不装杀毒软件了，怎么办？

不装杀毒软件了，怎么办？

(yanlb2000, 2005.06.01)

前篇文章，我谈了我对杀毒软件的态度：因为占用系统资源，影响系统效率，所以我不装杀毒软件。参见：

http://www.blogcn.com/User13/yanlb2000/blog/20888251.html

那可能不少人要说了，你也太托大了。现在电脑病毒这么厉害，还不装杀毒软件，那你的电脑系统不成了毒窝了，不得经常系统破坏，文件丢失？你不是吹牛吧？
所以这次，我就再说说我不装杀毒软件的实际情况或说后果，以及相应的对策。
总的来说，玩电脑这么多年，我不装杀毒软件，病毒却也并未将我的电脑怎么样，从未产生什么实际危害和损失。
但并不是说我没有中过病毒。应该说还是中过几次病毒或木马软件的，次数不多。更重要的是，这些病毒都被我在第一时间发现并删除了。不夸张地说，它们没有在我的硬盘上存活超过半天的。

要做到不安装杀毒软件，又不受到病毒（为方便叙述，本文病毒的意思往往也包含了木马）的侵害，不会造成损失，就要多多地了解病毒的原理和特性，要做到3点：
1, 不轻易就会中毒。
2, 即使中毒，也要及时发现。
3, 发现中毒后要迅速和正确地清除病毒。

那么，如何做到以上3点呢。
1, 第一点, 如何不轻易中毒？
1.1 首先，要了解病毒的原理和扩散、传播的机制。要知道什么样的场合，哪里来的软件更可能有病毒。比如，一般正版光盘上的、正规的、著名的网站上软件、游戏不太可能有病毒（也仅仅是不太可能），而来自各种盗版光盘的、不知名小网站的软件、工具、游戏则可能有一定的危险，这些来源的东西可能比较吸引人，所以说不是不要用，而是在安装使用过程中需要更加警惕。
1.2 还需要了解病毒的传播和发作机制。比如，简单地下载、复制文件，是不会中毒的。即使一个网站上下的软件有很多病毒，但我如果仅仅是下载、复制、刻录等，但不安装执行，那是不会中毒的。
1.3 还有，理论上说，数据、文本、图片、音乐等数据文件（与这些相对的是可执行程序）是不会中毒的，因为它们本身只是数据，而不包含可执行的代码。只要自己电脑里对应的数据处理软件没有病毒，那么打开各自的数据文件也不会中毒，不管这些文件从何而来。比如，我装有看图软件ACDSee，那不管哪里来的jpg图片，我都可以放心观看，因为图片文件是不能作为病毒传播和发作的。
当然，凡事也有例外。纯粹的数据文件不会成为病毒传播的机制。但现在很多数据文件已经不是纯粹包含数据了，还含有一些自动脚本、宏之类的可执行代码。这样的文件，就很可能被利用为传播病毒的新途径。最典型的，就是如Office系列如Word文档，因为具备强大的vba或宏的功能，所以也造就了大量的Word宏病毒。
其他少见的，甚至如mp3, jpg等音乐、图片文件，也可能有病毒。少数的某些播放器、浏览器，支持对这类媒体文件中包含的动作脚本的支持，所以也可能有病毒。但因为这与非常特定的播放器的特定的某些版本相关，这类"病毒文件"的传播发作机会非常小，所以基本可忽略。打开这类媒体文件一般总是安全的。
还有一类更罕见的情况。由于某些软件设计上的缺陷、漏洞，"坏分子"会利用这些漏洞，构造一个非常特殊的数据文件，当软件打开这样的数据文件的时候，会造成软件内部"溢出"，结果就是某些本来是数据的区域被覆盖为恶意代码，并被执行。这也成为病毒传播的途径。但这种漏洞毕竟也是非常少见，多数人难以遇到。而且，现在最新的CPU和Widows操作系统，都有新机制来避免这种将数据区当代码来执行的情况。
1.4 还有一点非常重要的是，一定要经常做Windows Update，打上最新的补丁。任何一个操作系统，都会有各种缺陷、安全漏洞，在使用中逐渐被发现。这些漏洞，不发现则已，一旦发现，就马上会作为病毒、木马利用，乘虚而入。有些漏洞，本身就是因为病毒、木马的出现而暴露的。所以，打系统补丁是很重要的。系统装好之后，驱动、应用软件等，可以慢点装，但打补丁是第一要做的。

