单机计算机就是没有联网的计算机,例如家庭计算机或膝上型计算机。但是,单机计算机可能会通过调制解调器联接到 Internet 上。在 Symantec AntiVirus 文档中,“单机”一词会突出显示。单机没有连接 Symantec AntiVirus 服务器,因此他们不从服务器接收病毒定义文件和程序文件的更新,并且不由 Symantec 系统中心管理程序管理。
在单机计算机上使用 Symantec AntiVirus
Symantec AntiVirus 为单机计算机提供了完整的病毒防护功能。但是,与网络版不同的是,单机版 Symantec AntiVirus 不从服务器接收自动病毒定义文件和程序的更新。
所以,应该定期更新您的病毒定义文件。不断更新的病毒定义文件确保 Symantec AntiVirus 每次对您的计算机执行扫描时都可以发现最新的病毒。如果病毒定义文件已经过时,就不会检测到较新的病毒。
如果您在单机计算机上安装了 Symantec AntiVirus,那么您将自己负责更新病毒定义文件。每月都可以从 Symantec 得到若干次新的病毒定义文件。当病毒定义文件需要替换时,Symantec AntiVirus 将向您发出警报。
更新病毒定义文件是很容易的。使用 Symantec AntiVirus 的 LiveUpdate 功能,您只需单击一个按钮就可以用新的病毒定义文件替换旧的文件。Symantec AntiVirus 从 Symantec 站点上取回新的病毒定义文件,然后替换掉 Symantec AntiVirus 目录中旧的病毒定义文件。您需要一个调制解调器或 Internet
连接。
病毒定义文件
病毒文件包含一些这样的代码,如果将它们分解出来,可以显示出特定的模型(也叫特征)。在受感染的文件中可以跟踪到这些病毒模型。
Symantec AntiVirus 病毒定义文件包含已知病毒模型或特征的列表,但没有有害的病毒代码。
Symantec AntiVirus 扫描程序在计算机的文件中搜索病毒定义文件中已知的病毒模型。如果找到相匹配的病毒模型,则表示文件已感染了病毒。Symantec AntiVirus 还使用病毒定义文件确定感染了哪一种病毒。
因为几乎每天都可能有新的病毒引进到计算机中,所以病毒定义文件必须经常更新才能确保 Symantec AntiVirus 可以检测并清除最新的病毒。
什么是计算机病毒?
计算机病毒就是一种附加到计算机内部重要区域(例如可执行文件以及硬盘和软盘的引导区)的恶意代码。病毒通过将其自身复制到其他宿主文件或磁盘上,可以达到破坏数据的目的。当宿主文件运行并释放恶意代码时,就传播了病毒。当计算机从受感染磁盘中引导时,病毒可以迅速地传播到内存中。
一旦病毒驻留在内存中,它就可能感染其他可执行文件或磁盘引导扇区。一般情况下,病毒保持一种静止状态,直到出现某个触发事件,例如,某个系统日期。除复制之外,计算机病毒经常还会执行某些其他活动,通常是一些破坏活动或显示一条消息。
病毒是由了解如何使用和处理代码的人员编写的。但是,只要 Symantec AntiVirus 在计算机上检测到病毒感染情况,您就可以采取不同的应对措施。
Symantec AntiVirus 病毒防护的工作原理
病毒感染是可以很容易地避免的。如果能够很快地从计算机中检测到并删除病毒,那么病毒就不会传播到其他文件中,也不会引起破坏。Symantec AntiVirus 使用了多种方法可以方便地检测文件、引导区和宏病毒:
基于特征的扫描:Symantec AntiVirus 检测病毒的扫描过程是依赖于病毒特征或者说是根据病毒模型进行的。Symantec AntiVirus 搜索受感染文件中驻留的病毒特征。这个搜索过程即称为扫描。如果检测到病毒特征,Symantec AntiVirus 向您发出已有文件受感染的通知。根据您的 Symantec AntiVirus 配置,对受感染文件进行清除、删除、隔离等操作,或是不进行操作。默认情况下,Symantec AntiVirus 尝试清除受感染文件中的病毒。
