V8+终端安全系统管理员手册V10

管理员手册管理员手册管理员手册版权声明本文件所有内容受版权受中国著作权法等有关知识产权法保护，为北京金山安全软件有限公司（以下简称“金山安全软件”）所有。、是金山安全软件享有权利的注册商标，本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标，特此鸣谢。金山安全软件不对本文件的内容、使用，或本文件中说明的产品负担任何责任或保证，特别对有关商业机能和适用任何特殊目的的隐含性保证不负担任何责任。另外，金山安全软件保留修改本文件和本文件中所描述产品的权力。如有修改，恕不另行通知。 北京金山安全管理系统技术有限公司400-033-9009地址：北京市海淀区中关村大街1号海龙大厦14层网址：技术支持：kss_fankui@

目录第一部分 页第一部分管理与维护第1章产品简介第1章产品简介第2章系统中心服务管理器第3章系统中心控制台简介第4章系统中心设置、管理与维护产品介绍V8+终端安全系统是一套专为企业级网络环境设计的反病毒安全解决方案，为企业网络范围内的工作站和网络服务器提供可伸缩的跨平台病毒防护。V8+终端安全系统可扩展多级架构，集中式配置、部署、策略管理和审计。网络管理员通过逻辑分组方式管理客户端、服务器的反病毒工作，通过创建、部署及锁定安全策略、配置，使得网络系统保持最新状态和良好的管理。体系结构系统采用了业界主流的B/S开发模式，由系统中心、WEB控制台、升级服务器、云引擎服务器、服务器端、客户端组成。系统中心系统中心是V8+终端安全系统进行信息管理和病毒防护的控制核心。系统中心基于CORBA与其它子系统（服务器端和客户端）连接，其它子系统在系统中心控制下完成协同工作。系统中心分为主系统中心和下级系统中心。主系统中心：管理配制所有下级系统中心，升级服务器，客户端和服务器端的权限。下级系统中心：管理和配制注册到本系统中心的下下级系统中心、升级服务器，客户端和服务器端的权限，并向主系统中心汇报数据。Web控制台系统中心Web控制台是整个V8+终端安全系统系统设置、使用和控制的操作平台。任何一台装有IE6.0及其以上浏览器的终端都能用来实现对整个网络的管理，实现“管理无处不在”。升级服务器升级服务器负责升级文件的更新与传递，还提供MS漏洞修补程序（Hotfix）下载代理。升级服务器分两种类型：主升级服务器、二级升级服务器。主升级服务器：直接从外网更新升级文件，并负责向二级升级服务器分发（也可以向客户端及服务器端分发），一般主升级服务器与主系统中心绑定。二级升级服务器：从主升级服务器（也可以是其它二级升级服务器）更新升级文件，并负责向客户端及服务器端分发，二级升级服务器一般与下级系统中心绑定。云引擎服务器云引擎服务器主要将传统杀毒软件所使用的病毒库特征集中在企业云端服务器上来统一处理，通过云引擎服务器快速响应客户端的文件特征查询请求，实现客户端对文件安全性的鉴定，在降低传统客户端对系统资源占用比较高的同时，系统防护能力因为云引擎服务器的存在得到更快的响应，从云引擎服务器到金山云的实时同步响应，也让新威胁特征的鉴定达到一个非常快的速度。动态行为分析系统动态行为分析系统是以未知文件动态行为分析为核心，以特征匹配为辅助，依托海量的金山特征库以及用户自定义的专属特征库，可帮助用户识别内部网络中的高级威胁，并能有效抵御已知/未知病毒木马、0day漏洞及未知恶意代码，可协助用户达成终端的全方位安全防护与威胁处理。基于金山安全成熟的“可信云查杀”、国内领先的多核引擎技术、KVM云启发引擎技术，金山V8+终端安全系统拥有超强自我学习及不断进化的能力，它无需频繁升级，可直接查杀未知新病毒。金山V8+终端安全系统让杀毒从非黑即白迈入黑白双控的全新阶段，实现了从多层防御到有防御纵深的持续对抗的安全模型跨越。客户端客户端面向网络中的终端群提供反病毒安全防护，能够实时监控系统的运行与操作，是V8+终端安全系统反病毒体系的执行终端之一。客户端的相关安全信息同时也会及时反馈给系统中心，管理员能在最短时间内了解网络内安全状况，并通过系统中心向客户端发出指令，远程控制其操作及安全策略设置。工作方式管理控制通信方式系统整体控制通信方式是采用以系统中心为消息处理、转发中心及具体功能节点，客户端和文件服务器为具体防毒节点。管理员通过控制台向系统中心发出具体的操作命令，系统中心解析具体的命令目的地，按需转发或者处理。客户端或者文件服务器每次启动都会登录到指定的系统中心定时汇报自己的状态，并且将发现的病毒信息反馈到系统中心。升级工作方式系统中心的升级服务模块负责升级文件的获取、更新及分发。同时，系统中心亦负责发布升级消息，客户端及服务器端将在接到升级通知后连接系统中心执行升级。其具体升级流程如下：系统中心按管理员预定义设置或手动升级命令连接到Internet更新升级文件；系统中心下载升级程序完成后通知客户端及服务器端升级；客户端及服务器端收到消息后连接到系统中心执行升级。边界防护工作方式V8+终端安全系统的客户端会自动捕获通过边界进入到系统中的文件，并通过云引擎对这些文件进行检测。对于云引擎能够识别的文件，则按照预设好的处理方法进行处理“抓黑放白”；对于云引擎不能识别的文件，则按照“分析灰”进行处理，将该文件上报给动态行为分析系统。动态行为分析工作方式动态行为分析包含两层含义：实时监控、自我学习。实时监控：通过跳转至攻击者精心构造的可执行代码，敏锐的捕获溢出行为，检测出已知和未知的漏洞利用代码。通过分析，判定文件程序是否为恶意，并输出该文件程序相关联的网址、来源和试图连接的一些恶意网址。自我学习：依据企业网络以往的检测分析历史记录，结合历史统计的威胁类别、威胁来源、威胁操作行为等，在不更新特征库的情况下获得不断增强的检测能力。可监测的行为包含但不限于：文档行为、远程程序连接、自删除、自复制、自启动、注册表敏感位置、恶意URL访问、恶意IP访问、映像劫持、终止杀软进程、释放驱动、反主动防御等行为进行实时监控。漏洞扫描工作方式漏洞扫描分为主动智能上报、客户端独立扫描两种方式。普通用户可以通过本机的客户端手动进行漏洞扫描和安装修补程序。管理员可以通过系统中心控制台来查看局域网内所有的客户端主动智能上报的漏洞信息，根据漏洞补丁信息选择需要安装的终端，并通知其下载和安装修补程序。终端下载和安装修补程序是通过系统中心的下载代理功能来实现的。对于同一个修补程序，当第一个终端请求之后，系统中心连接到微软升级网站下载相应的修补程序，完成之后，所有的终端都可以直接在系统中心漏洞修复下载代理的缓存（Cache）中直接下载安装此修补程序。这种方式不但使得不能上网的客户端可以下载修补程序，而且还大幅加快了下载的进程，减少了对于网络资源的占用。使得管理员可以集中扫描所有在线的终端，既使终端无用户登录或以受限用户登录，均可以实现无人参与的智能漏洞修复。

