病毒防治的原理比较 -天瑞科技，深圳电脑维修，深圳电脑维护

■病毒码过滤法

原理∶根据某一部份的特徵, 去比对每一个可执行之程式, 有该特徵者即判定为该病毒, 往往因特徵的选取不当而造成误判, 面对新病毒. 千面人病毒及变体病毒, 因不知其特徵或特徵不易选?蛊湓缫阎卸径蛔灾?

优点∶操作简单, 比对迅速可隔离大部份已知病毒.

缺点∶病毒码选取不当, 易造成误判, 病毒支数过多, 比对费时, 且遇到新病毒时, 常中毒而不自知.

例如∶八十年三月六日所爆发的一支STONED 3(即米开朗基罗), 当天有很多人的硬碟被破坏了, 其原因是很多程式无该病毒之病毒码, 因此在不知其特徵的情况下, 就无法防止.但使用ZLOCK Cases 之用户, 则安然无恙, 直至八十一年米毒方为大家所熟悉.

采用者∶GSCAN(金帅). BVK(金帅). VIRUS HUNTER(倚天). TRACER(GOD WARE).ANTI-VIRUS(CENTRAL POINT/NORTON). SCAN(McAFEE).

■加值总和法

原理∶将原始程式码做特殊计算, 记录下来, 由於每一个可执行程式都被做上记录, 所以程式只要一有异样, 就会马上被发现, 因其不根据病毒码, 系根据程式本身所记录的资料, 故不会误判.但其在做特殊运算记录前, 须确定程式无毒, 因其判定根据为当时之记录, 如已遭感染, 则其记录为一已中毒之程式, 所以执行前须利用其他程式确定.

优点∶因其不认病毒码, 故不会误判, 亦不须时常更新版本, 对新病毒依然有效.

缺点∶作记录前需确定无毒, 而程式本身无法做这项工作, 需仰赖其它程式完成, 使用者若自行修改程式或组译执行档, 亦会被提出警告.须对程式做备份, 以便中毒後用备份去覆盖中毒程式, 故使用前须有万全的准备.

采用者∶MSCAN(神通). ANTI-VIRUS.

■移植检查法

原理∶事前对每一个档案移植一段自我检查程式, 只要程式受感染就会自我发现. 自我治疗, 这一自我还原之预备动作, 为移植一段自我检查码到可执行程式後, 如同加值总和法, 需事前确定程式无毒, 且须对每一程式做同一动作.

优点∶因对原程式做好还原预备动作, 只要程式受到感染, 就会自行还原, 无须靠备份程式加以覆盖.因其对原程式做检查码, 故不认病毒码. 不需时常更新版本, 对於新的病毒依然有效.

缺点∶做还原预备动作前, 需确定无毒, 而程式本身无法做这一项工作, 须仰赖其它程式, 对每一程式都需作一自我检查程式, 十分麻烦, 且每一个程式的档案长度都会增加, 占用许多记忆空间.

采用者∶病毒克星(VIRUS BUSTER). 病毒免疫大师(第三波). ANTI-VIRUS.V-SHIELD(McAFEE).

以上三种方式若遇到隐形式病毒, 则根本无法发觉.

例如∶82年4月才发现的新型隐形病毒 ━DREAMING KING (瞑国王), 因为它为新发现的病毒, 故病毒过滤法定无法於中毒时拦截, 而且其每次感染均会自行编码, 病毒码的采码工作十分不易；如欲检查被该毒感染的档案, 则由於DREAMING KING 会植入DOS 系统内, 监控DOS 的行为, 并且将程式的正确资料还原, 故加值总和法与移植检查法也无法查出档案已中毒.

■防写卡∶

原理∶利用硬体控制硬碟的防写动作, 使病毒不易侵入.但当用户真正要写资料时, 却可能使病毒有机可乘.

优点∶由硬体直接控制写入的动作, 病毒在该卡关闭状态无法对硬碟进行感染或破坏.

缺点∶当使用者需做写入动作时, 即失去侦测病毒之能力.

例如∶NOCOPY是档案感染型的病毒, 该毒仅在作COPY的动作时才进行感染, 若在COPY的状态下中此毒, 该卡丝毫无防御能力.

采用者∶C∶CURE(Leprechaun).

■EEPROM∶

原理∶利用记忆体的技术, 备份 PARTITION TABLE. BOOT SECTOR, 每次开机作比对, 一旦发现异状即表示中毒, 可马上进行备份覆盖的解毒动作.

优点∶发现中毒时, 可用备份覆盖解毒.

缺点∶对於合法的修改也会当成病毒, 对於档案感染型兼开机型. 爆炸型病毒则无用.使用者亦可自行以硬碟或软碟备份开机区资料, 取代所提供的功能.

例如∶CANCER是开机型兼档案感染型的病毒, 每当执行中毒档案时, 便感染硬碟的开机区, 亦可对档案进行感染, EEPROM此时并无法对病毒的感染进行拦截.

采用者∶PC-Cillin(趋势).

■防止软碟启动卡∶

原理∶由於开机型病毒常由软碟开机时进入, 故此卡或防毒晶片在即时预防病毒由软碟进入.

优点∶可避免因软碟开机所引起的部份开机型病毒.

缺点∶除了因软碟开机所引起的开机型病毒之外, 对於所有档案感染型病毒. 特洛伊型病毒以及开机型兼档案感染型病毒, 即无法防治.

例如∶大榔头第六代（HAMMER VI）即为开机型兼档案感染型病毒, 此毒即使不透过软碟开机, 亦可能由档案的感染, 达到FORMAT硬碟的破坏力, 使用防止软碟启动卡此时就无法尽到保护的责任.

采用者∶PC-cillin. V-card(DIGITAL). VirusStop(Multix).

■智慧侦防解毒法

原理∶根据病毒的行为, 事先预知病毒的动作, 进而拦截开机型. 档案感染型.特洛伊型病毒, 不必对程式作特殊处理, 不需检查病毒码, 无需事先处理, 任何中毒程式皆可侦测出来及防止其破坏爆炸.其解毒方式为对旧有病毒提供现成之解毒配方, 对新病毒进行采样. 分析程式, 根据分析配出新配方, 解掉新病毒.

优点∶无须任何事前预备, 可安心使用每个程式, 无需花时间比对病毒码, 不浪费时间. 也不因此而误判, 对事前毫无症状之炸弹型病毒亦可防止其破坏；对已中毒, 而无乾净之备份程式亦可救回.

缺点∶观念独特. 操作方式不如其它程式为人所熟悉；功能甚多, 每一功能都有其步骤, 不如其它单一功能. 单一操作简单.

改进∶尽量简化其步骤及其讯息使得使用更方便.

采用者∶ZLOCK(金帅). ZCOP(金帅). ZCA(金帅).

■总结∶

目前的防毒产品, 可概分为由硬体辅助或纯软体来执行, 以硬体为辅的解毒产品, 其功能几乎均以硬碟开机或备份开机区资料为主.然而, 以1990年以後出品的AMI BIOS而言, 就已经提供了设定由硬碟开机的功能, 足可取代由硬碟辅助的解毒软体.使用者於电脑开机时, 可压或键即进入BIOS的设定, 其中选择 ADVANCED BIOS SETUP, 将游标移至选项, 设定, 即完成了由硬碟开机的设定.至於, 开机区资料的备份, 当然可用软碟或硬碟来存放.为了防止开机型病毒及蔓延更广的档案感染型. 爆坏力更强的特洛伊型病毒的为害, 慎选功能齐全的防毒软体, 方能一劳永逸.