实时防护:当文件打开或执行时,以及对文件进行修改(例如,重命名、保存或将文件复制到目录中以及从其他目录中复制文件)时,通过查找病毒模型不断地监视计算机的活动。
文件校验和(仅对 NetWare 和 Windows NT 4.0/5.0 上的 NTFS 分区表可用):Symantec AntiVirus 使用完整的专用文件校验和运算法则,用来对文件计算校验和值。该值会存储下来,并与以后的校验和进行比较。由于病毒会更改可执行文件的代码,所以校验和就会与原始的校验和不一致,这就说明可能发生了病毒感染。如果校验和值不匹配,Symantec AntiVirus 将记录曾经发生的事件并向您发出文件可能染毒的通知。
扫描
扫描就是寻找计算机的内存、引导扇区、分区表和目录中的病毒或类病毒行为的过程。Symantec AntiVirus 使用基于模型的匹配过程来查找受感染区域的病毒模型或特征。Symantec AntiVirus 的扫描程序使用病毒定义文件在计算机的文件中查找已知的病毒模型。经常扫描计算机可以尽早地检测到病毒,从而也就避免了病毒传播的可能性。
以下是您可以执行的扫描类型:
按需扫描——运行扫描,请您等待扫描结果。
调度扫描——在某天、某周或某月的事先安排好的时刻运行。
自定义扫描——您配置和保存的按需扫描。
实时扫描——通过不断地监视计算机上的文件来防止病毒的感染。
启动扫描——计算机启动时运行。
程序型病毒
感染的内容
程序型病毒通过将指令插入到执行序列,将病毒附加到可执行文件(例如,.COM、.EXE 和 .DLL 文件)中。当受感染文件运行时,插入的指令就会执行病毒代码。代码执行完成后,文件继续执行正常的指令序列。这一过程非常迅速,因而您不会意识到病毒代码的执行。
感染的方式
程序型病毒有三个子类别:
内存驻留:以内存驻留程序 (TSR) 的形式驻留在内存中,通常会感染所有可执行文件。
直接操作:执行,感染其他文件,然后卸载。
伴生:将自身与可执行文件联系在一起,但不修改可执行文件。例如,病毒可能针对 WORD.EXE 创建了一个伴生文件,WORD.COM。当打开 Word 程序时,受感染的 WORD.COM
文件首先执行,并执行病毒活动,然后再执行 WORD.EXE 文件。
破怀情况
由程序型病毒引起的破坏,其程度不等,例如,可能仅显示一些屏幕消息,也可能完全破坏了您的数据。
Symantec AntiVirus 可以恢复由病毒引起的破坏吗?
简单地说,不能。如果感染情况是在文件感染病毒不久发现的,那么受感染文件的功能将可能完全恢复。但是,在某些情况下,Symantec AntiVirus 清除病毒的文件已经被病毒破坏了。例如,如果 Symantec AntiVirus 在受感染文档文件中发现了 Word.Wazzu 宏病毒,那么 Symantec AntiVirus 可以删除病毒,但不能删除病毒放置在受感染文档中的单词“wazzu”。在这种情况下,Symantec AntiVirus 无法修复对受感染文件造成的破坏。
引导型病毒
在某种意义上,引导型病毒可以称的上是最成功的病毒。这种病毒易于编写,并且在低级别上控制了计算机。
感染的内容
引导型病毒将指令插入到软盘的引导扇区,或者硬盘的引导扇区或主引导记录(分区表扇区)。
感染的方式
当计算机从受感染的软盘中启动时,病毒就感染到了硬盘上并将它的代码加载到内存中。不一定是可引导软盘才能造成病毒的传播。病毒仍然驻留在内存中并感染其他所有访问该计算机的软盘。通常,触发引导型病毒发作条件是系统日期或时间。例如,米开朗基罗病毒就是引导型病毒,该病毒在 3 月 6
日(米开朗基罗的生日)删除宿主计算机的硬盘。
破怀情况