系统中心服务管理器为方便管理员便捷、快速的进行相关管理操作，V8+终端安全系统提供独立服务管理器。当安装系统中心时，会同步自动部署服务管理器。安装后，可在桌面托盘处看到管理器图标：双击显示管理器主面板：输入目标服务器地址及访问账号、密码，即可进行远程管理目标服务器。服务器名：即服务器所在的访问地址，输入格式为“\\”＋计算机名，或“\\”＋计算机IP地址。：连接服务器主机，需输入正确的用户名、密码。启动服务：点击“”启动系统中心服务；停止服务：点击“”停止系统中心服务；状态栏：提示用户当前管理节点的运行状态。

系统中心Web控制台系统中心控制台是可移动的操作平台（基于WEB服务架构），它支持您在任何一台安装有IE6.0及以上浏览器的Windows计算机上通过可移动的方式对系统中心进行管理、操作和设置，进而能够实现对网络中系统中心所辖终端群的管理、操作和设置。登录控制台运行IE浏览器；地址栏输入地址：http://[系统中心所在计算机的IP地址]:80；点击“登录”，进入登录页面。初始账户名及密码均为admin。注意：登录用户名区分大小写。控制台主界面

系统管理、设置与维护V8+终端安全系统为您提供了强大的管理控制功能：可通过系统中心对局域网络内所有终端统一查杀病毒、升级，启动、关闭终端铠甲防御和邮件监控；可以查看安全状态信息、日志支持基于逻辑分组的管理细分，关闭、卸载客户端。在体验金山V8+终端安全系统为您带来的可靠安全保障之前，我们仍然提示您首先进行系统相关配置，因为这样会使您所从事的局域网络反病毒安全保障工作变得事半功倍。修改默认口令为防止未经授权的非安全登录系统中心控制台，管理员首次登陆后，需修改登陆口令。登录密码区分大小写，修改方法如下：登录系统中心控制台，单击【设置中心】→【账号管理】→【修改密码】，如图：输入新密码，选择【确定】即可。终端管理可通过系统中心控制台对全网所有终端实施一键云查杀、宏病毒查杀、停止杀毒、升级、改变组、删除节点等。一键云杀毒手动扫描确定目标对象进行扫描。如果您在选定终端后直接执行查杀操作，此模式只对电脑中的系统文件夹等敏感区域进行独立扫描。一般病毒入侵系统后均会在此区域进行一些非法的恶意修改，针对性的扫描此区域即可发现并解决大部分病毒问题，同时由于扫描范围较小，扫描速度会较快，通常只需若干分钟便并可快速查杀活木马及修复系统异常问题。如果在执行查杀操作前，需要自己定制查杀路径，则需要选择“计划任务”项，自定义路径进行查杀操作:当您选择的终端显示“在线”，则立刻执行您的查杀命令；当您选择的终端显示“离线”，则将该次扫描命令保存在后台数据库中，在下次登录的时候根据后台数据库的历史记载执行该次查杀命令。宏病毒查杀快速针对选定的终端上的文档执行查杀操作。采用静动态查杀模式，用户查杀宏病毒可以不用安装office软件即可进行病毒清理。停止杀毒：当显示在线的终端处于正在扫描状态，您可以发送命令停止查毒操作，成功接受停止查毒命令的终端，扫描状态将及时发生改变，中止扫描。升级客户端单击【终端详情】选择需进行升级操作的终端组，单击【升级】即可。改变组首先选择您所需要进行操作的终端组，接着在弹出的提示框内选择相应转移的目标组，最后单击“应用”即可。找到需作更改的终端，勾选后，单击【改变组】功能按钮，浏览及设置区显示操作界面，为终端选择需加入的目标组，单击【应用】即可。删除节点首先选定需要删除客户端记录的计算机，然后单击【删除节点】，相应的客户端记录，其中包括：当前状态、病毒信息，以及安装版本信息，便从系统中心删除。与此同时，对应的客户端也从终端列表中删除。提示：用户可以在【设置中心】-【终端设置】里设置普通终端和虚拟终端的查杀设置、引擎设置、系统监控、边界防御、USB设置、权限设置、功能配置、定时查杀策略、查杀白名单，详见设置中心介绍！边界管理金山V8+终端安全系统的边界管理克服传统杀毒软件弊端，在程序和文件进入企业终端之前划定一条严格的界限，当病毒文件通过边界进入企业终端时，直接先将文件传送到系统中心进行分析判断，并由系统中心统一监控、检查，在病毒尚未运行时即可被判定为安全或不安全，让病毒无可乘之机，实现前置主动预防。客户端通过将进入到计算机的文件上报至系统中心，通过系统中心基于特征码技术的云引擎进行分析鉴定，并将鉴定结果呈现给管理员。但是仍存在一些未知文件无法鉴别，因此，您可以选择金山安全提供的金山KSP鉴定器，将未知文件提交至金山KSP鉴定器中鉴定。金山KSP鉴定器介绍金山KSP鉴定器是一套基于活体样本动态行为研究的自动化智能行为分析系统，其鉴定方法主要包括云查杀引擎、静态鉴定引擎、动态分析引擎，可对未知文件的特性行为进行详细分析并提供分析报告。本系统通过采用样本及相关素材提取技术、样本鉴定技术、运行环境模拟以及行为智能触发等技术能够对系统中心提交的未知文件的行为进行分析，从而迅速、准确地给出详细的行为分析报告，并最终帮助您快速、高效、精确地分析出最新病毒。金山KSP鉴定器优势高效金山KSP鉴定器具有“高精确度、主次分明、重点突出、重视细节”等优良特点，创新性地将未知样本分析趋向智能化、高效化、精确化、完整化，极大地提高了未知样本分析能力，高效率地保护了整个企业终端边界，更加完美地保卫您的企业安全。快速金山KSP鉴定器做了诸多优化，使分析的精确度、完整度以及分析速度达到了最佳匹配度，让您在最短的时间内，看到最精确完整的行为分析报告。联动金山V8+终端安全系统与金山KSP鉴定器可以相互联动，当终端出现无法确定文件类型时，会将此文件传送给金山KSP鉴定器，鉴金山KSP鉴定器可以高效智能精准地确定文件类型，并将该结果反馈至系统中心，以丰富其黑白库。当客户端再次遇到此文件时，依据更新过的黑白库，就会迅速做出判断。清晰金山KSP鉴定器针对企业边界文件进行分析管理，并为您提供了简明清晰的病毒行为分析，突出重点，彰显主次，并提供导出PDF功能。统一管理为您提供集中式统一管理平台，通过金山KSP鉴定器您可以细致地控制企业终端边界所有文件，严把企业安全关口。提示：金山KSP鉴定器不属于V8+终端安全系统的套件，需额外购买。在无金山KSP的环境中，也可使用金山V8+终端安全系统的【边界管理】应用来针对所有进入电脑的外界程序进行监控，帮助您更好地管理监控企业内部边防，最大限度地保障对企业内部计算机的安全防护。边界统计边界统计针对终端上报的不安全信息进行统计，可以提供全部类型的信息统计，也可以按照移动设备、网络共享、下载工具、聊天工具、浏览器、邮件六大终端边界来源进行统计。下图为边界统计界面图。您可以按照分组类型，时间范围以及文件名进行搜索，也可以导出对应的边界统计列表。已鉴定页面中展示了已经鉴定过的文件详细信息，界面如下图所示：边界统计页面包括全部文件和已鉴定文件信息，向您展示了边界文件的文件名，上报时间，鉴定结果，文件追溯，并提供给用户相应的操作，以及文件详情。操作介绍鉴定：点击“鉴定”按钮，您可以对相应的文件进行鉴定。取消鉴定：点击“取消鉴定”按钮，您可以取消文件鉴定。再次鉴定：点击“再次鉴定”按钮，您可对该文件进行再次鉴定。鉴定结果未知文件：该文件类型为未知文件；鉴定中：该文件正在被鉴定器鉴定；威胁文件：该文件为威胁文件；安全文件：该文件为安全文件；未见异常：该文件暂未发现有威胁行为。