Symantec AntiVirus 病毒防护的工作原理
病毒感染是可以很容易地避免的。如果能够很快地从计算机中检测到并删除病毒,那么病毒就不会传播到其他文件中,也不会引起破坏。Symantec AntiVirus 使用了多种方法可以方便地检测文件、引导区和宏病毒:
基于特征的扫描:Symantec AntiVirus 检测病毒的扫描过程是依赖于病毒特征或者说是根据病毒模型进行的。Symantec AntiVirus 搜索受感染文件中驻留的病毒特征。这个搜索过程即称为扫描。如果检测到病毒特征,Symantec AntiVirus 向您发出已有文件受感染的通知。根据您的 Symantec AntiVirus 配置,对受感染文件进行清除、删除、隔离等操作,或是不进行操作。默认情况下,Symantec AntiVirus 尝试清除受感染文件中的病毒。
实时防护:当文件打开或执行时,以及对文件进行修改(例如,重命名、保存或将文件复制到目录中以及从其他目录中复制文件)时,通过查找病毒模型不断地监视计算机的活动。
文件校验和(仅对 NetWare 和 Windows NT 4.0/5.0 上的 NTFS 分区表可用):Symantec AntiVirus 使用完整的专用文件校验和运算法则,用来对文件计算校验和值。该值会存储下来,并与以后的校验和进行比较。由于病毒会更改可执行文件的代码,所以校验和就会与原始的校验和不一致,这就说明可能发生了病毒感染。如果校验和值不匹配,Symantec AntiVirus 将记录曾经发生的事件并向您发出文件可能染毒的通知。
扫描
扫描就是寻找计算机的内存、引导扇区、分区表和目录中的病毒或类病毒行为的过程。Symantec AntiVirus 使用基于模型的匹配过程来查找受感染区域的病毒模型或特征。Symantec AntiVirus 的扫描程序使用病毒定义文件在计算机的文件中查找已知的病毒模型。经常扫描计算机可以尽早地检测到病毒,从而也就避免了病毒传播的可能性。
以下是您可以执行的扫描类型:
按需扫描——运行扫描,请您等待扫描结果。
调度扫描——在某天、某周或某月的事先安排好的时刻运行。
自定义扫描——您配置和保存的按需扫描。
实时扫描——通过不断地监视计算机上的文件来防止病毒的感染。
启动扫描——计算机启动时运行。
程序型病毒
感染的内容
程序型病毒通过将指令插入到执行序列,将病毒附加到可执行文件(例如,.COM、.EXE 和 .DLL 文件)中。当受感染文件运行时,插入的指令就会执行病毒代码。代码执行完成后,文件继续执行正常的指令序列。这一过程非常迅速,因而您不会意识到病毒代码的执行。
感染的方式
程序型病毒有三个子类别:
内存驻留:以内存驻留程序 (TSR) 的形式驻留在内存中,通常会感染所有可执行文件。
直接操作:执行,感染其他文件,然后卸载。
伴生:将自身与可执行文件联系在一起,但不修改可执行文件。例如,病毒可能针对 WORD.EXE 创建了一个伴生文件,WORD.COM。当打开 Word 程序时,受感染的 WORD.COM
文件首先执行,并执行病毒活动,然后再执行 WORD.EXE 文件。
破怀情况
由程序型病毒引起的破坏,其程度不等,例如,可能仅显示一些屏幕消息,也可能完全破坏了您的数据。
引导型病毒
在某种意义上,引导型病毒可以称的上是最成功的病毒。这种病毒易于编写,并且在低级别上控制了计算机。
感染的内容
引导型病毒将指令插入到软盘的引导扇区,或者硬盘的引导扇区或主引导记录(分区表扇区)。
感染的方式
当计算机从受感染的软盘中启动时,病毒就感染到了硬盘上并将它的代码加载到内存中。不一定是可引导软盘才能造成病毒的传播。病毒仍然驻留在内存中并感染其他所有访问该计算机的软盘。通常,触发引导型病毒发作条件是系统日期或时间。例如,米开朗基罗病毒就是引导型病毒,该病毒在 3 月 6
日(米开朗基罗的生日)删除宿主计算机的硬盘。
破怀情况
除非病毒不是单一的引导型病毒,否则引导扇区已感染了病毒的软盘或硬盘不会感染任何文件。真正的引导病毒不会传播到服务器上,也不会通过网络进行传播。
。
[ 本帖最后由 sw1984ok 于 2006-6-27 21:28 编辑 >
对病毒的反应
Symantec AntiVirus 对受感染文件执行不同的操作和备份操作,例如清除病毒或将受感染文件移动到隔离区。当在扫描中检测到病毒时,Symantec AntiVirus 通常会尝试从受感染的文件中清除病毒。如果已对文件完成了清除操作,那么文件中就完全不包含病毒了如果 Symantec AntiVirus
无法对文件进行清除,Symantec AntiVirus 就尝试进行备份操作,例如将受感染文件移动到隔离区。
