¿Cuáles son los peligros del virus de las rosas?

:rose:

Con el desarrollo de la tecnología informática e Internet, las computadoras han ido introduciéndose gradualmente en miles de hogares. Sin embargo, en nuestro trabajo y estudio diario, existen muchos casos que ponen en peligro la seguridad de los sistemas y datos de los usuarios. Los peligros que ponen en peligro la seguridad del sistema y de los datos provienen principalmente de los dos aspectos siguientes: primero, diversos grados de daño causado por ataques de virus; segundo, los piratas informáticos en línea espían la privacidad del usuario y manipulan maliciosamente los datos, etc. El daño causado por virus y piratas informáticos ha causado pérdidas inconmensurables a las personas: ¡las pérdidas directas o indirectas causadas por esto cada año en todo el mundo ascienden a miles de millones o incluso decenas de miles de millones de dólares! De hecho, en cuanto al daño causado por virus y piratas informáticos, siempre que dominemos algunas capacidades básicas de juicio, análisis, procesamiento y prevención, es posible evitar el daño que nos causan los virus y los piratas informáticos y minimizar las pérdidas.

3.1 Practique el poder de la invulnerabilidad a los cinco venenos

Cuanto más utilice la gente las computadoras, más daño causarán los virus informáticos a las personas, lo que hará que las personas presten más atención a las herramientas anti-informáticas. virus El concepto ha adquirido una comprensión más nueva. Como usuario de computadora, para proteger sus propios recursos y datos importantes, debe comprender el concepto y las tendencias de desarrollo de los virus, dominar las técnicas antivirus comunes y conocerse a sí mismo y al enemigo, para poder practicar el poder de ser invulnerable a los cinco venenos.

Guía: Entender las características básicas del virus

Para poder identificar la verdadera cara del virus, también debemos comenzar con las características esenciales del virus.

Algunos usuarios tienen las siguientes ideas:

● Si no intercambias datos frecuentemente con otras personas, no te infectarás con virus;

● Si no utilice discos ni CD externos, no se infectará con virus. No se infectará con virus;

● Si no utiliza Internet, no se infectará con virus.

De hecho, estas ideas son unilaterales. Dado que el virus es un programa infeccioso y destructivo, también está oculto, latente, dirigido a objetivos específicos e impredecible. Dado que existen muchos tipos de virus y las manifestaciones y síntomas de los distintos virus varían mucho, no debe dar por sentado que el sistema funciona normalmente sin virus. Al utilizar algunos de los medios técnicos descritos en este artículo, podemos prevenir completamente los virus antes de que aparezcan.

La infecciosidad es la característica básica de los virus. En el mundo biológico, los virus se propagan de un organismo a otro mediante infección. En condiciones adecuadas, pueden multiplicarse en grandes cantidades, provocando que los organismos infectados muestren síntomas o incluso mueran. De manera similar, los virus informáticos se propagarán desde computadoras infectadas a computadoras no infectadas a través de varios canales, provocando que las computadoras infectadas no funcionen correctamente o incluso queden paralizadas en algunos casos. A diferencia de los virus biológicos, los virus informáticos son un fragmento de código de programa informático preparado artificialmente. Una vez que este código de programa ingresa a la computadora y se ejecuta, buscará otros programas o medios de almacenamiento que cumplan con sus condiciones de infección. Se inserta un código en él para lograr el propósito de la autorreproducción. Si una computadora está infectada con un virus, si no se trata a tiempo, el virus se propagará rápidamente en la máquina y una gran cantidad de archivos (generalmente archivos ejecutables) quedarán infectados. El archivo infectado se convierte en una nueva fuente de infección. Si intercambia datos con otras máquinas o contactos a través de la red, el virus seguirá propagándose.

El contagio y la capacidad destructiva de los virus son obvios para todos. Si no infectan ni destruyen (incluso la interferencia con los usuarios se considera la destrucción de un determinado programa), no se puede llamar ¡Es un virus!

La naturaleza oculta de los virus se refleja principalmente en el hecho de que la mayoría de los virus se adjuntan a otros archivos de programa al agregar e insertar código de virus y modificar el puntero del encabezado del archivo, el programa infectado por el virus se ejecuta primero. ejecutándose. Código de virus, y todo este proceso es completamente automático y altamente oculto, lo que dificulta que los usuarios lo detecten. Para ocultar el virus, el diseñador del virus debe permitir que el sistema infectado funcione temporalmente con normalidad antes de que ataque el virus.