查看报告点击“详情”，您可以查看文件鉴定详情。文件分析报告中，点击“导出PDF”按钮，可导出报告。边界设置边界设置包括鉴定服务器设置、鉴定策略设置。鉴定服务器设置鉴定器服务器设置包括鉴定服务器通讯配置、鉴定方式配置、缓存鉴定文件位置。鉴定服务器 提示鉴定服务器状态，并可测试鉴定服务器的通讯状态； 输入鉴定服务器IP地址和端口号码，点击“测试”按钮，可对鉴定器的通讯状态进行测试； 点击页面右下角“应用”按钮，可对鉴定器的设置进行应用。自动鉴定设置 用户选择是系统自动鉴定，还是手工鉴定。缓存鉴定文件位置 提示默认服务器缓存鉴定文件保存的目录地址。鉴定策略设置鉴定策略设置包括未知文件上报、上传文件大小、缓存鉴定文件大小、清理缓存文件模式。未知文件上报 可开启或关闭来自网内边界的所有未知文件，了解全网系统薄弱环节，追溯病毒文件来源。上传文件大小 可限定所上传的单个鉴定文件大小。缓存鉴定文件大小 设置系统中心缓存文件空间最大值、客户端缓存文件空间最大值。清理缓存文件模式 设置清理缓存文件模式，共有磁盘节约模式和数据完整模式。漏洞修复V8+终端安全系统具有独特的漏洞扫描，可自动检测软件各种漏洞，同时提供官方补丁下载地址，从根本上减少安全隐患。单击【漏洞修复】即会弹出全网漏洞扫描操作窗口：漏洞扫描分为主动智能上报方式，您可以在页面上查看到相应的扫描结果，可以分别按补丁或主机索引，查看漏洞详细信息，并对终端进行有针对性修复。V8+终端安全系统还支持自动修复策略，同时可以限制补丁修复的时间，更体现了新漏扫的人性化设计。提示：用户可以在【设置中心】-【终端设置】里设置终端的漏洞修复策略，详见设置中心介绍！软件管理软件管理包含软件资产获取、禁用软件、卸载软件、分发软件、报表导出：查看软件资产：管理员登陆管理台可查看已获取的软件资产信息。禁用软件：设定目标范围的终端计算机禁止使用某款、多款软件。卸载软件：设定目标范围的终端计算机在指定时间段内卸载指定软件。分发软件：对目标范围的终端计算机分发某款软件，并以指定的参数安装、运行。查看资产透过【软件统计】，可以查看某款软件分别在哪些终端上有安装过、某台客户端有安装哪些软件、软件的基础信息。查看软件对应的终端信息查看终端对应的软件信息报表导出点击【终端软件详情】、【软件终端详情】窗口右上角“导出”，即可将当前报表信息全部导出。禁用软件根据单位实际情况，选择需要禁用的软件以及目标终端范围。操作方法见下图。 已禁用的软件可通过上图的“允许运行”来解除“禁用”的管控，允许终端运行目标软件。卸载软件卸载一款软件卸载多款软件卸载通知管理通过“卸载通知管理”，可查看所有已经下发的卸载任务信息。操作如下：“软件卸载任务管理”中的“执行情况”定义：显示实际已执行数/计划执行数。“软件卸载任务管理-执行情况”中的“已卸载”、“未卸载”定义：实际已执行卸载的软件总数、仍未卸载的软件总数。分发软件管理员登录管理台，进入【软件分发】页，首先选定组织范围，其次上传需分发的软件，最后设定分发策略。如图所示：若您希望软件分发下去后，客户端自动立即执行安装，则勾选“静默接收”。否则，勾选默认值“弹窗确认后接收”，客户端计算机会弹窗提示管理员有分发软件需要下载或安装，由客户端的计算机用户决定什么时候下载、安装。管理员可通过“分发任务管理”查看、取消、导出已下达的分发任务。如图：执行中：显示当前仍有效的分发任务信息。已失效：显示已过期、已取消的分发任务信息。 导出记录：可导出执行中、已失效的分发任务信息。信息统计详实的系统信息统计与日志信息将为您进行决策提供可靠参考，V8+终端安全系统为您提供了终端的整体概况以及实时更新的升级日志。它能够详细的统计终端的安全信息，记录病毒日志，并具有定制报表功能。可以查询感染指定病毒的终端，以及导出EXCEL文件。系统概况如果您需要查看终端的整体概况，请点击【信息统计】→【整体概况】。病毒日志您可在“病毒日志”下，可按日志种类，时间段，和IP段进行查询。未安装统计您可以在这里开启或关闭自动统计网内未安装客户端功能，也可以设置企业内未安装客户端上报时间间隔。当设置完成后，点击应用即生效。未安装统计页为您提供未安装客户端终端名称和IP地址，若名称为空白，则表明未检测到终端名称。下图为未安装统计界面图。升级日志详实的日志信息将为您进行决策提供可靠参考。V8+终端安全系统为您提供了实时更新的升级日志。它能够详细的记录升级信息，包括升级类型、开始时间、结束时间、升级结果，以便您第一时间掌握资料，及时而快速的采取措施。如果您需要查看升级日志，请单击【信息统计】→【升级日志】：高级报表如果您需要定制报表，请点击功能区的【信息统计】→【高级报表】，可以根据需要进行制作报表并可以导出PDF、Excel报表，显示客户机发现病毒汇总、病毒汇总、分组汇总列表信息。设置中心【设置中心】统一对系统中心，升级服务器，终端以及虚拟化服务器进行设置。系统中心网络环境设置通过勾选“系统中心和终端都可以联网”、“系统中心可以连接联网，终端不可以（半隔离网）”、“系统中心和终端都不可以联网（隔离网）”，您可以决定终端和控制中心是否自动连接网络。如下图所示。无效节点清理在金山V8+终端安全系统体系中，每个终端每次登录时都需要向系统中心报告自身状态，对于一些很长时间没有汇报自身状态的计算机（例如终端已不存在于网络中、重装了操作系统等情况），系统中心将无法获取其状态，这既不便于您了解其安全状况，也有可能造成授权节点数的空置。为此，我们提供了“终端清理”功能。默认时间为7天自动删除不活动终端，您也可以自定义删除标准，当某终端到达预定的时间界线时，系统中心即视该终端为“不活动终端”，可以自动加以删除。您可以在功能区单击【设置中心】→【系统中心】→【全局设置】进行设置。终端过滤终端过滤规则，简称白名单功能。系统中心默认允许所有IP连接到本系统中心。而一旦启动白名单功能之后，只允许白名单列表范围内的IP连接到本系统中心，在白名单列表范围之外的IP地址都视其为黑名单，拒绝其连接。您可以通过如下步骤完成：单击【设置中心】→【系统中心】→【终端过滤】，出现如下操作界面：报警设置V8+终端安全系统可以让您设置多种报警方式，在网络出现病毒疫情时及时向您反馈。当网络上的计算机受到病毒感染时，您会收到可靠的报警通知。不仅如此，金山V8+终端安全系统还支持您自定义收到报警通知的方式。SNMPTrap通知（简单网络管理协议，一个管理网络设备和计算机的一个标准协议）：当您于客户端发现病毒时，系统中心将警报信息发送到网络中的SNMP服务器中，通过SNMP服务器的Trap事件，管理员便可以获知病毒警告信息，从而实现与现有的网络管理平台无缝结合。您需要填写相应的服务器IP地址、社区名。NT事件日志通知：如果服务端是NT操作平台，当客户端发现病毒时，可以将病毒警报信息写入NT事件日志，管理员可以通过查看NT日志获知病毒警告信息。如果设置多台计算机的汇报机制，在“发送目标计算机”栏中填写这些计算机的IP地址，地址之间用分号间隔。Email通知：选中此项，Email通知方式将被启用，您需要填写SMTP服务器的IP地址、端口号，以邮件方式通知网络管理员。

