到磁盘上或可执行文件中。特别是COMMAND.COM文件要保护好，必要时将它隐藏到子目录中并从根目录中删去，并重新编辑系统配置文件。

②消灭传染源。也就是对被计算机感染的磁盘和机器进行彻底消毒处理，使传染源在短时间内同时被消灭（否则少数的传染源又会迅速扩展），当然这一点是很难做到的，但可以采取一些有效手段：

●　如果计算机有硬盘驱动器，应尽量不用软盘而用本系统硬盘启动。

●　一定要注意软盘的来源，使用完软盘后立即将其从软盘驱动器中取出。如果必须用软盘启动，则应当始终用一张软盘，并且将其写保护。

●　要使用原版软件，决不运行来历不明的软件和盗版软件。

●　第一次运行一个新软件之前，应当检查这个新软件是否有毒。

●　不要随意借入或借出磁盘，在使用借入盘或返还盘前，要仔细检查，避免感染病毒。

③建立程序的特征值档案。

④严格内存管理。PC系列计算机启动过程中，ROM BIOS初始化程序将把测试到的系统内存大小，以千字节为单位，记录在RAM区的0040：0013H单元里，此后的操作系统和应用程序都是通过直接或间接（INT 12H）的手段读取该单元的内容，以确定系统的内存大小，由于本单元内容可以随便改动，因此即使后续DOS内存管理再完善也是枉然。许多抢在DOS之前进入内存的病毒都是通过减少该单元值的大小，从而在内存高端空出一块DOS毫无觉察的死角，给自身留下了栖身之处。对此，一个解决的办法是自己编制一个系统外围接口芯片直接读出内存大小的INT 12H中断处理程序。当然，它必须在系统调用INT 12H之前设置完毕。另一种办法是做一个记录内存大小的备份。

⑤严格中断向量的管理。为使这项操作简单一些，只要事先保存ROM BIOS，并把DOS引导后设立的中断向量表备份就行了。

⑥强化物理访问控制措施，可有效地防止病毒侵入系统，特别是对于已采取隔离措施的局域网或单独的系统，物理防护屏障可在很大程度上限制病毒入侵系统的机会。

⑦一旦发现病毒蔓延，要采用可靠的杀毒软件或请有经验的专家处理，必要时需报告计算机安全监察部门，特别要注意不要使其继续扩散。