La mayoría de los virus generalmente no atacan inmediatamente después de infectar el sistema. Pueden ocultarse en el sistema durante mucho tiempo y solo activan su módulo de rendimiento (destrucción) cuando se cumplen condiciones específicas. Sólo entonces podrá difundirse ampliamente. Por ejemplo, la versión principal del virus CIH ataca el 26 de abril de cada año. De manera similar, los virus suelen tener ciertas especificidades. La más obvia es que algunos virus solo infectan archivos ejecutables con estructura PE, algunos solo infectan documentos de Office y otros solo infectan el sector de arranque del disco duro, y algunos deben cumplir ciertos requisitos. o la destrucción se produce sólo bajo ciertas condiciones específicas.

Por lo tanto, la ocultación, la latencia, el contagio, la pertinencia, etc. son sólo los medios del virus, y la destrucción final es el objetivo principal del virus.

La imprevisibilidad de los virus es actualmente el problema más problemático para la industria antivirus. Aunque después de muchos años de arduo trabajo por parte de la mayoría de los proveedores de antivirus, hemos logrado una serie de avances significativos en tecnologías como características generalizadas de virus, seguimiento y descifrado de virus, diseño de trampas de virus, monitoreo dinámico en tiempo real, etc. fundamentalmente debemos lograr que la identificación y eliminación de virus aún tenga un largo camino por recorrer. Dado que los programas antivirus y los programas normales son fragmentos de código, esencialmente no hay diferencia entre ellos, excepto por los diferentes propósitos que desean lograr. A medida que el nivel de antivirus sigue mejorando, el nivel de compilación de virus también está mejorando. A la pregunta "¿Qué fue primero, el huevo o la gallina?", la respuesta de la industria es la más clara: es precisamente porque aparecieron los virus. primero y luego el software antivirus.

Hasta el momento, ningún fabricante de antivirus puede garantizar que pueda eliminar por completo todos los virus conocidos y desconocidos.

Las características básicas de los virus muestran que no se puede garantizar completamente que un sistema que actualmente funciona normalmente esté limpio y libre de virus. Para obtener un sistema relativamente "puro" que esté 99,9% libre de virus, además de mantener un alto grado de vigilancia desde las etapas iniciales, como el formateo de la partición del disco duro y la instalación del sistema, también debe realizar análisis frecuentes en busca de virus con las últimas herramientas. e intente instalar y utilizar firewalls correctamente. En una palabra, primero debemos aumentar nuestra vigilancia contra los virus y establecer una correcta concienciación en materia de seguridad informática.

1. Cómo determinar correctamente si una computadora está "envenenada"

Para determinar si una computadora está "envenenada", debe considerar de manera integral múltiples aspectos y realizar un análisis detallado. Sólo cuando comprendamos algunas características básicas de los virus, dominemos los métodos básicos de detección de virus y distingamos la interferencia de los virus de otras fallas similares de software y hardware podremos evitar cometer errores de "diagnóstico erróneo" o "diagnóstico erróneo".

(1) La diferencia y conexión entre virus y otras fallas de software y hardware

Muchos usuarios sospechan que hay un virus en la computadora una vez que encuentran alguna anomalía en el sistema durante el uso. la computadora. Parece que los virus son los culpables de todas las anomalías. De hecho, las causas de diversos fallos del sistema informático son extremadamente complejas y el daño causado por virus es sólo uno de los factores importantes. Por lo tanto, para solucionar problemas a tiempo, resolver problemas y minimizar pérdidas, es necesario distinguir si se trata de daños por virus u otras fallas.

La siguiente tabla enumera brevemente las diferencias y conexiones entre el daño de virus y otras fallas de software y hardware. Debemos analizar cuidadosamente según el fenómeno específico, prestando especial atención a si la falla anormal es una manifestación general o una manifestación general. manifestación parcial Incluso si ocurre por casualidad, todavía tiene una cierta regularidad, y luego podemos investigar las posibles causas. Los usuarios con cierta experiencia pueden analizar la causa raíz de la falla a partir de la información que se muestra en la pantalla, mientras que los usuarios novatos pueden usar la siguiente lista para comparar según el fenómeno de la falla y determinar la ubicación aproximada de la falla; .

(2) Métodos de inspección y evaluación de virus

Una vez que tengamos una comprensión básica de los virus, ¿cómo debemos tomar medidas específicas para verificar si el sistema está infectado con virus? ¡Donde hay una lanza, debe haber un escudo! Incluso los usuarios jóvenes de computadoras pueden utilizar los métodos adecuados para detectar y eliminar virus. Estos métodos se pueden resumir en las siguientes categorías:

1. Método de escaneo del programa

Es decir, escanear el sistema a través de un programa de escaneo de virus especializado. Este es el método más conveniente y rápido. , y generalmente se puede utilizar para escanear el sistema. Elija uno o más software antivirus, como el tradicional KV, Kill98, Kill2000, el sistema PC-CilLin, la serie Norton Antivirus, McAfree Virusscan, Panda Defender, Rising, VRV, etc. el más famoso para tratar virus de red es Lockdown, TheCleaner también hay algunos programas de escaneo que apuntan específicamente a ciertos virus, como la herramienta para eliminar virus "Cover Letter", la herramienta para eliminar virus "Laughing Haha"; Herramienta para eliminar virus "Nimda", etc. Cuando elegimos software antivirus, generalmente damos prioridad a los productos de marca, que mencionaremos más adelante.

