防病毒技术

发布者：系统管理员发布时间：2022-06-21浏览次数：4306

基本概述

CPU内嵌的防病毒技术是一种硬件防病毒技术，与操作系统相配合，可以防范大部分针对缓冲区溢出（buffer overrun）漏洞的攻击（大部分是病毒）。Intel的防病毒技术是EDB（Excute Disable Bit），AMD的防病毒技术是EVP（Ehanced Virus Protection），但不管叫什么，它们的原理都是大同小异的。严格来说，目前各个CPU厂商在CPU内部集成的防病毒技术不能称之为“硬件防毒”。

　　从反病毒产品对计算机病毒的作用来讲，防毒技术可以直观地分为：病毒预防技术、病毒检测技术及病毒清除技术。

1、计算机病毒的预防技术

　　计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。实际上这是一种动态判定技术，即一种行为规则判定技术。也就是说，计算机病毒的预防是采用对病毒的规则进行分类处理，而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说，计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作，尤其是写操作。预防病毒技术包括：磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。例如，大家所熟悉的防病毒卡，其主要功能是对磁盘提供写保护，监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令，并且判断磁盘当前所处的状态：哪一个磁盘将要进行写操作，是否正在进行写操作，磁盘是否处于写保护等，来确定病毒是否将要发作。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。目前，对已知病毒的预防可以采用特征判定技术或静态判定技术，而对未知病毒的预防则是一种行为规则的判定技术，即动态判定技术。

2、检测病毒技术

　　计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。它有两种：一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化，在特征分类的基础上建立的病毒检测技术。另一种是不针对具体病毒程序的自身校验技术。即对某个文件或数据段进行检验和计算并保存其结果，以后定期或不定期地以保存的结果对该文件或数据段进行检验，若出现差异，即表示该文件或数据段完整性已遭到破坏，感染上了病毒，从而检测到病毒的存在。

3、清除病毒技术

　　计算机病毒的清除技术是计算机病毒检测技术发展的必然结果，是计算机病毒传染程序的一种逆过程。目前，清除病毒大都是在某种病毒出现后，通过对其进行分析研究而研制出来的具有相应解毒功能的软件。这类软件技术发展往往是被动的，带有滞后性。而且由于计算机软件所要求的精确性，解毒软件有其局限性，对有些变种病毒的清除无能为力。目前市场上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV，及我国的LANClear和Kill89等产品均采用上述三种防病毒技术。

产生原因

　　现今市场上流行的单机防病毒产品种类繁多，性能各异。各防病毒产品之间的竞争也异常激烈，各开发商频频使出“变招”争夺这一庞大的市场。无论这些反病毒产品性能多么优越，下面两个致命弱点则明显地暴露出其不足之处，使反病毒产品一度走入低谷。

　　(1)防病毒产品均以单机为防病毒对象，不能有效地防止病毒在网上蔓延。而在网络上，病毒正是以网络服务器为传播源，通过服务器，病毒迅速地在网络上传播，直到感染整个网络，使网络彻底瘫痪。

　　(2)一机一卡所带来的缺陷。开发商从市场角度考虑，将防病毒卡与产品加密合二为一，但却给用户带来了许多不便：占用硬件资源(如扩充槽口、I/O口或中断资源)；增加内存开销，易发生防病毒系统与其它应用系统的软硬件冲突；影响计算机执行速度。因为防病毒软件要实现实时监控，就一定要占用CPU时间，这必然会使计算机执行速度下降。有鉴于此，需要彻底改变现有的防病毒产品模式，需要和单机防病毒技术有本质区别的网络防病毒技术。

基本方法

　　在网络环境下，防范病毒问题显得尤其重要。这有两方面的原因：首先是网络病毒具有更大破坏力。其次是遭到病毒破坏的网络要进行恢复非常麻烦，而且有时恢复几乎不可能。因此采用高效的网络防病毒方法和技术是一件非常重要的事情。网络大都采用“Client-Server”的工作模式，需要从服务器和工作站两个结合方面解决防范病毒的问题。在网络

　　上对付病毒有以下四种基本方法：

1、基于网络目录和文件安全性方法

　　以NetWare为例，在NetWare中，提供了目录和文件访问权限与属性两种安全性措施。“访问权限有：防问控制权、建立权、删除权、文件扫描权、修改权、读权、写权和管理权。属性有：需归档、拷贝禁止、删除禁止、仅执行、隐含、索引、清洗、读审记、写审记、只读、读写、改名禁止、可共享、系统和交易。属性优先于访问权限。根据用户对目录和文件的操作能力，分配不同的访问权限和属性。例如，对于公用目录中的系统文件和工具软件，应该只设置只读属性，系统程序所在的目录不要授予修改权和管理权。这样，病毒就无法对系统程序实施感染和寄生，其它用户也就不会感染病毒。

　　由此可见，网络上公用目录或共享目录的安全性措施，对于防止病毒在网上传播起到积极作用。至于网络用户的私人目录，由于其限于个别使用，病毒很难传播给其它用户。采用基于网络目录和文件安全性的方法对防止病毒起到了一定作用，但是这种方法毕竟是基于网络操作系统的安全性的设计，存在着局限性。现在市场上还没有一种能够完全抵御计算机病毒侵染的网络操作系统，从网络安全性措施角度来看，在网络上也是无法防止带毒文件的入侵。

2、采用工作站防病毒芯片

　　这种方法是将防病毒功能集成在一个芯片上，安装在网络工作站上，以便经常性地保护工作站及其通往服务器的路径。工作站是网络的门户，只要将这扇门户关好，就能有效地防止病毒的入侵。将工作站存取控制与病毒保护能力合二为一插在网卡的EPROM槽内，用户也可以免除许多繁琐的管理工作。

　　Trend Micro Devices公司解决的办法是基于网络上每个工作站都要求安装网络接口卡网络接口卡上有一个Boot Rom芯片，因为多数网卡的Boot Rom并没有充分利用，都会剩余一些使用空间，所以如果安全程序够小的话，就可以把它安装在网络的Boot Rom的剩余空间内，而不必另插一块芯片。

　　市场上Chipway防病毒芯片就是采用了这种网络防病毒技术。在工作站DOS引导过程中，ROMBIOS，Extended BIOS装入后，Partition Table装入之前，Chipway获得控制权，这样可以防止引导型病毒。Chipway的特点是：①不占主板插槽，避免了冲突；②遵循网络上国际标准，兼容性好；③具有他工作站防毒产品的优点。但目前，Chipway对防止网络上广为传播的文件型病毒能力还十分有限。

