通过采取技术上和管理上的措施,计算机病毒是完全可以防范的。虽然难免仍有新出现的病毒,采用更隐秘的手段,利用现有DOS系统安全防护机制的漏洞,以及反病毒防御技术上尚存在的缺陷,能够一时得以在某一台PC机上存活并进行某种破坏,但是只要在思想上有反病毒的警惕性,依靠使用反病毒技术和管理措施,这新病毒就无法逾越计算机安全保护屏障,从而不能广泛传播。这类病毒一旦被捕捉到,反病毒防御系统就可以立即改进性能,提供对计算机的进一步保护功能。这与人类对于生物病毒的防疫方法是多么相像!新出现的生物病毒会使某些人致病,但医务工作者和研究人员在实验室里对病毒进行分析,搞清致病机理及其防治措施,通过广为宣传可使更多的人免受其害,而研究人员在仅靠防护措施的情况下进行研究却不会被病毒传染,关键就是靠管理上的防护措施。
预防计算机病毒也必须依靠管理上的措施。
先来谈谈安全使用PC机的方法。
最重要的是思想上要重视计算机病毒可能会给计算机安全运行带来的危害:轻则影响工作,重则将磁盘中存储的无法以价格来衡量的数据和程序全破坏掉,使用于实时控制的计算机瘫痪,造成无法估计的损失。
同样是对于计算机病毒,有病毒防护意识的人和没有病毒防护意识的人会采取完全不同的态度。例如对于反病毒研究人员,机器内存储的上千种病毒不会随意进行破坏,所采取的防护措施也并不复杂。而对于病毒毫无警惕意识的人员,可能连计算机显示屏上出现的病毒信息都不去仔细观察一下,任其在磁盘中进行破坏。其实,只要稍有警惕,病毒在传染时和传染后留下的蛛丝马迹总是能被发现的。再运用病毒检测程序和前面介绍的DEBUG进行人工检测是完全可以提前发现病毒,或在病毒进行传染的过程中就能发现它。
可供采用的管理措施执行起来并不困难,困难的是坚持下去,始终一贯地执行和根据实际情况不断地进行调整的监督过程。下面总结出一系列行之有效的措施供参考。
对新购置的计算机系统用检测病毒软件检查已知病毒,用人工检测方法检查未知病毒,并经过实验,证实没有病毒传染和破坏迹象再实际使用。新购置的计算机中是可能携带有病毒的。
新购置的硬盘或出厂时已格式化好的软盘中可能有病毒。对硬盘可以进行检测或进行低级格式化,因对硬盘只做DOS的FORMAT格式化是不能去除主引导区(分区表扇区)病毒的。软盘做DOS的FORMAT格式化可以去除病毒。
新购置的计算机软件也要进行病毒检测。有些著名软件厂商在发售软件时,软件已被病毒感染或存储软件的软盘已受感染,这在国内、外都是有实例的。检测方法要用软件查已知病毒,也要用人工检测和实际实验的方法检测。
在保证硬盘无病毒的情况下,能用硬盘引导启动的,尽量不要用软盘去启动。在不联网的情况下,软盘是传染病毒的最主要渠道。启动前,应将软盘驱动器的门打开,并抽出软盘。这是因为有些软驱缺乏保养,门虽然打开了,但磁头仍然锁定着,启动时还会从软盘引导,将病毒带入系统中。即使在启动不成功的情况下,只要软盘在启动时被读过,病毒仍然会进入内存进行传染。很多人认为,软盘上没有COMMAND.COM等系统启动文件,就不会带病毒,其实引导区型病毒根本不需要这些系统文件就能进行传染。
很多以80386为CPU芯片的PC机中,可以通过设置CMOS参数,使启动时直接从硬盘引导启动,而根本不去读A∶盘。这样即使软盘驱动器中插着软盘,启动时也会跳过读A∶软驱,尝试着进行引导。
定期与不定期地进行磁盘文件备份工作。不要等到由于病毒破坏、PC机硬件或软件故障使用户数据受到损伤时再去急救。重要的数据应当时进行备份。当然备份前要保证没有病毒,不然也会将病毒备份。很难想象,用户数据没有备份的机器在发生灾难后会造成什么影响。系统程序和应用程序用经费是可以买到的,而用户数据是无法用钱买到的。