La base teórica del método de escaneo de programas es principalmente el escaneo de códigos característicos, la inspección de la suma de verificación, la descripción del comportamiento del virus, la simulación de software (es decir, la tecnología de máquina virtual), el método de escaneo del profeta VICE, etc. Además de utilizar el software antivirus existente, los usuarios capaces también pueden compilar sus propios programas para detectar y eliminar ciertos virus. Dado que la situación específica es demasiado compleja, no entraremos en detalles aquí.

2. Método de observación

(1) Observación de fenómenos

Si se encuentran los siguientes fenómenos durante el uso de la computadora, se debe sospechar de un virus:

El disco duro falla al iniciar; el tiempo de inicio del sistema es más largo de lo habitual; aparecen grupos defectuosos anormales en el disco (a excepción de los disquetes, los discos duros no son propensos a tener grupos defectuosos); el disco se inicia correctamente, pero utiliza un disquete para iniciar. No se puede acceder al disco duro; aparecen sonidos, imágenes o texto especiales al acceder a los archivos del disco duro, indica que la unidad A no está lista o no está protegida contra escritura; normalmente falla o funciona de manera anormal cuando la configuración del sistema es normal y los archivos se ejecutan normalmente. Sin embargo, informa que las unidades ópticas normales o las impresoras y otros dispositivos no se pueden usar normalmente cuando la configuración es correcta, la opción "Rendimiento" de Windows; Las propiedades del sistema 9X informan que la unidad A está usando compatibilidad con MS-DOS, etc., específicamente. También es necesario hacer un juicio integral basado en las diferencias y conexiones entre los virus y las fallas de software y hardware mencionadas anteriormente.

(2) Observación de la configuración del registro y del sistema

Los nuevos virus de red y virus similares a menudo utilizan el valor de la clave de ejecución automática establecido en el registro de Windows 9X o mediante Win.ini. Los comandos "load=" y "run=" y el comando "shell=" en System.ini se utilizan para cargarse en la memoria para que pueda ejecutarse en segundo plano. Las siguientes claves de registro son las ubicaciones de los programas que se ejecutan automáticamente: <. / p>

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE \ Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce]< / p>

En Windows 98, el sistema viene con una utilidad de configuración del sistema llamada Msconfig.exe, que se puede ejecutar directamente mediante el comando "Inicio" → "Ejecutar". Se puede utilizar para ver y administrar todas las ejecuciones automáticas. Muy convenientemente, para deshabilitar la ejecución automática de un determinado comando, solo necesita cancelar la selección del comando (consulte la Figura 3-1-1).

Figura 3-1-1 Utilidad de configuración del sistema

Además, también existe algún software de terceros que puede completar el trabajo anterior. Por ejemplo, la herramienta de optimización del registro RegCleanr no solo puede ver el contenido del archivo de configuración del sistema del registro anterior, sino que también puede detener el programa de inicio automático del sistema en cualquier momento, lo cual es muy conveniente al ver y administrar programas que se ejecutan automáticamente; para los tipos de troyanos, puede elegir LockDown y TheCleaner, etc. Se adjunta la dirección de descarga de los programas anteriores.

(3) Observación de la memoria

Este es el método más tradicional. La ventaja es que es conveniente y rápido. La desventaja es que tiene grandes limitaciones y generalmente se usa para detectar. virus bajo DOS.

Existen muchos programas de detección, que generalmente incluyen los siguientes:

Si la partición del disco duro es FAT16 (no muchas ahora), puede usar el software PCTools y presionar la tecla F3 para verificar. lo básico Compruebe si el espacio total de memoria es igual al informado por DOS (ambos son 640 KB. De lo contrario, significa que puede haber un virus en la memoria).

También podemos usar el programa Debug. Después de iniciar Debug, ingrese el comando "D0:400" después del mensaje "——" y presione Enter, luego el contenido se muestra en bytes 0:413 a 0: 414 Debe ser 8002, que es 0280H en hexadecimal, que equivale a 640 en decimal. De lo contrario, puede haber actividad de virus en la memoria. El espacio de memoria ocupado por el virus es igual al espacio de memoria real del sistema menos 0. :413 a 0:414. El tamaño del espacio de memoria.

