不同操作系统下防病毒措施例谈

王弘毅 哈尔滨工业大学计算机科学与技术学院

一、行文背景

前不久，关于各种勒索病毒及其变种的新闻充斥在各大媒体的版面上，让生活早已离不开互联网的广大人民群众纷纷神经紧绷。实际上，除了这种新出现的、主要以索取钱财为目的的病毒，当下的互联网还充斥着许多其他以盗取用户信息，或单纯进行破坏为目的的其他不法软件。这些威胁的存在使得确保计算机系统与网络的安全在如今显得极为重要——稍不留神，这些妖魔鬼怪就会趁虚而入。针对运行不同操作系统的计算机，提高计算机安全性的措施会有细微差别，但毋庸置疑，其中也有一些共性的东西存在。

二、通用原则

1.安装并积极更新杀毒软件。尽管大多数操作系统内建了防火墙和简单的防病毒软件，但要想获得更完全的安全防护，则应该在系统防护的基础上安装正规杀毒软件，加固系统安全防线。这些专业的杀毒软件会在系统中安放“钩子函数”，以捕捉到不法软件企图破坏系统的行为，并对此做出反应。除了防病毒，这些软件一般也有查杀木马和发现蠕虫的功能。

2.积极进行系统更新，保证自己的计算机补丁保持最新。一些漏洞，如之前由Google 团队发现的熔断和幽灵漏洞，实际上靠杀毒软件是很难修复的。因为这些漏洞多是由硬件设计上的疏忽造成的。像熔断漏洞，实际上是利用现代高性能处理器乱序执行指令的特点，使程序有可能访问到按照顺序来说本不应该访问到的数据。这样的漏洞只能靠安装系统厂商发布的补丁进行弥补，且很大程度上会牺牲机器的性能。

3.养成定期进行数据备份的习惯。许多操作系统内建有数据备份的功能，但最好的方式还是将本机的重要数据拷贝到可靠的外部存储设备，如移动硬盘之中。这样，就算碰到了勒索病毒导致大部分文件、甚至之前留在本机硬盘中的系统备份文件也被加密的情况，也可以通过重新安装操作系统，再将数据从外部存储器拷贝进本机的方法解决。

4.主动防范不熟悉的电子邮件和链接，不轻易点击。通过邮件和网页链接传播病毒是非常古老，但也非常经典的手段。不法分子往往会利用人们贪小便宜的心里，伪造中奖信息，诱导用户透露自己的个人信息。对这类攻击，最根本的解决方案还是提高警惕，并且只在通过多种渠道确认对方身份之后再进行进一步操作。

三、运行Windows 的计算机

除去上面的通用原则，针对运行不同操作系统的计算机，还有一些特殊的操作可以提高计算机安全性。

当前的市场中，绝大多数的个人计算机都运行Windows 操作系统。更准确来说，2019 年以来，在我国的个人计算机操作系统中，Windows 占据了92.96%的份额。

Windows 是一款非常优秀的操作系统，其界面优雅直观，操作方便，当年一上市就获得了许多消费者的青睐。但也正由于其极大的市场占有率，许多病毒都是针对Windows 操作系统来编写的，这也使Windows 的用户相较其他人暴露在更大的风险之中。

好在Windows 经过了多年的发展，功能已经发展得非常完善，其内置了许多提高系统安全性的选项，并且也内置了一个优秀的杀毒软件Defender。这款软件的病毒库更新是比较频繁的，因此往往可以应对大多数普通的威胁。除此之外，Windows 的防火墙也是功能非常齐全的，可以通过用户连接网络的具体种类来进行不同程度的防护。这两个防护一定程度上帮助用户维持了系统的稳定，也防御了外部网络的一些威胁，并且都是默认开启的，因此用户只要不要被某些网站误导，去主动关闭即可。除此之外，在最新版本的Windows10中，系统还新增了一个“使用随机硬件地址”的选项，该选项可以让用户在网络中进行通信时使用一个虚拟的随机MAC 地址，从而可以有效防止内网中的攻击。该选项可以在设置中的WLAN 选项下找到，且默认关闭。如要提升系统对内网中攻击的防御能力，则应该开启。

图1 使用随机硬件地址

四、运行Linux 的计算机

大多数运行着Linux 的计算机实际上是各大公司提供互联网服务的服务器。这些服务器往往需要运行FTP 和SSH 等一系列需要支持用户远程登入以管理主机的程序，从而也会给恶意用户留下远程侵入系统的可乘之机。

由于Linux 是开源免费的操作系统，所以软件更新一般会稍稍滞后。并且由于个人计算机往往很少使用，因此针对该系统的杀毒软件往往也没有Windows上的那样成熟。但好在Linux 有着极高的自定义性，因此我们可以通过很多其自身的特点加强防御。

1.chroot 命令

chroot 对于运行FTP 或者SSH 的主机来说是非常有效的防御措施，可以在终端中通过chroot 命令执行。其概念类似于一个简单的虚拟机，也即将FTP 与SSH 运行在一个区别于真实系统根目录的虚拟根目录下。该方案相比将程序运行在VMware 等程序提供的完整虚拟机上的最大好处就在于其运行效率很高，并且可以自己选择将哪些文件复制到虚拟目录下。在这样的情况下，就算恶意用户通过FTP 或SSH 远程登录了主机，也只能对虚拟目录下的文件进行破坏，而不会影响真实的操作系统文件。

2.合理设置权限

简单来说，Linux下文件的权限主要分为读、写和执行，且分别面向文件拥有者、组成员和其他用户分别设置。有些时候程序提示权限不够，会有程序员为了避免麻烦直接而将所有权限均赋予该程序。这样一来，程序确实可以正常运行了，但却使得其他用户也有了利用该程序的机会。为了提高系统的安全性，在给文件赋予权限时，一定要保证权力不多给、不乱给，从而防止其被恶意用户利用。

3.设置能力位

在2.1 版本以后，Linux 系统拥有了一个为程序设置能力位的功能。该功能是为了避免程序因为要执行某些特殊功能而获取系统最高权限后可能会被恶意用户利用的情况。使用了能力位的程序只能在某一类操作上拥有系统最高权限，而不能进行能力位未授权的其他操作。在终端中，可以通过setcap 命令对文件进行能力位授予，而此操作也一样应该秉持能力位不多给、不乱给的原则。

五、结束语

针对个人用户经常使用的Windows 和互联网服务提供商通常使用的Linux 系统，本文分别给出了相应的提高系统安全性的方法。但本文所提到的这些方法仅仅只是几个有代表性的方法，并非全部。在提高计算机安全的路上，没有所谓的终点。维护信息安全仍需要人们持续的研究与努力。