dedecms如何建站:rose病毒有哪些危害

ROSE病毒
请网友们注意啊,从四月十日起,网络上开始流传一种ROSE病毒,其病毒初期表现为双击不能打开盘符,一个星期左右,你的系统会突然关机,再也进不了系统了,开机后电脑不断重启,形成下划线循环.主要通过U盘和MP3传播.磁盘和硬盘中毒好清理,删除SORE.EXE和AUTORUN.INF就可以搞定了,再清一下注册表.可是闪存要是中了毒,目前还没有什么好办法.最新的杀毒软件也无能为力.该病毒有自我保护的能力,还可以隐藏.你只要试图对他做任何删除他就隐藏,分不允许你是该闪存有写的动作.即使是格式化也不能.

病毒介绍：自4月10号以来，在网路上流行一个叫“rose.exe”的病毒，它最初的表现为在你的电脑里面，右键单击各个盘符的时候，第一项由原来的“打开”变成了“自动播放”，然后在你的系统进程里面会出现若干个“rose”的进程，占用电脑的CPU资源。

传播方式：通过U盘、MP3 、移动硬盘等移动存储设备传播，一般表现为移动存储设备内东西无法剪切、移动存储设备无法移出等，尤其在公用电脑上表现极为明显，目前我已经在校新闻实验中心、校广播台、校外打印店、照相馆等公共电脑场所发现该病毒，且愈演愈烈，另外在很多同学的电脑或者移动存储设备上发现该病毒，传播极为迅速。

病毒危害：

1、在系统中占用大量cpu资源。

2、在每个分区下建立rose.exe 和autorun.inf 2个文件，且它们都隐藏系统保护文件之内，无论你怎样搜索都找不到，但是在双击该盘符时病毒就自动运行了。

3、若你继续无视该病毒，可能会引起部分操作系统崩溃，表现在开机自检后直接并反复重启，无法进入系统，简单的说就是你电脑突然死机了，然后就再也开不了机。即便在你重新格式化C盘，重新安装系统之后，你只是清除了C盘的该病毒，但是它在其他盘下仍然存在，且会再次发作。

杀毒方式：目前经测试，不论是哪个杀毒软件，不论你将病毒库升级到最新的哪个时候，它们暂时都不具备查杀该病毒的能力，即便是在你所使用的杀毒软件是正版的情况下。个人估计杀毒软件公司的员工此时正在抓紧时间研究如何查杀中。

我也是中了此毒，被折腾得够呛，也重装了电脑，花了点时间从网上去学习，才有此切身经验，现在根据以往别人提供的方法，再结合自己的经验，希望对各位电脑中毒的同学有所帮助，也希望能引起其他没中毒的同学的重视。

具体方法如下：

1、按Ctrl+Alt+Delete调出任务管理器，在进程页面中结束掉所有名称为Rose.exe的进程（建议在后面的操作中反复此操作，以确保病毒文件不会反复发作）。
2、在开始－－运行中输入“regedit”（XP系统）打开注册表，点“编辑”——“查找”，在弹出的对话框中输入“rose.exe”，找到后将整个shell子键删除，然后继续按F3查找下一个，继续删除查找到有关的键值，直到显示为“注册表搜索完毕”为止。

3、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。

4、对每个盘符点右键－打开进入（切记不能双击），删掉所有的rose.exe和autorun.inf文件。如果删除时候提示不能删除，可将这两个文件的属性由“只读”改为“存档。若还不能删除，则重启电脑，在自检时按F8进入到安全模式下去删除。

∷预防办法：

1、当别人将U盘插入自己的电脑，当出现操作提示框时，不要选择任何操作，关掉。

2、进入我的电脑，从地址下拉列表中选择U盘并进入，或者右键单击可移动磁盘，在弹出的菜单中选择“打开”进入。千万不要直接点击U盘的盘符进去，否则会立刻激活病毒！

3、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉，你会看到U盘中出现了“rose.exe”和“autorun.inf”两个文件，直接删除！

4、在开始－－运行中输入“regedit”（XP系统）打开注册表，点“编辑”——“查找”，在弹出的对话框中输入“rose.exe”，找到后将整个shell子键删除，然后继续按F3查找下一个，继续删除查找到有关的键值，直到显示为“注册表搜索完毕”为止。

:rose:

随着计算机技术及Internet的发展，电脑已逐渐走进了千家万户。但是在我们平时的工作、学习中，危及用户系统、数据安全的案例比比皆是。危害系统和数据安全的危险主要来自以下两个方面：一是受病毒攻击所造成的各种不同程度的破坏；二是网上黑客对用户隐私的窥探、恶意篡改数据等。病毒和黑客的破坏给人们造成了无可估量的损失：全球每年由此造成的直接或间接损失高达几十亿乃至上百亿美元！其实对于病毒和黑客的破坏，只要我们掌握一些基本的判断、分析、处理、防范能力，就有可能避免病毒和黑客对我们造成的危害，将损失降低到最小限度。

3.1 练就五毒不侵之功

人们对计算机的应用越加广泛，计算机病毒对人们的危害也就越大，这就使人们对计算机防毒概念已经有了更新的认识。作为一个计算机用户，为了保护自己的重要资源与数据，了解病毒的概念和发展趋势，掌握常用反毒技术，做到知己知彼，方能练就五毒不侵之功。

导引：了解病毒的基本特性
为了识别病毒的庐山真面目，还必须从病毒的本质特征入手。
有一些用户存在以下一些想法：
● 平时不经常与人交换数据就不会染毒；
● 不使用外来磁盘或光盘就不会染毒；
● 不上网就不会染毒。
其实这些想法都是片面的。因为病毒是一种具有感染性、破坏性的程序，还具有隐蔽性、潜伏性、针对性及不可预知性。由于病毒种类繁多，各种病毒的表现形式和发作现象都千差万别，因此绝对不能认为系统运行正常就一定没有病毒。通过使用本文所述的一些技术手段，我们完全可以防毒于未然。
传染性是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体，在适当的条件下，它可以大量繁殖，使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它就会搜寻符合其传染条件的其他程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文件（一般是可执行文件）会被感染。而被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒就会继续传播。
病毒的传染性和破坏性是有目共睹的，不感染、不破坏（即使是对用户的干扰也被看作是某种程序的破坏），就不能称之为病毒！
病毒的隐藏性主要表现在绝大多数病毒都将自己依附于其它程序文件之上，通过添加、插入病毒代码并修改文件头部指针使染毒程序在运行时首先执行病毒代码，而这一切过程都是完全自动进行的且隐蔽性极强，用户很难有所觉察。病毒的设计者为了使病毒得到隐藏，必须在病毒发作之前，让染毒系统仍可暂时正常工作。
大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。只有这样它才可以进行广泛传播。如CIH病毒的主要版本就是在每年的4月26日发作。与此类似，病毒往往还具有一定的针对性，最明显的就是有些病毒只感染PE结构的可执行文件，有些只感染Office文档，而有些仅感染硬盘的引导区，还有的必须在满足某些特定条件后才进行传染或破坏。所以说，隐蔽性、潜伏性、传染性、针对性等都只是病毒的手段，最终实现破坏才是病毒的主要目的。
病毒的不可预知性是目前令反病毒业界最为头痛的一个问题。尽管目前经过广大反病毒厂商多年的艰苦努力，我们已经在广义病毒特征、对病毒的跟踪解密、设计病毒陷阱、实时动态监视等技术上取得了一系列重大进展，但要从根本上做到对病毒识别和清除还有很长的路要走。由于病毒程序与正常程序都是一段代码，它们之间从本质上说没有什么不同，只是它们所要达到的目的不同而已。随着反病毒水平的不断提高，病毒编制的水平也在提高，在“先有鸡还是先有蛋”这个问题上，业界的答案最为明确：正是由于先出现了病毒然后才出现了反病毒软件。
到目前为止，还没有哪一家反病毒厂商能保证可以彻底杀除一切已知和未知的病毒。
病毒的基本特性表明 ：一个目前工作正常的系统并不能完全保证干净无毒。要得到一个99.9%没有病毒的相对“纯净”的系统，除了从硬盘分区格式化、系统安装等初始阶段就保持高度警惕外，还必须经常用最新工具扫描病毒，尽量正确安装使用防火墙。一句话，必须先提高对病毒的警惕，树立正确的计算机安全意识。

