病毒要進(jìn)行傳染，必然會(huì)留下痕跡。生物醫(yī)學(xué)病毒如此，電腦病毒也是一樣。檢測電腦病毒，就要到病毒寄生場所去檢查，發(fā)現(xiàn)異常情況，并進(jìn)而驗(yàn)明“正身”，確認(rèn)電腦病毒的存在。電腦病毒靜態(tài)時(shí)存儲于硬盤中，被激活時(shí)駐留在內(nèi)存中，因此對電腦病毒的檢測可以分為對硬盤的檢測和對內(nèi)存的檢測。

　　一般對硬盤進(jìn)行病毒檢測時(shí)，要求內(nèi)存中不帶病毒，因?yàn)槟承╇娔X病毒會(huì)向檢測者報(bào)告假情況。例如“4096”病毒在內(nèi)存中時(shí)，查看被它感染的文件，不會(huì)發(fā)現(xiàn)該文件的長度已發(fā)生變化，而當(dāng)在內(nèi)存中沒有病毒時(shí)，才會(huì)發(fā)現(xiàn)文件長度已經(jīng)增長了4096字節(jié);又例如，“DIR2”病毒在內(nèi)存中，用Debug程序查看被感染文件時(shí)，根本看不到“DIR2”病毒的代碼，很多檢測程序因此而漏過了被感染的文件;還有引導(dǎo)區(qū)型的“巴基斯坦智囊”病毒，當(dāng)它活躍在內(nèi)存中時(shí)，檢查引導(dǎo)區(qū)就看不到病毒程序而只看到正常的引導(dǎo)扇區(qū)。因此，只有在要求確認(rèn)某種病毒的類型和對其進(jìn)行分析、研究時(shí)，才能在內(nèi)存中帶毒的情況下作檢測工作。從原始的、未受病毒感染的DOS系統(tǒng)軟盤啟動(dòng)，可以保證內(nèi)存中不帶病毒。啟動(dòng)必須是上電啟動(dòng)而不是按鍵盤上的“Alt+CTRl+Del”三鍵的那種熱啟動(dòng)，因?yàn)槟承┎《究梢酝ㄟ^截取鍵盤中斷，將自己駐留在內(nèi)存中。檢測硬盤中的病毒，啟動(dòng)系統(tǒng)軟盤的DOS版本號應(yīng)該等于或高于硬盤內(nèi)DOS系統(tǒng)的版本號。如果硬盤上使用了硬盤管理軟件DM、ADM，硬盤壓縮存儲管理軟件Stacker、DoubleSPACe等，啟動(dòng)系統(tǒng)軟盤時(shí)應(yīng)把這些軟件的驅(qū)動(dòng)程序包括在軟盤上，并把它們寫入config.sys文件中，否則用系統(tǒng)軟盤引導(dǎo)啟動(dòng)后，將不能訪問硬盤上的所有分區(qū)，使躲藏在其中的病毒逃過檢查。

　　檢測硬盤中的病毒可分成檢測引導(dǎo)區(qū)型病毒和檢測文件型病毒。這兩種檢測的原理上相同，但由于病毒的存儲方式不同，檢測方法還是有差別的。主要是基于下列四種方法:比較被檢測對象與原始備份的比較法;利用病毒特征代碼串進(jìn)行查找的搜索法;搜索病毒體內(nèi)特定位置的特征字識別法;運(yùn)用反匯編技術(shù)分析被檢測對象，確證是否為病毒的分析法。

　　比較法

　　這是用原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測的文件進(jìn)行比較的方法，可以用打印的代碼清單(比如Debug的D命令輸出格式)進(jìn)行比較，也可用程序來進(jìn)行比較(如DOS的DISKCOMP、COMP或PCTOOLS等其它軟件)。比較法不需要專用的查病毒程序，只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進(jìn)行，而且還可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的殺毒軟件發(fā)現(xiàn)的計(jì)算機(jī)病毒。因?yàn)椴《緜鞑サ煤芸欤虏《緦映霾桓F，而目前還沒有能查出一切病毒的通用程序，或通過代碼分析，可以判定某個(gè)程序中是否含有病毒的查毒程序，所以只有靠比較法和分析法，或這兩種方法相結(jié)合來發(fā)現(xiàn)新病毒。　對硬盤的主引導(dǎo)區(qū)或?qū)OS的引導(dǎo)扇區(qū)作檢查，用比較法能發(fā)現(xiàn)其中的程序源代碼是否發(fā)生了變化。由于要進(jìn)行比較，因此保留好原始備份是非常重要的。制作備份時(shí)必須在無電腦病毒的環(huán)境里進(jìn)行，制作好的備份必須妥善保管，寫好標(biāo)簽，貼好寫保護(hù)。比較法的好處是簡單、方便，不用專用軟件;缺點(diǎn)是無法確認(rèn)病毒的種類名稱。另外，造成被檢測程序與原始備份之間差別的原因尚需進(jìn)一步驗(yàn)證，以查明是電腦病毒造成的，還是DOS數(shù)據(jù)被偶然原因，如突然停電、程序失控、惡意程序等破壞的。這些要用到以后講的分析法，查看變化部分代碼的性質(zhì)，以此來確認(rèn)是否存在病毒。

　　搜索法

　　這種方法主要是對每一種病毒含有的特定字符串進(jìn)行掃描，如果在被檢測對象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串，就表明發(fā)現(xiàn)了該字節(jié)串所代表的病毒。國外稱這種按搜索法工作的病毒掃描軟件為“SCANner”。這種病毒掃描軟件由兩部分組成:一部分是病毒代碼庫，含有經(jīng)過特別選定的各種電腦病毒的代碼串;另一部分是利用該代碼庫進(jìn)行掃描的掃描程序，病毒掃描程序能識別的電腦病毒的數(shù)目完全取決于病毒代碼庫內(nèi)所含病毒種類的多少。病毒代碼串的選擇是非常重要的，短小的病毒代碼只有一百多個(gè)字節(jié)，長的也只有10KB字節(jié)。一定要在仔細(xì)分析程序之后選出 具代表特性的，足以將該病毒區(qū)別于其它病毒和該病毒的其它變種的代碼串。一般情況下，代碼串是由連續(xù)若干個(gè)字節(jié)組成的，但是有些掃描軟件采用的是可變長串，即在串中包含有一個(gè)到幾個(gè)“模糊”字節(jié)。掃描軟件遇到這種串時(shí)，只要除“模糊”字節(jié)之外的字串都能完好匹配，就也能夠判別出病毒。另外，特征串還必須能將病毒與正常的非病毒程序區(qū)，不然就會(huì)出現(xiàn)“假報(bào)、誤報(bào)”。
 

• 1
• 2
• 下一頁

相關(guān)文章

• 上一篇： 教你如何預(yù)防病毒
• 下一篇： 怎樣清除隱藏的病毒文件