例如：IP：、端口号：8081。从“自身邮箱”到“网络管理员邮箱”，主题：findvirus。信使服务：发现病毒时终端可以通过Windows信使服务发送消息到指定的计算机来通知网络管理员。默认的警报所触发条件为60分钟内的病毒总数达到100个，您可以根据网络的实际情况修改此条件设置。部署设置您可以在此进行部署设置，主要包括部署通知编辑和在线工具管理。可在编辑区里编辑通知标题，称呼以及正文，点击“预览”可直接在右侧预览区预览显示效果；如需应用此通知，则点击“保存”。下图为部署通知编辑界面图。保存完成后，用户访问系统中心，无需登录，即可查看企业部署通知，如下图所示。热门工具通过在线工具管理中添加或删除工具，便于您统一便捷管理系统中心页中热门工具。如需添加工具，您可以在此页面中点击“+”添加工具。点击添加，会弹出添加工具对话框，您可以按照提示添加并点击上传。如需删除某一工具，直接将鼠标移至该工具处，点击红色关闭按钮，将弹出确认框，如需移除，点击确认即可。消息公告消息公告为您提供统一向客户机发送消息的功能，并提供消息日志列表，主要包括消息设定和消息日志。消息设定您可以在此处向客户机发送消息，需输入消息标题，消息内容，并设置公告范围以及发送设置。下图为消息设定截面图。提示：只有您点击“发送”时客户机才能收到消息！消息日志消息日志为您提供所发布消息的详细列表，您可以在此处查看向客户机发送的消息记录。下图为消息日志界面。产品授权您可以查看硬件ID号和产品序列号，可以授权文件同步、用户资料、导入/备份授权文件。产品授权界面图如下。授权分割授权分割向您提供系统中心信息列表，当前系统中心会显示在列表中，并计算为一个系统中心授权点数，此点数是由上级系统中心或授权文件分配，不可在此处修改；不在线的系统中心节点可以删除，但是当前系统中心不可删除。授权日志提供授权的详细信息列表，您可以根据管理员账号、系统中心名称、系统中心IP来进行搜索，也可以导出当前页日志，导出符合结果的全部日志。账号管理为了防止未经授权的非安全登录，系统中心控制台的登录需要提供登录密码。登录密码区分大小写，作为管理员您可以在此页面中点击【修改】，如图：直接输入新密码，选择【应用】即可。若是使用了虚拟配置的功能时，使用admin的账号登陆至账号管理页面，会出现层级的账号展示方式。这样admin管理员会更清楚查看每个分级的账号信息。组织管理管理员进入此页面可以完成分级和分组操作，具体为：分级：主要针对于服务器紧张，但同时又希望实现多个二级管理的用户，通过此功能，用户可以通过管理员账号登录区分内容，登录同一台物理服务器上去实现多级及不同范围终端的管理。分组：对终端进行逻辑分组管理及配置，从而更符合终端的具体防毒需求差异。归属到一个组中的终端可以按照统一的方式进行管理，可以通过设置组选项来统一同一组内所有终端的行为和权限等。基于需求的自定义分组，针对不同的组实施不同病毒防护策略。添加分级依次点击：【设置中心】【系统中心】【组织管理】，点击“添加分级”。当输入完相关资料后，点击应用之后，下级用户可以使用分级后的账号来进行登录，对所管辖的客户端进行管理。添加分组依次点击：【设置中心】【系统中心】【组织管理】，如下图所示，点击“+”，添加分组：编辑相应的策略，完成后点击【应用】，如图：点击【下载该分组安装包】，下载的安装包内置了该分组信息，使用此包安装后，该计算机所在的客户端会自动连上系统中心，同时会归入目标分组下。修改IP分组管理员若需调整IP自动归组时，选中改组，并单击【修改】，如图：输入正确IP后，如下两个操作会有不同的效果：点击【IP刷新分组】会对已安装客户端的计算机，将根据IP列表分组，否则移至默认客户机组。点击【应用】后，以后安装客户端的计算机将按照IP列表分组，否则移至默认客户机组。升级服务器定时升级您可以将所部署的金山V8+终端安全系统设置成为可自动下载最新版的病毒库、程序文件并完成更新。当然，您亦可以通过手动执行升级。但我们推荐，如无非常规情况出现时，您应优先使用定时升级，因为这会大幅提升工作效率。点击【设置中心】→【升级服务器】→【定时升级】，如图：系统中心定时升级设置默认为主动实时升级，升级成功后将向下属所有的客户端、服务器端自动分发更新程序。您亦可以根据需求自定义具体的升级时间间隔。代理设置点击【设置中心】→【升级服务器】→【代理设置】，如图：如果您所管理的网络是通过“代理”的方式连接Internet，那么您需要进行相应设置。请选择“使用代理服务器”项，然后填写各种设置：代理类型（Socks4、Socks5、HTTPProxy）、服务器名称、端口号（默认为8080），连接到代理服务器时使用的用户名、密码。填写完成并确认后，单击【应用】按钮以应用这些设置。终端设置终端设置包括对普通终端和虚拟终端进行分别设置，设置内容包括查杀设置、引擎设置、系统监控、边界防御、USB设置、权限设置、功能配置、定时查杀策略、漏洞修复策略、定时升级策略、查杀白名单。查杀设置“查杀设置”可对普通终端和虚拟终端进行设置，主要包括查杀文件类型、需扫描的其它内容（高级操作）、发现病毒的处理方式、清除失败时的处理方式、启用文件过滤和设置文件过滤。查杀文件类型默认设置为对所有文件进行全面扫描，并包括“压缩文件”。当勾选“仅扫描程序和文档文件”时，普通终端或虚拟终端将只扫描程序文件和文档文件。扫描时进入压缩包“全盘查杀时进入压缩包扫描”，“指定位置查杀时进入压缩包扫描”。用户可以复选以下两个选项，建议用户都进行勾选。发现病毒的处理方式默认提供两种处理方式，分别是“手动处理”，“自动处理”，同时您可以选择“清除病毒前，备份文件”选项（默认以后缀为KBK格式备份）。宏病毒查杀可对全网终端设置是否开启全网宏病毒查杀，默认开启查杀。云查杀高级设置“运行环境监测”、“启动项监测”、“系统关键位置监测”、“系统强力修复监测”、“网络和应用扩展监测”。用户可以勾选多个复选框进行云查杀高级设置。引擎设置引擎设置可以为普通终端和虚拟终端设置KVM云启发引擎，当开启KVM云启发引擎后，则对应终端启动高敏感模式，文件检测更严格。KVM是应用了多种智能数学算法的云启发引擎，具有超强的自我学习进化能力，使得客户端和云端无需频繁升级病毒特征库，就能直接查杀未知新病毒，大幅度提升检出能力，并且保持长时间内检测病毒能力不衰减。系统监控系统监控用户可以选择对【发现病毒时的处理方式】，根据自身终端或虚拟终端配置情况选择监控模式，安全等级及安全功能设置。【监控模式】分为两大类：智能监控-快速拦截病毒运行，对终端系统性能影响最小；全盘监控-对磁盘上所有文件的执行和创建、修改，对电脑性能有较高影响；【安全等级设置】可以设置快速监控只拦截有毒程序和监控到可疑的程序，都将弹出警告提示，可能存在误报【安全功能设置】可开启邮件监控和系统内核加固。默认设置中，将扫描程序以及文档文件，拦截到病毒自动清除。