一、如何正确判断电脑是否“中毒”
判断一台电脑是否“中毒”，必须从多方面综合考虑，进行细致的分析。我们只有了解了病毒的一些基本特征、掌握基本的查毒方法，并将病毒的干扰与其他表现相似的软硬件故障区别开来，才会不犯“误诊”、“漏诊”的错误。
（一）病毒与其它软硬件故障的区别与联系
许多用户在使用电脑过程中一旦发现系统有什么不正常的现象就怀疑计算机中有病毒，似乎病毒是造成一切异常现象的罪魁祸首。其实计算机系统的各种故障原因极其复杂，病毒破坏只不过是其中的重要因素之一。因此为了及时排除故障，解决问题、最大限度地减少损失，必须分清是病毒破坏还是其他故障。
下表简要列举了病毒破坏与其它软硬件故障的区别与联系，我们应根据具体的现象进行认真地分析，特别是注意故障异常的产生是整体体现还是局部体现，是偶然发生还是具有一定的规律性，然后针对可能的原因进行排查。对于有一定经验的用户，可以从屏幕上显示的提示信息分析出故障发生的根本所在；而对于初级用户，则可以根据故障现象，用下面的列表进行对照，以确定故障的大致所在。
（二）病毒的检查与判断方法
我们有了对病毒的基本认识之后，该如何采取具体措施检查系统是否染毒呢？有矛必有盾！即使是普通初级电脑用户，也可以采取适当的方法对病毒进行检测和清除。这些方法可以归纳为以下几类：
1.程序扫描法
即通过专门的病毒扫描程序对系统进行扫描，这是最方便快捷的方法，通常可选用一种或多种杀毒软件，如传统的KV以及Kill98、Kill2000、PC-CilLin系统、Norton Antivirus系列、McAfree Virusscan、熊猫卫士、瑞星、VRV等等；在对付网络类型病毒方面比较有名的有Lockdown、TheCleaner；还有一些专门针对某种病毒的扫描程序，如“求职信”病毒专杀工具、“笑哈哈”病毒专杀工具、“尼姆达”病毒专杀工具等等。我们选用杀毒软件一般是优先考虑使用品牌产品，对此在后文还要提及。
程序扫描法的理论依据主要为特征代码扫描、校验和检查、病毒行为描述、软件模拟（即虚拟机技术）、VICE先知扫描法等。除了采用现有的杀毒软件外，有能力的用户也可以自己编制一些针对某一种或某些病毒的程序进行查杀。由于具体情况太复杂，在此不再详述。
2.观察法
（1）现象观察
如果在计算机使用过程中发现以下现象，应当怀疑存在病毒：
硬盘引导时死机；系统引导时间比平时长；磁盘上出现不正常的坏簇（除软盘外，硬盘是不容易出现坏簇的）；运行速度减慢；硬盘引导成功，但用软盘引导后不能访问硬盘；出现特殊声音、图像或文字；访问硬盘文件时却提示A盘未准备好或者写保护；以往运行正常的程序出现运行时死机或工作不正常；在系统配置正常且文件执行正常的情况下却报告内存不足；平时使用正常的光驱或打印机等设备不能正常使用；在设置正确的情况下，Windows 9X系统属性“性能”选项报告A盘正在使用MS-DOS兼容方式等等，具体还要结合上文所述的病毒与软硬件故障的区别和联系来进行综合判断。
（2）注册表及系统配置观察
新出现的网络病毒以及类病毒常利用Windows 9X的注册表中设置自动运行键值或者通过Win.ini中的“load=”和“run=”命令以及System.ini中的“shell=”命令来将自己加载到内存中，从而在后台得以运行，以下几个注册表项为自动运行程序位置：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce]
在Windows 98中系统自带一个名为Msconfig.exe的系统配置实用程序，可以通过“开始”→“运行”命令直接执行，使用它可以极方便地查看和管理所有的自动运行程序，要禁止某项命令的自动运行只需要取消对该命令的选定即可（见图3-1-1）。
图3-1-1 系统配置实用程序