3、采用Station Lock网络防毒方法

　　Station Lock是著名防病毒产品开发商Trend Micro Devices公司的新一代网络防病毒产品。其防毒概念是建立在”病毒必须执行有限数量的程序之后，才会产生感染效力“的基础之上。例如，病毒是一个不具自我辨别能力的小程序，在病毒传染过程中至少必须拦截一个DOS中断请求，而且必须试图改变程序指针，以便让系统优先执行病毒程序从而获得系统控制权。引导型病毒必须使用系统的BIOS功能调用，文件型病毒必须将自己所有的程序代码拷贝到另一个系统执行文件时才能复制感染。混合型病毒和多形体病毒在实施感染之前也必须获取系统控制权，才能运行病毒体程序而实施感染。Station Lock就是通过这些特点，用间接方法观察，精确地预测病毒的攻击行为。其作用对象包括多型体病毒和未来型病毒。

　　Station Lock也能处理一些基本的网络安全性问题，例如存取控制、预放未授权拷贝以及在一个点对点网络环境下限制工作站资源相互存取等。Station Lock能根据病毒活动辩别可能的病毒攻击意图，并在它造成任何破坏之前予以拦截。由于Station Lock是在启动系统开始之前，就接管了工作站上的硬件和软件，所以病毒攻击Station Lock是很困难的。Station Lock是目前网络环境下防治病毒比较有效的方法。

4、基于服务器的防毒技术

　　服务器是网络的核心，一旦服务器被病毒感染，就会使服务器无法启动，整个网络陷于瘫痪，造成灾难性后果。目前基于服务器的防治病毒方法大都采用了NLM(NetWare Load Module)技术以NLM模块方式进行程序设计，以服务器为基础，提供实时扫描病毒能力。市场上的产品如Central Point公司的AntiVirus for Networks，Intel公司的LANdesk Virus Protect以及南京威尔德电脑公司的Lanclear for NetWare等都是采用了以服务器为基础的防病毒技术。这些产品的目的都是保护服务器，使服务器不被感染。这样，病毒也就失去了传播途径，因而从根本上杜绝了病毒在网上蔓延。

(1)对服务器中所有文件扫描
　这一方法是对服务器的所有文件进行集中检查看其是否带毒，若有带毒文件，则提供给网络管理员几种处理方法。允许用户清除病毒，或删除带毒文件，或更改带毒文件名成为不可执行文件名并隔离到一个特定的病毒文件目录中。

(2)实时在线扫描

　　网络防病毒技术必须保持全天24小时监控网络是否有带毒文件进入服务器。为了保证病毒监测实时性，通常采用多线索的设计方法，让检测程序作为一个随时可以激活的功能模块，且在NetWare运行环境中，不影响其它线索的运行。这往往是设计一个NLM最重要的部分，即多线索的调度。实时在线扫描能非常及时地追踪病毒的活动，及时告之网络管理员和工作站用户。

(3)服务器扫描选择

　　该功能允许网络管理员定期检查服务器中是否带毒，例如可按每月、每星期、每天集中扫描一下网络服务器，这样就使网络用户拥有极大的操作选择余地。

(4)自动报告功能及病毒存档
　当网络用户将带毒文件有意或无意地拷入服务器中时，网络防病毒系统必须立即通知网络管理员，或涉嫌病毒的使用者，同时自己记入病毒档案。病毒档案一般包括：病毒类型、病毒名称、带毒文件所存的目录及工作站标识等，另外，记录对病毒文件处理方法。

(5)工作站扫描
　考虑到基于服务器的防病毒软件不能保护本地工作站的硬盘，有效的方法是在服务器上安装防毒软件，同时在上网的工作站内存中调入一个常驻扫毒程序，实时检测在工作站中运行的程序。如LANdesk Virus Protect采用Lpscan，而LANClear for NetWare采用world程序等。

(6)对用户开放的病毒特征接口

　　大家知道病毒及其变种层出不穷。据有关资料报道，截止1994年2月25日，全世界流传的MSDOS病毒达2700多种。如何使防病毒系统能对付不断出现的新病毒？这要求开发商能够使自己的产品具有自动升级功能，也就是真正交给网络用户防治病毒的一把金钥匙。其典型的做法是开放病毒特征数据库。用户随时将遇到的带毒文件，经过病毒特征分析程序，自动将病毒特征加入特征库，以随时增强抗毒能力。当然这一工作难度极大，需要不懈的努力。在上述四种网络防毒技术中，Station Lock是一种针对病毒行为的防治方法，StationLock目前已能提供Intel以太网络接口卡支持，而且未来还将支持各种普及型的以太令牌环(Token-Ring)网络接口卡。

　　基于服务器的防治病毒方法，表现在可以集中式扫毒，能实现实时扫描功能，软件升级方便。特别是当连网的机器很多时，利用这种方法比为每台工作站都安装防病毒产品要节省成本。其代表性的产品有LANdesk、LANClear for NetWare等。

实时反病毒技术

　　早在80年代未，就有一些单机版静态杀毒软件在国内流行。但由于新病毒层出不穷以及产品售后服务与升级等方面的

　　原因，用户感觉到这些杀毒软件无力全面应付病毒的大举进攻。面对这种局面，当时国内就有人提出：为防治计算机病毒，

　　可将重要的DOS引导文件和重要系统文件类似于网络无盘工作站那样固化到PC机的BIOS中，以避免病毒对这些文件的感染。

　　这可算是实时化反病毒概念的雏形。

　　虽然固化操作系统的设想对防病毒来说并不可行，但没过多久各种防病毒卡就在全国各地纷纷登场了。这些防病毒卡

　　插在系统主板上，实时监控系统的运行，对类似病毒的行为及时提出警告。这些产品一经推出，其实时性和对未知病毒的

　　预报功能便大受被病毒弄得焦头烂额的用户的欢迎，一时间，实时防病毒概念在国内大为风行。据业内人士估计，当时全

　　国各种防病毒卡多达百余种，远远超过了防病毒软件产品的数量。不少厂家出于各方面的考虑，还将防病毒卡的实时反病

　　毒模式转化为DOSTSR的形式，并以应用软件的方式加以实现，同样也取得了较不错的效果。

　　为什么防病毒卡或DOSTSR实时防病毒软件能够风行一时？从表面上来看，是因为当时静态杀毒技术发展还不够快，而

　　且售后服务与升级一时半会也都跟不上用户的需要，从而为防病毒卡提供了一个发展的契机。但究其最根本的原因，还是

　　因为以防病毒卡为代表的产品技术，较好地体现了实时化反病毒的思想。

　　如果单纯从应用角度考虑，用户对病毒存在情况是一无所知的。用户判断是否被病毒感染，唯一可行的办法就是用反

　　病毒产品对系统或数据进行检查，而用户又不能做到每时每刻都主动使用这种办法进行反病毒检查。用户渴望的是不需要

　　他们干预就能够自动完成反病毒过程的技术，而实时反病毒思想正好满足了用户的这种需求。这就是防病毒卡或DOSTSR防

　　病毒软件当时能够大受用户欢迎的根本原因。

实时反病毒技术一向为反病毒界所看好，被认为是比较彻底的反病毒解决方案。多年来其发展之所以受到制约，一方面是因为它需要占用一部分系统资源而降低系统性能，使用户感到不堪忍受；另一方面是因为它与其他软件（特别是操作系统）的兼容性问题始终没有得到很好的解决。

