其实做系统备份的工具很多，其中最常用的是Ghost.下面对Ghost的使用方法进行一个详细的介绍

Ghost 使用详解

--------------------------------------------------------------------------------

一、分区备份

使用Ghost进行系统备份，有整个硬盘（Disk）和分区硬盘（Partition）两种方式。在菜单中点击 Local（本地）项，在右面弹出的菜单中有3个子项，其中 Disk表示备份整个硬盘（即克隆）、Partition 表示备份硬盘的单个分区、Check 表示检查硬盘或备份的文件，查看是否可能因分区、硬盘被破坏等造成备份或还原失败。分区备份作为个人用户来保存系统数据，特别是在恢复和复制系统分区时具有实用价值。
选 Local→Partition→To Image 菜单，弹出硬盘选择窗口，开始分区备份操作。点击该窗口中白色的硬盘信息条，选择硬盘，进入窗口，选择要操作的分区（若没有鼠标，可用键盘进行操作：TAB键进行切换，回车键进行确认，方向键进行选择）。 在弹出的窗口中选择备份储存的目录路径并输入备份文件名称，注意备份文件的名称带有 GHO 的后缀名。 接下来，程序会询问是否压缩备份数据，并给出3个选择：No 表示不压缩，Fast表示压缩比例小而执行备份速度较快，High 就是压缩比例高但执行备份速度相当慢。最后选择 Yes 按钮即开始进行分区硬盘的备份。Ghost 备份的速度相当快，不用久等就可以完成，备份的文件以 GHO 后缀名储存在设定的目录中。

二、硬盘克隆与备份

硬盘的克隆就是对整个硬盘的备份和还原。选择菜单Local→Disk→To Disk，在弹出的窗口中选择源硬盘（第一个硬盘），然后选择要复制到的目标硬盘（第二个硬盘）。注意，可以设置目标硬盘各个分区的大小，Ghost 可以自动对目标硬盘按设定的分区数值进行分区和格式化。选择 Yes 开始执行。
Ghost 能将目标硬盘复制得与源硬盘几乎完全一样，并实现分区、格式化、复制系统和文件一步完成。只是要注意目标硬盘不能太小，必须能将源硬盘的数据内容装下。
Ghost 还提供了一项硬盘备份功能，就是将整个硬盘的数据备份成一个文件保存在硬盘上（菜单 Local→Disk→To Image），然后就可以随时还原到其他硬盘或源硬盘上，这对安装多个系统很方便。使用方法与分区备份相似。

三、备份还原

如果硬盘中备份的分区数据受到损坏，用一般数据修复方法不能修复，以及系统被破坏后不能启动，都可以用备份的数据进行完全的复原而无须重新安装程序或系统。当然，也可以将备份还原到另一个硬盘上。
要恢复备份的分区，就在界面中选择菜单Local→Partition→From Image，在弹出窗口中选择还原的备份文件，再选择还原的硬盘和分区，点击 Yes 按钮即可。

四、局域网操作

LPT 是通过并口传送备份文件,下面有两个选项：slave 和 master, 分别用以连接主机和客户机。 网络基本输入输出系统 NetBios 和 LPT 相似, 也有 slave 和 master 两个选项, 作用与 LPT 相同。
先和平时一样将要 ghost 的分区做成一个 *.gho 文件，再在一台 win98 上安装Symantec Ghost 企业版，重启。
1. 首先制作一张 ghost 带网卡驱动的启动盘。Start > Programs > Symantec Ghost > Ghost Boot Wizard－>Network Boot Disk 如果你的网卡在列表内直接选择它就可以生成一张带 PC-DOS 的启动盘。（但 6.5版的生成的软盘经常有问题，不能成功启动）如果你的网卡不在列表内，你要建立专用的 Packet Driver。ADD->Packet Driver (网卡的驱动程序中有)往下根据提示一步一步走，填入工作站的 ip（ghost 一定要 tcp/ip 协议）。最后生成一张软盘，但此软盘仍不能使用，要改 autoexec.bat 文件在 net xxxx.dos 后面加一个16进制的地址，如 0X75 等。多台计算机只需改 wattcp.cfg 文件中的 ip 即可:
IP = 192.168.100.44
NETMASK = 255.255.255.0
GATEWAY = 192.168.100.1
2. 在 server 端运行 multicast server 出来的画面。先给 server一个Session Name（别名）如：bb，再选择 image file 就是你的 gho 文件。然后 －>Dump From Client->rtitions->More Options-> 在 auto start 的 client 中填入 50（如果你要同时复制50台）->accept client 就算完成了，当你的工作站数达到50台时，server就自动传送*.gho 文件。

3.详述：
目前，相当多的电子教室都采用了没有软驱、光驱的工作站。在没有软驱、光驱的情况下，当硬盘的软件系统出现问题时，能否实现网络硬盘克隆呢？PXE（Preboot Execution Environment，它是基于 TCP/IP、DHCP、TFTP 等 Internet 协议之上的扩展网络协议）技术提供的从网络启动的功能，让我们找到了解决之道。下面，我们就来讲解怎样采用Ghost 7.0来实现基于 PXE 的网络硬盘克隆。

网络硬盘克隆过程简述

网络硬盘克隆过程为：在装有软驱的工作站上，用一张引导盘来启动机器，连接到服务器，使用 Ghost 多播服务（Multicast Server）将硬盘或分区的映像克隆到工作站，这样就实现了不拆机、安全、快速的网络硬盘克隆。

实现 PXE 网络启动方式

对于没有软驱、光驱的工作站，要实现PXE网络启动方式，需要完成三个步骤：

1、工作站的PXE启动设置

PXE网络启动一般要求在网卡上加装 PXE 启动芯片（PXE Boot ROM）；对于某些型号的网卡，也可以将 PXE 启动代码（Boot Code）写入主板的 Flash ROM；而一些主板上集成了网卡的品牌机（例如清华同方的商用机），可直接支持PXE启动。

常用的 RTL8139 芯片的网卡，其 PXE 启动设置方式是：机器启动时根据屏幕提示按下Shift+F10，在启动类型中选择PXE，开启网络启动选项即可。

2、制作 PXE 启动文件

制作 PXE 的启动文件，推荐使用 3Com 的 DABS（Dynamic Access Boot Services）。DABS 提供了功能强大的 PXE 启动服务、管理功能，但是，网上可供下载的是一个30天的试用版。所以，我们只用它的启动映像文件制作功能，而由 Windows 2000 Server 的 DHCP 服务器来提供 PXE 启动服务。

