computer 版 (精华区)

发信人: neverbw (浪子~期待黑色七月), 信区: network
标  题: 可恶的电脑病毒！（下）
发信站: 听涛站 (2001年10月03日15:25:03 星期三), 站内信件

“防毒”是指根据系统特性，采取相应的系统安全措施预防病毒侵入计算机。
　　“查毒”是指对于确定的环境，能够准确地报出病毒名称，该环境包括内存、 文件
、引导区（含主导区），网络等。
　　“解毒”是指根据不同类型病毒感染对象的修改，并按照病毒感染性所进行的恢复
。该恢复过程不能破坏未被病毒修改的内容。感染对象包括：内存、引导区（含主引导
区），可执行文件，文档文件，纲络等。
　　防毒能力是指预防病毒侵入电脑系统的能力，通过采取防毒措施，应可以准确地。
实时地监测预警经由光盘，软盘、硬盘不同目录之间、局域网、因特网（包括FTP方式、
E-Mall HTTP方式）或其它形式的文件下载等多种方式进行的传输；能够在病毒侵入系统
是发出警报 ，记录携带病毒的文件，即时清除其中的病毒，对网络而言，能够向网络管
理员发送关于病毒入侵的信息，记录病毒入侵的工作站，必要时还要能够注销工作站，
隔离病毒源。
　　查毒能力是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现电脑系统是
否感染有病毒，并准确查找出病毒的来源，并能给出统计报告；查解病毒的能力应由查
毒率和误报率来评判。
　　解毒能力是指从感染对象中消除病毒，恢复被病毒感染前的原始信息的能力；解毒
能力应用解毒率来评判。
检测篇：
　　全面检测病毒，可以先发制毒。想要知道自己的电脑中是否染有病毒，最简单的方
法是用较新的防病毒软件对磁盘进行全面的检测。
　　但防病毒软件对于病毒来讲，总是后发制人。如何能够及早地发现新病毒呢？用户
可做以下简单判断；无论如何高明的病毒，在其侵入系统后总会留下一些“蛛丝马迹”
。
　　首先应注意内存情况，绝大部份的病毒是要驻留内存的。对于DOS用户可用C盘启动
机器，然后用“MEM”命令查看全部基本内存是否为640K(因为大多数引导型病毒驻留内
存时会更改此数)。如果有病毒可能会被改为638K、637K，有些机器在正常情况下639K亦
是正常的(如某些COMPAQ机)。还应注意被占用的内存数是否无故减少。
　　其次应注意当用的可执行文件（如Command.com）的字节数。绝大多数的病毒在对文
件进行传染后会使文件的长度增加，在查看文件字节数时应首先用“乾净系统盘启动”
。
　　对于软盘，则应注意是否无故出现坏块（有些病毒会在盘上做坏簇标记，以便将其
自身部份隐藏其中）。其他如出现软件运行速度变慢（磁盘续盘速度影响除外），输出
端口异常等现象都有可能是病毒造成的。最准确的方法是查看中断向量及引导扇区是否
被无故改变，当然这需要对系统及磁盘格式有一定的了解。
　　检测病毒方法有：特徵代码法、校验和法、行为监测法、软件模拟法、这些方法依
据的原理不同，实现时所需开销不同，检测范围不同，各有所长。
（一）特徵代码法：
　　特徵代码法被早期应用于SCAN、CPAV等著名病毒检测工具中，国外专家认为特徵代
码法是检测已知病毒的最简单、开销最小的方法。
　　特徵代码法的实现步骤如下：采集已知病毒样本、病毒如果既感染COM文件，又感染
EXE文件，对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。在病毒样本中，抽取
特徵代码。
依据如下原则：抽取的代码比较特殊，不大可能与普通正常程序代码吻合。抽取的代码
要有适当长度，一方面维持特徵代码的唯一性，另一方面又不要有太大的空间与时间的
开销。
　　如果一种病毒的特徵代码增长一字节，要检测3000种病毒，增加的空间就是3000字
节。在保持唯一性的前提下，尽量使特徵代码长度短些，以减少空间与时间开销。在既
感染COM 文件又感染EXE 文件的病毒样本中，要抽取两种样本共有的代码，将特徵代码
纳入病毒数据库。
　　打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特徵代
码。如果发现病毒特徵代码，由于特徵代码与病毒一一对应，便可以断定，被查文件中
患有何种病毒。
　　采用病毒特徵代码法的检测工具，面对不断出现的新病毒，必须不断更新版本，否
则检测工具便会老化，逐渐失去实用价值。病毒特徵代码法对从未见过的新病毒，自然
无法知道其特徵代码，因此无法去检测这些新病毒。
　　特徵代码法的优点是：检测准确快速、可识别病毒的名称、误报警率低、依据检测
结果，可做解毒处理。其缺点是：不能检测未知病毒、搜集已知病毒的特徵代码，费用