最后请单击【应用】，保存您该次对系统保护的设置，并且该次设置是立即生效。边界防御默认选定开机时是启动边界防御，边界防御可对插入U盘进行实时保护，并提供对所发现U盘病毒的处理方式。U盘卫士能够实时监测移动设备是否带毒，避免主机受到病毒的感染，杜绝病毒的传播。边界防御 用户可对普通终端或虚拟终端设置边界防御设置，默认设置为开启边界防御。U盘卫士 用户可对普通终端或虚拟终端设置U盘卫士，可设置开启U盘5D实时保护系统、插入U盘后扫描U盘内恶意隐藏文件。插入U盘发现病毒处理方式 用户可选择普通终端或虚拟终端插入U盘发现病毒的处理方式，系统默认为手动处理。USB设置 锁定终端上的USB接口，可防止通过U盘窃取公司商业机密、政府机密信息的行为，也可有效防止U盘病毒感染等情况。默认设置将启用USB存储设备，即所选中的分组可以通过USB接口进行读写操作。启用USB存储设备 允许终端使用USB存储设置和USB鼠标、键盘和加密狗等。禁用USB接口管理 若选择禁用USB存储设置项，则禁止使用USB存储设备，如U盘、移动硬盘等，但是允许使用USB鼠标、键盘和加密狗。只读模式 默认设置将关闭只读模式。若勾选“只读模式”，则针对所选分组以及对应终端，只允许从U盘向电脑拷贝资料，禁止从电脑向U盘拷贝资料。权限设置设置终端卸载权限 默认设置将限制用户自行卸载客户端，只有当客户端用户知道卸载密码（密码由管理员设置）时，才能进行卸载操作。当网络管理员需要对客户端增添自行卸载权限时，选定“允许自行卸载终端”项即可。设置终端关闭权限 默认设置将限制客户端自行关闭，只有当客户端用户知道关闭密码（密码由管理员设置）时，才能进行关闭操作。当网络管理员需要对客户端增添自行关闭权限时，选定“允许自行关闭终端”项即可。设置终端普通权限 默认设置允许启动或关闭终端铠甲防御、允许启动或关闭U盘监控、允许终端停止管理员的查杀命令。当管理员需要调整其中设置，可以通过选定或取消原有选项实现。设置终端强管理 默认设置允许终端可以查看终端日志，恢复区，终端设置。当管理员需要限制终端查看日志、恢复区、终端设置时，勾选对应项，并设置查看对应项的密码。当管理员勾选了需要限制权限的内容，终端只有输入管理员设置的密码后，才能有权限查看对应的内容。功能配置功能配置中可以为客户端增加功能模块，系统优化、垃圾清理、漏洞修复、xp防护盾功能。还可以进行管理员信息配置。开启系统优化开启后，将会在终端自动执行系统优化。开启垃圾清理开启后，将会在终端自动执行垃圾清理。开启漏洞修复开启后，将会在终端自动执行漏洞修复。开启XP防护盾开启后，将会自动在客户端开启XP防护盾。XP防护盾是金山V8+终端安全系统为XP用户专门提供的一套安全防护方案，用来应对windowsxp在微软停止服务更新后可能面临的一系列安全问题。XP防护盾通过分析windowsxp系统中以往的漏洞攻击手法，对可能被利用的系统弱点进行针对性保护，可最大限度地防止系统和常用软件遭受漏洞攻击。除此之外，还针对windowsxp用户建立了一套完整的云补丁发布引擎，可以在最短时间内针对新漏洞发布应急补丁。XP防护盾的主要功能有：XP系统加固 针对XP系统新增的先进漏洞防护方案。如果XP出现新的系统漏洞，爆发安全问题，它可以帮助您的电脑在未安装补丁的情况也能免受漏洞攻击。关键程序保护 针对系统高发的常用软件进行深度漏洞防护，可保护您的常用软件在爆发漏洞时，也能免受漏洞攻击。云补丁引擎 智能识别最新漏洞，通过云端快速发布和更新XP漏洞防护补丁。快速捕捉 迅速捕捉WindowsXP平台的恶意程序，及时升级病毒库，以快速响应WindowsXP的恶意软件，保证在最短的时间内防止恶意程序入侵xp系统。备注：服务器终端没有集成系统优化和垃圾清理功能，开启功能仅对普通终端有效。当关闭边界防御时,XP防护盾会一起关闭。定时查杀策略“定时查杀策略”可实现安全边界查杀防范的能力。选择分组：您可以选择全网查杀或一键云查杀，通过指定查毒的范围，让查毒更灵活地为您服务。查杀类型：默认每次扫描所有磁盘。同时您也可以根据需要指定扫描路径——您不仅可以通过我们提供的复选项指定目标路径，还可以通过自定义的方式指定路径，格式如：C:\DocumentsandSetting。查杀频率：您可以从三种定时查毒方式（每天、每周、每月）中选择一种适合您的方式，然后指定具体的时间点。查杀时间：您可以指定具体的查杀时间。提示：普通终端的用户在注销时将会关闭金山V8+终端安全系统客户端主程序，此时任务调度将不能按时执行。您可以指导用户在临时离开计算机时（如午休时间）使用“锁定计算机”而不是“注销”。当所有用户形成习惯后，您的任务调度将会得到很好的执行！漏洞修复策略“漏洞修复策略”为您提供漏洞修复策略的设置，包含选择分组、终端类型、修复类型、修复频率、修复时间的设置。选择分组您可以选择全网修复或一键云修复，通过指定修复的范围，让查毒更灵活地为您服务。终端类型 终端类型包括普通终端和服务器终端，用户可以根据具体情况选择合适的终端类型。修复类型修复类型包括高危漏洞修复和全部漏洞修复。修复频率 您可以从三种定时修复方式（每天、每周、每月）中选择一种适合您的方式，然后指定具体的时间点。修复时间您可以指定具体的修复时间。定时升级策略“定时升级策略”为您提供定时升级终端策略的设置，包含选择分组、升级类型、升级频率、升级时间的设置。选择分组 您可以选择全网升级或一键云升级，通过指定升级的范围，让查毒更灵活地为您服务。升级类型修复类型包括定时升级和取消升级。升级频率 您可以从三种定时升级方式（每天、每周、每月）中选择一种适合您的方式，然后指定具体的时间点。升级时间您可以指定具体的修复时间。查杀白名单设置信任文件及文件夹如果用户的文件被扫出来为黑文件，但是用户觉得没问题，又怕被后台扫出来被删除。就可以在设置信任文件及文件夹处添加，设置为信任文件。值得注意的是，这个添加是路径添加，只能确保这个文件在这个路径下是受保护的。设置信任文件扩展名用户可以在此添加任意文件扩展名，如（.exe,.txt等等）。添加成功后，病毒扫描和实时防毒，将排除列表中扩展名的文件。虚拟化服务器针对虚拟化环境，金山V8+终端安全系统虚拟化安全解决方案结合无代理模式的性能优势和基于代理的多层级保护手段。系统中心负责所有任务计划的调配，同时安装在虚拟机上的“轻终端”尽量占据最低的负载，从而将其对机器性能的影响降到最低。所支持的虚拟化类型金山V8+终端安全系统支持的虚拟化类型有“裸机型”、“托管型”、“容器型”。“裸机型”：虚拟机直接运行在系统硬件上，创建硬件全仿真实例，如VMware、Vsphere、MicrosoftHyper-V、KVM；“托管型”：虚拟机运行在传统操作系统上，创建的是硬件全仿真实例，如VMwareworkstation、virtualbox；手动部署虚拟终端用户可以通过访问控制台首页地址，单击【下载安装】，选择虚拟终端安装包，待下载完成后可直接安装。虚拟化终端策略配置管理员可以登录控制台，对虚拟化终端进行归属设置和性能策略设置。