4.1殺毒、防毒軟件原理與選用準則

4.1.1殺毒、防毒軟件原理

消毒，殺毒軟件主要由掃描器、特征信息庫、消毒器三部分組成。掃描器是研製者事先編製好的一段程序，它能夠對用戶所要求檢測的對象進行病毒特征串掃描，即將特征信息庫中的病毒特征串逐個與檢查對象中的數據進行比較，如果相符，則認為有病毒，如果一條都不符，則認為無毒。特征信息庫中存放的是消毒軟件研製者通過對具體病毒分析後所得到的該病毒最具代表性的特征串。消毒器的消毒過程是按事先約定好的過程將有關信息恢複到原來位置，此過程是研製者通過對具體病毒分析後設計出來的。

病毒的消毒/殺毒過程是病毒傳染的逆過程，它主要依賴於消毒殺毒軟件研製者對具體某個病毒剖析後選取的病毒特征串。特征是病毒掃描、檢測、消毒的基礎。特征串的選取是一個關鍵因素，選取具有代表性的特征串，有可能覆蓋類病毒的許多變種病毒，而選取普通化的特征串，有可能造成“誤報”現象。

消毒是被動的，隻有在發現病毒後，對其剖析、選取特征串，才能設計出該“已知”病毒的消毒軟件。當發現新病毒或變種病毒時，又要對其剖析、選取特征串，才能設計出新的消毒軟件。它不能檢測和消除研製者未曾見過的“未知”病毒，甚至對已知病毒的特征稍作改動，就可能無法檢測出這種變種病毒或者在消毒時會出錯。發現病毒"剖析特征串一一設計掃描、消毒軟件變種或新病毒。

4.1.2反病毒係統選用標準

防範工作的首要一條就是：絕不運行未作病毒檢查的軟件。由此，每個計算機用戶至少應備有一個安全、可靠的反病毒係統。目前國內市場不斷推出抗病毒、反病毒係統，這些係統大多各具特色，都能診治常見病毒，但也有些係統編寫很不嚴格，在消毒時破壞了關鍵信息，結果會使數據更加夫望。

如何選擇一個理想的反病毒係統？以下幾點是應該首先考慮的：

1.安全性和可靠性：該係統是否具有完善的係統安全保護措施？係統本身是否具有抗擊病毒感染的能力？係統在預期的情況下是否能夠正確地工作，而在意外的情況下，是否也能作出適當的處理？有的係統對磁盤檢測，而不先檢查內存，結果磁盤雖消毒，卻又被存在於內存中的病毒重新感染上，這樣的係統就不是一個可靠的抗病毒係統。

2.診治能力和防護能力：該係統能夠診治多少種病毒？防護措施是否合理？錯誤報警的頻率是多少？在安裝防病毒係統之前必須徹底地對係等診治，以免已受病毒感染的程序也得到合法的保護。對於一個新係統，防治工作就顯得更為重要，從“黑色星期五”產生一係列變異病毒這一現實中可以看出，開發更多的診治程序也無濟於事，隻有積極地采取防治方法，才能爭取主動。防治才是抑製、根治病毒的理想手段，特別是對未發現過的新病毒是一個功能較強的抗病毒軟件，它能診治2000多種病毒，但它對國人修改過的變異病毒卻無能為力。

3.適應國情的程度：該係統是否適應漢字操作係統的特殊要求？是否可選用漢字提示？是否適合國產微機？漢字信息處理技術是我國計算機應用的重要基礎，漢字操作係統通過擴充或修改顯示器、鍵盤和打印機等設備要求的中斷驅動程序，使計算機能夠處理漢字信息。國外許多著名的防病毒係統，都不適合在國內使用，原因就在於它們都把漢字操作係統對中斷的合理修改看成是“非法”的，而頻頻錯誤報警。

從係統的角度，更具體地說，病毒防護策略必須具備下列準則：

（1）拒絕訪問能力

來曆不明的人侵軟件（尤其是通過網絡傳過來的）不得進入係統。

（2）病毒檢測能力

應當認識到，病毒總是有可能進入係統的，係統中應設置檢測病毒的機製。除了檢測已知類病毒外，能否檢未知病毒是一個重要的指標。

（3）控製病毒傳播的能力

應當認識到，沒有一種方法能檢測出所有的病毒。一旦病毒進入了係統，應不讓病毒在係統中到處傳播。係統一定要有控製病毒傳播的能力。

（4）清除能力

如果病毒突破了係統的防護，即使它的傳播受到了控製，也要有相應的措施將它清除掉。對於已知病毒，可以使用專用消毒軟件，對於未知類病毒，在發現後使用軟件工具對它進行分析，盡快編寫出消毒軟件。當然，如果有後備文件，也可使用它直接覆蓋受感染文件，但一定要查清楚病毒的來源。

（5）恢複能力

有可能在消除病毒以前，病毒就破壞了係統中的數據，係統應提供一種高效的方法來恢複這些數據。

（6）替代操作

可能會遇到這種情況：當發生問題時，手頭沒有可用的技術，任務又必須執行下去。係統應該提供一種替代操作方案，在恢複係統時可用替代係統工作，等問齒解決以後再換回來。這一準則對於戰時的軍事係統是必需的。

在考慮上述病毒防護策略和評價準則的情況下，多選用一些新近開發的殺毒/消毒義掃毒軟件，是有益的。掃描病毒的關鍵是已知病毒的特征串，出現一個新病毒不可能所有的掃毒軟件開發者同時發現，因此，有的殺毒軟件對一些病毒有效，而有的掃毒軟件對另一些病毒有效。譬如，軟件能夠及時掃描、殺除國產病毒。而對國外的大部分病毒則應借助於國外的等軟件。在本章後麵將介紹這些軟件的使用技術和注意要點。

值得注意的是，防病毒係統並非多多益善，如果使用多種防病毒係統，可能會出現相互之間搶占資源和判斷失誤等問題，因此，必須慎重地選擇一到兩個安全、可靠的防病毒係統。

如：用對可執行文件加免疫保護外殼後，若再用其它軟件加免疫外殼，就不能正常工作。

4.2KILL使用技巧

KILL是我國針對國內流行的病毒（尤其是國產病毒）開發的殺毒軟件，經曆數個版本。早期流行的是KILLV2.0，它能夠殺除20種病毒，運行時屏幕會列出20種病毒名稱；後麵的版本在屏幕界麵上作了很多改進，代表性的版本有V13和V16，其中V5.00是有人利用V13改寫版本標誌而得來的，並不是正式版本。從KILLV12開始，不再免費提供軟件，而由金辰公司正式向社會發行銷售殺毒軟件，同時作了加密處理。新版本KILL軟件是在窗口提供菜單，分別列出查毒功能項和殺毒功能項，由用戶自主選擇。

KILL是根據已知的各種微機病毒的結構和工作機理而設計的專用程序，主要用於清除病毒，對已感染病毒的係統和程序文件進行檢測和可靠的恢複。KILL的開發建立在對病毒詳細剖析的基礎上。的知識庫存有每一種病毒的具體結構和突出特征，因此可以準確地指出所感染病毒的品種及其位置，對被感染係統和文件進行可靠的恢複。當用戶係統或文件被病毒感染後，由於沒有備份而不能放棄時，使用KILL是用戶的最佳選擇之一。

KILL軟件對於那些雖然能檢查出來但尚不能消除的病毒，則給出提示告訴用戶已發現了病毒，但是該軟件不能消除它。