贻d销大、在网络上效率低(在网络服务器上，因长时间检索会使整个网络性能变坏)。
　　其特点：
　　　　A.速度慢，随着病毒种类的增多，检索时间变长。如果检索5000种病毒，必须
对5000个病毒特症代码逐一检查。如果病毒种数再增加，检病毒的时间开销就变得十分
可观。此类工具检测的高速性，将变得日益困难。
　　　　B.误报警率低。
　　　　C.不能检查多形性病毒。特症代码法是不可能检测多态性病毒的。国外专家认
为多态性病毒是病毒特症代码法的索命者。
　　　　D.不能对付隐蔽性病毒。隐藏性病毒如果先进驻内存，后运行病毒检测工具，
隐蔽性病毒能先于检测工具，将被查文件中的病毒代码剥去。
　　检测工具的确是在检查一个虚假的“好文件”，而不能报警，被隐蔽性的病毒所蒙
骗。
（二）校验和法：
　　将正常文件的内容，计算其校验和。将该校验和写入文件中或写入别的文件中保存
。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原
来保存的校验和是否一致，因而可以发现文件是否感染。
　　这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具
的后期版本中除了病毒特症代码法之外，还纳入校验和法，以提高其检测能力。
　　这种方法既能发现已知病毒，也能发现未知病毒。但是，它不能识别病毒类，不能
报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因，文件内容的改变
有可能是正常程序引起的，所以校验和法常常误报警。而且此种方法也会影响文件的运
行速度。
　　病毒感染的确会引起文件内容变化，但是校验和法对文件内容的变化太敏感，又不
能区分正常程序引起的变动，而频繁报警。用临视文件的校验和来检测病毒，不是最好
的方法。
　　这种方法遇到下述情况：已有软件牌更新，变更口令，修改运行参数、校验和法都
会误报警。
　　校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后，会自动剥去染毒程序中的病
毒代码，使校验和法受骗，对一个有毒文件算出正常校验和。
运用校验和法查病毒采用三种方式：
　　　　1.在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验
和，将校验和值写入被查文件中或检测工具中，而后进行比较。
　　　　2.在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入
文件本身中。每当应用程序启动时，比较现行校验和与原校验和值。实现应用程序的自
检测。
　　　　3.将校验和检查程序常驻内存，每当应用程序开始程运行时，自动比较检查应
用程序内部或别的文件中预先保存的校验和。
校验和法的优点是：方法简单能发现末知病毒，被查文件的细微变化也能发现。其缺点
是：发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病
毒，行为监测法。
（三）行为监测法：
　　利用病毒的特有行为特徵性来监测病毒的方法，称为行为监测法。通过对病毒多年
的观察、研究，有一些行为是病毒共同行为，而且比较特殊。在正常程序中，这些行为
比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。
　　这些做为监测病毒的行为特徵如下：
　　　　A.占有INT 13H所有的引导型病毒，都攻击Boot扇区或主引导扇区，系统启动时
，当Boot扇区或主引导区获得执行权时，系统刚刚开工。一般引导型病毒都会占用INT 
13H功能，因为其他系统功能未设置好，无法利用。引导型病毒占据INT 13H功能，在其
中放置病毒所需的代码。
　　　　B.改DOS系统为数据区的内存总量病毒常驻内存后，为了防止DOS系统将其覆盖
，必须修改系统内存总量。
　　　　C.对COM、EXE文件做写入动作病毒要感染，必须写COM、EXE文件。
　　　　D.病毒程序与宿主程序的切换染毒程序运行中，选运行病毒，而后执行宿主程
序。在两者切换时，有许多特徵行为。行为监测的长处：可发现未知病毒、可相当准确
地预报未知的多数病毒。
　　行为监测法的好处：可能误报警、不能识别病毒名称，实现时有一定难度。
（四）软件模拟法：
多态性病毒每次感染都变化其病毒密码，对付这种病毒，特徵代码法失效。因为多态性
病毒代码实施密码化，而且每次所用密钥不同，把染毒的病毒代码相互比较。

--
当爱情不再完美我宁愿选择无悔不管来生多么美丽我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]