01

计算机防御系统一般由防火墙和杀毒软件组成。防火墙主要负责过滤异常数据保护计算机，而杀毒软件运行在计算机应用的底层，监控整个计算机的运行情况，可以发现并消灭包括网络病毒在内的各种病毒。

计算机可以在网络和计算机之间自由传播。如果它们是攻击和破坏网络和计算机的长矛，那么由防火墙和杀毒软件组成的防御系统就是一面盾牌。

“防火墙”是一个非常生动的名字。可以是硬件设备，也可以是软件程序，主要起隔离作用。防火墙——没有防病毒和反病毒功能，但可以监控互联网软件和网络流量，过滤异常数据。它还可以设置哪些程序可以访问网络，以及打开或关闭某些网络服务。防火墙的存在阻止了病毒与计算机系统的直接接触，是局域网或计算机的“城墙”。此外，如果电脑感染了病毒，防火墙还可以发出网络异常警报，为发现病毒提供线索，一些新的防火墙还集成了某些防病毒技术。

但杀毒软件是主要任务。它运行在计算机应用程序的底层，监控整个计算机的运行，可以发现和消除包括网络病毒在内的各种病毒。“杀毒引擎”是杀毒软件的核心，是负责识别软件中病毒或“疑似病毒”的程序。它具有清除病毒的能力，这决定了整个软件的效率。

反病毒引擎应该与另一个模块“病毒数据库”交互，以识别病毒。早期的反病毒引擎包括病毒签名(一种病毒程序)，反病毒引擎通过比较文件中的签名来判断是否感染了病毒。但是随着病毒类型的增加，杀毒引擎过于“臃肿”，导致程序效率下降。如今，病毒代码特征和行为特征经常以一种特殊的格式存储在一个独立的病毒数据库中，供反病毒引擎调用。病毒数据库应该经常更新，以包括最新的病毒。换句话说，杀毒软件无法识别并杀死病毒数据库中没有的病毒，属于“被动防御”。2006年10月至2007年2月，一种名为“熊猫烧香”的病毒感染并摧毁了数千台电脑。为了避免被杀毒软件查杀，病毒编写者多次升级“熊猫烧香”病毒程序，编写传播了上百种“熊猫烧香”病毒。病毒编写者甚至在病毒中留言，公然挑战反病毒领域，让传统的反病毒策略“捉襟见肘”一阵子。

当时已经出现了基于主动防御技术的新一代发动机，追求“智能主动拦截能力”。主动防御技术通过分析某个程序的行为是否具有病毒特征，主动拦截可疑行为。软件的智能化程度越高，分析和拦截病毒行为的准确率就越高，能够有效防止未知病毒的攻击行为。但主动防御技术只能阻止病毒行为，使其长期处于休眠状态，无法彻底清除病毒，因此传统的反病毒技术仍需结合。

反病毒软件要想杀死病毒，必须比病毒更强大。为了检测计算机不断变化的数据，引擎将自己注入系统进程，这与木马病毒完全一样。为了追捕潜入系统深处的驱动级病毒，只能通过伪装，将部分程序以驱动的形式运行，使其深入系统内核。反病毒引擎的“文件监控”就像文件的“寄生病毒”，只不过前者驻留在内存中，扫描每个打开的文件是否有病毒，而后者在等待机会“感染”每个打开的文件。如果反病毒软件没有病毒那么硬，它不会杀死病毒，但最终会被关闭甚至销毁。比如2010年出现的“新机器狗木马”，可以深度“研究”反病毒软件的主动防御原理，利用类似于普通软件的驱动技术，一次就能摧毁40多种反病毒软件。

因此，即使在计算机上安装了防火墙和防病毒软件，也只是降低了病毒感染的概率。使用电脑时，仍要注意安全，同时要注意电脑的异常情况，如硬盘灯持续闪烁、不明原因导致电脑速度变慢等。