除此之外，也有一些第三方软件可以完成上述工作。如注册表优化工具RegCleanr，它不但可查看以上注册表的系统配置文件的内容，而且还可以随时中止系统的自启动程序，在查看、管理自动运行程序时非常方便；对于针对木马类型，则可以选用LockDown及TheCleaner等等，以上程序的下载地址附后。
（3）内存观察
这是最传统的方法，优点是方便快捷；缺点是局限性较大，一般多用在DOS下检测病毒。
检测程序很多，一般有以下几种：
如果硬盘分区为FAT16（现在已经不多了），则可以采用PCTools软件，通过按F3键来查看基本内存的总空间是否与DOS报告的相等（均为640KB），如果不相等，则意味着内存中可能有病毒存在。
我们也可以使用Debug程序，在启动Debug后，在“——”提示后输入命令“D0:400”回车，则0:413到0:414字节中显示的内容应当为8002，即十六进制的0280H，这相当于十进制数的640，否则内存中可能有病毒活动，病毒占用的内存空间大小等于系统真正的内存空间大小减去0:413到0:414的内存空间大小。
我们还可以使用Mi.exe及DOS本身的Mem.exe程序，使用mem/c/p是比较方便的（在Windows 2000/XP的命令行下/P参数无效）。该命令可以方便直观地显示出当前基本内存中运行了哪些程序以及各自占用了多少内存空间等，如果发现显示的内存空间总量不正常，或者发现存在无名的程序、以“——”为名称的程序或者乱字符为名称的程序在内存中，则应当立即怀疑存在病毒。不过对于许多设计比较高明的病毒而言，此方法不太有效，因为它们会伪装自己，即当它们在活动状态时，会欺骗DOS从而显示出一个虚假的内存状态报告。
（4）特征字串观察
注意这里不是指某些杀毒软件所称的“特征串扫描法”，在此不对具体的反病毒方法作专业的深入阐述，而是特指普通用户都能够采用的一种病毒判断方法。很多病毒的编制者为了实现自己的表现欲望，大多给病毒起了某个特定名称，如大名鼎鼎的CIH病毒的代码中就存在“CIH……”等字样。因此如果怀疑系统已被某种特定的病毒感染，可以抽取系统中一个代表性的文件（一般为系统必用的程序文件，如Explorer.exe等），必要时复制到某个临时目录，然后通过任何十六进制编辑器（如UltraEdit）查找可疑的病毒特征字符串。如果不会使用十六进制编辑器或手里没有这类工具，也可以用普通的Edit.exe或记事本直接打开样本文件并进行特征字符串搜索，当然屏幕显示的全是乱码，不过只要找到了某一病毒的特征字串就值得引起我们足够的警惕，必要时还可以检查几个文件以进一步确认。此方法虽然较好，但也有误报的时候，比如有些文件曾经被感染但又被某些仅修改文件指针的杀毒软件杀过毒，其中就可能残存有部分病毒代码（即“病毒僵尸”），因此使用这些方法发现线索后还必须结合其他方法做进一步的排查。
（5）其它观察法
如检查中断向量、Debug分析、检测磁盘异常坏簇等。其中中断向量的检查及Debug分析需要较专业的知识，对普通用户并不适用，因此暂且略过；而检查磁盘异常坏簇则只需要通过运行Chkdsk命令，就可得到一个有关磁盘坏簇及空间利用率的详细报告（见图3-1-2）。
图3-1-2 磁盘分析报告

3.比较法
与其它检查方法相比，比较法通常较为准确可靠，但前提是必须事先保存有对应的、可靠的数据源文件。比较法又可以细分为以下几种情况：
（1）系统重要数据对比
病毒中特别是引导型病毒大都要修改系统的重要数据，如磁盘的引导扇区、DOS引导扇区、内存中的中断向量表、设备驱动程序头、CMOS设置参数等。如果将当前的这些重要数据与对应的源文件数据进行比较，是否受到病毒的感染就一目了然了。作为普通用户要比较和备份源文件是很困难的，我们可以借用一些比较优秀的杀毒软件所提供的系统数据备份及比较功能来实现。目前瑞星杀毒软件2002版在这方面做得比较好，用它制作的紧急修复磁盘，其备份信息详尽细致，比较和恢复功能方便快捷。
（2）可疑文件与正常文件对比
文件对比的方式和内容比较多，通常有：
文件基本属性对比。主要是文件的长度、文件创建及修改的日期和时间、文件的特定内容等，如果这些内容发生变化，则应当考虑受到病毒感染的可能性。
“校验和”对比。“校验和”，即对文件内容的全部字节进行特殊的函数运算并产生出适当字节长度的结果。它能够较客观地反映出原始文件的特征，“校验和”所取的字节长度越大，它所反映原始文件特征的唯一性就越大，但这种方法具有一定的技术难度，且使用也不够方便（正常修改文件后还得同时修改“校验和”），如果在产生“校验和”之前文件就已经被病毒感染，则此法毫无实用价值。实际使用中，由于病毒感染文件时，对于前缀式COM型病毒，染毒文件的开头部分就是病毒代码 ；对于后缀式COM文件型病毒，则必须替换宿主程序的第一条指令以便跳转到程序尾部的病毒代码处执行；对于EXE文件型病毒，病毒必然改变EXE文件头的程序入口指针。因此无论是直接对比还是“校验和”对比都只需要针对文件头部的5～20个字节即可。以前曾有某些杀毒软件采用此法，目前只有少数程序由开发者添加了对文件本身的“校验和”检查，如著名的Arj.exe，当非法修改了它的任意字节，则运行时就会报警。
文件内容的逐个字节对比。DOS及Windows 9X都有一个Fc.exe命令，加上/B参数后可以逐个字节地对文件进行对比，如果能够保证源文件的纯净无毒，则此法检测文件准确度极高。添加、修改、删除了哪怕仅一个字节都无法逃出Fc.exe的“法眼”。在此以对Msgsrv32.exe这个系统文件的比较为例说明比较方法：
在刚刚安装完毕Windows 98后，将Msgsrv32.exe文件改名备份，如Msgsrv32.bak，然后使用Edit或记事本编写如下内容的批处理文件（设文件名为Killvir.bat）：

