有许多人说有些的防病毒软件只能查不能杀,要回答这个问题我们首先要从病毒的原理讲起。
传统意义上的病毒分为多种,如引导区病毒、文件型病毒、宏病毒等,这些病毒的有一个共同特点就是要有宿主文件,即病毒都是附着在某一文件上的,如宏病毒是附着在WORD、EXCEL文档中的.而新的病毒如特洛伊木马/蠕虫等与传统病毒的最大区别就在于它们不需要任何宿主文件,其文件本身就是一个病毒原体。
而防病毒软件对于病毒主要有以下三种操作:清除/隔离/删除。所谓清除是指能够将病毒代码从一个文件中剥离出来的过程。还是以宏病毒为例,防病毒软件能够将宏病毒的代码从WORD、EXCEL文档中剥离出去,恢复被感染的文件,这种操作被定义为清除。而针对如木马/蠕虫程序等,它们的传播是不需要借助文件宿主,本身就是一个病毒文件或者说是一个病毒体,也就不存在把病毒代码从文件中剥离出来的这种操作,所以是不可能进行清除的。就像IIS5Hack.exe这样的文件就是一种黑客工具,清除失败是正常的,隔离或删除成功则表示该病毒已被安全处理掉了。
隔离是Symantec首先提出的一个比较先进的一种病毒处理方式,对于病毒进行隔离是将病毒文件加密后放在硬盘的一个目录中,因为文件是加密的,C:\DocumentandSettings\All User\Application Data\Symantec\Norton AntiVirus CorporateEdition\7.5\Quarantine(该目录为XP、2000的操作系统)中找到一些以.VBN为扩展名的文件,这些文件就是病毒文件经过加密后产生的,所以不会在系统中在发作,之所以采用隔离而不是删除是为了对于一些重要的文件被隔离后能够进行恢复。所以隔离的概念在Symantec的产品中与删除是等同的,可以隔离的也肯定能够删除,只是采取的方式不同而已,而不是说是因为不能查杀病毒而进行隔离。在实际的应用中,我们认为针对特洛伊木马/蠕虫病毒,采用隔离操作确实没有任何意义,反而会给用户造成错觉,以为SYMANTEC防病毒软件只能查不能杀,所以针对的病毒操作设置,我们一般建议用户采用宏病毒的处理方式为先清除,清除失败后隔离,主要是为了恢复如word文档这样的数据。
针对非宏病毒的处理方式为先清除,清除失败后直接删除,不要再选择隔离。
是,没有