计算机病毒要进行传染,必然会留下痕迹。检测计算机病毒,就是要到病毒寄生场所去检查,发现异常情况,并进而验明“正身”,确证计算机病毒的存在。病毒静态时存储于磁盘中,激活时驻留在内存中。因此对计算机病毒的检测分为对内存的检测和对磁盘的检测。
一般对磁盘进行病毒检测时, 要求内存中不带病毒。因为某些计算机病毒会向检测者报告假情况。例如4096病毒在内存中时,查看被它感染的文件长度时,不会发现该文件的长度已发生变化,而当在内存中没有病毒时, 才会发现文件长度已经增长了4096字节。DIR 2病毒在内存中时,用DEBUG程序查看被感染文件时,根本看不到DIR 2病毒的代码,很多检测程序因此而漏过了被其感染的文件。又如引导区型的巴基斯坦智囊病毒,当它活跃在内存中时,检查引导区时看不到病毒程序而只看到正常的引导扇区。 因此,只有在要求确认某种病毒的类型和对其进行分析、研究时, 才在内存中带毒的情况下作检测工作。
从原始的、未受病毒感染的DOS系统软盘启动,可以保证内存中不带病毒。启动必须是上电启动而不能是按PC机键盘上的Alt+Ctrl+Del三个键的那种热启动,因为某些病毒通过截取键盘中断,会将自己仍然驻留在内存中。从这里可见保留好一份贴好写保护签的、未被病毒感染的DOS系统软盘是多么重要!
要注意的是, 若要检测硬盘中的病毒,则启动系统软盘的DOS版本应该等于或高于硬盘内DOS系统的版本号。 若硬盘上使用了磁盘管理软件DM或ADM, 磁盘压缩存储管理软件Stacker, Double space等,启动系统软盘上应把这些软件的驱动程序包括在软盘上, 并把它们列入CONFIG. SYS文件中。否则用系统软盘引导启动后,将不能访问硬盘上的所有分区,使躲藏在其中的病毒逃过检查。
说来说去,最主要的就是检查病毒需要一个决定干净系统,如果病毒已经在杀毒软件之前工作了,查杀的效果肯定就不好了。
|