除非病毒不是单一的引导型病毒,否则引导扇区已感染了病毒的软盘或硬盘不会感染任何文件。真正的引导病毒不会传播到服务器上,也不会通过网络进行传播。
ymantec AntiVirus 处理受感染文件采取的操作
对病毒的反应
Symantec AntiVirus 对受感染文件执行不同的操作和备份操作,例如清除病毒或将受感染文件移动到隔离区。当在扫描中检测到病毒时,Symantec AntiVirus 通常会尝试从受感染的文件中清除病毒。如果已对文件完成了清除操作,那么文件中就完全不包含病毒了如果 Symantec AntiVirus
无法对文件进行清除,Symantec AntiVirus 就尝试进行备份操作,例如将受感染文件移动到隔离区。
因为宏病毒不同于其他类型的病毒,所以 Symantec AntiVirus 对于宏病毒和非宏病毒(其他所有类型的病毒)分别指定了不同的操作和备份操作。
操作
清除文件中的病毒:Symantec AntiVirus 尝试永久地删除受感染文件中的病毒。
删除受感染的文件:Symantec AntiVirus 将文件从您的计算机硬盘中永久地删除。
保留受感染的文件:保留受感染文件原来的状态。文件中仍然存在着病毒,并且可能扩散到计算机的其它部分。Symantec AntiVirus 在“事件日志”中放置一条信息,以记录受感染文件的状态。
将受感染文件移动到隔离区:Symantec AntiVirus 在物理上将受感染文件从其原始位置移动到隔离区(一个专门针对受病毒感染文件的“存储单元”)。您无法修改和保存隔离区中的文件。
针对宏病毒的默认操作
清除病毒
隔离受感染的文件
针对非宏病毒的默认操作
清除病毒
隔离受感染的文件
置对受感染文件采取的操作
操作和备份操作
针对病毒感染采取的操作。默认情况下,Symantec AntiVirus 通常会尝试清除受感染文件、引导扇区或分区表中的病毒。如果无法进行清除工作,Symantec AntiVirus 则尝试进行备份操作,例如,将病毒移动到隔离区。
默认情况,对每个扫描类型都指定了操作。启动扫描的操作可能不同于按需扫描的操作。通常,
Symantec AntiVirus 首先尝试清除病毒,如果清除操作失败,Symantec AntiVirus 就会将文件移动到隔离区。可以更改 Symantec AntiVirus 对受感染文件要执行的操作。当然,您应该在扫描之前进行更改。
更改默认的操作
因为 Symantec AntiVirus 使用新的默认操作对病毒感染做出反应,所以在扫描之前您必须选择新的默认操作。您更改的操作只适用于您选择的扫描类型。例如,如果决定更改启动扫描的操作,则只有启动扫描操作会发生变化。
Symantec AntiVirus 随后进行的对指定扫描类型的所有扫描都将使用新的默认操作——但有一个例外情况。对于按需扫描,您必须单击“保存设置”按钮才能永久性地更改默认操作。否则,更改的内容仅适用于下一次执行的扫描。对于随后执行的扫描,Symantec AntiVirus 恢复使用原始的默认操作。
Symantec AntiVirus通常要指定一个备份操作,以防最初尝试的操作失败。例如,某些受感染文件无法彻底清除病毒,因此如果选择的是清除操作,则操作无法完成。操作和备份操作必须不同。
如果操作不起作用
如果操作不起作用,Symantec AntiVirus 执行备份操作。默认情况下,为每个扫描类型指定各自的备份操作。常见的备份操作就是将受感染的文件移动到隔离区。此操作将受感染文件放置到一个安全的保护区域(隔离区),在这里文件不会将病毒重新传染到其他文件中。如果这两个操作都失败了,那么 Symantec AntiVirus 保留文件的原始状态并在日志中记录事件。
备份操作
备份操作就是在第一操作失败时 Symantec AntiVirus 对病毒感染执行的操作。例如,默认情况下,