2, 第二点，如何及早发现中毒了？
一般电脑中毒之后，都有一个潜伏期，悄悄地在后台运行，扩散自己，但不会马上发作，作出恶意破坏的行为。一个传染之后马上发作，没有潜伏期的病毒是没有多少机会传播自己的，因为发作的同时，就意味着暴露了自己，不管是否破坏用户电脑系统，破坏程度如何，最后总归会被杀除。
所以，我们就是要在中毒之后，发作之前，及早地发觉，才不致于等到病毒发作，破坏了系统特别是重要的数据，那就惨了。那么，没有了杀毒软件，这是不是有点难度呢？
2.1 系统中毒之后，在潜伏期，虽然表面上不发作，但它们在后台是悄悄地运行着的，是时刻找机会复制自己，传播自己。所以，总会在系统中留下各种痕迹。
首先，为了能在每次开机之后得到运行的机会，病毒们会在系统的多个地方登记自己，作为系统启动运行的一部分。所以，要对系统启动自动运行的机制、步骤比较熟悉，对那些自启动的项目比较熟悉。遇到新的，陌生的自启动项目，就要警惕了，查瑞脑消金兽证一下是哪个软件正常安装来的，还是不请自来的病毒。
以下项目都可能被病毒利用
○ HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUsernit
○ HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell
○ HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
○ HKCUSoftwareMicrosoftWindowsCurrentVersionRun
○ %USERPROFILE%「开始」菜单程序启动
应经常检查以上项目，看有没有异常。推荐使用来自www.sysinternals.com的autoruns工具，以上启动项目罗列得非常清楚。
当然，系统管理中的"服务"项目也值得关注，有些病毒会将自己注册成系统服务的。

2.2 另外呢，要经常使用进程查看软件，查看系统中的进程有什么不正常的情况。比如是否有什么进程是以前没有的，现在有了，而自己不熟悉的；有什么进程占用CPU或内存资源比较多；有什么进程悄悄在后台打开了网络端口进行侦听或数据传输，等等。
系统自带的进程管理器就可以，但更优秀的软件还不少。还是推荐来自www.sysinternals.com的Process Explorer，这个工具真的很好，将系统中的各个进程，占用的CPU、内存、端口列得非常详细。还能根据文件名或句柄名，查出是哪个进程占用了特定的文件或句柄。有了强力的工具，那些隐藏的病毒都会原形毕露。

3, 第三点，发现中病毒了，如何清除？
一旦发现自己中了病毒，你无需惊慌，而是应该庆幸。还好，在发作破坏之前，我把
坏分子发现了，除掉你，还不是小菜一碟？
一般我清除病毒的步骤是这样的。杀病毒进程，删除病毒文件，清除登记的自启动项目，如有必要，恢复一些注册表项目。
3.1 首先是杀掉病毒进程，否则后续的工作没法进行。Windows自带的进程管理器可能不够"强劲"，很多进程无法杀掉。依然推荐用Process Explorer(PE)，绝大部分进程都可以杀掉。
但是，慢着，在杀掉进程之前，还要记得用PE来查看对应的程序文件是哪个，就是查罪魁祸首了。记下来。
3.2 进程杀掉之后，再到刚才第二点提到的各个系统自启动项目中看看，是哪些条目调用到了这些病毒，全部删掉，不要遗漏。有些病毒为了保证得到运行的机会，会在不同地方写很多启动项目的。如果没有把握，怕删错了，可以作些记录备份，或者在启动项目前加"rem"，注释掉就行，不必删除。以后删错了恢复也方便。同样，别忘了在删除的时候记下这些启动项目调用了哪些文件。
3.3 最后，在资源管理器中，将刚才找到的那些坏分子文件全部删除！如果怕删错，也可以先改名而不实际删除。
对于以上杀进程和删文件，如果有的病毒特别顽固，无法杀掉和删除，可以考虑启动到安全模式试试。或者，如果你装有双系统，那么启动到另一系统来删这些文件，应该就可以了。
近年来我中的几次木马或病毒，都是用这种方法清除的。
当然，如果你电脑中病毒了，但又觉得以上手工操作太麻烦，那还是有其他办法的。对于一些有名的病毒或木马，各大杀毒软件公司往往会开发出专杀工具，供大家下载使用。这些软件不但免费，而且小巧实用，不必安装就可运行。用这种工具就很方便。
再不行，那还是装个杀毒软件吧，记得装好之后一定要下载最新的病毒定义文件，然后对系统来个彻底的大清扫。确保病毒杀干净之后，如果你还是和我一样不喜欢杀毒软件，那就将杀毒软件删了吧。以后中毒之后再装，我认为这样就很不错。杀毒和系统清洁，两不误。如果你后怕了，觉得病毒实在对付不起，那就还是留着杀毒软件吧。
3.4 最后，有的病毒可能会修改一些特定文件类型的打开方式，比如每次运行.txt，其实是先运行病毒自己，再打开文本文件。这些情况也要恢复。对照正常的系统或其他文件类型的注册表内容，恢复起来也不复杂。

呵呵，说了那么多，就是介绍了下在没有杀毒软件的情况下，如何发现病毒，清除病毒。多多实践，你会发现，其实病毒也不是那么可怕。不装杀毒软件的系统，运行起来更轻松更自在。熟练之后，你会觉得这也是另一种形式的DIY，你不会再对病毒感到神秘和恐惧，你是电脑系统真正的主人。

Tags: 杀毒软件, 电脑, 病毒