@echo off
fc %winbootdir%\system\msgsrv32.exe %winbootdir%\msgrv32.bak /b>nul|find"00"；以二进制方式将样
本文件与源文件进行比较，注意要加/B参数。
if error level1 goto end；无任何更改则结束。
if error level0 goto virus；有更改跳转至virus处；
:virus
（此处添加调用杀毒软件的命令行或警告信息）
:end；比较结束。

在自动批处理文件（C:\Autoexec.bat）中通过Call Killvir命令调用上述文件，这样每次系统启动时都自动对样本文件进行比较，发现异常后立即做出相关处理。不过这种方法仅供借鉴参考，它存在以下缺陷：一是有些病毒在感染时是以文件头部特征而不以文件扩展名来判断目标文件是否感染对象，这就可能造成源文件同样被感染的危险（但这种情况对每次感染代码都不相同的变形病毒仍然有效） ；二是个别抽样并不能完全反映所有文件的变化情况，比如有些病毒在感染时还要对文件的长度、文件名等有所要求；三是灵活性差，比如需要比较很多文件时就必须准备许多源文件，这在某些情况下是不现实的；四是由于系统在每次启动时都要对文件进行比较，如果比较的文件较多，将会大大延长系统的启动时间。
（3）干净软盘引导与直接硬盘引导比较
如果怀疑系统感染了加密引导记录和分区表的病毒，除了使用杀毒软件外，最简单的判别方法就是使用干净的引导软盘引导启动，然后看看是否能够正常访问硬盘。有些引导型病毒为了达到“自杀”的目的，对硬盘分区表进行了搬移或加密，因此必须在内存中有病毒存在的情况下由病毒对分区表临时加密，这时才能正常访问硬盘分区。如果用软盘引导，则由于分区表被病毒还原，因此无法正常访问硬盘。对付此类病毒必须极其小心。一般必须在带毒的情况下将已临时还原的分区表备份出来，再在杀毒后将备份的分区表恢复，否则可能造成硬盘数据的全部丢失。

二、系统染毒后紧急处置措施
如果通过上述途径发现病毒踪迹后，首先是冷静对待，不要急于处理，“心急吃不了热豆腐”！，以免处理不当造成更大的损失。我们在发现病毒迹象后必须立即采取适当的隔离和保护措施：
（一）立即停止使用计算机并对病毒进行全面绞杀
即使病毒正在发作，立即关闭计算机电源总是一个不错的主意。注意不是按“Ctrl+Alt+Del”键，热启动并不能中止许多病毒的驻留。如果发现网络中有病毒，则应立即断开网络并通知网络管理员和所有网络用户全面杀毒。
（二）制订杀毒策略
查杀病毒应当遵循以下原则：以备份覆盖为上策，直接杀毒为下策；先备份后杀毒为上策，直接杀毒为下策；尽量恢复数据为上策，分区格式化重新安装系统为下策；彻底扫描所有磁盘（包括手头所有软盘、光盘）为上策，只扫描部分磁盘为下策；立即升级杀毒软件再杀毒为上策，直接使用杀毒软件现有特征病毒库查杀为下策；多种杀毒软件交叉查杀为上策，只使用某一种杀毒软件查杀为下策。
（三）谨慎行事，留好退路
千万不要指望毕其功于一役！很多用户非常迷信杀毒软件，发现病毒后以为“病毒入侵，一杀就灵”，因此往往不考虑后果就直接杀毒，这是极不好的习惯。因为一些狡猾的病毒可能将硬盘引导信息或用户数据进行加密处理，使用时需要对病毒程序进行解密，如果贸然杀毒，一旦内存没有病毒，被加密的信息也就不能被还原。因此，杀除引导区病毒前必须备份当时“坏”的引导信息，必要时为保险起见还必须进行多个备份（具体备份方法后文介绍）；对于染毒分区中的工作文件最好在带毒的情况下备份至软盘或其它位置，以免杀毒后硬盘分区不可访问从而造成更大的损失。