您可以在【终端设置】设置虚拟终端的查杀设置、引擎设置、系统监控、边界防御、USB设置、功能配置。提示：用户可以在【设置中心】-【虚拟服务器】里设置虚拟终端归属设置和性能设置，详见设置中心介绍！虚拟终虚拟化服务器管理全网虚拟服务器概况描述全网虚拟终端总数、默认服务器虚拟终端数以及各服务器虚拟终端数。其中，未分配虚拟终端都将划分到默认虚拟服务器中。虚拟服务器参数配置通过控制台修改服务器名称，添加服务器备注，设置特定服务器查杀指令，具体有最大同时下发命令数、一键云查杀时间、全盘查杀时间、指定路径查杀时间、升级时间、漏洞修复时间。同时也可以根据IP范围对虚拟化服务器进行管理。最大同时下发命令数:虚拟服务器所能支持的同时下发命令数设置，此设置项将限制虚拟终端一键云查杀时间命令、全盘查杀时间命令、指定路径查杀时间命令、升级时间命令、漏洞修复时间命令。例如，虚拟服务器所能支持的同时下发命令数为10条，则以上单个虚拟终端每次执行的命令不能超过10条。一键云查杀时间单个虚拟终端一键云查杀间隔时间设定。全盘查杀时间单个虚拟终端全盘查杀间隔时间的设定。指定路径查杀时间单个虚拟终端指定路径查杀间隔时间设定。升级时间单个虚拟终端升级间隔时间设定。漏洞修复时间单个虚拟终端漏洞修复时间设定。新建服务器用户可以在此添加目标虚拟服务器，预设其属性信息。可根据IP范围对虚拟化服务器进行管理。第二部分终端第第5章终端简介第6章终端安全防护第7章终端设置终端简介在金山V8+终端安全系统中，终端是面向网络中的终端设备而设计的病毒防护执行终端。它提供了系统保护、边界防御、全面查杀、一键云查杀、病毒隔离、邮件防护及漏洞扫描等多种功能，针对可能来自软盘、光盘、网络共享及邮件、网络下载等各种途径的病毒入侵，实现全方位的病毒防护。终端还能接收并执行系统中心发出的指令，按系统中心设定的策略配置选项。终端通过系统中心指定的服务器升级，升级过程无需人工参与。金山V8+终端安全系统的终端，拥有30核查杀引擎意味着查杀能力数十倍于传统杀毒软件，率先采用云查询的模式，当发现病毒时，终端会及时将病毒信息反馈给系统中心。即使是未知病毒，终端会通过云引擎服务器快速向金山公有云得到鉴定结果，并不采用传统杀毒软件依赖庞大的病毒库杀毒的方式，解决了终端占用资源的技术难题，提升了终端的负载能力，以及注册速度；金山V8+终端安全系统终端是安装在终端上响应系统中心命令或自定义查杀病毒，开启、关闭文件系统防御、邮件监控、漏洞扫描等功能的操作平台，是金山V8+终端安全系统防毒功能的实际执行者。终端安全防护首页打开客户端主面板，您将首先看到金山V8+终端安全系统首页，其中包括当前终端的操作系统、已保护系统天数、立即体检、终端防护开关、实用工具以及基本信息栏为您显示当前终端的病毒库版本、查杀病毒引擎版本。点击【立即升级】按钮，您可以实现本机终端的一键升级。如图：铠甲防御 边界防御：边界防御是一种效果好，占用低的新型防御。防御点前移到病毒进入系统的入口，拦截时机早，病毒更难对抗。边界防御主要防御点有：上网安全保护：上网不中毒、不受骗；聊天安全保护：聊天不中毒；看片安全保护：网络看片不中毒；网络下载保护：网络下载不中毒；系统防御：全新K+（铠甲）防御技术，新一代云主动防御。独创对流行病毒样本的广谱防御能力，内含启发式规则和多点继承判断，全面对抗流行病毒样本手段。U盘监控小U高启发引擎，断网环境大杀器：自主创新研发小U引擎，高启发查杀U盘病毒，修复U盘文件异常，带给U盘极致安全保护，直接阻断断网环境下病毒感染电脑的唯一渠道。邮件监控开机时是否启动邮件监控（建议使用该项，双重过滤机制，实时扫描收发邮件，当发现带毒邮件将自动进行过滤、报警、查杀）；发现病毒时是否弹出消息框（默认不显示该对话框）；是否自动过滤垃圾邮件（垃圾邮件规则由程序内部定义）。网络设置当出现网络连接异常，默认5分钟时限中止本次连接；填写收发邮件端口号，默认的POP3端口为：110；SMTP端口为：25。扫描设置扫描邮件的选择（对扫描具体邮件流动方向进行选择）。发现病毒时处理方式默认采用“自动清除病毒”；可自定义对病毒邮件操作，处理病毒对话框默认显示1分钟；是否添加处理邮件病毒时附加操作。（修改邮件主题——程序在发现有毒邮件时，自动修改邮件主标题，以此警示用户；添加报告.txt附件——对病毒邮件添加一定的说明。）电脑杀毒金山V8+终端安全系统终端进一步完善数据流、脱壳等查杀技术，并且新植入启发式杀毒技术，打造强大的病毒、木马、恶意软件查杀功能，将藏身于系统中的病毒、木马、恶意软件等威胁一网打尽。查杀类型根据不同用户的需要，金山毒霸提供了两种常用的病毒查杀模式以及三种特殊场景查杀模式，在"电脑杀毒"页面可以直接进行选择：全盘查杀此模式将对电脑的全部磁盘文件系统进行完整扫描。某些病毒入侵系统后不仅仅破坏系统文件，也会在其他部分进行一些恶意破坏行为，选择此模式将对您的电脑系统中全部文件逐一进行过滤扫描，彻底清除非法侵入并驻留系统的全部病毒文件。并可强力修复系统异常问题。一键云查杀此模式只对电脑中的系统文件夹等敏感区域进行独立扫描。一般病毒入侵系统后均会在此区域进行一些非法的恶意修改，针对性的扫描此区域即可发现并解决大部分病毒问题，同时由于扫描范围较小，扫描速度会较快，通常只需若干分钟。并可快速查杀活木马及修复系统异常问题。指定位置查杀此模式将只对您指定的文件路径进行扫描。您可以根据扫描需求任意选择一个或多个区域。同时病毒查杀界面有U盘全面查杀、隔离与恢复、信任列表、系统修复的按钮，便于用户在此界面主动搞定查杀修复本机。在病毒查杀界面为您显示您提供最近一次查杀的病毒的时间、查杀模式、发现的威胁数及处理的威胁数。提供信任列表，让用户及时掌握本机状态。U盘查杀采用高启发算法，在高效检出U盘病毒的同时，更可完美修复病毒对U盘造成的损害。宏病毒查杀采用高效智能的静动态查杀，不会删除文档且能够免疫office病毒，可以完美清除电脑中的宏病毒。日志管理器日志管理器包含病毒查杀日志、系统防御日志、挂马拦截日志、IE防火墙。通过日志查看器，可查看病毒查杀、监控防御相关的历史记录及其详细信息。您可通过这些病毒日志和隐蔽软件日志记录您终端上遇到的病毒和隐蔽软件的状况，及时为终端的病毒防护制定相应措施。如图所示：系统优化系统优化功能，有效的帮助用户对开机启动项目进行管理，找到影响开机速度、影响电脑运行效率的软件，通过系统优化功能提升系统的运行效率，降低不必要的资源消耗。一键优化进入“系统优化”窗口，排在首位的就是“一键优化”，打开“一键优化”选项卡，软件自动扫描系统，并将可禁止的启动项、可延迟的启动项、系统运行加速优化项一一列出，用户只需要单击“立即优化”按钮，即可完成系统优化，提升系统性能。如图：开机时间金山企业终端检测到的开机时间比同类软件更精确，不会出现某些软件开机时间小窗口已经弹出，用户桌面却还卡着的问题。如图：开机加速用户通过此模块，可以分别对“开机启动项”、“系统服务项”、“计划任务项”和“扩展加载项”进行管理。用户通过项目列表，可以结合实际所需，删除部分无用启动项和暂时禁用部分无需随机启动的加载项目，阻止其随开机运行。