　　2008-2009年来，随着硬件处理速度的不断提高，实时化反病毒技术所造成的系统负荷已经降低到了可被大家忽略的程度，而Windows95/98和NT等多任务、多线程操作系统，又为实时反病毒技术提供了良好的运行环境。所以从1998年底开始，实时反病毒技术又重整旗鼓，卷土重来。表面看来这也许是某些反病毒产品争取市场的重要举措，但通过深入分析不难看出：重提实时反病毒技术是信息技术发展的必然结果。对于同时运行多个任务的情况，传统基于DOS的反病毒技术无法在Windows环境下发挥正常的反病毒功能，因为它无法控制其他任务所使用的资源。只有在较高优先级上，对系统资源进行全面、实时的监控，才有可能解决Windows多任务环境下的反病毒问题。由于防病毒卡存在与系统不兼容、只预防不杀毒、安装不便、误报警等原因，已使其无法在市场上立足。虽然在传统DOS环境下有些反病毒产品使用了TSR实现了病毒防治的实时化，但它们却普遍存在兼容性方面的问题。大家将看到Windows 仍将它作为实模式窗口（有时又被称为DOS虚拟机）打开，这种实模式窗口所能访问到的资源是固定的，是由Windows分配的。出于安全性考虑，Windows不允许这个TSR访问不属于它的资源（特别是系统关键数据）。如果此时系统遭受病毒入侵（比如病毒企图改写硬盘主引导扇区），将会发生什么情况？一般情况下，TSR检测不到这种病毒行为，即发生了所谓“漏报”。更严重的情况可能是TSR发现了这种病毒行为，但由于系统认为所涉及的资源与该TSR所属于的实模式窗口无关而产生了操作冲突，这种情况下，TSR非但杀不了病毒，还很有可能造成系统被挂起或系统崩溃。

发展方向

　　随着计算机网络技术的发展，网络防病毒技术的发展也将日新月异，我们认为其发展方向是：

　　1。网络操作系统和应用程序集成防病毒技术

　　计算机病毒的真正危险在于威胁网络和大型信息系统的安全。在网络上防范计算机病毒涉及到病毒检测、网络技术发展及病毒对网络攻击的机理。可以预见，网络操作系统集成网络防病毒技术是必由之路，这是一项涉及多学科、多领域，具有开拓性的重要工作。2。网络防病毒技术向集成化发展

　　网络防病毒技术正由单一的预防、检测和清除病毒功能向着集三种功能于一体的方向发展。

　　3。网络开放式防病毒技术将成为技术主流

　　网络开放式防病毒技术是一种让用户自我更新的防病毒技术，它将病毒的结构用一个统一的数据结构加以描述，用户可根据对病毒的一些特征进行分析，通过特征识别随时更新自己的病毒库，从而自己就使防病毒产品升级，以达到和新病毒的对抗。计算机网络技术及防治病毒技术的迅速发展使人们完全有理由深信；会有更多更好的防病毒产品推出，这些技术会越来越成熟、越来越完善。

　　当计算机出现异常，大家首先想到的是用杀毒软件。令人担忧的是，在杀毒软件作为最主要的反病毒工具被广泛使用的今天，病毒造成的损失不是每年减少，反而每年增加。著名反病毒专家、“国家八六三计划反计算机入侵和防病毒研究中心”专家委员会委员刘旭最近提出，杀毒软件作为病毒防范的最主要工具，已经明显暴露出重大缺陷———对新病毒的防范始终滞后于病毒出现。我国反病毒领域应尽快研制主动防御型产品，以适应网络时代信息安全防护新的要求。在深刻反思国际国内反病毒实践和当前网络新病毒日益泛滥的现状后，刘旭认为，在过去病毒传播速度不快、新病毒数量和种类较少、感染多为区域性、利益危害相对较小的情况下，杀毒软件因其对厂商已捕获的病毒具有良好的识别效果、可有效清除和阻止病毒进一步传播与破坏的优点，被政府、企业和个人作为最主要的反病毒工具，为病毒防范作出了重要贡献。但是，伴随网络在全球的飞速应用，利用网络技术、以网络为载体频频暴发的间谍程序、蠕虫病毒、游戏木马、邮件病毒、QQ病毒、MSN病毒、黑客程序等网络新病毒，已经颠覆了传统的病毒概念。与传统病毒相比，网络病毒呈现传播速度空前、数量与种类剧增、全球性暴发、攻击途径多样化、以利益获取为目的、造成损失具灾难性等突出特点，使杀毒软件面临严峻挑战。

基本信息

　　CPU内嵌的防病毒技术是一种硬件防病毒技术，与操作系统相配合，可以防范大部分针对缓冲区溢出（buffer overrun）漏洞的攻击（大部分是病毒）。Intel的防病毒技术是EDB（Execute Disable Bit），AMD的防病毒技术是EVP（Ehanced Virus Protection），但不管叫什么，它们的原理都是大同小异的。严格来说，目前各个CPU厂商在CPU内部集成的防病毒技术不能称之为“硬件防毒”。首先，无论是Intel的EDB还是AMD的EVP，它们都是采用硬软结合的方式工作的，都必须搭配相关的操作系统和软件才能实现；其次，EDB和EVP都是为了防止因为内存缓冲区溢出而导致系统或应用软件崩溃的，而这内存缓冲区溢出有可能是恶意代码（病毒）所为，也有可能是应用程序设计的缺陷所致（无意识的），因此我们将其称之为“防缓冲区溢出攻击”更为恰当些。