También podemos usar Mi.exe y el programa Mem.exe del propio DOS. Es más conveniente usar mem/c/p (el parámetro /P no es válido en la línea de comando de Windows 2000/. XP). Este comando puede mostrar de manera conveniente e intuitiva qué programas se están ejecutando actualmente en la memoria básica y cuánto espacio de memoria ocupa cada uno si se descubre que la cantidad total de espacio de memoria mostrada es anormal o hay un programa sin nombre llamado "——" Si un programa o un programa con caracteres aleatorios en su nombre está en la memoria, debe sospechar inmediatamente la presencia de un virus. Sin embargo, para muchos virus bien diseñados, este método no es muy efectivo porque se disfrazarán, es decir, engañarán a DOS para que muestre un informe de estado de memoria falso cuando estén activos.

(4) Observación de cadenas características

Tenga en cuenta que esto no se refiere al "método de escaneo de cadenas características" invocado por algún software antivirus. Este artículo no hace una referencia profesional. a métodos antivirus específicos Una explicación detallada, pero se refiere específicamente a un método de evaluación de virus que los usuarios comunes pueden usar. Para hacer realidad su propio deseo de rendimiento, muchos programadores de virus le dan al virus un nombre específico. Por ejemplo, el famoso virus CIH tiene las palabras "CIH..." en su código. Por lo tanto, si sospecha que el sistema ha sido infectado por un virus específico, puede extraer un archivo representativo del sistema (generalmente un archivo de programa necesario para el sistema, como Explorer.exe, etc.), copiarlo a un directorio temporal si es necesario y luego use cualquier Un editor hexadecimal (como UltraEdit) busca cadenas de firmas de virus sospechosas. Si no sabe cómo usar un editor hexadecimal o no tiene dicha herramienta a mano, también puede usar Edit.exe o el Bloc de notas para abrir directamente el archivo de muestra y buscar cadenas características, por supuesto, en la pantalla. Mostrará todos los caracteres confusos, pero siempre que sea necesario estar suficientemente atentos para encontrar la cadena característica de un determinado virus, también podemos verificar varios archivos para obtener más confirmación. Aunque este método es mejor, todavía hay falsos positivos. Por ejemplo, algunos archivos han sido infectados pero han sido eliminados por algún software antivirus que solo modifica el puntero del archivo. Es posible que algunos códigos de virus permanezcan en ellos (es decir, "virus zombies". "), por lo que después de utilizar estos métodos para descubrir pistas, debes combinar otros métodos para una mayor investigación.

(5) Otros métodos de observación

Como verificar vectores de interrupción, análisis de depuración, detectar anomalías en el disco y clústeres defectuosos, etc. La verificación de vectores de interrupción y el análisis de depuración requieren conocimientos más profesionales y no son adecuados para usuarios comunes, por lo que se omitirán por ahora. Para verificar si hay clústeres defectuosos anormales en el disco, solo necesita ejecutar el comando Chkdsk para obtener un informe sobre el disco. Clústeres defectuosos y espacio. Informe detallado de utilización (consulte la Figura 3-1-2).

Figura 3-1-2 Informe de análisis del disco

3. Método de comparación

En comparación con otros métodos de inspección, el método de comparación suele ser más preciso y confiable. pero el requisito previo Los archivos de origen de datos correspondientes y confiables deben guardarse con anticipación. El método de comparación se puede subdividir en las siguientes situaciones:

(1) Comparación de datos importantes del sistema

La mayoría de los virus, especialmente los de arranque, modifican datos importantes del sistema, como los discos. sector de arranque, sector de arranque de DOS, tabla de vectores de interrupción en la memoria, encabezado del controlador del dispositivo, parámetros de configuración CMOS, etc. Si compara estos datos importantes actuales con los datos del archivo fuente correspondiente, quedará claro de un vistazo si está infectado por el virus. Como usuario normal, es muy difícil comparar y realizar copias de seguridad de los archivos fuente. Podemos utilizar las funciones de comparación y copia de seguridad de datos del sistema proporcionadas por algún excelente software antivirus para lograrlo. En la actualidad, la versión 2002 de Rising Anti-Virus Software hace un mejor trabajo en este sentido. El disco de reparación de emergencia creado con ella tiene información de copia de seguridad detallada y detallada, y las funciones de comparación y recuperación son convenientes y rápidas.

(2) Comparación de archivos sospechosos y archivos normales

Existen muchos métodos y contenidos para comparar archivos, que generalmente incluyen:

Comparación de atributos básicos de archivos.

Principalmente la longitud del archivo, la fecha y hora de creación y modificación del archivo, el contenido específico del archivo, etc. Si estos contenidos cambian, se debe considerar la posibilidad de infección por virus.