对于软盘,要尽可能将数据和程序分别存放,装程序的软盘要贴有写保护签。现在还没有手段可以不在PC机硬件上进行修改,而只用软件就可以绕过写保护签的方法,更不用说病毒了。抗病毒软件SCAN的开发人JohnMcAfee曾就此回答过记者的提问。
在别人的机器上使用过自己的已打开了写保护签的软盘,再在自己的机器上使用,就应进行病毒检测。在自己的机器上用别人的软盘时也应进行检查。对重点保护的机器应做到专机、专人、专盘、专用,封闭的使用环境中是不会自然产生计算机病毒的。
任何情况下,总应保留一张不开写保护口的、无病毒的、带有各种DOS命令文件的系统启动软盘,用于清除病毒和维护系统。有了CHKDSK。COM、FDISK。COM、DEBUG和COMP等等DOS程序,很多工作都可以进行了。
用BOOTSAFE等实用程序或用DEBUG编程提取分区表等方法做好分区表、DOS引导扇区等的备份工作,在进行系统维护和修复工作时可作为参考。
对于多人共用一台计算机的环境,例如实验室这种情况,应建立登记上机制度,做到使问题能尽早发现,有病毒能及时追查、清除,不致扩散。
以上这些措施不仅可以应用在单机上,也可以应用在作为网络工作站的PC机上。而对于网络管理员supervisor,还应采取下列针对网络的措施,使网络不受病毒攻击或成为病毒传播渠道。
启动Novell网或其他网络的服务器时,一定要坚持用硬盘引导启动,否则在受到引导扇区型病毒感染和破坏后,遭受损失的将不是一个人的机器,而会影响到联结整个网络的中枢。
在网络服务器安装生成时,应将整个文件系统划分成多文件卷系统,而不是只划分成不区分系统、应用程序和用户独占的单卷文件系统。建议至少划分成SYS系统卷、共享的应用程序卷和各个网络用户可以独占的用户数据卷。这种划分十分有利于维护网络服务器的安全稳定运行和用户数据的安全。例如,第一,如果系统卷受到某种损伤,导致服务器瘫痪,那么,通过重装系统卷,恢复网络操作系统,就可以使服务器又马上投入运行。而装在共享的应用程序卷和用户卷内的程序和数据文件不会受到任何损伤。第二,用户卷内由于病毒或由于使用上的原因导致存储空间拥塞时,系统卷是不受影响的,不会导致网络系统运行失常。第三,这种划分十分有利于系统管理员设置网络安全存取权限,保证网络系统不受病毒感染和破坏。
安装服务器时应保证没有病毒存在,即安装环境不能带病毒,网络操作系统本身不感染病毒。
网络系统管理员应将SYS系统卷设置成对其他用户为只读状态,屏蔽其他网络用户对系统卷除读以外的所有其他操作,如修改、改名、删除、创建文件和写文件等操作权限。保证除系统管理员外,其他网络用户不可能将病毒感染到系统卷中。使网络用户总有一个安全的联网工作环境。
在应用程序卷安装共享软件时,应由系统管理员进行,或由系统管理员临时授权进行。软件本身应不含病毒,安装环境不得带病毒,以保护网络用户使用共享资源时总是安全无毒的。应用卷也应设置成对一般用户是只读的,不经授权、不经检测病毒,就不允许在共享的应用程序卷中安装程序。
系统管理员对网络内的共享电子邮件系统、共享存储区域和用户卷进行病毒扫描,发现异常情况应及时处理,不使其扩散。如果可能,在应用程序卷中维持最新版本的反病毒软件供用户使用。
系统管理员的口令应严格管理,不使泄漏,定期不定期地予以更换,保护网络系统不被非法存取,感染上病毒或遭受破坏。
在网络工作站上采取必要的抗病毒技术措施,可使网络用户一开机就有一个良好的上机环境,不必再担心来自网络内和网络工作站本身的病毒。可供采取的方法有基于硬件支持的ROMBIOS存取控制和防病毒卡,以及基于软件的病毒防御程序,如前面介绍的VSAFE、VSHIELD或自行开发的软件系统。