　　在计算机内部，等待处理的数据一般都被放在内存的某个临时空间里，这个临时存放空间被称为缓冲区（Buffer），缓冲区的长度事先已经被程序或者操作系统定义好了。缓冲区溢出（buffer overrun）是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量。溢出的数据覆盖在合法数据上。理想情况是，程序检查数据长度并且不允许输入超过缓冲区长度的字符串。但是绝大多数程序都会假设数据长度总是与所分配的存储空间相匹配，这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区又被称为堆栈，在各个操作进程之间，指令被临时存储在堆栈当中，堆栈也会出现缓冲区溢出。当一个超长的数据进入到缓冲区时，超出部分就会被写入其他缓冲区，其他缓冲区存放的可能是数据、下一条指令的指针，或者是其他程序的输出内容，这些内容都被覆盖或者破坏掉。可见一小部分数据或者一套指令的溢出就可能导致一个程序或者操作系统崩溃。而更坏的结果是，如果相关数据里包含了恶意代码，那么溢出的恶意代码就会改写应用程序返回的指令，使其指向包含恶意代码的地址，使其被CPU编译而执行，而这可能发生“内存缓冲区溢出攻击”，名噪一时的“冲击波”、“震荡波”等蠕虫病毒就是采用这种手段来攻击电脑的。

　　缓冲区溢出是由编程错误引起的。如果缓冲区被写满，而程序没有去检查缓冲区边界，也没有停止接收数据，这时缓冲区溢出就会发生。缓冲区边界检查被认为是不会有收益的管理支出，计算机资源不够或者内存不足是编程者不编写缓冲区边界检查语句的理由，然而技术的飞速发展已经使这一理由失去了存在的基础，但是多数用户日常主要应用的程序中大多数其实仍然是十年甚至二十年前的程序代码，并没有检查缓冲区边界的功能。

　　缓冲区溢出是病毒编写者和特洛伊木马编写者偏爱使用的一种攻击方法。攻击者或者病毒善于在系统当中发现容易产生缓冲区溢出之处，运行特别程序，获得优先级，指示计算机破坏文件，改变数据，泄露敏感信息，产生后门访问点，感染或者攻击其他计算机。

　　对于缓冲区溢出攻击，防毒杀毒软件虽然也可以处理，但也只能是亡羊补牢，而操作系统和应用软件的漏洞又是难以预测的，随时可能被利用，引来缓冲区溢出攻击。在这种情况下，预防缓冲区溢出攻击应该从硬件层次着手，开始成为许多IT厂商的共识，于是大家俗称的CPU硬件防病毒功能应运而生了。

　　缓冲区溢出攻击最基本的实现途径是向正常情况下不包含可执行代码的内存区域插入可执行的代码，并欺骗CPU执行这些代码。而如果我们在这些内存页面的数据区域设置某些标志（No eXecute或eXcute Disable），当CPU读取数据时检测到该内存页面有这些标志时就拒绝执行该区域的可执行指令，从而可防止恶意代码被执行，这就是CPU的防缓冲区溢出攻击实现的原理。

　　而对于开启了EDB或EVP功能的计算机来说，一般也就可实现数据和代码的分离，而在内存某个页面将被设置为只做数据页，而任何企图在其中执行代码的行为都将被CPU所拒绝。当然，开启EDB、EVP功能的CPU是无法独立完成标注不可执行代码内存页面以及进行相关检测防治工作的，它还需要相关操作系统和应用程序的配合。

　　Windows XP SP2、Windows Server 2003 SP1及64bit的Windows操作系统都提供了对EDB、EVP技术的支持。如果你使用的操作系统是Windows XP SP2，那么启用其中的DEP（Data Execution Protection，数据执行保护）功能即可为你的电脑提供比较全面的防缓冲区溢出攻击功能。DEP是可以独立运行的，并也可帮助防御某些类型的恶意代码攻击，但要充分利用DEP可以提供的保护功能，就需要CPU的配合了。DEP可单独或和兼容的CPU一起将内存的某些页面位置标注为不可执行，如果某个程序尝试从被保护的位置运行代码，将会被CPU拒绝同时DEP会关闭程序并通知用户，从而在一定程度上保障用户电脑的安全。

　　CPU内嵌的防病毒技术以及操作系统的防病毒技术因此在目前来说可能还存在着一些兼容性的问题，例如因应用程序设计的缺陷或驱动程序而导致的误报（特别是一些比较老的驱动程序）；另外，对于有些程序来说，是采用实时生成代码方式来执行动态代码的，而生成的代码就有可能位于标记为不可执行的内存区域，这就有可能导致DEP将其检测为非法应用程序而将其关闭。而这些都还有赖于硬件和软件厂商的相互配合解决，当然，这些都是需要的时间。因此，DEP、EDB、EVP等技术都还在向前发展。

防范方法

1.防范蠕虫病毒：

　　网络蠕虫是一种智能化、自动化，综合网络攻击、密码学和计算机病毒技术，无须计算机使用者干预即可运行的攻击程序或代码，它会扫描和攻击网络上存在系统漏洞的节点主机，过局域网或者国际互联网从一个节点传播到另外一个节点”。

　　以下将从企业防范蠕虫病毒和个人用户防范两方面来介绍：

（1）企业防范蠕虫病毒措施：

　　当前，企业网络主要应用于文件和打印服务共享、办公自动化系统、企业业务（MIS）系统、Internet应用等领域。网络具有便利信息交换特性，蠕虫病毒也可以充分利用网络快速传播达到其阻塞网络目的。企业在充分地利用网络进行业务处理时，就不得不考虑企业的病毒防范问题，以保证关系企业命运的业务数据完整不被破坏。

　　企业防治蠕虫病毒的时候需要考虑几个问题：病毒的查杀能力，病毒的监控能力，新病毒的反应能力。而企业防毒的一个重要方面是是管理和策略。推荐的企业防范蠕虫病毒的策略如下：

　　1．加强网络管理员安全管理水平，提高安全意识。由于蠕虫病毒利用的是系统漏洞进行攻击，所以需要在第一时间内保持系统和应用软件的安全性,保持各种操作系统和应用软件的更新！由于各种漏洞的出现，使得安全不在是一种一劳永逸的事，而作为企业用户而言，所经受攻击的危险也是越来越大，要求企业的管理水平和安全意识也越来越高。

　　2．建立病毒检测系统。能够在第一时间内检测到网络异常和病毒攻击。

　　3．建立应急响应系统，将风险减少到最小！由于蠕虫病毒爆发的突然性，可能在病毒发现的时候已经蔓延到了整个网络，所以在突发情况下，建立一个紧急响应系统是很有必要的，在病毒爆发的第一时间即能提供解决方案。