因为宏病毒不同于其他类型的病毒,所以 Symantec AntiVirus 对于宏病毒和非宏病毒(其他所有类型的病毒)分别指定了不同的操作和备份操作
备份操作
备份操作就是在第一操作失败时 Symantec AntiVirus 对病毒感染执行的操作。例如,默认情况下,
Symantec AntiVirus 通常会尝试清除受感染文件、引导扇区或分区表中的病毒。如果无法进行清除工作,Symantec AntiVirus 则尝试进行备份操作,例如,将病毒移动到隔离区。
将受感染文件移动到隔离区
隔离区是一个能够安全地存储受感染文件的隔离区域。这种将受感染文件移动到隔离区的方式在最大程度上减小了病毒复制自身并因此感染其他文件的机会。所以建议您无论是宏还是非宏病毒感染都使用此操作作为备份操作。
将文件移动到隔离区阻止了病毒的传播。但是,这种操作并不能清除病毒,因此除非您清除了病毒或永久地删除文件,病毒仍然存在于您的计算机中。对于受病毒或宏病毒感染的文件,将其移动到隔离区是一个很有用的操作,但是对于引导型病毒感染不起作用。通常,引导型病毒驻留在计算机的引导扇区或分区表中,因而无法将这些项目移动到隔离区。
Symantec AntiVirus 将文件移动到隔离区后,您可以执行清除文件中的病毒,永久地删除文件,或将文件移回其原始的位置等操作。还可以查看受感染文件的属性。当更新了病毒定义文件后,您可以重新扫描隔离区中的受感染文件。
删除受感染的文件
Symantec AntiVirus 将文件从您的计算机硬盘中永久地删除。此操作通过将文件(和病毒一起)从计算机中删除减小了病毒可能扩散的威胁。对于文件型病毒和宏病毒,删除受感染文件是一种很有用的操作。
因为病毒可能破坏文件,所以删除受感染的文件,使用干净的备份文件代替它可能比清除受感染文件中的病毒要好一些。因为删除操作是永久性的,所以只有在您拥有要扫描文件的干净备份的情况下,才能使用它。
在将文件移动到隔离区后,您可以手动地执行这个操作。如果受感染的文件是一次性的文件,而 Symantec AntiVirus 又无法清除它的病毒,那么就可以将它从隔离区中删除。
仅在您已经您拥有了要扫描文件的干净备份的情况下,设置此选项。在进行实时防护或调度的扫描期间,不应该将此选项作为文件扫描的主要操作
保留受感染的文件
此选项保留受感染病毒的原始状态,也就是说,不对它进行移动、清除或删除操作。如果使用此操作,则不对病毒感染进行任何处理,因此病毒可以继续引起破坏。
对于宏和非宏病毒都可以将保留受感染文件原始状态作为备份操作。对于大规模,自动执行的扫描(例如实时扫描或调度的扫描),如果需要通过查看扫描结果跟踪扫描过程,然后再采取其他的操作(例如将文件移动到隔离区),请使用此操作。
如果文件出现假感染情况,也可以使用这个操作。如果其他病毒防护程序已经部分清除了文件中的病毒,而 Symantec AntiVirus 仍然检测到了文件中残存的病毒代码,就会发生已感染假象(假阳性)。其原因在于部分清除过病毒的文件中仍然保留了一部分病毒代码,但有害的病毒代码已经删除了,并因此不再具有危害性。在这种情况下,“不操作”操作确保不对文件进行更改或移动操作。
清除病毒
清除病毒操作应该始终是您的主操作。如果 Symantec AntiVirus 成功地清除了文件中的病毒,那么您就不需要再采取其他任何操作了。计算机将不再有病毒的威胁,也不用再怀疑病毒会传染到计算机的其他区域中。
当 Symantec AntiVirus 清除文件的病毒后,它可以完全将病毒从受感染文件、引导扇区或分区表中删除,因此消灭了病毒传播的能力。如果检测得早,Symantec AntiVirus 通常可以在病毒破坏您的计算机之前发现并清除病毒。
但是,某些情况下,根据病毒已经引起的破坏程度的不同,清除过病毒的文件可能已经不能使用了。这是病毒感染的结果,并不是清除操作造成的
谢谢楼主如此精彩的见解,如此长篇,看的好累啊。顶~~顶~~~。
呵呵,看后只是了解一下,
高手?我还找不到门呢
如果配上图,会形象些
楼主太强了,很精彩的帖子建议版主可以加精哦!
谢谢楼主了让我们了解了这么多赛门铁克软件的防病毒的知识!
DDD谢谢楼主,收藏了!
变高手还不敢说,只是能够了解许多以前不知道的知识罢了,相信很多人看了也和我有一样的感受吧~~
感觉没有什么,不是高手啊
看了怎么能直接成高手呢,假如自己在去操作一遍的话,马上能变成一个熟练工了。呵呵,以后自己碰到问题就不用担心了饿,呵呵。建议版主加精,让后来人知道哦,谢谢。
呵呵,专业知识嘛,知道的多好点 |
|
设为首页
加入收藏
联系我们
打印本文 
返回顶部 
加入收藏 
关闭窗口