Comparación "Suma de comprobación". "Suma de comprobación" realiza una operación de función especial en todos los bytes del contenido del archivo y produce un resultado con una longitud de bytes adecuada. Puede reflejar de manera más objetiva las características del archivo original. Cuanto mayor sea la longitud de bytes de la "suma de verificación", más únicas serán las características del archivo original. Sin embargo, este método tiene ciertas dificultades técnicas y no es conveniente. uso (después de la modificación normal del archivo, la "suma de verificación" debe modificarse al mismo tiempo. Si el archivo ha sido infectado por el virus antes de que se genere la "suma de verificación", este método no tiene valor práctico). En el uso real, cuando un virus infecta un archivo, para los virus de tipo COM de prefijo, el comienzo del archivo infectado es el código del virus; para los virus de tipo de archivo COM de tipo sufijo, la primera instrucción del programa host debe reemplazarse para saltar al; programa, se ejecuta el código de virus al final; para los virus de tipo archivo EXE, el virus debe cambiar el puntero de entrada del programa en el encabezado del archivo EXE. Por lo tanto, ya sea una comparación directa o una comparación de "suma de verificación", solo se necesitan de 5 a 20 bytes del encabezado del archivo. Algunos programas antivirus usaban este método en el pasado. Actualmente, los desarrolladores solo han agregado unos pocos programas para verificar la "suma de verificación" del archivo en sí, como el famoso Arj.exe cuando alguno de sus bytes es ilegal. modificado, se ejecutará. Sonará la alarma.

Comparación byte a byte del contenido del archivo. Tanto DOS como Windows 9X tienen un comando Fc.exe. Después de agregar el parámetro /B, los archivos se pueden comparar byte por byte. Si se puede garantizar que el archivo fuente es puro y no tóxico, este método será extremadamente preciso. detectando archivos. Agregar, modificar o eliminar incluso un byte no puede escapar a los "ojos" de Fc.exe. Aquí tomamos el archivo de sistema Msgsrv32.exe como ejemplo para ilustrar el método de comparación:

Después de instalar Windows 98, cambie el nombre del archivo Msgsrv32.exe y haga una copia de seguridad, como Msgsrv32.bak, y luego use Editar o escribir un archivo por lotes con el siguiente contenido en el Bloc de notas (deje que el nombre del archivo sea Killvir.bat):

@echo off

fc %winbootdir%\system\msgsrv32. exe %winbootdir%\ msgrv32.bak /b>nul|find"00"; Compare el archivo de muestra con el archivo fuente en modo binario

Tenga cuidado de agregar el parámetro /B.

si el nivel de error 1 termina; finaliza sin ningún cambio.

si el error es nivel 0, vaya a virus; si hay cambios, salte a virus;

:virus

(Agregue una línea de comando o un mensaje de advertencia para llamar al antivirus). software antivirus aquí )

:fin; la comparación finaliza.

Llame al archivo anterior mediante el comando Call Killvir en el archivo por lotes automático (C:\Autoexec.bat), de modo que los archivos de muestra se comparen automáticamente cada vez que se inicie el sistema y se tomen las acciones relevantes de inmediato. cuando se encuentra una excepción. Sin embargo, este método es sólo de referencia. Tiene los siguientes defectos: Primero, al infectar, algunos virus utilizan las características del encabezado del archivo en lugar de la extensión del archivo para determinar si el archivo de destino está infectado, lo que puede provocar que el archivo de origen se infecte. El peligro también es estar infectado (pero esta situación sigue siendo válida para virus deformados con diferentes códigos de infección cada vez). En segundo lugar, el muestreo individual no puede reflejar completamente los cambios en todos los archivos. el archivo, la longitud del archivo, etc., al infectar, existen requisitos para los nombres, etc.; en tercer lugar, la flexibilidad es deficiente. Por ejemplo, cuando es necesario comparar muchos archivos, se deben preparar muchos archivos fuente, lo que en algunos casos no es realista. En cuarto lugar, el sistema debe comparar archivos cada vez que se inicia. Si se comparan muchos archivos, el tiempo de inicio del sistema se extenderá considerablemente.

(3) Comparación entre el arranque limpio desde un disquete y el arranque directo desde el disco duro

Si sospecha que el sistema está infectado con un virus que cifra el registro de arranque y la tabla de particiones, además Para usar software antivirus, la forma más fácil de identificarlo es simplemente usar un disquete de inicio limpio para iniciar y luego ver si puede acceder al disco duro normalmente.