DABS 可以安装在任何一台运行 Windows 的机器上。安装后，运行 3Com Boot Image Editor，出现主界面图。选择“创建TCP/IP或PXE映像文件（Create a TCP/IP or PXE image file）”，出现对话窗口。为即将建立的映像文件命名，例如：pxeghost.img，其他采用默认选项，将经测试正常的网络启动盘放入软驱，选择[OK]，创建PXE启动映像 Pxeghost.img文件。

在 3Com Boot Image Editor 的主菜单中，选择“创建PXE菜单启动文件（Creat a PXE menu boot file）”，在出现的窗口中选择[添加（Add）]，加入我们刚刚创建的启动映像文件Pxeghost.img，在“选项（Options）”标签中可以设置菜单标题和等待时间。

选择[保存（Save）]，给保存的PXE菜单启动文件命名为 Pxemenu.pxe。

3、服务器的PXE启动服务设置

Windows 2000 Server 的 DHCP 服务支持两种启动协议：DHCP 和 BOOTP。我们可以设定以下三种选择：仅 DHCP、仅 BOOTP、两者。如果我们的局域网中由其他的 DHCP 服务器提供动态 IP 地址分配，那么这里选“仅BOOTP”即可；如果需要这台服务器提供动态 IP 地址分配，则需要选“两者”。

接下来，设置启动文件名。在DHCP服务器的作用域选项中配置选项“067:启动文件名”，字串值为我们创建的 PXE 菜单启动文件名 Pxemenu.pxe。注意：文件名不包含路径。

DHCP 服务器只是将启动文件名通知给 BOOTP 客户机，客户机通过什么方式下载启动文件呢？答案是，需要 TFTP 服务。3Com 的 DABS 包含了一个 TFTP 服务组件，当然，也可以下载一个免费的 TFTP 服务器软件长期使用。

在 TFTP 服务器的设置中，规定一个服务目录。将制作的 PXE 启动文件 Pxeghost.img、Pxemenu.pxe 放到 TFTP 的服务目录中。TFTP 服务器设置为自动运行。

用 Ghost 多播克隆硬盘

现在运行 Ghost 多播服务器，任务名称为 Restore。设置完毕，按下[接受客户（Accept Clients）]按钮。启动要接受硬盘克隆的无软驱工作站，如果以上步骤操作无误，应该能够实现 PXE 启动，加入到多播克隆的任务当中。所有的目标工作站连接到本次任务之后，按下[发送（Send）]按钮，开始克隆任务。

五、参数设置

在 Options 中可以设置参数。下面简单介绍一下:
1．image write buffering：在建立备份文件时, 打开写缓冲；
2．sure：选择此项后, 不再会出现最终确认询问 (建议不要选择此项)；
3．no int 13：选择此项后, 不支持中断 13 (缺省时不选择)；
4．reboot：在对硬盘或者分区操作完成之后, 自动重启计算机；
5．spanning：通过多个卷架构备份文件 (选择此项时, 关闭 write buffering)；
6．autoname：自动为 spanning 文件命名；
7．allow 64k fat clusters：允许使用 64K FAT 簇 (仅在 Windows NT 中支持)；
8．ignore CRC errors：忽略 CRC 错误；
9．override size limit：如果出现分区大小不相配, 可忽略执行；
10．image read buffering：打开生成备份文件时的读缓存 (缺省时选中此项)。

六、软件特性

1.存贮介质
Ghost 支持的存储介质超出了我们的想象，它支持对等 LPT 接口、对等 USB 接口、对等 TCP/IP 接口、SCSI磁带机、便携式设备（JAZ、ZIP、MO等）、光盘刻录机（CDR、CDRW）等。而这些特性不需要任何外带的驱动程序和软件，只需一张软盘就可以做到！特别是对光盘刻录机的支持，如今的刻录机和空白光盘都十分便宜，非常适合作备份的用途。

2.兼容性
Ghost 对现有的操作系统都有良好的支持，包括 FAT16、FAT32、NTFS、HPFS、UNIX、NOVELL 等文件存储格式。同以前版本不同的是，Ghost 2001 加入了对 Linux EX2的支持（FIFO 文件存储格式），这也就意味着 Linux 的用户也可以用 Ghost 来备份系统了。

3.配套软件

A.Ghost 浏览器
在以前的 Ghost版本中，我们只能对整个系统进行简单的备份、复制、还原，要恢复单个的文件和文件夹还要使用外带的 GhostEXP 软件。现在，Symantec 公司已经将 Ghost 浏览器整合在软件中。Ghost 浏览器采用类似于资源管理器的界面，通过它，我们可以方便迅速地在备份包中找出我们想要的文件和文件夹并还原。
使用Explorer可以备份整个硬盘或单个硬盘分区，点击工具栏上的圆柱形图标，弹出硬盘或分区选择对话窗口，然后再选择备份文件的储存目录并输入名称即可完成。要注意的是，非注册用户不能使用备份这项功能。
在 Ghost Explorer 中管理硬盘备份文件就非常方便了。首先选择打开一个备份文件(File/Open)，这时备份中的文件就像资源管理器一样在程序界面窗口中列出，可以在其中非常方便地查看、打开文件，也可以查找文件，或者将某个文件删除(但不能删除目录)。
在 Ghost Explorer 中提供了多种还原硬盘备份文件的方法，最方便的方法是使用鼠标右键点击某个文件，在弹出菜单中选择 Restore，然后输入要还原到的目录，这样，单个文件就从整个磁盘备份中还原出来了。当然，如果要还原整个磁盘备份，只需选择左面目录列表栏中最上面的带磁盘图标的目录项，然后点击工具栏中的还原图标 (第二个) 就可以了。

B.GDisk
GDisk 是一个新加入的实用工具，它彻底取代了 FDisk 和 Format，功能有：
* 快速格式化。
* 隐藏和显示分区。此功能允许一个以上的主 DOS分区，并且每个分区上的操作系统有不同的版本。隐藏分区的能力使计算机习惯于引导到选定的可引导分区，忽略其他隐藏分区中相同操作系统的安装。
* 全面的分区报告。
* 高度安全的磁盘擦除。提供符合美国国防部标准和更高安全标准的磁盘擦除选项。
与使用交互式菜单的 FDisk 不同，GDisk是由命令行驱动的。这提供了更快的配置磁盘分区和在批处理文件中定义 GDisk操作的能力。但与此同时，几十个参数会令普通用户头疼，因此笔者不推荐一般用户使用，Symantec 公司也应该推出相应的GUI（图形用户界面）控制台以方便用户使用。具体的参数说明可以用命令行 gdisk/? 了解。

C.Live Update
Live Update 是 Symantec公司软件的一个通用升级程序，它能够检查当前系统中已安装的 Symantec 软件，并且通过英特网对软件进行在线升级。
在安装 Ghost 2001 时，安装程序自动升级了 Live Update 程序的版本。

七、命令行参数：（Ghost 的无人 备份/恢复/复制 操作）

其实 Ghost 2001 的功能远远不止它主程序中显示的那些，Ghost 可以在其启动的命令行中添加众多参数以实现更多的功能。命令行参数在使用时颇为复杂，不过我们可以制作批处理文件，从而“一劳永逸”（类似于无人安装 Windows 98 和Windows 2000）。现在让我们来了解一些常用的参数（了解更加详细的参数介绍可查看 Ghost 的帮助文件）。
1.-rb
本次 Ghost 操作结束退出时自动重启。这样，在复制系统时就可以放心离开了。
2.-fx
本次 Ghost 操作结束退出时自动回到DOS提示符。
3.-sure
对所有要求确认的提示或警告一律回答“Yes”。此参数有一定危险性，只建议高级用户使用。
4.-fro
如果源分区发现坏簇，则略过提示而强制拷贝。此参数可用于试着挽救硬盘坏道中的数据。
5.@filename
在 filename 中指定 txt 文件。txt文件中为 Ghost 的附加参数，这样做可以不受DOS命令行 150 个字符的限制。
6.-f32
将源 FAT16 分区拷贝后转换成 FAT32（前提是目标分区不小于 2G）。WinNT 4 和Windows95、97用户慎用。
7.-bootcd
当直接向光盘中备份文件时，此选项可以使光盘变成可引导。此过程需要放入启动盘。
8.-fatlimit
将 NT 的 FAT16 分区限制在 2G。此参数在复制 Windows NT 分区，且不想使用64k/簇的 FAT16 时非常有用。
9.-span
分卷参数。当空间不足时提示复制到另一个分区的另一个备份包。
10.-auto
分卷拷贝时不提示就自动赋予一个文件名继续执行。
11.-crcignore
忽略备份包中的 CRC ERROR。除非需要抢救备份包中的数据，否则不要使用此参数，以防数据错误。
12.-ia
全部映像。Ghost 会对硬盘上所有的分区逐个进行备份。
13.-ial
全部映像，类似于 -ia 参数，对 Linux 分区逐个进行备份。
14.-id
全部映像。类似于 -ia 参数，但包含分区的引导信息。
15.-quiet
操作过程中禁止状态更新和用户干预。
16.-script
可以执行多个 Ghost 命令行。命令行存放在指定的文件中。
17.-split=x
将备份包划分成多个分卷，每个分卷的大小为 x兆。这个功能非常实用，用于大型备份包复制到移动式存储设备上，例如将一个 1.9G 的备份包复制到 3 张刻录盘上。
18.-z
将磁盘或分区上的内容保存到映像文件时进行压缩。-z 或 -z1 为低压缩率（快速）；-z2 为高压缩率（中速）；-z3 至 -z9 压缩率依次增大（速度依次减慢）。
19.-clone
这是实现 Ghost 无人备份/恢复的核心参数。使用语法为：
-clone,MODE=(operation),SRC=(source),DST=(destination),[SZE(size),SZE(size)...]
此参数行较为复杂，且各参数之间不能含有空格。其中 operation意为操作类型，值可取：copy：磁盘到磁盘；load：文件到磁盘；dump：磁盘到文件；pcopy：分区到分区；pload：文件到分区；pdump：分区到文件。
Source 意为操作源，值可取：驱动器号，从1开始；或者为文件名，需要写绝对路径。
Destination 意为目标位置，值可取：驱动器号，从 1开始；或者为文件名，需要写绝对路径；@CDx，刻录机，x 表示刻录机的驱动器号，从1开始。

下面举例说明：

1.命令行参数：ghostpe.exe -clone,mode=copy,src=1,dst=2
完成操作：将本地磁盘1复制到本地磁盘2。

2.命令行参数：ghostpe.exe -clone,mode=pcopy,src=1:2,dst=2:1
完成操作：将本地磁盘1上的第二分区复制到本地磁盘2的第一分区。

3.命令行参数：ghostpe.exe-clone,mode=load,src=g:\3prtdisk.gho,dst=1,sze1=450M,sze2=1599M,sze3=2047M
完成操作：从映像文件装载磁盘1，并将第一个分区的大小调整为450MB，第二个调整为1599MB，第三个调整为2047MB。

4.命令行参数：ghostpe.exe -clone,mode=pdump,src2:1:4:6,dst=d:\prt246.gho
完成操作：创建仅含有选定分区的映像文件。从磁盘2上选择分区1、4、6。

八、一些示例

ghost.exe -clone,mode=copy,src=1,dst=2 -sure
硬盘对拷

ghost.exe -clone,mode=pcopy,src=1:2,dst=2:1 -sure
将一号硬盘的第二个分区复制到二号硬盘的第一个分区

ghost.exe -clone,mode=pdump,src=1:2,dst=g:\bac.gho
将一号硬盘的第二个分区做成映像文件放到 g 分区中

ghost.exe -clone,mode=pload,src=g:\bac.gho:2,dst=1:2
从内部存有两个分区的映像文件中，把第二个分区还原到硬盘的第二个分区

ghost.exe -clone,mode=pload,src=g:\bac.gho,dst=1:1 -fx -sure -rb
用 g 盘的 bac.gho 文件还原 c 盘。完成后不显示任何信息，直接启动

ghost.exe -clone,mode=load,src=g:\bac.gho,dst=2,SZE1=60P,SZE2=40P
将映像文件还原到第二个硬盘，并将分区大小比例修改成 60:40

自动还原磁盘：
首先做一个启动盘，包含 Config.sys, Autoexec.bat, Command.com, Io.sys, Ghost.exe 文件(可以用 windows 做启动盘的程序完成)。Autoexec.bat 包含以下命令：
Ghost.exe -clone,mode=pload,src=d:\bac.gho,dst=1:1 -fx -sure -rb
利用在 D 盘的文件自动还原，结束以后自动退出 ghost 并且重新启动。

自动备份磁盘：
ghost.exe -clone,mode=pdump,src=1:1,dst=d:\bac.gho -fx -sure -rb

自动还原光盘：
包含文件：Config.sys, Autoexec.bat, Mscdex.exe (CDROM 执行程序), Oakcdrom.sys (ATAPI CDROM 兼容驱动程序), Ghost.exe。
Config.sys 内容为：
DEVICE=OAKCDROM.SYS /D:IDECD001
Autoexec.bat 内容为：
MSCDEX.EXE /D:IDECE001 /L:Z
Ghost -clone,mode=load,src=z:\bac.gho,dst=1:1 -sure -rb

