四種檢測硬盤及內存病毒的絕招
四種檢測硬盤及內存病毒的絕招
病毒要進行傳染,必然會留下痕跡。生物醫學病毒如此,電腦病毒也是一樣。檢測電腦病毒,就要到病毒寄生場所去檢查,發現異常情況,并進而驗明“正身”,確認電腦病毒的存在。 下面是學習啦小編收集整理的四種檢測硬盤及內存病毒的絕招,希望對大家有幫助~~
四種檢測硬盤及內存病毒的絕招
步驟/方法
一般對硬盤進行病毒檢測時,要求內存中不帶病毒,因為某些電腦病毒會向檢測者報告假情況。例如“4096”病毒在內存中時,查看被它感染的文件,不會發現該文件的長度已發生變化,而當在內存中沒有病毒時,才會發現文件長度已經增長了4096字節;又例如,“DIR2”病毒在內存中,用Debug程序查看被感染文件時,根本看不到“DIR2”病毒的代碼,很多檢測程序因此而漏過了被感染的文件;還有引導區型的“巴基斯坦智囊”病毒,當它活躍在內存中時,檢查引導區就看不到病毒程序而只看到正常的引導扇區。因此,只有在要求確認某種病毒的類型和對其進行分析、研究時,才能在內存中帶毒的情況下作檢測工作。從原始的、未受病毒感染的DOS系統軟盤啟動,可以保證內存中不帶病毒。啟動必須是上電啟動而不是按鍵盤上的“Alt+Ctrl+Del”三鍵的那種熱啟動,因為某些病毒可以通過截取鍵盤中斷,將自己駐留在內存中。檢測硬盤中的病毒,啟動系統軟盤的DOS版本號應該等于或高于硬盤內DOS系統的版本號。如果硬盤上使用了硬盤管理軟件DM、ADM,硬盤壓縮存儲管理軟件Stacker、DoubleSpace等,啟動系統軟盤時應把這些軟件的驅動程序包括在軟盤上,并把它們寫入config.sys文件中,否則用系統軟盤引導啟動后,將不能訪問硬盤上的所有分區,使躲藏在其中的病毒逃過檢查。
檢測硬盤中的病毒可分成檢測引導區型病毒和檢測文件型病毒。這兩種檢測的原理上相同,但由于病毒的存儲方式不同,檢測方法還是有差別的。主要是基于下列四種方法:比較被檢測對象與原始備份的比較法;利用病毒特征代碼串進行查找的搜索法;搜索病毒體內特定位置的特征字識別法;運用反匯編技術分析被檢測對象,確證是否為病毒的分析法。
比較法
這是用原始備份與被檢測的引導扇區或被檢測的文件進行比較的方法,可以用打印的代碼清單(比如Debug的D命令輸出格式)進行比較,也可用程序來進行比較(如DOS的DISKCOMP、COMP或PCTOOLS等其它軟件)。比較法不需要專用的查病毒程序,只要用常規DOS軟件和PCTOOLS等工具軟件就可以進行,而且還可以發現那些尚不能被現有的殺毒軟件發現的計算機病毒。因為病毒傳播得很快,新病毒層出不窮,而目前還沒有能查出一切病毒的通用程序,或通過代碼分析,可以判定某個程序中是否含有病毒的查毒程序,所以只有靠比較法和分析法,或這兩種方法相結合來發現新病毒。 對硬盤的主引導區或對DOS的引導扇區作檢查,用比較法能發現其中的程序源代碼是否發生了變化。由于要進行比較,因此保留好原始備份是非常重要的。制作備份時必須在無電腦病毒的環境里進行,制作好的備份必須妥善保管,寫好標簽,貼好寫保護。比較法的好處是簡單、方便,不用專用軟件;缺點是無法確認病毒的種類名稱。另外,造成被檢測程序與原始備份之間差別的原因尚需進一步驗證,以查明是電腦病毒造成的,還是DOS數據被偶然原因,如突然停電、程序失控、惡意程序等破壞的。這些要用到以后講的分析法,查看變化部分代碼的性質,以此來確認是否存在病毒。
搜索法
這種方法主要是對每一種病毒含有的特定字符串進行掃描,如果在被檢測對象內部發現了某一種特定字節串,就表明發現了該字節串所代表的病毒。國外稱這種按搜索法工作的病毒掃描軟件為“Scanner”。這種病毒掃描軟件由兩部分組成:一部分是病毒代碼庫,含有經過特別選定的各種電腦病毒的代碼串;另一部分是利用該代碼庫進行掃描的掃描程序,病毒掃描程序能識別的電腦病毒的數目完全取決于病毒代碼庫內所含病毒種類的多少。病毒代碼串的選擇是非常重要的,短小的病毒代碼只有一百多個字節,長的也只有10KB字節。一定要在仔細分析程序之后選出最具代表特性的,足以將該病毒區別于其它病毒和該病毒的其它變種的代碼串。一般情況下,代碼串是由連續若干個字節組成的,但是有些掃描軟件采用的是可變長串,即在串中包含有一個到幾個“模糊”字節。掃描軟件遇到這種串時,只要除“模糊”字節之外的字串都能完好匹配,就也能夠判別出病毒。另外,特征串還必須能將病毒與正常的非病毒程序區,不然就會出現“假報、誤報”。
5特征字識別法
這是基于特征串掃描法發展起來的一種方式,運行速度較快、誤報頻率較低。特征字識別法只須從病毒體內抽取很少的幾個關鍵特征字,組成特征字庫。由于需要處理的字節很少,又不必進行串匹配,因此大大加快了識別速度,當被處理的程序很大時,用這種辦法比較合適。由于特征字識別法更注意電腦病毒的“程序活性”,因此減少了錯報的可能性。使用基于特征串掃描法的查病毒軟件方法與使用基于特征字識別法的查病毒軟件方法是一樣的,只要運行查毒程序,就能將已知的病毒檢查出來。
四種檢測硬盤及內存病毒的絕招相關文章: