信息来源:JinLei's MS Tech Weblog
1、确保在无毒环境下查杀病毒
简单的说,目前的绝大多数病毒会写入启动项,这样如果在系统正常启动后再查杀病毒,就会无法彻底消灭病毒。所以,要尽量确保在无毒环境下查杀病毒。
在 Windows 9x/ME 下,干净启动( Clean Boot )的最佳方法是用 Windows 98 的启动盘来引导系统。这个启动盘可以从网上下载(地址1,地址2),双击运行下载的.exe 文件,然后放入一张空白软盘即可。
在 Windows 2000/XP/2003 下,如果没有使用 NTFS 分区格式,那么仍然可以用 Windows 98 的启动盘来引导系统。如果使用了 NTFS 分区格式,最简单的方法是启动时按 F8,选择安全模式进入,这样虽然不能确保 100% 无毒,但在绝大多数情况下可以解决问题。
特别的,现在的一些杀毒软件可以制作支持 NTFS 分区格式的启动盘,也可以尝试使用这类启动盘来引导系统并查杀病毒。另外,微软的知识库文章 KB310353 专门讲解了如何在 Windows XP 中执行干净启动( Clean Boot)。
2、确保你的病毒库是最新的
3、确保你进行了全盘扫描
4、系统需要及时升级打补丁
现在大量的病毒是利用系统的漏洞进行传播,所以一定要及时升级系统,打上所有更新补丁,不然即使杀毒完成之后,病毒还会再次进入系统,造成不必要的重复劳动。
另外,目前微软加强了反盗版措施,非正版的 Windows XP 用户在使用系统自带的 Windows Update 之后可能会被锁定。同时,微软发布的一些安全工具需要通过正版验证才能下载。
5、安装一款防火墙软件
个人用户推荐使用 ZoneLabs 的 ZoneAlarm,尤其在系统不能及时升级的情况下,安装防火墙并进行恰当的设置,能最大限度的防止网络病毒的攻击。
6、其他技巧
6.1 出现病毒报告时,注意一下报告的病毒文件位置,可以帮助你判断病毒是通过何种途径进入的。
6.2 对于没有定义的、无法在网上搜索到相关信息的病毒或者恶意小程序,可以借助 Sysinternals 推出的一款免费软件 Autoruns 来协助分析。Autoruns 可以显示开机和登录过程中自动运行的程序名称、注册表位置、对应的磁盘文件,适用于 Windows 9x/ME/2000/XP/2003,而且可以把检查结果保存为文本文件或者 CSV 文件,在自己无法判断的时候,可以在论坛上、网络空间上贴出检查结果或者将检查结果通过邮件发送给技术人员,请求帮助。具体的用法可以参考我的另一篇 Blog。
re: 如何有效的防治病毒 6/4/2005 10:53 AM smallfrogs
首先感谢你分享你的体会,blog里面有些小小的遗漏,补充如下:
1:
对于Win2000的安全模式,虽然可以绕过使用常规启动组加载的计算机病毒,但是对于使用服务加载的(已经修改了设置使之能够从安全模式下加载)的病毒,无法彻底解决问题。
大多数木马或蠕虫都加入了KIll进程功能,如果不能正常的运行一个扫描器,可以试试将扫描器可执行文件名修改为别的,但是目前有些木马或蠕虫不是根据进程名来确定的而是根据窗口标题栏确定的,对于这类病毒,可以使用应急启动盘扫描。
2:
全盘扫描不一定能够查出全部的病毒。目前已经有病毒通过HOOK API函数来完成自己的隐藏,但是目前大多数反病毒软件还是使用标准的API函数来获取扫描器扫描目标(静态扫描模式下),对于这种病毒,可以依据文件监控或换一个系统扫描。
3:
补丁是一定要安装的,但是影响更多的是用户自己的好奇心导致的随意运行程序。
4:
在发行一个病毒寻求帮助的时候,“病毒文件位置”并不是最重要的,病毒名才是关键点。另外我不清楚“病毒位置帮助你判断病毒是通过何种途径进入的”是什么意思?请解释一下。根据我对计算机反病毒技术的研发,从“病毒位置”判定进入方式是不可靠而且基本上是不可行的。
最后推荐一本书和计算机病毒有关,如果你真的想涉及计算机病毒和反病毒领域的话可以看看:
Szor, The Art of Computer Virus Research and Defense
书里面涉及了计算机病毒的分类、本质、分析方法和反病毒方法。可以在Amazon.com购买到。
Smallfrogs
http://www.KZtechs.com