可以根据下面的具体说明修改示例：

1.-clone

-clone 在使用时必须加入参数，它同时也是所有的 switch{batch switch} 里最实用的。下面是 clone 所定义的参数：

mode={copy|load|dump|pcopy|pload|pdump},
src={drive|file|driveartition},
dst={drive|file|driveartition}

mode 指定要使用哪种 clone 所提供的命令
copy 硬盘到硬盘的复制 (disk to disk copy)
load 文件还原到硬盘 (file to disk load)
dump 将硬盘做成映像文件 (disk to file dump)
pcopy 分区到分区的复制 (partition to partition copy)
pload 文件还原到分区 (file to partition load)
pdump 分区备份成映像文件（partition to file dump)

久未清理的机箱内部
清除内部灰尘
　　清扫机箱可是个体力活，不过还是要准备好清扫器具。螺丝刀一把、毛刷一把、吹气皮囊一个、橡皮一个，然后就可以开始清扫工作了。
　　说到机箱清扫，首要做的当然就是外部灰尘的清扫。简简单单地用抹布擦拭一下就可以了，然后就要动螺丝刀进行轻微的手术了。
　　友情提醒：如果你使用的是品牌机且在保修时间内，请注意封箱标签，以免造成不必要的损失。
　　打开机箱后，就可以看到板卡上已经聚集了不少灰尘，让人有些无从下手。建议大家从独立的板卡开始，也就是独立的显卡（网卡、声卡、电脑卡）入手，至于显卡等全集成于主板上的就轻松了，从内存下手就可以了。

这样的方法，是不可取的
1.板卡的清洁
　　建议大家将板卡拆卸下来清扫，毕竟板卡不多，拆卸也比较方便。拆卸前最好保证自己身体没有过多的静电，以免导致硬件损毁。如何清扫呢？选一个空气流通的地方，最好带上口罩。首先将板卡灰尘较多的一面朝下，用毛刷轻轻的清扫，需要注意力度。在某些比较难以清扫的地方，就要用到前面准备的吹气皮囊，用来对灰尘聚集较多而又无法直接清扫的地方进行清扫。有人会问为什么不用电吹风呢？道理很简单，因为电吹风的出风口太大，而且气流太急不容易控制。灰尘会因为吹动而弄得到处都是。不要小看这样的简易设备，效果还是很不错的。在吹和扫的配合下大多数的灰尘都经不起“考验”。这样下来一块板卡就可以清干净了。
　　主板上一般灰尘不会很多，聚集较多的位置也就是在CPU、芯片组等气流流动较快、发热较大的地方。一般不需要将主板拆卸下来清扫，只要用毛刷将灰尘扫去，并且每一个插槽都用风吹吹，扫一下就可以了。主机内部的硬盘、光驱其实不用怎么打扫，只要将聚集在表面的灰尘抹去就行了。这跟机箱底部的清洁一样，不需要什么技巧。
　　板卡的清洁还要包括金手指的清理，因为长时间的使用难免出现积尘和氧化现象，导致稳定性减弱。这就需要用到橡皮，只要把板卡放到桌面上，用橡皮一擦就可以让金手指闪亮如新。此方法对于解决内存条接触不良的问题也同样适用。

用橡皮一擦就可以让金手指重新亮起来
2.风扇的清洁
　　CPU风扇是需要重点清扫的地方，一般来说，肯定需要拆下来进行清扫。风扇拆下来，再次使用刷与吹相结合的方式，如果散热片的结构较为简单，建议将风扇拆下来对散热片进行清扫。

CPU风扇上的灰尘也是不容小视的
　　注意：
　　散热片上的导热硅胶需要保留，如果硅胶已经硬化，就需要去除并且重新涂抹。
　　对显卡这类设备，由于存在大块的散热片，长时间风扇的运行而导致灰尘大量聚集。懂得电脑知识的朋友可以将风扇、散热片拆卸下来清扫。而不愿意动手的可以用毛笔和吹风设备做一番打扫，最后对着散热片和风扇用吸尘器吸几下。

显卡风扇清洁前后的对比
3.电源的清洁
　　这一步要做的是对于电源进行清洁。电源上聚集的灰尘一点也不比机箱内部少。在电源清扫的这个步骤中，最好能够将电源从机箱中拆出来进行清扫（注意：不要将电源的外壳打开）。当然嫌这个步骤麻烦的可以直接用吸尘器对准电源的散热口进行吸尘，很快就能将内部的灰尘清扫得一干二净。在大件物品都清扫完后，基本上已经能够确保机箱内部干净了。
　　最后需要继续执行清扫的收尾工作，也就是排线的表面清洁。排线表面的灰尘也不可忽略，带来的问题还是很严重的。可以用棉花蘸上酒精清洗，也可以用湿抹布擦拭表面。在擦去污垢的同时要注意力度，以免导线受损。

排线上的灰尘也需要清扫
日常养护做到位
　　除尘工作完成了，把机箱放回电脑桌下去，又能正常使用了。不过，灰尘还是会找上你的电脑，这是无法避免的，只有把日常保养工作做好，才能减少灰尘的积累速度。
　　①需要保持机箱摆放的房间整洁，周围要保留足够的散热空间，不要与其他杂物混放。不要在电脑桌上放置水杯，更不能将它置于主机、显示器、键盘之上，一旦打翻，后果十分严重。平时需要打开机箱面板的时候，小心不要让螺丝钉等导电体混入，否则容易造成机箱内的板卡短路，让电脑无法正常工作。长时间没有使用的情况下，电脑要开机运行一下，以便驱除里面的潮气。
　　②机箱跟电源的灰尘防护工作都比较简单，需要注意的是，一定要做好机箱的通风工作，可以在机箱中预留的散热孔上加装风扇，不然散热不好，就算不堆积灰尘，也容易发生死机烧毁元件等问题。但是，加装风扇不等于不盖机箱侧板直接让机箱内部敞开，虽然这种做法散热比较好，但是灰尘的入侵也更加迅速了。
　　整个清洁过程也不算复杂，总结起来就是几个简单的单词：“抹”、“扫”、“吹”、“吸”。经过一番细心打扫，既让你的电脑再次绽放光彩也让自己了解了电脑的内部构造，还为自己营造了更为良好的电脑使用环境，可谓一举多得。整个过程中你需要做的只是时间的付出。

安全报告十大亮点摘要：
2007年计算机病毒高速“出新” 新增病毒/木马多达28万（详见报告第1页）
2007年染“毒”最多省份揭晓 广东仍执“头名状”（详见报告第2页）
十大病毒出炉 网游盗号木马挤掉“熊猫烧香”和“灰鸽子”成毒王（详见报告第3页）
金山反病毒专家：病毒“工业化”入侵凸显病毒经济（详见报告第6页）
互联网安全报告称：web2.0催生病毒传播2.0时代到来（详见报告第7页）
病毒制造门槛降低 “模仿现象”导致病毒泛滥（详见报告第8页）
病毒入侵“流程化”与病毒传播的“长尾”理论凸显（详见报告第9页）
金山2007年度安全报告称：vista将成为病毒作者新宠（详见报告第11页）
金山安全报告称：反主动防御技术将使安全厂商面临严峻挑战（详见报告第11页）
奥运催生3G 3G手机将成病毒攻击目标（详见报告第12页）

2008年1月17日，国内著名的网络安全厂商金山软件正式发布《2007年度中国电脑病毒疫情及互联网安全报告》。报告指出2007年病毒/木马“高速”出新，新增电脑病毒/木马数量多达283084种，病毒的“工业化”入侵特征尤为明显。

报告显示，2007年，金山毒霸共截获新病毒/木马283084个，较06年相比增长了17.88%，其中盗号木马新增数量多达118895个， 占所有新增木马总数的42%。而从近几年新增病毒的统计数据可以看出，07年病毒/木马增长速度与06年相比有所放缓，但仍处于大幅增长状态，总数量还是 非常庞大的。

2007年，据金山毒霸全球反病毒监测中心统计数据，全国共有49,652,557台计算机感染病毒，与去年同期相比增长了18.15%，互联网 用户遭受过病毒攻击的比例占到90.56%。其中广东地区仍然电脑病毒感染的重灾区，07年总感染计算机台数多达5705520台，也是唯一一个感染计算 机台数超过500万台的省份。

盘点2007年电脑病毒/木马的特点，金山公布的安全报告显示，2007年病毒“工业化”入侵特征越发明显。据悉，“工业化”的入侵手段已经在黑 客圈广为流传。攻击者把上面那些攻击流程完全自动化，扫描端口、远程入侵、下载木马完全自动化，抓取肉鸡效率仅取决于用于发起攻击的计算机性能和网络带 宽。此外，病毒的“流程化”攻击、病毒传播的WEB2.0化等特点也都在2007年表现得尤为突出。

据悉，在本次金山公布的安全报告中，网游盗号木马“挤掉”熊猫烧香、灰鸽子、AUTO病毒等年内影响力较大的病毒，凭借8.13%的高感染率荣列 2007年度互联网十大病毒之首。金山毒霸反病毒工程师表示，2007年，网游用户的大幅度增长催生了盗号木马“繁荣”。网游盗号木马并非一个病毒，而是 一类具有高度的代码相似性，并且变种繁多，盗取各种网络游戏的帐号密码的病毒，这是木马产业化的一个产物。

展望2008年，金山毒霸反病毒工程师表示，2008年，病毒在新平台上的尝试将大量增多。Vista病毒将可能成为病毒作者的新宠。同时，当我 们的智能手机进入3G时代后，手机平台的病毒/木马活动会上升。此外，反主动防御或穿透主动防御的新技术将出现，网络欺诈也将愈演愈烈。

在未来的2008年中，互联网可能会面对的危胁将越来越多，作为安全厂商，肩负的责任以及面临的难题都将有所增加，通过对网络安全形势变化以及趋势的分析，反病毒厂商将进一步加强与木马的对抗能力，为广大用户营造一个安全和谐的网络安全环境。

2007年中国电脑病毒疫情及互联网安全报告（全文）

2007年，互联网迅猛发展，网络应用日益广泛与深入，网络炒股、网络游戏、网银用户大幅增长；与此同时病毒的“工业化”入侵以及“流程化”攻击 等特点越发明显，以熊猫烧香、灰鸽子、AV终结者为代表的恶性病毒频繁出现，广大用户对互联网安全问题的关注日益增强。在2008年开始之初，我们一同来 回顾一下2007年中国互联网的安全情况。

一、2007年中国互联网安全情况整体分析
2007年，计算机病毒/木马仍处于一种高速“出新”的状态。2007年，金山毒霸共截获新病毒/木马283084个，较06年相比增长了 17.88%，病毒/木马增长速度与06年相比有所放缓，但仍处于大幅增长状态，总数量还是非常庞大的。下图为近几年来的新增病毒/木马数量对比（图 1）：


在新增的病毒/木马中，盗号木马仍然首当其冲，新增数量多达118895个，黑客/后门病毒、木马下载器紧随其后，这三类病毒构成了互联网黑色产业链的中流砥柱。下图是不同类别病毒/木马比例图（图2）：

2007年，据金山毒霸全球反病毒监测中心统计数据，全国共有49,652,557台计算机感染病毒，与去年同期相比增长了18.15%，互联网用户遭受过病毒攻击的比例占到90.56%。全国各省的计算机病毒感染量如下表（图3）：

2007年十大病毒/木马（图4）

根据病毒危害程度、病毒感染率以及用户的关注度，计算出综合指数，最终得出以下十大病毒/木马为2007年最危险的病毒/木马。

危害程度：分5级，最高级为5。我们将危害的种类分为：A破坏用户系统，B盗取用户信息，C能进行自我传播 D广告行为 E下载其它木马
5级：具有上述四种及以上行为的病毒/木马
4级：具有述任意三种行为的病毒/木马
3级：具有C行为加任意一种行为的病毒/木马
2级：具有A B C任意一种行为的病毒/木马
1级：具D E任意一种行为的病毒/木马

病毒感染：对于广义的病毒定义来讲，本文所指感染包括病毒感染或木马入侵。

病毒感染率：该病毒感染或入侵的计算机台数占总感染（或入侵）台数的比率，为方便统计，统称为感染率，下同。

用户关注度：我们收集用户对病毒的关注数据，如：论坛讨论热度的评估，新闻及病毒分析报告的点击率或关键字热度，将其分为3级，热门、高度、普通。

1、网游盗号木马
这是一类盗取网游账号密码或装备的木马。这些木马具有高度的代码相似性，并且变种繁多，盗取各种网络游戏的帐号密码，这是木马产业化的一个产物。 这类木马会在系统目录下释放一个exe文件和dll文件，后期的变种会在“%windir%\Fonts”目录下释放一个dll文件和一个fon文件，同 时关闭常用杀毒软件和windows自动更新。

2、AUTO病毒
该病毒在各磁盘分区根目录中生成AUTO病毒，分别是一个exe文件和autorun.inf辅助文件，它们都具有隐藏属性。当用户鼠标左键双击 打开有AUTO毒的盘符时，病毒随即触发。随后病毒就修改注册表，创建服务，达到开机自启动的效果。

当系统重新启动后，病毒便可自动运行起来，很多这类病毒会修改系统时间，使得某些根据系统时间判断软件有效期的杀毒软件停止工作。导致系统安全防护能力丧失，更容易被其它病毒侵入。

随后，该病毒会尝试感染、阻止或干扰已安装的杀毒软件正常运行比如用户使用金山毒霸的反间谍隐蔽软件扫描时，病毒会突然弹出大量关于伪装成与金山毒霸相关的网页。由于这些病毒网页打开的的速度极快、数量繁多，系统资源将会被严重占用，最后甚至会死机。

