病毒不是纸老虎

　　刚过去的26日又是一个值得紧记的日子，并不是因为CIH在这天发作，而是因为它留给了我们深刻的启示:对付计算机病毒不但要有正确的方法和优秀的工具，更重要的是树立起防护病毒的意识。在这里，笔者想从实用的角度出发，对防治病毒的一些常识性问题作一个总结，并且谈一谈防护病毒的意识，希望能对那些经常受病毒困扰而又不知所措的用户有所帮助。

金睛火眼篇
　　病毒之所以能给我们造成巨大威胁，正是因为它具有极强的隐蔽性，能在不知不觉间进入系统并进行传播和破坏。那么是否病毒就完全无迹可寻呢？不是的。其实，只要提高警惕，病毒在传染时和传染后留下的蛛丝马迹总是能被发现的。假如在病毒发作之前发现并消灭它，就可以将病毒的危害降到最低。因此，如何练就一双明辨是非的“金睛火眼”，就成为病毒防治中非常重要的一环。
　　在Windows 95大行其道的今天，计算机软硬件都有了极大的发展，对病毒的认识也要改变。以前一些病毒入侵的征兆，如可用内存或磁盘空间变少、文件奇怪地丢失或被修改、显示或打印错乱等，已经不完全适用。以下针对Windows 95操作系统，列举了一些常见的病毒入侵迹象。
　　①反病毒软件提示自身已被修改。
　　反病毒软件通常会有一个自我检查的机制，以保证在运行时自身的完好。所以，若反病毒软件报告自身已被修改，那么几乎可以肯定系统已经中毒。而且由于这种检查机制通常不会是简单地进行病毒代码扫描，所以并不限于已知病毒，对未知病毒也有一定的报告能力。
　　②“病毒防火墙”报告有可疑操作。
　　一些反病毒软件附带的病毒防火墙，能动态实时地监察内存（如Norton Anti-Virus的Auto-Protect），发现可疑操作时会提示用户。一般这些防火墙会把对引导区和可执行文件的修改认为是病毒活动，在这种情况下，要根据当时的实际情况判断是正常操作还是病毒。例如，在安装软件时，安装程序会修改硬盘上的临时文件，此时在确认被修改的不是系统原有文件的情况下，可认为是正常操作。
　　③自解压文件运行时报告自身受损。
　　自解压文件在解压前会检查本身的数据完整性，假如自解压文件在生成后受病毒感染，在解压时就会出现校验错误。但有校验错误并不一定是感染了病毒，为了排除非病毒因素造成的文件损坏，可以立即创建一个自解压文件，然后运行之，若仍然出现校验错误，则有毒可能性极大。
　　④原来运行正常的系统出现异常情况。
　　这种情况比较复杂，要求用户具有一定的软硬件知识，并且平时经常留意各种软件的运行情况（例如进入软件的时间、运行速度等），因此不能一概而论。不过，有一点可以肯定的是，如果在Windows 95中经常出现非法操作或奇怪死机的话（尤其是运行大型软件时），就应该考虑病毒的因素。
　　以上只是笔者的经验之谈，事实上没有任何一个规定说感染病毒之后一定会有这些特征。如今的病毒越来越高明，也越来越隐蔽，单靠一种判断依据很难确定，所以实际操作时要把上述方法结合起来运用。另外有一点非常重要，当怀疑已经中毒后，应该马上停止所有操作，并参照下面的方法杀毒，以免扩大中毒范围。

斩妖除魔篇
　　当发现有可疑现象后，应该利用反病毒软件进一步确定是何种病毒，并进行杀毒工作。但是使用反病毒软件不是简单运行之，为了保证杀毒的可靠以及数据的安全，有一些地方值得注意:
　　①保证杀毒环境的干净无毒。
　　运行反病毒软件前，要确保当前系统内存中没有病毒驻留。因为在带毒环境中查毒、杀毒不但达不到预期效果，反而会使病毒感染范围进一步扩大到整个硬盘。正确方法是先用无毒盘启动，再进行杀毒。同时要保证启动是加电的冷启动，而不是按Alt+Ctrl+Del三个键的那种热启动，比较保险的方法是关闭计算机电源后再重新开启。当然，有些反病毒软件能在带毒环境下解除内存中的病毒，这又另当别论。
　　②尽量使用最新版的反病毒软件。
　　这一点相信大家都明白，笔者就不再解释了。
　　③结合多种反病毒软件使用。
　　各种反病毒软件都有各自的优缺点，所能杀灭的病毒也有不同，尤其是对病毒变种的查杀能力有异。比如国内的反病毒软件虽然在可杀病毒数量上不及国外产品，但对国内特有的病毒变种却有特效。另外，专门查杀某种病毒的小软件，其效果通常也比一般的反病毒软件要好。因此，有条件的用户最好能把多种反病毒软件结合起来使用，以防漏网之误。
　　④杀毒时要注意压缩包内的文件。
　　对压缩包内的软件应先解压再杀毒，或者打开反病毒软件中检查压缩包内文件的选项。一些软件在安装前可能查不出有毒，最好能在安装后再检查一遍。
　　⑤杀毒前要对重要数据进行备份。
　　由于反病毒软件可能存在的不完善，可能把无毒文件中一些字符串当作病毒特征,对其进行“杀毒”，造成文件损坏;另外，即使没有误杀，也不能保证文件完全被修复，所以杀毒前备份重要文件十分必要，即使这个文件是有毒的。
　　⑥不能完全相信反病毒软件。
　　反病毒软件要面对的是成千上万的病毒，存在漏杀或者杀毒不彻底的情况是可以理解的。因此不能太相信反病毒软件，杀毒后应继续观察一段时间，以免病毒复发。

未雨绸缪篇
　　所谓“预防胜于治疗”，平时多加注意，就能大大减少感染病毒的机会;做好必要的准备，即使真的遭遇病毒，也不至于手忙脚乱。这里提供一些意见给大家参考:
①建立“应急盘”。
　　制作一张原始的、未受感染的启动软盘，保存有CMOS和分区表的信息，以及重建系统必须的程序（如format，fdisk等），这可以用反病毒软件做到。另外，若硬盘上使用了磁盘管理软件或磁盘压缩软件，应把这些软件的驱动程序包括在“应急盘”上并加载它们。否则用系统软盘引导启动后，将不能访问硬盘上的所有逻辑盘，使躲藏在其中的病毒逃过检查。
②保证至少有一套较新的正式版反病毒软件。
　　共享版的反病毒软件通常只能查不能杀，或者会有使用时间限制，而正式版的则不存在这些问题。同时，为了对付层出不穷的新病毒，要经常对反病毒软件进行升级（一般只需升级病毒数据库），最少每两个月一次，频度越高越好。
③使用病毒防火墙。
　　经常使用外来软件的用户，应该使用病毒防火墙。这样既可以防止漏检，又能在一定程度上发现未知的病毒。不过，有些病毒可以穿过病毒防火墙的保护，因此用反病毒软件对新软件进行扫描还是有必要的。
④定期和不定期备份重要数据。
　　对计算机用户来说，最重要、最有价值的是记录自己工作成果的数据。所以，应该定期和不定期备份重要数据。对特别重要的数据，应该做到每修改一次便备份一次。此外，一般病毒都从硬盘的前端开始破坏，所以重要的数据应放在C盘以后的分区，这样即使病毒破坏了硬盘前面部分的数据，只要能及时发现，后面这些数据还是有可能挽回的。

胡思乱想篇
　　这次CIH如此猖狂，不能不让人感到奇怪:CIH是一年前就有的病毒，为什么这次造成的危害比过去任何一次都要大？是CIH太厉害了吗，是反病毒软件在退步吗，还是应该怪主板制造商提供了BIOS的可擦写功能？笔者使用电脑多年，也中过十几次毒，却从未发作过一次，这难道仅仅是因为运气好吗？都不是！事实告诉我们，现在缺少的并不是优秀的反病毒软件，而是防治病毒的意识。对于病毒毫无警惕意识的人员，甚至连显示屏上出现的病毒发作信息都视而不见，任其随意肆虐，那么再优秀的反病毒软件又有何用？
　　其实，从以上的反病毒常识中也可以看出，其实对付病毒并不需要懂得艰深的计算机知识，关键是要提高思想上的警惕性，防御比等待病毒出现之后再去扫描和清除更能有效地保护计算机系统。定期检查病毒、经常对重要数据备份，这样花掉的一点时间或许能省下将来不少的时间和精力。只要做好了数据备份，硬盘被毁了大不了重装，BIOS被改了大不了重写，即使面对再厉害的病毒又有何惧？
笔者常想，对病毒我们应该有一点“有毒自远方来，不亦乐乎？”的态度。不是鼓励大家故意去找病毒，而是应该试着去面对它并了解它，把每一次与病毒的周旋当作学习的机会。最终你会发现，通过与病毒的斗争，得到的不仅是对付病毒的知识，而是更加了解计算机了。
　　这样的态度是否会更积极一点呢？

防范病毒
　　通过“走近病毒”我们对病毒的特点、传播方式和对电脑的危害已经有了初步了解，勉强也算是知己知彼吧，为了自己心爱的电脑的安全，我们可以采用以下措施对病毒进行防范。
　　1.御敌于国门之外
　　病毒只有侵入才能对电脑造成破坏，因此不让病毒有进入我们电脑的任何机会，“御敌于国门之外”是对病毒最有力的防范。
　　不让病毒进入电脑的最基本措施就是检查所有准备上机运行的软件光盘或软盘。对于普通用户来说，最简单的检查方法就是使用防毒软件对所有准备上机的光盘和软盘进行查毒扫描。
　　使用杀毒软件查毒的方法有两种，一是在Windows系统中安装病毒实时监控软件，二是在准备使用某张光盘或软盘前运行杀毒软件进行检查。其中第一种方法的优点是可在电脑运行时及时发现通过网络、软件光盘或软盘等渠道进入系统的病毒，防止电脑受到感染。但这种实时监控目前还只能在电脑运行Windows 9x时进行。第二种方法是直接检查准备使用的光盘或软盘，防止病毒进入电脑，但对电脑上网时通过邮件或下载软件进入电脑的病毒缺乏及时的防范。
　　所以如果想将病毒杜绝在电脑之外，最好的方法是在电脑上安装具有实时监控功能的防病毒软件。根据目前笔者了解的反病毒软件的发展情况，目前国内市场上的KV300、瑞星、PC－ cillin和KILL等防毒软件都具备实时监控功能。另外根据笔者使用体会，其中PC－ cillin的实时监控功能更强一些，它可以在读盘或拷贝某一文件（包括已被压缩的文件）时就能及时发现其中的病毒。
　　2.定期检查电脑，防患于未然F
　　除了在电脑上安装具有实时监控功能的防毒软件外，由于目前电脑病毒的危害性很大，特别是CIH病毒破坏主板BIOS芯片，让大多数用户无法自己修复，因此定期对电脑进行主动查毒非常必要。查毒的方法是用另外制作的干净的系统软盘启动电脑，然后再运行防毒软件对电脑系统进行检查。使用另外制作的干净系统盘启动电脑的主要目的是保护用户所购买的防毒软件软盘。因为如果直接使用防毒软件盘启动系统，那么在使用过若干次后这张防毒软件原盘很可能就会损坏。制作好系统启动软盘后记住将盘上的防写滑块拨到防写位置，以防病毒感染系统启动盘。
　　3.合理设置硬盘分区，预留补救措施
　　根据江民公司和瑞星公司公布的用杀毒软件恢复被CIH病毒破坏的硬盘数据，如果用户的硬盘分成多个逻辑盘，那么当C盘为FAT32格式并且容量大于1G，硬盘上的数据被CIH病毒破坏后使用防毒软件可将C盘上数据恢复98％，其余逻辑盘的数据可恢复99％；但当C盘为FAT16且容量小于2G时，那么只能将C盘数据恢复5％，而其余逻辑盘的数据也只能恢复95％。因此，我们应尽量将电脑的硬盘设成FAT32格式，分区容量也应大于1G以上，这样万一硬盘数据和文件被CIH病毒破坏时至少还能恢复98％，这样就大大提高电脑对病毒侵害的恢复能力。
　　4.Ghost软件备份硬盘，快速恢复系统
　　安装过Windows 95／98的朋友都知道，如果从头安装系统并且完成硬件驱动程序更新至少需要30分钟以上，因此如果事先使用Ghost软件将硬盘（至少是系统分区）备份下来，这样一旦在系统被病毒破坏时就能在几分钟内迅速恢复系统。
　　5.及时升级防毒软件，提高防范能力
　　由于电脑界中的个别好事之徒依然没有闲着，继续在炮制新的病毒以表现自我或者报复社会，同样，各防毒软件开发单位也在不断地升级版本以提高防范病毒的能力并通过因特网和BBS站点为用户提供免费升级的下载文件。从电脑的安全出发，拥有各种防毒软件的朋友一定不要怕麻烦，应该尽快通过各种正当途径获取相应的升级文件后对自己的防毒软件进行技术升级。而且根据笔者使用经验，各种防毒软件升级都很简单，以瑞星为例，只要你运行由瑞星公司提供的相应版本升级文件后，程序就能自动将文件拷贝到原瑞星9x软盘中进行升级。虽然KV300稍微麻烦一些，但也只是将升级文件解压后用手工拷贝到KV300原软盘中即可完成版本升级。
　　以上关于病毒的介绍和病毒的防范可供初学电脑的朋友参考。最后提醒大家：善良的人们啊，你们可要警惕！