1.严密监控内存RAM区
对RAM的监控主要包括三个方面:
(1)跟踪内存容量的异常变化
内存容量由内存0000:004BH处的一个字单元来表示。正常情况下,该处的一个字表示以K为单位的内存容量。例如,如果内存容量为512K,则该字的内存为0200H,如果内存容量为640K,则该字的内容为0280H。由于系统型病毒在侵入系统后,一般都要对内存容量进行修改,以便保护其放在内存高端的病毒程序不被其他程序或COMMAND.COM文件的暂驻部分所覆盖。
因此,如果软件检测到内存容量发生了某些异常变化,通常是容量被无端占用,大幅度缩容,则表明有病毒存在。
(2)对中断向量进行监控、检测
此原理与病毒报警软件有关部分相同。
(3)对RAM区进行扫描
利用检测软件中所储存的大量病毒特征值,对RAM区中的所有字符串进行扫描。如果发现RAM中的某些字符串与已知病毒的特征值字符串相同,则表明内存中已驻留了这种病毒,应立即采取措施。
2.监控磁盘引导扇区
系统型病毒主要维护引导扇区,对引导扇区的严格监控,可以有效检测出系统型病毒。
(1)代码和有变,则可能有病毒感染。
由DOS的各种版本格式化后磁盘引导扇区的内容都是固定的,所以其代码和也是固定的。检测软件在求出代码和后,如果发现其结果与DOS版本的正常代码不一致,就可以初步确定被检测的磁盘引导扇区被病毒所感染。
此方法有其局限性,通常它需结合其他方法才能做出最终判断。
(2)扫描引导扇区的所有字符串
若发现有病毒特征值字符串出现,则可以判定有病毒存在于引导扇区。
(3)全方位扫描磁盘文件
检测软件对系统中的所有文件进行扫描,查找病毒特征值字符串,以确定是否有病毒被检测出。
显然,它是针对文件型病毒的一种作用方式。
(摘自陈立新《计算机病毒防治百事通》 清华大学出版社)
|