3、灰鸽子
这个木马黑客工具大体于2001年出现在互联网上，当时被判定为高危木马。2004年的感染统计表现为103483人，而到2005年数字攀升到 890321人。该病毒从2004年起连续三年荣登国内10大病毒排行榜，至今已经衍生出超过6万个变种。

灰鸽子病毒的文件名由攻击者任意定制，病毒还可以注入正常程序的进程隐藏自己， Windows的任务管理器看不到病毒存在，需要借助第三方工具软件查看。中灰鸽子病毒后的电脑会被远程攻击者完全控制，黑客可以轻易的复制、删除、上 传、下载保存在你电脑上的文件，还可以记录每一个点击键盘的操作，用户的QQ号、网络游戏帐号、网上银行帐号，可以被远程攻击者轻松获得。更有甚者，远程 攻击者可以直接控制摄像头，远程攻击者在窃取资料后，还可以远程将病毒卸载，达到销毁证据的目的。灰鸽子自身并不具备传播性，一般通过捆绑的方式（包括： 网页、邮件、IM聊天工具、非法软件）进行传播。

4、熊猫烧香
“熊猫烧香”是由Delphi语言编写的蠕虫，终止大量的反病毒软件和防火墙软件进程。病毒会删除扩展名为gho的文件，使用户无法使用 ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe、.com、.pif、.src、.html、.asp文件，添加病毒网址，导致用户一打开 这些网页文件，IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe，还会通过QQ最新漏 洞、网络文件共享、默认共享、系统弱口令、U盘及移动硬盘等多种途径传播。而局域网中只要有一台机器感染，就可以短时间内传遍整个网络，感染严重时可以导 致网络瘫痪或系统崩溃。

5、AV终结者
AV终结者集目前最流行的病毒技术于一身，而且破坏过程经过了严密的“策划”，普通用户一旦感染该病毒，从病毒进入电脑，到实施破坏，四步就可导致用户电脑丧失安全防护能力。

（1）禁用所有杀毒软件以相关安全工具，让用户电脑失去安全保障；

（2）破坏安全模式，致使用户根本无法进入安全模式清除病毒；

（3）强行关闭带有病毒字样的网页，只要在网页中输入“病毒”相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法；

（4）在各磁盘根目录创建可自动运行的exe程序和autorun.inf文件，一般用户重装系统后，会习惯性的双击访问其他盘符，病毒将再次被运行。

摧毁用户电脑的安全防御体系后，“AV终结者”自动连接到指定的网站，大量下载各类木马病毒，盗号木马、广告木马、风险程序接踵而来，使用户的网银、网游、QQ帐号密码以及机密文件都处于极度危险之中。

6、艾妮
艾妮是一个Win32平台下的感染型蠕虫，可感染本地磁盘、可移动磁盘及共享目录中大小在10K---10M之间的所有.exe文件，感染扩展名 为.ASP、.JSP、PHP、HTM、ASPX、HTML的脚本文件，并可连接网络下载其他病毒。

“艾妮”病毒集熊猫烧香、维金两大病毒危害于一身，传播性与破坏性极强，不但能疯狂感染用户电脑中的.exe文件，而且还可导致企业局域网大面积 瘫痪。更为严重的是，“艾妮”利用微软最新发现的动画指针漏洞进行传播，几乎就在微软最新的动画光标漏洞发现的同时，就开始利用该漏洞进行传播，而且隐蔽 性更强，用户很难察觉。

7、MSN机器人
这是一个通过MSN传播的病毒，该病毒有很多变种。该病毒的主要特点是通过MSN发送消息+病毒文件给好友。好友接收运行文件后，就会感染病毒。 最新截获的变种为圣诞节变种，该变种会向msn好友随机发送“Christmas photo! ”、“xmas photo!: D”等消息，并同时发送“Chirstmas-2007.zip”文件，解压后的文件名为img2007-12.JPEG.scr，用户运行该文件就会中 毒。

该病毒会连接IRC聊天室，由IRC聊天室接受黑客指令进行远程控制，使用户文件、资料、信息等面临被盗；并且用户主机可能成为“肉鸡”。

8、维金变种
2006年在互联网上疯狂肆虐的“维金”又出现了新的变种，危害更加严重。该病毒运行后，会在电脑系统里释放WebTime.exe病毒文件，并 把自身注入到IEXPL0RE.EXE,连接到指定站点并搜寻电脑硬盘中的所有扩展名为.exe的文件，进行感染。某些变种还会在每个磁盘的根目录下生成 病毒文件，使当用户点击磁盘盘符时，便可立即激活病毒。

它还会把自身注入到用户电脑的IE进程里，同时终止多个杀毒软件的监控进程，并连接到指定的恶意站点，下载盗号木马或者其他感染型病毒，进一步侵 害用户的电脑系统，不但导致用户的系统硬盘的资料和数据文件被损坏,而且有可能出现用户的电脑资料外泄和网络虚拟财产被盗等现象。

9、瓢虫病毒
“瓢虫”病毒与熊猫烧香类似，感染性极强，用户电脑一旦感染该病毒，除系统盘外，被感染后的exe文件图标将变成绿色的“小瓢虫”；同时，用户电 脑内的浏览器、任务管理器、文件夹选项、系统时间等项目都将遭受破坏。该病毒还会打开各盘共享，使得计算机资源可以被随意访问下载。最主要的是，“瓢虫” 病毒使用覆盖式感染文件，被感染后的文件将无法被恢复。

10、网络红娘
网络红娘是一个远程控制的木马，网络红娘可以轻易盗取被入侵者计算机上的信息。如：网游帐号，银行帐号等。常被用于网络游戏中盗取装备。首先，持 有病毒服务端的人会在网络游戏中以女性角色“色诱”玩家，然后通过及时聊天工具(如QQ等)进行视频聊天，等玩家的戒备心理降低时，发送“我的照片”给对 方，当玩家打开病毒伪装的“照片”时，病毒开始运行。该木马运行后会监视键盘和鼠标动作，收集客户端计算机的信息。然后，将这些信息发送给盗号者或黑客。 盗号者可以发送命令查看他的桌面、当前运行的窗口的标题、文件的列表、文件的内容以及键盘记录等等。当发现了有用的信息之后，盗号者就趁机盗取。

2007年其他值得特别关注的恶性病毒/木马

“色戒”病毒
“色戒”病毒并不是特指某个一病毒。而是借助电影《色戒》热播进行传播的病毒。病毒在一些网站上以“色戒”或“色戒完整版”的名义供用户下载。当用户下载完双击运行时，则病毒爆发，并下载执行大量其它病毒，如盗号木马等。