　　4．立灾难备份系统。对于数据库和数据系统，必须采用定期备份，多机备份措施，防止意外灾难下的数据丢失

　　5．对于局域网而言，可以采用以下一些主要手段：

　　（1）在因特网接入口处安装防火墙式防杀计算机病毒产品，将病毒隔离在局域网之外。

　　（2）对邮件服务器进行监控，防止带毒邮件进行传播！

　　（3）对局域网用户进行安全培训。

　　（4）建立局域网内部的升级系统，包括各种操作系统的补丁升级，各种常用的应用软件升级，各种杀毒软件病毒库的升级等等。

（2）对个人用户产生直接威胁的蠕虫病毒：

　　在以上分析的蠕虫病毒中，只对安装了特定的微软组件的系统进行攻击，而对广大个人用户而言，是不会安装iis(微软的因特网服务器程序，可以使允许在网上提供web服务)或者是庞大的数据库系统的！因此上述病毒并不会直接攻击个个人用户的电脑(当然能够间接的通过网络产生影响)，但接下来分析的蠕虫病毒，则是对个人用户威胁最大，同时也是最难以根除，造成的损失也更大的一类蠕虫病毒。

2.防范木马程序和恶意代码:

（1）木马程序的防范：

　　木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：

　　在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目，如果有，删除即可。将注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。

（2）恶意代码的防范：

　　用户在上网是最有可能接触到恶意代码，因此，恶意代码成了宽带的最大威胁之一。以前使用Modem，因为打开网页的速度慢，在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快，所以很容易就被恶意代码攻击。一般恶意代码都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序，只要打开该网页就会被运行。所以要避免恶意代码的攻击只要禁止这些恶意代码的运行就可以了。运行IE浏览器，点击“工具/Internet选项/安全/自定义级别”，将安全级别定义为“安全级-高”，对“ActiveX控件和插件”中第2、3项设置为“禁用”，其它项设置为“提示”，之后点击“确定”。这样设置后，当你使用IE浏览网页时，就能有效避免恶意网页中恶意代码的攻击。

3.邮件病毒的防范：

　　防范邮件病毒的措施有以下几条：1.在收到信的时候，不管是不是认识的还是不认识的，附件一定先不要打开，虽然有些E-mail在上传附件的时候都进行了杀毒，不怕一万就怕万一。除非，你和他正在研究邮件病毒，或者在制造邮件病毒。

　　2.看见带有附件的邮件，可以把附件下下来，然后用杀毒软件杀毒，如果还是怕中毒，你可以这样做。

　　1）打开我的电脑，在工具栏中找到工具选择文件夹选项，在弹出的对话框中选择查看这个选项，把“隐藏已知文件类型的扩展”前面的勾去掉。

　　2）在邮件的附件上右击选择另存为，在要你重命名的时候在文件名的后面打上"　.txt“ 然后再杀毒。

　　3）如果还是不放心，你可以选择删除。

　　3.记住自己常用的一些注册网站的管理员邮箱，或者记住他们的邮箱后缀。在看见这些邮件的时候一点要仔细核对这些信息，使用社会工程学的人一定会伪造一个极像的或者一字之差的邮箱与你沟通。例如，前一段时间有一个病毒文件的计算机进程，如下： rundll32.exe（真实的）rund1l32.exe（病毒）rund1132.exe（病毒）,你不认真看，一下还真有点看不出来。这样的邮件不管三七二十一，统统不要。

　　4. 为了能安全上网，安全的发邮件，有时候在QQ，MSN，SKY里面别人给你的莫名的网站一定不要打开，除非你特别信任他，或者你已经知道了结果是什么。

4、网页病毒的防范措施：

　　1.利用Windows Update功能打全系统补丁，避免病毒从网页方式入侵到系统中。

　　2.将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。

　　3.当有未知插件提示是否安装时，请首先确定其来源。

　　（二）服务器病毒及网上交易的防范：

1.防护WEB服务器:

　　WEB服务器自身脆弱性：Web服务器软件自身存在安全问题，如Web服务器软件缺省安装提供了过多的不必要功能，密码过于简单遭到破解，当服务器管理员使用了不安全协议的软件（如telnet）进行管理时，被监听而导致信息外泄。 Web应用程序安全性差：主要是指CGI程序和ASP、PHP脚本等等程序的安全性。这些程序大大扩展了Web服务器的功能，但它们往往只重功能而忽视了安全性。

　　保护WEB服务的方法:

　　1.用防火墙保护网站，可以有效地对数据包进行过滤，是网站的第一道防线；

　　2.用入侵监测系统监测网络数据包，可以捕捉危险或有恶意的访问动作，并能按指定的规则，以记录、阻断、发警报等等多种方式进行响应，既可以实时阻止入侵行为，又能够记录入侵行为以追查攻击者；

　　3.正确配置Web服务器，跟踪并安装服务器软件的最新补丁；

　　4.服务器软件只保留必要的功能，关闭不必要的诸如FTP、SMTP等公共服务，修改系统安装时设置的默认口令，使用足够安全的口令；

　　5.远程管理服务器使用安全的方法如SSH，避免运行使用明文传输口令的telnet、ftp等程序；

　　6.谨慎使用CGI程序和ASP、PHP脚本程序7、使用网络安全检测产品对安全情况进行检测，发现并弥补安全隐患。

　　3.防护FTP服务器

　　（1）禁止匿名登录；

　　（2）设置访问日志；

　　（3）通过访问日志可以准确得到哪些IP地址和用户访问的准确纪录；

　　（4）强化访问控制列表；

　　（5）采用NTFS访问许可，运用ACL[访问控制列表]控制对您的FTP目录的的访问；

　　（6）设置站点为不可视；

　　（7）使用磁盘配额；

　　（8）基于IP策略的访问控制；

　　（9）使用安全密码策略；

　　（10限制登录次数。

　　4.防护邮件服务器：

　　被攻击的方法有三种：第一种是升级高版本的服务器软件，利用软件自身的安全功能限制垃圾邮件的大量转发或订阅反垃圾邮件服务；第二种就是采用第三方软件利用诸如动态中继验证控制功能来实现，从而确保接受邮件的正确性；第三种是配置病毒网关、病毒过滤等功能。

　　5.拒绝服务：

　　对某些域名服务器的大规模拒绝服务攻击会造成互联网速度普遍下降或停止运行；域劫持：通过利用客户升级自己的域注册信息所使用的不安全机制，攻击者可以接管域注册过程来控制合法的域；泄漏网络拓朴结构的。保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施。

　　6.利用移动设备进行传播的病毒的预防措施：

　　1）.在使用移动介质（如：U盘、移动硬盘等）之前，建议先进行病毒查杀。

　　2）.禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。

　　禁用Windows 系统的自动播放功能的方法：在运行中输入 gpedit.msc 后回车，打开组策略编辑器，依次点击：计算机配置－>管理模板－>系统－>关闭自动播放－>已启用－>所有驱动器－>确定

