误区一：认为系统中安装了杀毒软件就应该很安全了

当我在帮朋友处理计算机安全问题的时候，总会遇到他们这样问我：我的系统上已经安装了防火墙和杀毒软件，而且都是正版的，并且天天升级病毒库，为什么还会感染木马呢？就目前来说，不只是普通网络用户存在这样的问题，甚至一些中小企业用户也存在同样的困惑，明明已经按某种方式实施了安全防范策略，可还是会不断出现系统或网络被攻击而引起业务中断，以及企业内部的机密数据由于入侵而引起泄漏等安全事件的发现。经过对已发生的各类安全事件进行分析，从中不难发现之所以会造成这样的局面，主要是我们在安全防范过程中还存在下列六个方面的误区。

误区一：认为系统中安装了杀毒软件就应该很安全了

如果我试着问几个计算机网络用户使用什么方法来防范木马病毒，他们肯定会毫不犹豫地回答就是使用杀毒软件。我还经常听到人们在私下谈论自己使用的是什么类型的杀毒软件，以及它们杀毒的功效等，从他们说话的口气中就可以猜出他们对杀毒软件有多么的信任。可是，杀毒软件就真如人们所期盼的这样能防范所有的已知和未知木马病毒吗？

目前，通过特征码查杀木马仍然是最快和最有效的查杀方式，一直被所有的杀毒软件所采用。利用木马的特征码来查杀它们，主要是利用木马程序中的一段或几段代码来作为表明它身份的特征码，或者通过将木马程序执行后，驻留在系统内存中的某些特征来作为表明它身份的特征码。从特征码的提取方式我们就可以知道要想查杀木马，就必先获得它们的相关特征码，而这必需在木马暴发后才能得到。因此，利用特征码查杀木马，只能对一些已经出现了的木马有效。

可是，现在大部分的木马，通过修改其编码和执行方式，对其进行加密和加壳，以便能躲过杀毒软件通过特征码方式的查杀，由此，杀毒软件开始使用一种叫作启发式杀毒的技术来应对不断出现的新木马。启发式杀毒分为静态和动态两种方式，其中动态方式能预先构造一个虚拟环境让可疑的程序运行，通过分析其行为特征，一旦发现可疑行为就被禁止。这种方式不依赖木马的特征码，对未知的木马有一定的防范效果，但是，它仍然存在许多问题，例如漏报和误报，以及会牺牲一部分系统性能作为代价，也就说启发式杀毒也不可能完全防范未知的木马病毒。

现在，一些主流的杀毒软件厂商提出了“云安全”的查杀技术，通过了解其原理，主要是通过一个客户端在用户系统中运行，监控用户系统是否感染了木马，如果检测到不正常活动，就会将这些内容提交给杀毒软件的服务器端，然后杀毒软件服务器端就会迅速对这些内容进行分析，提取木马的特征码，几分钟后就可以将特征码返回客户端进行查杀。云安全虽然解决了用户手工更新病毒库的方式，并减轻了客户端的计算量，但是，这种方式需要用户已经连接到了因特网，另外，它的杀毒处理仍然会有一段时间的延迟，而且让人怀疑云安全是否会泄漏用户的隐私，这样就有可能造成用户的主机只是变成了杀毒软件提供商的病毒库来源，而真正起到的防病毒作用却收效甚微。

从这里我们可以看出，杀毒软件到目前为止是不可能防范所有的未知木马的。而且，一些利用木马进行攻击的攻击者还会利用杀毒软件来麻痹用户，例如当木马在目标系统中运行后，只破坏杀毒软件的查杀功能，而不停止它们的运行，让用户认为杀毒软件仍在保护系统，这样，当用户发现时，一切都已经晚了。

因此，我们不能将保护系统安全的任务全部交给杀毒软件，还要对系统进行其它方面的加固，例如停止不需要的服务，提高用户权限管理，以及加强对自己网络操作行为的管理，不去不安全的网站浏览，不打开垃圾邮件，不打开QQ等即时聊天软件发过来的文件或图片，使用安全的软件等。