因此，用户在下载电影后，如果字节数很小的话，往往只有几K的大小，则很有可能是病毒。而电影一般都有几百兆的大小。

8749恶意软件
2007年7月以来，8749的恶意软件在互联网上大肆传播，大量用户的IE浏览器首页被篡改为www.8749.com。由于8749采用了今年上半年的“毒王”AV终结者最新的病毒攻击技术，故普通用户很难彻底清除。

8749不但具备流氓软件的一些基本特性，而且采用了删除系统文件、破坏安全模式等最流行的病毒攻击手段。与AV终结者相似，用户一旦中招，不但 相关的修复工具、杀毒软件被禁用，而且只要用户打开带有“8749病毒”、“清除8749”字样的窗口，窗口即刻被关闭。

二、2007年计算机病毒/木马的特点分析

1、病毒“工业化”入侵凸显病毒经济

病毒/木马背后所带来的巨大的经济利益催生了病毒“工业化”入侵的进程。2007年上半年，金山对外发布了病毒木马产业链的攻击特征，在此阶段， 病毒木马的攻击通常是针对单个计算机的攻击行为。攻击的手法，一般利用社会工程欺骗的方式，发送经过伪装的木马以及通过网页挂马构造大面积的陷阱。这种攻 击需要受害者“配合”，比如需要用户去浏览相应网页或接收和执行相应的程序。

2007年下半年，一种新的病毒木马攻击手法被广泛利用。攻击过程完全由攻击者一方发起，而且能够获得很高的成功率。他们利用扫描器发现开放端口 的联网主机，再使用一种被称为“种植者”的黑客工具，攻击存在这种漏洞的计算机，直接获取远程计算机的管理权限，命令远程主机下载并执行恶意程序。

然而，还不仅仅如此，一种“工业化”的入侵手段已经在黑客圈广为流传。攻击者把上面那些攻击流程完全自动化，扫描端口、远程入侵、下载木马完全自动化，抓取肉鸡效率仅取决于用于发起攻击的计算机性能和网络带宽。（图5）

对于攻击者来说，在互联网寻找目标并非难事——很容易找到没有采取任何保护措施的盗版XP系统，大量只关心使用不关心安全的电脑使用者。对于这样 的系统，需要安装网络防火墙来应对“工业化”的病毒攻击，比如安装金山网镖，可以防止本机被远程攻击成功。这里需要指出的是，windows防火墙的缺省 设置对此类攻击完全没有抵抗能力。用户可以按照金山清理专家打分系统的指导，修补系统漏洞，提升电脑系统的安全性。

2、电脑病毒/木马传播的WEB2.0化

Web2.0给网民带来全新的上网体验，web2.0的内容源不再由少数专业人士发布，任何人都可以成为内容源的发布者，这为那些别有用心的攻击 者提供了更多的机会——各种恶意代码以热门事件为幌子被传输到网络上等待被下载。众多BLOG、论坛、社区、视频网站成为病毒泛滥和传播的温床。

Web2.0程序本身存在的威胁也是新的安全课题，安全厂商注意到myspace蠕虫和百度空间蠕虫是新蠕虫的代表。跨站点脚本攻击，变得越来越 普及，因为黑客们已经发现了这类攻击的作用和好处。攻击者可以在用户毫不知情的情况下造成许多危害，其中包括强迫PC下载非法内容、侵入其他Web站点或 发送电子邮件等。利用AJAX，在后台无声无息地传递数据，很难被发现，为AJAX蠕虫隐身传播带来了绝佳的便利！其中百度空间蠕虫源码已经公布。

对于普通的电脑用户来说，根本无法从众多内容源中区分威胁。金山毒霸2008和金山清理专家的网页防挂马组件，可成功拦截后台“非法”的下载行为，减少用户因浏览网页而感染病毒的机会。

3、黑客技术与病毒技术的广泛协作

2007年ARP病毒广为人知，其实在更早的时候，ARP攻击行为已经令企业网管头疼不已。比较常见的是部分“传奇盗号木马”，当局域网中某台计 算机中了这个木马，会向局域网发送大量ARP数据包，该木马对局域网的影响超出了盗号造成的破坏，表现为网络通信时断时通，网速变慢。07年的ARP欺 骗，已经不再局限于此，通过劫持网络会话，可以在正常计算机上网时，插入特定恶意代码，强令未中毒的正常计算机浏览指定网站或下载病毒木马。

更为严重的是，这种攻击行为已经扩散到从客户端到内容源服务器之间的所有环节。攻击者利用黑客技术入侵广域网路由，导致某地区所有计算机访问网站 时下载木马或强行弹出广告。攻击者还会攻击内容源服务器所在的局域网，当黑客成功入侵内容源服务器所在网段的某台主机后，再利用ARP欺骗劫持会话，造成 所有访问该内容源的客户机下载病毒木马或者弹出广告。（图6）

ARP攻击利用的是网络传输协议的漏洞，只有修改网络协议才能从根本上解决这一问题，目前情况下只能做到缓解，其中很多工作要靠网管员来解决。普 通用户能做的，是利用现有工具尽可能保护自身不被攻击，或者自己不要感染了ARP病毒去攻击其它计算机。金山ARP防火墙提供了简单的解决方案，可在一定 程度上应对ARP攻击的挑战。（图7）

4、病毒入侵“流程化”

2007年，病毒攻击手段的流程化迹象日益突出。大量病毒进入用户电脑后首先终止杀毒软件的进程，导致用户电脑失去任何安全屏障；接下来，病毒将 肆无忌惮地下载大量盗号类木马到用户电脑内；最后驻留在用户电脑内的盗号木马伺机作案，盗取用户的网银、网游帐号密码以及其他个人机密文件。

以AV终结者为例，该病毒进入用户电脑后，开机时可自动加载，并“绑架”安全软件，令大量杀毒软件、系统管理工具、反间谍软件不能正常启动。同时 监视活动窗口的关键字，发现带“杀毒”等字样的，就立即关闭窗口。在用户对其束手无策的情况下，AV终结者疯狂下载木马、后门程序，进而窃取用户相关资料 和帐号信息。

5、病毒传播突显“长尾”理论（图8）

在2007年度的10大病毒中，几乎无一例外，具有变种多的特征。很多人以为AV终结者是一个病毒，实际上是一大批具备相似现象的病毒集合。下半 年很多用户知道Auto病毒，不少人认为这是一种病毒，而事实上，利用U盘的自动运行功能传播的病毒成百上千，这些病毒还具备Av终结者的特征。