　　3）.尽量不要使用双击打开U盘，而是选择右键-->打开。

　　7.网络交易防范措施：网上银行、在线交易的预防措施：

　　（1）在登录电子银行实施网上查询交易时，尽量选择安全性相对较高的USB证书认证方式。不要在公共场所，如网吧，登录网上银行等一些金融机构的网站，防止重要信息被盗。

　　（1）网上购物时也要选择注册时间相对较长、信用度较高的店铺。^[2]

5、系统防毒措施

　　在“Melissa”病毒出现之前，人们并未意识到为电子邮件系统提供专门的防病毒保护的重要性。如今，电子邮件系统已从简单的信息发布发展到可提供协作存储器、基于Web的用户界面以及无线设备接入等方面。因此，要从系统角度设计一套全面的防毒计划。

　　● 制定系统的防病毒策略。为了正确选择、配置和维护病毒防护解决方案，您的系统必须明确地规定保护的级别和所需采取的对策。

　　● 部署多层防御战略。伴随着网络的发展，病毒可从多种渠道进入系统，因此在尽可能多的点采取病毒防护措施是至关重要的。其中包括网关防病毒、服务器及群件防病毒、个人桌面计算机防病毒以及所有防病毒产品的统一管理等。

　　● 定期更新防病毒定义文件和引擎。在大多数系统了解到使其病毒定义文件保持最新版本的重要性的同时，并不是人人都了解确保检测引擎为最新版本同等重要。一般情况下，更新是自动进行的，但更重要的是应定期检查日志文件以确保正确地执行了更新。

　　基于服务器的电子邮件病毒防护是提供系统内部保护的最有效方式，但是根据系统安全保护策略的细节不同，它不能对所有类型的信息（如加密信息）都提供防护。因此还应定期更新桌面计算机中的防病毒软件。

　　● 定期备份文件。一旦病毒破坏了您的数据，您可以利用您的存储档案恢复相关文件。建议您制订一个标准程序来定期检查从备份中恢复的数据。

　　● 预订可发布新病毒威胁警告的电子邮件警报服务。有许多不同的机构提供这种服务，但是最关键的应该是您的防病毒服务供应商。其原因在于每个防病毒软件供应商的能力不同，对新病毒的估定也不同，而且采取的措施也有差异。例如，一位供应商已经在过去的更新版本中提供了类属病毒检测，从而对某种新病毒提供了防护，因此对于他们的客户而言，这一特殊病毒将被估定成低风险的。但是其他未能提供当前保护的供应商却会将同类病毒估定为“高”风险的。

　　● 为全体职员提供全面的防病毒培训。如果全体职员都了解容易遭受电子邮件病毒攻击的风险、防护措施以及遇到可疑病毒时应该采取的建议性措施等，就可以最大程度地降低系统内大多数病毒的发作。

6、终端用户防毒措施

　　随着电子邮件与办公套件应用的日益密切集成，单从电子邮件客户应用的角度来检验防病毒措施的缺陷是不够的。相反，还必须充分保护用户所使用的整个PC。

　　禁用预览窗口功能。某些电子邮件程序，如 Microsoft Outlook 和 Microsoft Outlook Express，都有一个允许用户不打开信息，而是在一个单独窗口查看此信息的功能，但是因为预览窗口具有处理嵌套脚本的能力，某些病毒只需预览就能够执行。

　　如果将 Microsoft Word 当作电子邮件编辑器使用，就需要将 NORMAL.DOT 在操作系统级设置成只读文件。同时将 Microsoft Word 的设置更改为“Prompt to Save Normal Template（保存常规模板）”。许多病毒通过更改 NORMAL.DOT 文件进行自我传播，采取上述措施至少可产生一定的阻止作用。

　　使用.rtf和.csv来代替.doc和.xls。要想应付宏所产生的问题，可以使用.rtf 格式的字处理文档来代替.doc格式文档，并用.csv格式的电子表格来代替.xls格式电子表格，因为这些格式不支持宏的应用。

　　删除Windows Scripting Host。如果系统不使用 Windows Script Hosting (WSH)，应该考虑删除或禁用它。在 Windows 9x 中的操作方法是，先进入“控制面板”，选中“添加/删除程序”，点击“Windows安装程序”选项卡，然后双击“附件”。向下滚动到“Windows Script Host”之处，删除此项，最后选择“确定”。操作完毕可能需要重新启动系统。

　　使用收件箱规则来处理可疑的电子邮件。如果系统不采用基于服务器的电子邮件内容过滤方式，可以使用电子邮件收件箱规则来自动删除可疑信息或将其移到专门的文件夹中。不要打开来源不明、可疑或不安全的电子邮件上的任何附件。一定要确保所有电子邮件附件的来源是合法规范的。

　　不轻易下传病毒警告。由于病毒本身和恶作剧式的非法警告数量庞大，下传这类病毒警告将会无谓地浪费时间和空间。在将警告传给其他人之前，应先查看防病毒产品供应商的网站，以确定系统是否已得到保护或者这只是个恶作剧。

　　加上写保护。此项措施适用于在其他计算机上使用可移动介质。假如要使用可移动介质在计算机之间（如从工作单位到家中）传递电子邮件，那么在可疑系统中使用此类介质之前应将其加上写保护，以防止它受到病毒感染。

7、服务器防毒措施

　　有些人以为只要他们保护了自己的电子邮件网关和内部的桌面计算机，就无需基于电子邮件服务器的防病毒解决方案了。这在几年前或许是对的，但是目前随着基于 Web 的电子邮件访问、公共文件夹以及访问存储器的映射网络驱动器等方式的出现，病毒可以通过多种方式进入电子邮件服务器。这时，就只有基于电子邮件服务器的解决方案才能够检测和删除受感染项。拦截受感染的附件。许多利用电子邮件传输方式的病毒传播者（又称“海量寄件者”）经常利用可在大多数计算机中找到的可执行文件，如EXE、VBS和SHS散布病毒。实际上，大多数电子邮件用户并不需要接收带这类文件扩展的附件，因此当它们进入电子邮件服务器或网关时可以将其拦截下来。

　　安排全面随机扫描。即使能够保证使用所有最新的手段防范病毒，新型病毒也总是防不胜防。它们有可能乘人们还没来得及正确识别，防病毒产品厂商也尚未相应地制定出新的定义文件之前，进入系统。通过使用最新定义文件，对所有数据进行全面、随机地扫描，确保档案中没有任何受感染文件蒙混过关，就显得尤为重要。