三、传统病毒的防范
防范病毒必须从两个方面入手，一是正确选择和使用杀毒软件，因为多数用户都不具备手工分析和杀除病毒的能力，即使少数用户有一定的手工反毒经验，但对于层出不穷的各种病毒，靠个人的力量进行手工分析杀毒是极其麻烦的事情，因此还是使用杀毒软件要方便快捷一些；二是严把“病从口入”这个关口，因为亡羊补牢总不如未雨绸缪，防止病毒破坏最好的方法是尽量不要让机器中毒，这虽然有点过于理想化，但只要通过多方努力，多数情况下还是能够做到的。
通常情况下，杀毒软件厂家都将病毒和黑客程序当作病毒一并对待，因此在使用软件查杀问题上我们将二者一同进行讨论。下面从传播类型病毒和网络类型病毒两个方面对杀毒软件的选择、安装、使用技巧等方面进行全方位的介绍。
（一）选择杀毒软件的技巧
由于病毒的破坏力越来越大，面对五花八门的反病毒产品，多数用户眼花缭乱，不知取舍。首先要提醒大家注意的是：决不能以广告的宣传导向作为选择的唯一依据，事实上的确有个别厂家对其产品宣传得天花乱坠，但其产品性能实在一般。在此笔者将必需的选择标准罗列如下，以供读者在选购杀毒软件时参考。
1. 能查杀足够多的种类及数目
我们使用杀毒软件的目的就是为了针对“万一”，如果一种杀毒软件杀毒数量不多，无论厂家宣传的技术多么先进，最终只能是令人失望的。
2. 能够实时监控，实时查杀病毒
这是对反病毒产品的最起码的客观要求。亡羊补牢固然必要，未雨绸缪却更能够最大限度减小损失，因此目前成熟的杀毒软件都具有实时监控、实时查杀病毒的功能，没有这个功能的杀毒软件绝不推荐使用。实时防护是互联网时代的要求，它是衡量一个杀毒产品是否跟得上时代步伐的最基本的标准之一。值得注意的是，我们在评价一个产品的实时监控功能时，绝对不能片面地仅以品牌知名度、资源占用率等一般属性来衡量其性能的优劣。实践证明：有的大牌厂家的实时监控程序对系统某些操作有干扰，而有的实时监控虽然资源占用率比较低，低防毒的灵敏度也比较低，以致病毒被激活后监控程序才捕获到病毒事件。还有不少用户认为某个杀毒软件因某次杀掉了一些病毒就感觉不错，其实杀毒软件本来就是用来杀毒的，能够杀除流行病毒是最起码要求，关键是能够阻止系统再次感染此病毒，如果不能实时监控，还要靠用户经常手工查杀，还不如多做备份、勤做备份更加稳妥！
3. 能够过滤多层压缩包、电子邮件及恶意ActiveX控件和Java类
CIH病毒不但设计思想先进，而且借助网上大量的压缩文件作为藏身之处，当时很多杀毒软件没有扫描压缩包的能力，有些杀毒软件虽然能够扫描压缩包但能够处理的类型或打包层数有限，因此造成屡杀不绝的严重后果；现在的电子邮件病毒（如“求职信”病毒等）更是以一种全新的方式进行感染和破坏；还有一些恶意Java小程序夹杂在HTML代码之中能够被浏览器直接解释执行或调用（后文将详细讨论）。这些都给杀毒软件提出了更高的要求。没有注重全方位防护的杀毒软件同样在技术上还不成熟、不完善！