Algunos virus de arranque mueven o cifran la tabla de particiones del disco duro para lograr el propósito del "suicidio". Por lo tanto, el virus debe cifrar temporalmente la tabla de particiones cuando hay un virus en la memoria y luego se puede acceder a la partición del disco duro. normalmente. Si arranca con un disquete, no se podrá acceder al disco duro normalmente porque el virus ha restaurado la tabla de particiones. Se debe tener mucho cuidado al tratar con este tipo de virus. Generalmente, se debe realizar una copia de seguridad de la tabla de particiones que se ha restaurado temporalmente cuando el virus está presente y luego se debe restaurar la tabla de particiones respaldada después de la eliminación del virus. De lo contrario, se pueden perder todos los datos del disco duro.

2. Medidas de emergencia después de que el sistema esté infectado

Si se encuentran rastros del virus a través de los canales anteriores, primero trátelo con calma y no se apresure a tratarlo. "No puedo comer tofu caliente con prisa". , para evitar mayores pérdidas provocadas por un manejo inadecuado. Debemos tomar inmediatamente medidas apropiadas de aislamiento y protección después de descubrir signos de un virus:

(1) Deje de usar la computadora inmediatamente y elimine completamente el virus

Incluso si el virus está atacando, apáguelo inmediatamente Una fuente de alimentación para computadora siempre es una buena idea. Tenga en cuenta que en lugar de presionar las teclas "Ctrl+Alt+Supr", el arranque en caliente no detiene la persistencia de muchos virus. Si se encuentra un virus en la red, la red debe desconectarse inmediatamente y se debe informar al administrador de la red y a todos los usuarios de la red sobre una campaña antivirus integral.

(2) Desarrollar una estrategia antivirus

Se deben seguir los siguientes principios al comprobar y eliminar virus: la copia de seguridad y la cobertura son la mejor política, y el antivirus directo es la mejor política. la peor política; hacer una copia de seguridad primero y luego el antivirus es la mejor política, y el antivirus directo es la peor política; intentar recuperar datos es la mejor política; formatear la partición y reinstalar el sistema es la peor política; los discos (incluidos todos los disquetes y CD-ROM disponibles) es la mejor política, y escanear solo algunos discos es la peor política; actualizar inmediatamente el software antivirus y luego el antivirus es la mejor política, utilizando el antivirus directamente; Es una mala idea verificar y eliminar la base de datos de virus característica existente del software; es una buena idea verificar y eliminar varios programas antivirus, y es una mala idea utilizar solo un tipo de antivirus; software para comprobar y matar.

(3) Actúa con precaución y deja una salida

¡No esperes lograr todos tus objetivos en una sola batalla! Muchos usuarios son muy supersticiosos con el software antivirus. Después de descubrir un virus, piensan que "el virus invade y se curará una vez que lo eliminen". Por lo tanto, a menudo matan el virus directamente sin considerar las consecuencias. Muy mala costumbre. Debido a que algunos virus astutos pueden cifrar la información de arranque del disco duro o los datos del usuario, el programa antivirus debe descifrarse al usarlo. Si mata el virus precipitadamente, una vez que la memoria esté libre de virus, la información cifrada no se podrá restaurar. Por lo tanto, antes de eliminar el virus del sector de arranque, debe hacer una copia de seguridad de la información de arranque "mala" en ese momento. Si es necesario, debe realizar varias copias de seguridad por motivos de seguro (el método de copia de seguridad específico se presentará más adelante); los archivos de trabajo en la partición infectada por virus en la cinta. En caso de virus, haga una copia de seguridad en un disquete u otra ubicación para evitar que la partición del disco duro quede inaccesible después del antivirus y cause mayores pérdidas.

3. Prevención de virus tradicionales

Para prevenir virus debemos partir de dos aspectos. Uno es seleccionar y utilizar correctamente el software antivirus, porque la mayoría de los usuarios no cuentan con él. capacidad de analizar y eliminar virus manualmente Incluso si algunos usuarios tienen alguna experiencia antivirus manual, es extremadamente problemático confiar en la propia fuerza para analizar y eliminar manualmente los diversos virus que surgen uno tras otro. es más conveniente y rápido utilizar software antivirus; el segundo es controlar estrictamente "las enfermedades entran por la boca", porque es mejor hacer los preparativos de antemano. La mejor manera de prevenir el daño del virus es tratar de no envenenar la máquina. Aunque esto es demasiado idealista, siempre que muchas partes trabajen juntas, en la mayoría de los casos se puede lograr.

Por lo general, los fabricantes de software antivirus tratan los virus y los programas de piratas informáticos juntos como virus, por lo que analizaremos los dos juntos cuando utilicemos software para matar. La siguiente es una introducción completa a las técnicas de selección, instalación y uso del software antivirus desde dos aspectos: virus de transmisión y virus de red.