加速开机和操作系统启动。优化历史用户可在‘优化历史’界面很详细的看到自己修改过什么，并且可以通过这个历史页面很方便的撤销自己的操作，使得用户对“优化后遗症”不再担心。垃圾清理金山V8+终端安全系统系统提供的垃圾清理功能，能够协助终端用户对上网产生的垃圾文件、看视频和听音乐产生的缓存以及Windows系统产生的垃圾文件进行有效的清除；清除使用计算机时留下的各种痕迹，有效保护个人隐私；清理注册表可以加快系统速度。保证电脑快速健康的运转。清理垃圾Windows在运行过程中，会产生较多的临时文件，打完补丁之后，Windows目录下可能有多达数百兆的无用文件，使用【清理垃圾】功能可很快完成垃圾文件的分捡和删除，一举回收上G空间。在类似工具中，清理垃圾的速度更快。清理痕迹金山企业终端清理的系统历史记录包含但不限于各种主流浏览器、播放器、文档编辑器的历史记录，打印机的历史记录。金山V8+终端安全系统带有的清理功能不会删除不该删除的信息，比如登录京东、淘宝网时保存的帐户信息，若不分清红皂白的简单删除，下次登录这些网站时，就需要重新输入帐号密码，而有的网友可能已经记不起来这些信息了。还有一些用户会经常使用BT下载，往往电脑上存在一些尚未下载完成的电影和软件，使用其它工具做痕迹清理后，那些花了几小时未完成的任务会被一口气删光，金山企业终端打扫痕迹时默认会保留这些数据。注册表清理使用金山企业终端的注册表清理，可快速清理不存在的DLL文件记录、打开相关Windows操作系统对话框的历史记录、文件类型操作记录和过滤的开始菜单记录等等。清理速度很快，同时非常稳定。漏洞修复V8+终端安全系统除提供由云平台统一进行的漏洞扫描及修复功能外，终端亦拥有独立的漏洞扫描模块检测软件漏洞，为您的系统安全保障提供灵活性，有效减少安全隐患。漏洞扫描其实是一键设计的，在Web控制台点击【漏洞修复】，便可对终端进行漏洞扫描、修复。终端设置基本设置对终端基础策略进行配置。基础策略包含：开机自启动、升级选项、免打扰模式、弹窗提醒设置。病毒查杀设置查杀的文件类型所有文件扫描。勾选此项可以进入压缩包查询，对常见压缩包中的病毒可以实现“包内清除”。仅程序以及文档文件。发现病毒时处理方式可配置自动处理、手动处理。清除病毒设置推荐勾选将病毒备份至隔离区。系统保护设置 默认选定开机时是启动文件系统保护，系统保护设置里可对发现病毒时的处理方式，以及用户根据自身电脑配置情况选择监控模式。智能监控快速拦截病毒运行，对终端系统性能影响最小。全盘监控对磁盘上所有文件的执行和创建、修改，对电脑性能有较高影响。全盘监控对磁盘上所有文件的所有操作方式监控，对电脑性能有极高影响 默认设置中，将扫描程序以及文档文件，发现病毒自动清除，清除失败则将文件放至隔离区。最后请单击【确定】，保存您该次对系统保护的设置，并且该次设置是立即生效。信任设置信任设置包含：文件信任和网址信任以及系统修复信任。文件信任1)设置信任文件及文件夹如果用户的文件被扫出来为黑文件，但是用户觉得没问题，又怕被后台扫出来被删除。就可以在设置信任文件及文件夹处添加，设置为信任文件。值得注意的是，这个添加是路径添加，只能确保这个文件在这个路径下是受保护的。2)设置信任文件扩展名用户可以在此添加任意文件扩展名，如（.exe,.txt等等）。添加成功后，病毒扫描和实时防毒，将排除列表中扩展名的文件。网址信任加入信任的网址，不会被查杀扫描到，也不会被上网保护拦截。用户需确认的网址添加信任设置，否则容易被木马等侵害。第三部分附录附录A参考信息附录A参考信息附录B病毒知识介绍附录C技术支持与售后服务附录D关于金山

附录A参考信息金山安全主页金山毒霸主页金山毒霸论坛主页/技术支持主页/service/service2-1.html病毒大百科/病毒上报地址/技术服务电话4000339009传真(010)82663885附录B病毒知识介绍什么是计算机病毒计算机病毒是指编制的或者在计算机程序中插入的，能够破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。一般计算机病毒具有以下特征：可执行性——与其他合法程序一样,是一段可执行程序,但不是一个完整的程序,而是寄生在其他可执行程序上,当病毒运行时,便与合法程序争夺系统的控制权，这往往会造成系统崩溃，导致计算机瘫痪。传染性——通过各种渠道（磁盘、共享目录、邮件等）从已被感染的计算机扩散到其他计算机上。潜伏性——一些编制精巧的病毒程序，进入系统之后不立即发作，而是隐藏在合法文件中，对其它系统进行秘密感染。一旦时机成熟，就四处繁殖、扩散。有的则会进行格式化磁盘、删除磁盘文件、对数据文件进行加密等使系统死锁的操。可触发性——病毒具有预定的触发条件，可能是时间、日期、文件类型或某些特定数据等。一旦满足触发条件，便自我启动进而感染或破坏；如不满足预定的触发条件，继续潜伏。针对性——有些病毒只针对特定的操作系统或特定的计算机。隐蔽性——大部分病毒代码非常短小，这是为了隐蔽。而且它们一般都隐藏于正常程序之中，难以发现，一旦发作，则已经给计算机带来了不同程度的破坏。计算机病毒的分类根据存在的媒介，病毒可以划分为:网络病毒:通过计算机网络传播；文件病毒:感染计算机中的文件（如：COM,EXE,DOC等）引导型病毒:感染启动扇区（Boot）和硬盘的系统引导扇区（MBR）还有这三种情况的混合型，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。根据破坏性，病毒可以划分为：无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型：这类病毒会在计算机系统操作中造成严重的影响。非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息，造成灾难性后果。根据特有的算法，病毒可以划分为：伴随型病毒：这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。“蠕虫”型病毒：通过计算机网络传播，不改变文件和资料信息，利用网络从一台计算机的内存传播到其它计算机的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。寄生型病毒：除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播。练习型病毒：病毒自身包含错误，不能进行很好传播，如一些病毒在调试阶段。诡秘型病毒：它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，利用了比较高级的技术。变型病毒（又称幽灵病毒）：这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。计算机病毒的危引导机制计算机病毒的寄生对象：计算机病毒实际上是一种特殊的程序。是一种程序必然要存储在磁盘上，但是病毒程序为了进行自身的主动传播，必须使自身寄生在可以获取执行权的寄生对象上。就目前出现的各种计算机病毒来看，其寄生对象有两种，一种是寄生在磁盘引导扇区；另一种是寄生在可执行文件（.EXE或.COM）中。这是由于不论是磁盘引导扇区还是可执行文件，它们都有获取执行权的可能，这样病毒程序寄生在它们的上面，就可以在一定条件下获得执行权，从而使病毒得以进入计算机系统，并处于激活状态，然后进行病毒的动态传播和破坏活动。