在服务器上安装LANPROTECT等防病毒系统。实践表明,这些简单易行的措施是非常有效的。通过采取上述的一部分措施,作者所在单位的多个局域网、近百台网络工作站已安全运行了两年多,从未发生过在网络上串扰病毒的情况。
在互联网络中,由于不可能有百分之百的把握来阻止某些未来可能出现的计算机病毒的传染,因此,当出现病毒传染迹象时,应立即隔离被感染系统和网络,并进行处理。不应带病毒继续工作下去,要按照特别情况查清整个网络,使病毒无法反复出现,干扰工作。
由于计算机病毒在网络中传播得非常迅速,很多用户不知应如何处理。因此,应立即得到专家的帮助。
由于技术上的防病毒方法尚无法达到完美的境地,难免有新病毒会突破防护系统的保护,传染到计算机中。因此,及时发现异常情况,不使病毒传染到整个磁盘,传染到相邻的计算机,应对可能由病毒引起的现象予以注意。
注意观察下列现象:
文件的大小和日期是否变化;系统启动速度是否比平时慢;没做写操作时出现“磁盘有写保护”信息;对贴有写保护的软盘操作时音响很大;系统运行速度异常慢;用MI检查内存会发现不该驻留的程序已驻留;键盘、打印、显示有异常现象;有特殊文件自动生成;磁盘空间自动产生坏簇或磁盘空间减少;文件莫名其妙有丢失;系统异常死机的次数增加。
这里不再一一列举。要说明的是,异常情况并不一定说明系统内肯定有病毒,而需要进一步做检查。
通过分析病毒的工作原理,我们知道了病毒利用直接读写能进行感染,利用驻留内存、利用截取中断向量等方法能进行传染和破坏。通过分析PC机的系统结构和DOS的组成及工作方式,我们知道了病毒正是利用系统安全存取方面的漏洞进行传染。预防计算机病毒的软件就是要监视、跟踪系统内类似病毒的操作,提供对系统的保护。
老一代的防病毒软件只能对计算机系统提供有限的保护,只能识别出已知的病毒。新一代的防病毒软件则不仅能识别出已知的病毒,提前在病毒获得运行权之前发出警报,还能屏蔽掉病毒程序的传染功能和破坏功能而不使受感染的程序得不到运行(即所谓带毒运行技术),同时还能利用病毒行为特征,防范未知病毒的侵扰和破坏(即前面第三章提到的ACTIVITYTRAP技术,也有人称之为人工智能的防病毒技术)。另外,新研制的防病毒软件还应实现超前防御,即将系统中可能被病毒利用的资源都加以保护,不给病毒以可乘之机。防御是对付计算机病毒的积极而又有效的措施,比等待病毒出现之后再去扫描和清除更能有效地保护计算机系统。病毒的工作方式是可以按类划分的。防病毒软件就是针对这几类已归纳总结出的病毒工作方式进行防范的。当被分析过的已知病毒出现时,由于其工作方式早已被记录在案,防病毒软件能识
别出它是很自然的事情。当以前未曾被分析过的新病毒,(又称为未知病毒)出现时,如果其工作方式仍可被归入已知的病毒工作方式,则这种病毒应能被防病毒软件所捕获。这也就是采取积极防御措施的防病毒方法优越于“必须等待捕获到并分析以后才能进行扫描和清除这种病毒”的地方。当然,如果新出现的病毒不按以往已知的方式工作,这种新的传染方式又不能被防病毒软件所识别,则防病毒软件只得放其过关了。这时人们只能采取两种措施进行保护:第一是依靠管理上的措施,及早发现疫情,捕捉病毒,修复系统。第二是设计功能更加完善的、具有更多超前防御功能的防病毒软件,尽可能多地堵住能被病毒利用的PC机和DOS的漏洞。作为防病毒的主要技术措施之一,防病毒软件都是驻留内存的,有的以设备驱动程序的形式,有的以TSR程序的形式来提供对病毒的实时监测,对类似病毒行为的监控和提供对重要的系统区域的保护。