(1) Consejos para elegir un software antivirus

A medida que los virus se vuelven cada vez más destructivos, la mayoría de los usuarios quedan deslumbrados por la variedad de productos antivirus y no saben qué usar. elegir. En primer lugar, me gustaría recordarles a todos que la publicidad no debe utilizarse como única base para la selección. De hecho, hay algunos fabricantes que promocionan sus productos de manera fastuosa, pero el rendimiento de sus productos es realmente promedio. Aquí, el autor enumera los criterios de selección necesarios a continuación para referencia de los lectores al comprar software antivirus.

1. Puede detectar y eliminar suficientes tipos y cantidades.

El propósito de utilizar software antivirus es solucionar "por si acaso". mata muchos virus, no importa cuán avanzada sea la tecnología promovida por el fabricante, al final solo puede ser decepcionante.

2. Capaz de monitorear y detectar virus en tiempo real

Este es el requisito objetivo mínimo para los productos antivirus. Es necesario compensar la pérdida una vez que la situación haya desaparecido, pero tomar precauciones puede minimizar las pérdidas. Por lo tanto, el software antivirus actualmente maduro tiene la función de monitoreo en tiempo real y detección de virus en tiempo real sin software antivirus. Esta función nunca se recomienda. La protección en tiempo real es un requisito de la era de Internet. Es uno de los estándares más básicos para medir si un producto antivirus puede mantenerse al día. Vale la pena señalar que cuando evaluamos la función de monitoreo en tiempo real de un producto, no debemos medir unilateralmente su desempeño solo por atributos generales como el conocimiento de la marca y el uso de recursos. La práctica ha demostrado que algunos programas de monitoreo en tiempo real de fabricantes de renombre interfieren con ciertas operaciones del sistema, mientras que algunos programas de monitoreo en tiempo real tienen una ocupación de recursos relativamente baja y una baja sensibilidad antivirus, por lo que el programa de monitoreo solo captura el virus después de que el virus se active. También hay muchos usuarios que piensan que cierto software antivirus es bueno porque elimina algunos virus. De hecho, el software antivirus se utiliza originalmente para eliminar virus populares. para evitar que el sistema se infecte nuevamente con este virus. Si los virus no se pueden monitorear en tiempo real y los usuarios tienen que verificarlos y eliminarlos manualmente con regularidad, es mejor hacer más copias de seguridad y realizarlas con más frecuencia.

3. Capaz de filtrar paquetes comprimidos multicapa, correos electrónicos y controles ActiveX maliciosos y clases Java.

El virus CIH no solo tiene ideas de diseño avanzadas, sino que también utiliza una gran cantidad de comprimidos. archivos en Internet como escondite En ese momento, muchos programas antivirus no tenían la capacidad de escanear paquetes comprimidos. Aunque algunos programas antivirus podían escanear paquetes comprimidos, los tipos o la cantidad de capas de empaquetado que podían procesar eran limitados. , lo que resulta en graves consecuencias de ataques repetidos; los virus de correo electrónico actuales (como los virus "Búsqueda de empleo") "Lin", etc.) se infectan y destruyen de una manera completamente nueva; también hay algunos subprogramas Java maliciosos mezclados en código HTML; El navegador puede interpretarlo, ejecutarlo o llamarlo directamente (se tratará en detalle más adelante). Estos han planteado requisitos más estrictos para el software antivirus. ¡El software antivirus que no presta atención a la protección integral también es técnicamente inmaduro e imperfecto!

Controles ActiveX y clases de Java

Debido a la popularidad de Internet, el diseño de sitios web se ha vuelto más complejo y diverso. Muchos sitios ahora incluyen elementos interactivos como scripts, formularios, motores de búsqueda, animaciones y muchas otras características multimedia que hacen que la navegación web sea más útil, efectiva y atractiva. Gran parte de la tecnología que nos brinda estas capacidades proviene de pequeños programas que son fáciles de descargar. Interactúan con el software de su navegador para intercambiar información, mostrar archivos multimedia, formular consultas de bases de datos y realizar otras tareas. Los diseñadores y programadores web utilizan Java y ActiveX, entre otras herramientas, para escribir este tipo de programas.

El lenguaje de programación Java fue desarrollado por primera vez por Sun Microsystems. Con él, los diseñadores pueden escribir aplicaciones especializadas a pequeña escala, o "applets", que se ejecutan en la "máquina virtual" Java directamente o como un módulo integrado en el software del navegador.

Las clases de Java son módulos de software preescritos que los programadores pueden modificar para su propio uso. Los programadores utilizan la tecnología Microsoft ActiveX para fines similares. La principal diferencia entre ActiveX y Java es la forma en que se ejecuta: Java se ejecuta en una máquina virtual especialmente diseñada para interpretar programas pequeños, mientras que ActiveX sirve como un puente de software avanzado entre programas existentes o entre otros programas y el propio Windows. Un "control" ActiveX es un módulo de software que vincula programas para que puedan compartir datos sin que el programa necesite saber cómo se está ejecutando el otro programa. Las clases Java y los controles ActiveX se denominan colectivamente "objetos".