ActiveX控件和Java类
由于Internet的普及，网站设计已变得更加复杂多样。许多站点如今都包括交互式元素，如脚本、表单、搜索引擎、动画以及其它很多多媒体功能，使Web浏览更加实用有效，更加精彩诱人。带给我们这些功能的很多技术都来自易于下载的小程序。它们与你的浏览器软件进行交互以交流信息，显示多媒体文件，制订数据库查询并执行其它任务。除其它工具外，网站设计者和程序员还用Java和ActiveX来编写这些类型的程序。
Java程序语言最早出自Sun Microsystems公司。有了它，设计人员可以编写小规模专用应用程序，或称“小程序”，它可以直接或作为插件模块融入浏览器软件的Java“虚拟机”上运行。
Java类是预先写好的软件模块，程序员可对它进行修改，为己所用。程序员使用Microsoft ActiveX技术达到类似的目的。ActiveX同Java的区别主要在于运行方式：Java在专门建造用来解释小程序的虚拟机上运行，而ActiveX在现有程序之间，或其它程序与Windows本身之间起着一种先进的软件桥梁作用。ActiveX“控件”是一种链接程序的软件模块，使程序能够共享数据，而在链接的两个程序中，此程序无须知晓彼程序是如何运行的。Java类和ActiveX控件统称为“对象”。
4. 附带完善的系统重要信息备份及恢复功能
现在的反病毒概念是“防、杀、修”三位一体，能防、查、杀固然重要，但新的病毒层出不穷，厂家及用户谁都不能够保证万无一失。因此好的杀毒软件应当同时具备较完善的修复系统的能力。在这个问题上“VRV杀毒专家”曾提出了系统修复的概念，瑞星、PC-cillin、Norton AntiVirus等的制作急救磁盘功能也高度体现了紧急事件快速修复的理念。其它的如金山公司、行天98等厂家的产品在能够备份系统重要数据的同时，有的还向用户免费提供了专门的硬盘修复工具，如金山的KavFix、北信源的VrvFix等。令人遗憾的是，无论是哪个厂家，它们目前的产品对系统的修复功能都是有针对性的（如专门开发针对CIH破坏的功能）、有特殊条件的（如必须事先进行急救盘的制作或备份了系统重要数据）、有局限性的（如KV3000虽然在修复硬盘引导区和分区表方面“技高一筹”，但不能支持NTFS分区），而其它许多同类的DOS及Windows 平台的产品也同样如此。
5. 对新病毒的快速反应能力
衡量一个反病毒厂家的实力主要有两个方面：一是编程水平；二是对新病毒的快速反应能力。国内许多厂家的编程水平是不错的，但由于管理、人力、财力及其它条件的限制，无力组建世界范围的病毒监测网，因此在对新病毒的快速反应能力上稍逊于国外名牌产品一筹。令人高兴的是：现在已经有了不少有实力的国外公司来中国投资与国内厂家合作生产杀毒软件，产品的本地化，使得我们在优秀产品中的选择余地更大了。
6. 极低的资源占用率及与系统和应用程序良好的兼容性
实时监控功能一定会占用系统资源，因此在保证可靠性的同时资源占用率越低越好，目前各主要产品之间的差异不是太大，用户对此不必强求，往往是人们在启动组中自动运行的许多后台程序消耗了更多的系统资源。如果实时监控设计得不周全的话杀毒软件会与某些应用程序产生冲突，造成系统稳定性降低，这是我们不愿看到的。如NAV早期的版本与一些有软盘操作的程序会有冲突 ；VRV以前的某些版本会干扰磁盘碎片整理等，类似的这些问题也不同程度地存在于其它反病毒产品中，我们应当通过试用，结合自己的工作特点和需要进行取舍。
（二）常见杀毒软件的性能特点和设置技巧
1. Norton AntiVirus 2002
性能特点：方便的自动升级功能；实时监视、查杀能力均较好；E-mail收件保护（注意：不能自动保护FoxMail，只能保护Outlook Express）。
应用要领：第一，某些涉及软盘的操作会因实时监视器的影响而不能成功，请用鼠标右键单击系统托盘图标，临时禁用实时防护功能（见图3-1-3）。
第二，在“进行扫描文件的类型”中，最好不要选择“全面文件扫描”，而是选择“SmartScan扫描文件”，以避免占用太多的系统资源（见图3-1-4）。如果有特殊需要，还可以点击“自定义”按钮，手工添加欲进行病毒扫描的文件类型。
第三，由于Norton