Symantec AntiVirus 通常会尝试清除受感染文件、引导扇区或分区表中的病毒。如果无法进行清除工作,Symantec AntiVirus 则尝试进行备份操作,例如,将病毒移动到隔离区。
将受感染文件移动到隔离区
隔离区是一个能够安全地存储受感染文件的隔离区域。这种将受感染文件移动到隔离区的方式在最大程度上减小了病毒复制自身并因此感染其他文件的机会。所以建议您无论是宏还是非宏病毒感染都使用此操作作为备份操作。
将文件移动到隔离区阻止了病毒的传播。但是,这种操作并不能清除病毒,因此除非您清除了病毒或永久地删除文件,病毒仍然存在于您的计算机中。对于受病毒或宏病毒感染的文件,将其移动到隔离区是一个很有用的操作,但是对于引导型病毒感染不起作用。通常,引导型病毒驻留在计算机的引导扇区或分区表中,因而无法将这些项目移动到隔离区。
Symantec AntiVirus 将文件移动到隔离区后,您可以执行清除文件中的病毒,永久地删除文件,或将文件移回其原始的位置等操作。还可以查看受感染文件的属性。当更新了病毒定义文件后,您可以重新扫描隔离区中的受感染文件。
删除受感染的文件
Symantec AntiVirus 将文件从您的计算机硬盘中永久地删除。此操作通过将文件(和病毒一起)从计算机中删除减小了病毒可能扩散的威胁。对于文件型病毒和宏病毒,删除受感染文件是一种很有用的操作。
因为病毒可能破坏文件,所以删除受感染的文件,使用干净的备份文件代替它可能比清除受感染文件中的病毒要好一些。因为删除操作是永久性的,所以只有在您拥有要扫描文件的干净备份的情况下,才能使用它。
在将文件移动到隔离区后,您可以手动地执行这个操作。如果受感染的文件是一次性的文件,而 Symantec AntiVirus 又无法清除它的病毒,那么就可以将它从隔离区中删除。
仅在您已经您拥有了要扫描文件的干净备份的情况下,设置此选项。在进行实时防护或调度的扫描期间,不应该将此选项作为文件扫描的主要操作
保留受感染的文件
此选项保留受感染病毒的原始状态,也就是说,不对它进行移动、清除或删除操作。如果使用此操作,则不对病毒感染进行任何处理,因此病毒可以继续引起破坏。
对于宏和非宏病毒都可以将保留受感染文件原始状态作为备份操作。对于大规模,自动执行的扫描(例如实时扫描或调度的扫描),如果需要通过查看扫描结果跟踪扫描过程,然后再采取其他的操作(例如将文件移动到隔离区),请使用此操作。
如果文件出现假感染情况,也可以使用这个操作。如果其他病毒防护程序已经部分清除了文件中的病毒,而 Symantec AntiVirus 仍然检测到了文件中残存的病毒代码,就会发生已感染假象(假阳性)。其原因在于部分清除过病毒的文件中仍然保留了一部分病毒代码,但有害的病毒代码已经删除了,并因此不再具有危害性。在这种情况下,“不操作”操作确保不对文件进行更改或移动操作。
清除病毒
清除病毒操作应该始终是您的主操作。如果 Symantec AntiVirus 成功地清除了文件中的病毒,那么您就不需要再采取其他任何操作了。计算机将不再有病毒的威胁,也不用再怀疑病毒会传染到计算机的其他区域中。
当 Symantec AntiVirus 清除文件的病毒后,它可以完全将病毒从受感染文件、引导扇区或分区表中删除,因此消灭了病毒传播的能力。如果检测得早,Symantec AntiVirus 通常可以在病毒破坏您的计算机之前发现并清除病毒。
但是,某些情况下,根据病毒已经引起的破坏程度的不同,清除过病毒的文件可能已经不能使用了。这是病毒感染的结果,并不是清除操作造成的。
某些受感染文件无法清除病毒。
注意:Symantec AntiVirus 成功地清除了文件的病毒之后,如果病毒已经破坏了文件,那么该文件也不能工作了。例如,如果病毒感染了可执行文件(如,.EXE)并且覆盖了部分文件内容,清除过病毒的文件只是删除了病毒,但却无法恢复病毒损坏的部分
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)