4. Viene con funciones completas de copia de seguridad y recuperación de información importante del sistema.

El concepto antivirus actual es la trinidad de "prevención, eliminación y reparación". Ser capaz de prevenir, detectar y matar. Sin embargo, nuevos virus surgen uno tras otro y ni los fabricantes ni los usuarios pueden garantizar que sean infalibles. Por lo tanto, un buen software antivirus también debería tener una capacidad relativamente completa para reparar el sistema.

Sobre este tema, los "expertos en antivirus VRV" propusieron el concepto de reparación del sistema. Las funciones de creación de discos de emergencia como Rising, PC-cillin, Norton AntiVirus, etc. también encarnan en gran medida el concepto de reparación rápida de emergencia. Los productos de otros fabricantes como Kingsoft y Xingtian98 no sólo pueden realizar copias de seguridad de datos importantes del sistema, sino que algunos también proporcionan a los usuarios herramientas especializadas de reparación de discos duros de forma gratuita, como KavFix de Kingsoft, VrvFix de Beixinyuan, etc. Lamentablemente, no importa qué fabricante sean, sus productos actuales tienen funciones específicas de reparación del sistema (como funciones especialmente desarrolladas para daños CIH) y tienen condiciones especiales (como la necesidad de hacer un disco de rescate con anticipación o hacer una copia de seguridad del sistema importante). datos), tienen limitaciones (por ejemplo, aunque KV3000 es "avanzado" en la reparación del área de arranque del disco duro y la tabla de particiones, no puede admitir particiones NTFS), y muchos otros productos similares para plataformas DOS y Windows también son lo mismo.

5. La capacidad de responder rápidamente a nuevos virus

Hay dos aspectos principales para medir la fortaleza de un fabricante de antivirus: uno es el nivel de programación; capacidad de responder rápidamente a nuevos virus. El nivel de programación de muchos fabricantes nacionales es bueno, pero debido a limitaciones de gestión, mano de obra, recursos financieros y otras condiciones, no pueden establecer una red mundial de monitoreo de virus. Por lo tanto, su capacidad para responder rápidamente a nuevos virus es ligeramente inferior. Productos de marcas famosas extranjeras. Lo que es gratificante es que muchas empresas extranjeras poderosas han venido a China para invertir y cooperar con fabricantes nacionales para producir software antivirus. La localización de productos nos brinda una mayor variedad de productos excelentes.

6. Uso de recursos extremadamente bajo y buena compatibilidad con sistemas y aplicaciones.

La función de monitoreo en tiempo real definitivamente ocupará recursos del sistema, por lo que, si bien garantiza la confiabilidad, también consume recursos. Cuanto mayor sea la velocidad, mejor. En la actualidad, la diferencia entre los productos principales no es demasiado grande. Los usuarios no tienen que forzar esto. A menudo son los muchos programas en segundo plano que las personas ejecutan automáticamente en el grupo de inicio los que consumen más recursos del sistema. Si la monitorización en tiempo real no está bien diseñada, el software antivirus entrará en conflicto con determinadas aplicaciones, lo que provocará una reducción de la estabilidad del sistema, algo que no queremos ver. Por ejemplo, las primeras versiones de NAV entrarán en conflicto con algunos programas que funcionan con disquetes; algunas versiones anteriores de VRV interferirán con la desfragmentación del disco, etc. También existen problemas similares en otros productos antivirus en diversos grados. Haga una elección basada en sus propias características y necesidades laborales.

(2) Características de rendimiento y técnicas de configuración del software antivirus común

1. Norton AntiVirus 2002

Características de rendimiento: conveniente función de actualización automática; monitoreo del tiempo, las capacidades de escaneo y eliminación son buenas para proteger los recibos de correo electrónico (nota: FoxMail no se puede proteger automáticamente, solo se puede proteger Outlook Express).

Consejos de aplicación: Primero, algunas operaciones que involucran disquetes no tendrán éxito debido a la influencia del monitor en tiempo real. Haga clic derecho en el icono de la bandeja del sistema para desactivar temporalmente la función de protección en tiempo real (. ver Figura 3- 1-3).

En segundo lugar, en el "Tipo de archivos escaneados", es mejor no seleccionar "Análisis completo de archivos", sino seleccionar "Archivos de escaneo SmartScan" para evitar ocupar demasiados recursos del sistema (ver figura 3- 1-4). Si tiene necesidades especiales, también puede hacer clic en el botón "Personalizar" para agregar manualmente los tipos de archivos que se analizarán en busca de virus.

En tercer lugar, gracias a Norton