计算机病毒的原理与防范研究 (最新版)(10)

McAfee Associates防毒协会推出的扫毒软件中也有一个网络扫毒程序NETSCAN.EXE，该程序适用于3COM, 3/Open和AT&T，DEC Path works, Microsoft LAN Manager, Star LAN,Banyan VINES, No vell Net Ware, 以及其它与NETBIOS或IBMNET兼容的网络操作系统。该程序用于扫描网络文件服务器，如果发现病毒也可用相应的CLEAN清除病毒。这种方法的特点是：防毒软件实时监测、软件版本升级容易以及查毒杀毒软件能够发现病毒并加以清除。但与DOS防毒杀毒软件一样，防毒软件有兼容性问题，杀毒软件有被动性问题。

3.2.2 在工作站上插防毒卡

以单机为防毒对象的防毒卡虽说具有网络防毒功能，但其实质上只是解决与网络操作系统（如中断向量等）的冲突问题。另一方面，将防毒卡与产品加密合二为一，这样一个工作站必须安装一个防毒卡，给我们带来了许多不便。另外防毒卡会占用硬件资源，如扩I/O地址、充槽口等，易发生防病毒系统与其它系统的软硬件冲突，也影响电脑执行速度。

3.2.3 在网络接口卡上安装防毒芯片

这种方法是将防毒程序集成在一个芯片上，安装在网络工作站上，以便经常性地保护工作站及其通往服务器的路径。其基本原理：网络接口卡是网络上每个工作站都需要安装的，而网络接口卡上有一个Boot ROM芯片，但是多数网卡的Boot ROM并没有充分利用，都会剩余一些使用空间，如果防毒程序够小的话，就可以把它安装在网络的Boot ROM的剩余空间内，而不必另插一块芯片。这样，将病毒保护能力与工作站存取控制合二为一插在网卡的EPROM槽内，我们也可以免除许多繁琐的管理工作。Chipway防病毒芯片就是采用安装防毒芯片，当工作站DOS引导过程时，在Partition Table 装入之前，Extended BIOS、ROM BIOS装入之后，Chipway将会获得控制权，这样可以防止引导型病毒。但是目前，Chipway 对防止网络上广为传播的文件型病毒能力还十分有限。

3.3 基于服务器的NLM防治技术

基于服务器的NLM防毒技术一般具备以下功能：

3.3.1 实时在线扫描

网络防毒技术必须全天24小时监控网络，检测是否有带毒文件进入服务器。为了保证监测病毒的实时性，通常设计方法是采用多线索的，让检测程序成为一个随时可以激活的功能模块。并且在NetWare运行环境中，不影响其它线索的运行。这是设计一个NLM最重要的部分，即多线索的调度，实时在线扫描能及时追踪病毒的活动，及时告之工作站用户和网络管理员。当网络用户将带毒文件拷入服务器中时，网络防毒系统必须立即通知网络管理员，或涉嫌病毒的使用者，同时记入病毒档案。

第 7 页