病毒知識(shí):怎樣發(fā)現(xiàn)病毒

計(jì)算機(jī)病毒要進(jìn)行傳染,必然會(huì)留下痕跡。檢測(cè)計(jì)算機(jī)病毒,就是要到病毒寄生場(chǎng)所去檢查,發(fā)現(xiàn)異常情況,并進(jìn)而驗(yàn)明“正身”,確證計(jì)算機(jī)病毒的存在。病毒靜態(tài)時(shí)存儲(chǔ)于磁盤中,激活時(shí)駐留在內(nèi)存中。因此對(duì)計(jì)算機(jī)病毒的檢測(cè)分為對(duì)內(nèi)存的檢測(cè)和對(duì)磁盤的檢測(cè)。
    一般對(duì)磁盤進(jìn)行病毒檢測(cè)時(shí), 要求內(nèi)存中不帶病毒。因?yàn)槟承┯?jì)算機(jī)病毒會(huì)向檢測(cè)者報(bào)告假情況。例如4096病毒在內(nèi)存中時(shí),查看被它感染的文件長(zhǎng)度時(shí),不會(huì)發(fā)現(xiàn)該文件的長(zhǎng)度已發(fā)生變化,而當(dāng)在內(nèi)存中沒(méi)有病毒時(shí), 才會(huì)發(fā)現(xiàn)文件長(zhǎng)度已經(jīng)增長(zhǎng)了4096字節(jié)。DIR 2病毒在內(nèi)存中時(shí),用DEBUG程序查看被感染文件時(shí),根本看不到DIR 2病毒的代碼,很多檢測(cè)程序因此而漏過(guò)了被其感染的文件。又如引導(dǎo)區(qū)型的巴基斯坦智囊病毒,當(dāng)它活躍在內(nèi)存中時(shí),檢查引導(dǎo)區(qū)時(shí)看不到病毒程序而只看到正常的引導(dǎo)扇區(qū)。 因此,只有在要求確認(rèn)某種病毒的類型和對(duì)其進(jìn)行分析、研究時(shí), 才在內(nèi)存中帶毒的情況下作檢測(cè)工作。
    從原始的、未受病毒感染的DOS系統(tǒng)軟盤啟動(dòng),可以保證內(nèi)存中不帶病毒。啟動(dòng)必須是上電啟動(dòng)而不能是按PC機(jī)鍵盤上的Alt+Ctrl+Del三個(gè)鍵的那種熱啟動(dòng),因?yàn)槟承┎《就ㄟ^(guò)截取鍵盤中斷,會(huì)將自己仍然駐留在內(nèi)存中。從這里可見(jiàn)保留好一份貼好寫保護(hù)簽的、未被病毒感染的DOS系統(tǒng)軟盤是多么重要！
    要注意的是, 若要檢測(cè)硬盤中的病毒,則啟動(dòng)系統(tǒng)軟盤的DOS版本應(yīng)該等于或高于硬盤內(nèi)DOS系統(tǒng)的版本號(hào)。 若硬盤上使用了磁盤管理軟件DM或ADM, 磁盤壓縮存儲(chǔ)管理軟件Stacker, Double space等,啟動(dòng)系統(tǒng)軟盤上應(yīng)把這些軟件的驅(qū)動(dòng)程序包括在軟盤上, 并把它們列入CONFIG. SYS文件中。否則用系統(tǒng)軟盤引導(dǎo)啟動(dòng)后,將不能訪問(wèn)硬盤上的所有分區(qū),使躲藏在其中的病毒逃過(guò)檢查。
    說(shuō)來(lái)說(shuō)去，最主要的就是檢查病毒需要一個(gè)決定干凈系統(tǒng)，如果病毒已經(jīng)在殺毒軟件之前工作了，查殺的效果肯定就不好了。