　　试探性扫描。利用试探性扫描，可以寻找已知病毒的特征，以识别是已知病毒变异的新病毒，提供较高级别的保护，但缺点是它需要更多的处理时间来扫描各项病毒，而且偶尔还会产生错误的识别结果。不管怎样，只要服务器配置正确，根据性能的需要，利用试探性扫描提供额外保护，还是值得一试的。

　　用防病毒产品中的病毒发作应对功能。海量邮寄带来的病毒可以迅速传遍一个系统。对于管理员而言，没有防病毒厂商所提供的适当的检测驱动程序，要根除这些病毒是极其费力的。幸运的是，某些病毒防护产品提供了系统设置功能，一旦出现特定病毒发作的特征，这些产品就会自动发出通知或采取修正措施。

　　重要数据定期存档。并非所有病毒都立即显示出自己的特征；根据感染位置以及系统的设置情况，有些病毒可能要潜伏一段时间才能被发现。最好是至少每月进行一次数据存档，这样，如前所述，在防病毒解决方案的自动删除功能不起作用时，就可以利用存档文件，成功地恢复受感染项。

主要内容

　　1、病毒查杀能力

　　病毒查杀能力是衡量网络版杀毒软件性能的重要因素。用户在选择软件的时候不仅要考虑可查杀病毒的种类数量，更应该注重其对流行病毒的查杀能力。很多厂商都以拥有大病毒库而自豪，但其实很多恶意攻击是针对政府、金融机构、门户网站的，而并不对普通用户的计算机构成危害。过于庞大的病毒库，一方面会降低杀毒软件的工作效率，同是也会增大误报、误杀的可能性。

　　2、对新病毒的反应能力

　　对新病毒的反应能力也是考察防病毒软件查杀病毒能力的一个重要方面。通常，防病毒软件供应商都会在全国甚至全世界建立一个病毒信息收集、分析和预测的网络，使其软件能更加及时、有效地查杀新出现的病毒。这一搜集网络体现了软件商对新病毒的反应能力。

　　3、病毒实时监测能力

　　对网络驱动器的实时监控是网络版杀毒软件的一个重要功能。很多企业中，特别是网吧、学校、机关中有一些老式机器因为资源、系统等问题不能安装杀毒软件时，就需要用该功能进行实时监控。同时，实时监控还应识别尽可能多的邮件格式，具备对网页的监控和从端口进行拦截病毒邮件的功能。

　　4、快速、方便的升级能力

　　和个人版杀毒软件一样，只有不断更新病毒数据库，才能保证网络版防病毒软件对新病毒的查杀能力。升级的方式应该多样化，防病毒软件厂商必须提供多种升级方式，特别是对于公安、医院、金融等不能连接到公共互联网络的用户，必须要求厂商提供除Internet以外的本地服务器、本机等升级方式。自动升级的设置也应该多样。

　　5、智能安装、远程识别

　　对于中小企业用户，由于网络结构相对简单，网络管理员可以手工安装相应软件，只需要明确各种设备的防护需求即可。但对于计算机网络应用复杂的用户(跨国机构、国内连锁机构、大型企业等)选择软件时，应该考虑到各种情况，要求能提供多种安装方式，如域用户的安装、普通非域用户的安装、未连网用户的安装和移动客户的安装等。

　　6、管理方便，易于操作

　　系统的可管理性是系统管理员尤其需要注意的问题，对于那些多数员工对计算机知识不是很了解的单位，应该限制客户端对软件参数的修改权限；对于软件开发、系统集成等科技企业，根据员工对网络安全知识的了解情况以及工作需要，可适当开放部分参数设置的权限，但必须做到可集中控管。对于网络管理技术薄弱的企业，可以考虑采用远程管理的措施，把企业用户的防病毒管理交给专业防病毒厂商的控制中心专门管理，从而降低用户企业的管理难度。

　　7、对资源的占用情况

　　防病毒程序进行实时监控都或多或少地要占用部分系统资源，这就不可避免地要带来系统性能的降低。如一些单位上网速度太慢，有一部分原因是防病毒程序对文件过滤带来的影响。企业应该根据自身网络的特点，灵活配置网络版防病毒软件的相关设置。

　　8、系统兼容性与可融合性

　　系统兼容性是选购防病毒软件时需要考虑的事。防病毒软件的一部分常驻程序如果跟其它软件不兼容将会带来很多问题，比如说引起某些第三方控件的无法使用，影响系统的运行。在选购安装时，应该经过严密的测试，以免影响正常系统的运行。对于机器操作系统千差万别的企业，还应该要求网络版防病毒能适应不同的操作系统平台。

内网防病毒技术

　　内网安全未来的趋势是SCM（SecurityComplianceManagement，安全合规性管理）。从被动响应到主动合规、从日志协议到业务行为审计、从单一系统到异构平台、从各自为政到整体运维是SCM的四大特点，精细化的内网管理可以使现有的内网安全达到真正的“可信”。

　　目前，内网安全的需求有两大趋势：一是终端的合规性管理，即终端安全策略、文件策略和系统补丁的统一管理；二是内网的业务行为审计，即从传统的安全审计或网络审计，向对业务行为审计的发展，这两个方面都非常重要。

　　（1）从被动响应到主动合规。通过规范终端行为，避免未知行为造成的损害，使IT管理部门将精力放在策略的制定和维护上，避免被动响应造成人力、物力的浪费和服务质量的下降。

　　（2）从日志协议审计到业务行为审计。传统的审计概念主要用于事后分析，而没有办法对业务行为的内容进行控制，SCM审计要求在合规行为下实现对业务内容的控制，实现对业务行为的认证、控制和审计。

　　（3）对于内网来说，尽管Windows一统天下,但是随着业务的发展，Unix、Linux等平台也越来越多地出现在企业的信息化解决方案中，这就要求内网安全管理实现从单一系统到异构平台的过渡，从而避免了由异构平台的不可管理引起的安全盲点的出现。 ^[3]

常见的防病毒厂商及产品介绍

瑞星：

　　是国产杀软的龙头老大，其监控能力是十分强大的，但同时占用系统资源较大。瑞星采用第八代杀毒引擎，能够快速、彻底查杀大小各种病毒，这个绝对是全国顶尖的。但是瑞星的网络监控不行，最好再加上瑞星防火墙弥补缺陷。另外，瑞星2009的网页监控更是疏而不漏，这是云安全的结果。