AV终结者、Auto病毒、木马下载器泛滥，和一两年前相比，病毒传播的趋势发生了巨变。现在的情况是，每个盗号团伙释放的木马，只影响或入侵部 分网络，而不象以前那样尝试入侵所有的网络终端。因为是人为释放的结果，盗号团伙可以很容易的控制木马更新版本，以逃避查杀。位于这个“长尾”下被入侵的 计算机总数相当庞大。

这种状态下，对杀毒软件的挑战是越来越多的病毒木马难以被监测网捕获，或者在捕获这些木马前，这些木马有着较长的生存时间。杀毒软件更快更准的捕获这些病毒，将会给用户提供更多的安全。到目前为止，杀毒厂商和制毒贩毒者之间猫捉老鼠的游戏，还远未终结。

如何打破病毒和杀毒的僵局，金山毒霸的研发人员在探索全新的反病毒方法。首先使用网络爬虫技术，自动收集互联网出现的二进制程序；其次，在金山毒 霸2008中，独有的三维互联网防御体系，通过行为拦截技术，发现并上报危险程序；通过自动化分析与人工分析相结合，对收集上来的程序进行快速甄别。利用 该技术，缩短了金山毒霸对病毒、木马的响应时间。

6、病毒传播方式多样化 相互模仿严重

病毒/木马制作模仿现象严重，一些病毒制作者将现有的病毒制作技术进行重新的搭配，使其获得更大的危害程度。2007年公布的10大病毒中，“灰鸽子”对应“网络红娘”，“熊猫烧香”对应“瓢虫”，他们只是在出现的时间不同，其传播和危害的方法都如出一辙。

互联网的高速发展带来病毒制作技术的不断翻新，但制作创意更易被病毒作者所接受。在熊猫烧香出现时间和瓢虫病毒出现时间之间，也同样出现了很多相 似的病毒，如：“神奇小子”，这说明“熊猫烧香”的病毒制作创意受到了病毒作者的追捧，到年底“瓢虫”这一“改良”后的“熊猫烧香”差一点就成为毒王。

近年来病毒/木马泛滥的主要原因是制作门槛的降低，许多的黑客网站提供了相应的教学方法，让VXer(病毒作者的简称)大量出现，而今年这种通过 创意模仿并改进的病毒的增多更加成为一个较鲜明的特点。相比病毒/木马的传播和破坏在技术上的改进，制作病毒的“创意”可能会成为病毒/木马界新焦点。

除了上述六大特点外，2007年，各类病毒百花齐放，以各种传播方式不断进攻互联网，其中三大类病毒的数量明显增多：

1、对抗杀毒软件和破坏系统安全设置的病毒明显增多
对抗杀毒软件和破坏系统安全设置的病毒以前也有，但07年从AV终结者病毒爆发之后，此类病毒便频繁出现。主要是由于大部分杀毒软件加大了查杀病 毒的力度，使得病毒为了生存而必须对抗杀毒软件。这些病毒使用的方法也多种多样，如修改系统时间、结束杀毒软件进程、破坏系统安全模式、禁用 windows自动升级等功能。

2、利用可移动磁盘传播的病毒明显增多
随着可移动磁盘技术的不断发展，以及可移动磁盘价格下降，拥有可移动磁盘的用户也大量增加，病毒也开始趁机作乱，除了蠕虫，普通的木马很多也会通 过可移动磁盘进行传播，主要方式是复制一个病毒体和一个Autorun.inf文件到各盘。如果用户插入可移动磁盘，可移动磁盘将会被感染，然后当可移动 磁盘插入另一台机器，Autorun.inf发生作用，启动病毒感染计算机。

3、感染型病毒持续增多
感染型病毒曾经是Dos时代病毒的特点，进入windows之后，感染型病毒的量下降很多。但随着2006年的维金和2007年初的熊猫烧香病毒 “风靡”全国之后，从金山毒霸病毒监测系统显示，感染型病毒不断增多，除了传统的感染方式，还新增了如瓢虫、小浩等覆盖式感染，这种不负责任的感染方式将 导致中毒用户机器上的被感染文件无法修复，带来毁灭性的损坏。因此建议用户使用正版杀毒软件，并开启实时监控，能够在病毒运行起来之前将其查杀。

三、2008年病毒/木马技术发展趋势预测

在技术日新月异的今天，病毒/木马与反病毒软件之间的技术斗争愈演愈烈，金山毒霸全球反病毒监测中心预测2008年病毒/木马在技术方面将表现为三大趋势：

1、 新平台上的尝试。病毒/木马进入新经济时代后，肯定是无孔不入。因此在2008年，我们可以预估Vista的病毒将可能成为病毒作者的新宠。网络的提速让 病毒更加的泛滥，当我们的智能手机进入3G时代后，手机平台的病毒/木马活动会上升。软件漏洞的无法避免，在新平台上的漏洞也会成为病毒/木马最主要的传 播手段。

2、反主动防御或穿透主动防御的新技术将出现。在未来的2008年主动防御的反病毒技术必将成为 主流。理想状态下，主动防御能处理目前所有的已知病毒。但软件在计算机中始终是程序而不是智能生物，病毒作者必将针对各类主动防御技术研发出新的穿透技 术，就像近两年来采用加壳技术来躲避特征法一样来躲避主动防御技术。

3、网络欺诈会越演越烈。网络欺诈是最不需要技术含量的，但其通用性和易用性将成为一些网络骗子的利刃。2008奥运年，奥运会必将成为民众关注的焦点，同时如此高度吸引眼球的社会事件也将成为网络欺诈最好的诱饵。

在未来的2008年中，互联网可能会面对上述多种不同的危胁，安全产商必将而临更多的技术难题和需求。通过对网络安全形势变化以及趋势的分析，反病毒技术的发展也将呈现出三个明显的趋势：

1、客户端的防御系统将进一步加强与木马的对抗能力（Rootkit、商业木马等）。随着操作系统安全性的提高以及互联网厂商运营能力的提升，对抗将趋于平衡。

2、类似“可信认证”技术将进一步发展，服务端判定将逐步取代本地特征码对木马的判定

3、识别恶意行为的AI计算，将逐渐从客户端转向服务端

注：《2007年中国电脑病毒疫情及互联网安全报告》中的数据由金山毒霸全球反病毒监测中心、金山毒霸全球病毒应急处理中心、金山毒霸客户服务中 心联合监测得出。本报告的所有结论和所持观点均由金山独家发布，与其它合作公司、部门无关。同时您及金山均认可病毒、恶意程序等的产生、传播存在不可控制 性及不可预见性，因此金山仅保证在其可掌握的数据、技术水平许可范围内及其已掌控病毒范围内出具本报告，金山不就任何其尚未掌控的病毒、恶意程序等作任何 保证，但金山将致力于不断提高技术水平及掌控病毒范围。您已经明确知悉所述情况，并承诺不因信任或使用本报告而可能出现的任何结果向金山主张权利。