计算机病毒的寄生方式：计算机病毒的寄生方式有两种，一种是采用替代法；另一种是采用链接法，所谓替代法是指病毒程序用自己的部分或全部指令代码，替代磁盘引导扇区或文件中的全部或部分内容。所谓链接法则是指病毒程序将自身代码作为正常程序的一部分与原有正常程序链接在一起，病毒链接的位置可能在正常程序的首部、尾部或中间，寄生在磁盘引导扇区的病毒一般采取替代法，而寄生在可执行文件中的病毒一般采用链接法。计算机病毒的引导过程：计算机病毒的引导过程一般包括以下三方面。

驻留内存病毒若要发挥其破坏作用，一般要驻留内存。为此就必须开辟所用内存空间或覆盖系统占用的部分内存空间。有的病毒不驻留内存。

窃取系统控制权在病毒程序驻留内存后，必须使有关部分取代或扩充系统的原有功能，并窃取系统的控制权。此后病毒程序依据其设计思想，隐蔽自己，等待时机，在条件成熟时，再进行传染和破坏。

（3）恢复系统功能病毒为隐蔽自己，驻留内存后还要恢复系统，使系统不会死机，只有这样才能等待时机成熟后，进行感染和破坏的目的。有的病毒在加载之前进行动态反跟踪和病毒体解密。

对于寄生在磁盘引导扇区的病毒来说，病毒引导程序占有了原系统引导程序的位置，并把原系统引导程序搬移到一个特定的位置。这样一旦系统启动，病毒引导模块就会自动地装人内存并获得执行权，然后该引导程序将病毒程序的传染模块和发作模块装人内存的适当位置，并采取常驻内存技术以保证这两个模块不会被覆盖，接着对该两个模块设定某种激活方式，使之在适当的时候获得执行权。处理完这些工作后，病毒引导模块将系统引导模块装人内存，使系统在带毒状态下运行。

对于寄生在可执行文件中的病毒来说，病毒程序一般通过修改原有可执行文件，使该文件一旦执行便首先转入病毒程序引导模块，该引导模块也完成把病毒程序的其他两个模块驻留内存及初始化的工作，然后把执行权交给执行文件，使系统及执行文件在带毒的状态下运行。计算机病毒的触发机制计算机病毒在传染和发作之前，往往要判断某些特定条件是否满足，满足则传染或发作，否则不传染或不发作或只传染不发作，这个条件就是计算机病毒的触发条件。实际上病毒采用的触发条件花样繁多，从中可以看出病毒作者对系统极其深刻的了解程度。目前病毒采用的触发条件主要有以下几种：日期触发：许多病毒采用日期做触发条件。日期触发大体包括：特定日期触发、月份触发、前半年后半年触发等。时间触发：时间触发包括特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触发等。键盘触发：有些病毒监视用户的击键动作，当发现病毒预定的键人时，病毒被激活，进行某些特定操作。键盘触发包括击键次数触发、组合键触发、热启动触发等。感染触发：许多病毒的感染需要某些条件触发，而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件，称为感染触发。它包括：运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。启动触发：病毒对计算机的启动次数计数，并将此值作为触发条件称为启动触发。访问磁盘次数触发：病毒对磁盘I/O访问的次数进行计数，以预定次数做触发条件叫访问磁盘次数触发。调用中断功能触发：病毒对中断调用次数计数，以预定次数做触发条件。CPU型号/主板型号触发：病毒能识别运行环境的CPU型号/主板型号，以预CPU型号/主板型号做触发条件，这种病毒的触发方式奇特罕见。被计算机病毒使用的触发条件是多种多样的，而且往往不只是使用上面所述的某一个条件，而是使用由多个条件组合起来的触发条件。大多数病毒的组合触发条件是基于时间的，再辅以读、写盘操作，按键操作以及其他条件。病毒中有关触发机制的编码是其敏感部分。剖析病毒时，如果搞清病毒的触发机制，可以修改此部分代码，使病毒失效，就可以产生没有潜伏性的极为外露的病毒样本，供反病毒研究使用。计算机病毒的破坏机制破坏机制在设计原则、工作原理上与传染机制基本相同。它也是通过修改某一中断向量人口地址（一般为时钟中断INT8H，或与时钟中断有关的其他中断，如INT1CH），使该中断向量指向病毒程序的破坏模块。这样，当系统或被加载的程序访问该中断向量时，病毒破坏模块被激活，在判断设定条件满足的情况下，对系统或磁盘上的文件进行破坏活动，这种破坏活动不一定都是删除磁盘文件，有的可能是显示一串元用的提示信息，例如，在用感染了“大麻病毒”的系统盘进行启动时，屏幕上会出现“YourPCisnowStoned!”。有的病毒在发作时，会干扰系统或用户的正常工作，例如“小球”病毒在发作时，屏幕上会出现一个上下来回滚动的小球。而有的病毒，一旦发作，则会造成系统死机或删除磁盘文件。例如，“黑色星期五”病毒在激活状态下，只要判断当天既是13号又是星期五，则病毒程序的破坏模块即把当前感染该病毒的程序从磁盘上删除。计算机病毒的破坏行为体现了病毒的杀伤力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。数以万计、不断发展扩张的病毒，其破坏行为千奇百怪，不可能穷举其破坏行为，难以做全面的描述。病毒破坏目标和攻击部位主要是：系统数据区、文件、内存、系统运行、运行速度、磁盘、屏幕显示、键盘、喇叭、打印机、CMOS、主板等。

如何防范病毒预防第一利用WindowsUpdate确保操作系统的及时更新，防止利用系统漏洞传播的病毒有机可乘；确定系统登录密码已设定为强密码；关闭不必要的共享获将共享资源设为“只读”状态。留意病毒和安全警告信息，做好相应的预防措施。反病毒软件的保护建议安装优秀反病毒软件。推荐选择金山毒霸系列杀毒软件产品。定期扫描系统如果是第一次启动反病毒软件，最好让它扫描整个系统。通常，反病毒程序都能够设置成在计算机每次启动时扫描系统或者在定期计划的基础上运行。更新反病毒软件既然安装了病毒防护软件，就应该确保它是最新的。优秀的反病毒程序带有自动连接到互联网上，并且只要软件厂商发现了一种新的威胁就会添加新的病毒探测代码的功能，而目前金山毒霸的主动实时升级正是这种技术的代表。不要轻易执行附件中的EXE和COM等可执行程序这些附件极有可能带有计算机病毒或是黑客程序，轻易运行，很可能带来不可预测的结果。对于认识的朋友和陌生人发过来的电子函件中的可执行程序附件都必须检查，确定无异后才可使用。不要轻易打开附件中的文档文件对方发送过来的电子函件及相关附件的文档，首先要用“另存为…”命令（“SaveAs…”）保存到本地硬盘，待用查杀计算机