金山毒霸：

　　金山毒霸是金山公司推出的电脑安全产品，监控、杀毒全面、可靠，占用系统资源较少。其软件的组合版功能强大（毒霸主程序、金山清理专家、金山网镖），集杀毒、监控、防木马、防漏洞为一体，是一款具有市场竞争力的杀毒软件。

江民：

　　是一款老牌的杀毒软件了。它具有良好的监控系统，独特的主动防御使不少病毒望而却步。建议与江民防火墙配套使用。本人在多次病毒测试中，发现江民的监控效果非常出色，可以与国外杀软媲美。占用资源不是很大。是一款不错的杀毒软件。另外江民2009与360安全卫士有冲突，建议选择其一安装。

卡巴斯基

　　卡巴斯基是俄罗斯民用最多的杀毒软件

　　卡巴斯基有很高的警觉性，它会提示所有具有危险行为的进程或者程序，因此很多正常程序会被提醒确认操作。其实只要使用一段时间把正常程序添加到卡巴斯基的信任区域就可以了。

　　在杀毒软件的历史上，有这样一个世界纪录：让一个杀毒软件的扫描引擎在不使用病毒特征库的情况下，扫描一个包含当时已有的所有病毒的样本库。结果是，仅仅靠“启发式扫描”技术，该引擎创造了95%检出率的纪录。这个纪录，是由AVP创造的。

　　卡巴斯基总部设在俄罗斯首都莫斯科，Kaspersky Labs是国际著名的信息安全领导厂商。公司为个人用户、企业网络提供反病毒、防黒客和反垃圾邮件产品。经过十四年与计算机病毒的战斗，被众多计算机专业媒体及反病毒专业评测机构誉为病毒防护的最佳产品。

诺顿

　　诺顿是Symantec公司个人信息安全产品之一，亦是一个广泛被应用的反病毒程序。到2009年，该项产品的发展，除了原有的防毒外，还有防间谍等网络安全风险的功能。诺顿反病毒产品包括：诺顿网络安全特警（Norton Internet Security）诺顿反病毒（Norton Antivirus）诺顿360（Norton ALL-IN-ONE Security）诺顿计算机大师（Norton SystemWorks）等产品。赛门铁克另外还有一种专供企业使用的版本被称做Symantec Endpoint Protection 。

NOD32

　　NOD32是ESET公司的产品，为了保证重要信息的安全，在平静中呈现极佳的性能。不需要那些庞大的互联网安全套装，ESET NOD32就可针对肆虐的病毒威胁为人们提供快速而全面的保护。它极易使用，人们所要做的只是：设置它，并忘记它！

安全卫士360：

　　360安全卫士是一款由奇虎公司推出的完全免费(奇虎官方声明：“永久免费”)的安全类上网辅助工具软件，拥有木马查杀、恶意软件清理、漏洞补丁修复、电脑全面体检、垃圾和痕迹清理、系统优化等多种功能。

　　360安全卫士软件硬盘占用很小，运行时对系统资源的占用也相对效低，是一款值得普通用户使用的较好的安全防护软件。

微点主动防御软件：

　　是北京东方微点信息技术有限责任公司自主研发的具有完全自主知识产权的新一代反病毒产品，在国际上首次实现了主动防御技术体系，并依此确立了反病毒技术新标准。微点主动防御软件最显著的特点是，除具有特征值扫描技术查杀已知病毒的功能外，更实现了用软件技术模拟反病毒专家智能分析判定病毒的机制，自主发现并自动清除未知病毒。

费尔托斯特安全:

　　(Twister Anti-TrojanVirus) 是一款同时拥有反木马、反病毒、反Rootkit功能的强大防毒软件。拥有海量的病毒特征库，支持Windows安全中心，支持右键扫描，支持对ZIP、RAR等主流压缩格式的全面多层级扫描。能对硬盘、软盘、光盘、移动硬盘、网络驱动器、网站浏览Cache、E-mail附件中的每一个文件活动进行实时监控，并且资源占用率极低。先进的动态防御系统(FDDS)会动态跟踪电脑中的每一个活动程序，智能侦测出其中的未知木马病毒，并拥有极高的识别率。解疑式在线扫描系统可以对检测出的可疑程序进行在线诊断扫描。 SmartScan快速扫描技术使其具有非凡的扫描速度。国际一流的网页病毒分析技术，拥有最出色的恶意网站识别能力。能够识别出多种经过加壳处理的文件，有效防范加壳木马病毒。它的“系统快速修工具”可以对IE、Windows、注册表等常见故障进行一键修复。 “木马强力清除助手”可以轻松清除那些用普通防毒软件难以清除掉的顽固性木马病毒，并可抑制其再次生成。注册表实时监控能够高效阻止和修复木马病毒对注册表的恶意破坏。支持病毒库在线增量升级和自动升级，不断提升对新木马新病毒的反应能力。费尔托斯特安全提供的一系列安全保护措施可以让电脑变得更加稳固，是最值得信赖的安全专家。

avast

　　来自捷克斯洛伐克的avast!，已有数十年的历史，它在国外市场一直处于领先地位。avast!的实时监控功能十分强大，免费版的avast!antivirus home edition它拥有七大防护模块：网络防护、标准防护、网页防护、即时消息防护、互联网邮件防护、P2P防护、网络防护。免费版的需要每年注册一次,注册是免费的！收费的avast!antivirus professional还有脚本拦截、PUSH 更新、命令行扫描器、增大用户界面等4项家庭版没有的功能。

　　avast!是捷克一家软件公司(ALWIL Software)的产品。ALWIL软件公司的研发机构在捷克的首都－布拉格，他们和世界上许多国家的安全软件机构都有良好的合作关系。早在80年代末ALWIL公司的安全软件已经获得良好的市场占有率，但当时仅限于捷克地区。

McAfee

　　McAfee是全球最畅销的杀毒软件之一，McAfee防毒软件, 除了操作介面更新外,也把该公司的WebScanX功能合在一起,增加了许多新功能，除了帮助侦测和清除病毒，它还有VShield自动监视系统，会常驻在System Tray，当从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性，若文件内含病毒，便会立即警告，并作适当的处理，而且支持鼠标右键的快速选单功能，并可使用密码把个人的设定锁住让别人无法乱改设定。

　　McAfee 公司是世界上第八大独立软件公司，简称M字头，是全球最大的致力于提供网络信息安全和管理的专业厂商，也是全球最有影响力的十大网络软件公司之一。　McAfee公司( NYSE: MFE ) 总部位于加利福尼亚的圣克拉拉市，1998年收购欧洲第一大反病毒厂商Dr. Solomon，利用最新的加速处理和智能识别技术全面更新了其防病毒产品引擎。