连年来,新的估计打算机病毒成长特别猖獗,并且这些新病毒更加隐藏、繁杂,某些新病毒所具有的损坏性更大,所带来的耗损无法忖度。这剖明估计打算机病毒的防治尤为紧急,同时所面临的现象也更加庄重。本文就在带毒情形下检测清除病毒的办法题目建议一点体味与意见。 ???? ????一、带毒情形下检测清除病毒的事理 ???? ????当前在我国时兴的病毒普通可分为开辟型病毒、文件型病毒和同化型病毒。开辟型病毒的特点是它寄生在软盘的DOS开辟扇盛大游戏茶苑官网区和硬盘的主启迪纪录或DOS启迪区中,开机时由估计打算机主动读入内存中履行。文件型病毒则将本身附加在可履行文件上,在履行被感染法式时,病毒结果获得抵制权,举行驻留或毁坏等运动。同化型病毒既能感染启迪区也能感染可履行文件,具有更强的习染性。常用的杀毒软件有KV300、公安部的KILL、美国McAfee公司的SCAN和CLEAN等,这些软件各有本身的利益。然而在一个带毒的状况下,也即在病毒已经驻留在内存中的状况下,这些杀毒软件都存在不够并也许带来少少不良的恶果。 ???? ????当体系感染一种已知病毒时,KILL和SCAN发明内存中有病毒后,普通是决绝连续履行,并请求用清洁的盘重新启动。KV300发出髣的警告音信,但提提供用户一个遴选的机会,以确定是否连续履行,很分明,若用户遴选连续,所带来的恶果是不成预期的。 ???? ????当体系感染一种未知病毒时,三种软件在未发明内存中有已知病毒后,都如果体系中无病毒,忠厚地履行检测或扫除效用。事实上,这个未知病毒也许会在检测时习染盘中总共的可履行文件。 ???? ????由上面的磋商可知,清查病毒时只有从完全清洁的盘启动,并且请求杀毒软件本身无毒,才可能担保稳操胜券。然而,因为人们相互拷贝各样软件,很大水平上帮助了病毒的宣传,在许多状况下,要获得一张清洁的启动盘很不便当,并且对付少少对估计打算机体系了解不是许多的运用者来说,他们根蒂无法鉴定一张启动盘是不是清洁的。因此,探讨在带毒状况下举行病毒检测和扫除的办法是很有事理的。 ???? ????二、带毒状况下检测扫除病毒的道理 ???? ????看待一个驻留内存伺机举行习染和毁坏的病毒来说,寻常都要截取某些中断向量,当其他程序调用这些中断时,病毒重新赢得抵制权,判定是否餍足特定的条款,餍足则激活习染或毁坏部分,在条款不餍足的状态下寻常是调用原中断服务程序,完成平常的体系功效。 ???? ????启发型病毒常接受INT13H、08H、10H等中断;文件型病毒则常接受INT21H、24H、25H、26H、1CH、13H、10H等中断。 ???? ????既然病毒是议决接受中断来得到习染和毁坏的时机,那么我们是否有方法找回被病毒接受的中断服务程序的地址,从而杀毒软件能够直接调用原中断,制止激活病毒?笔者以为这是大概的,由于病毒在接受中断后,寻常只对读写操纵、文件操纵和履行等子功效调用感兴趣,看待其他极少功效调用,病毒不外粗略地调用原中断服务程序举行解决,并往往运用下列指令举行调用: ????jmp xxxx:xxxx ????call xxxx:xxxx ????jmp far ptr cs:[xxxx] ????call far ptr cs:[xxxx] ???? ????以INT21H为例,我们能够调用取DOS版本号的子功效3306H,对通盘调用进程举行单步跟踪,并如果病毒驻留的段地址与INT21H原中断段地址是分别的,倘使调用进程中CS发生改革,我们把每次CS改革后履行的第一条指令的地址都纪录下来,那么INT21H原来的中断地址也肯定在此中。 ???? ????但纪录的地址不止一个,事实哪个是我们所要找的呢?这儿我们能够如果病毒在调原中断服务程序时把各个寄存器(指AX、BX、CX、DX、SI、DI、DS、ES)都配置成游戏茶苑大厅官网我们调用时所配置的值,同时真实的间断服务圭表返回时又会改造寄放器的值,这个假设在绝大多数状态下都是精确的,从该假设开航,只需在各个寄放器值没有改造的状态下,记载下每次CS改造后的第一条指令的地方,那么在间断返回后,记载中的最近一个地方便是所需找的原间断地方。必要指出的是,假使内存中再有其他驻留圭表也接受了INT21H,所找到的地方同样绕过了这些驻留圭表。 (本文地址:http://www.zphongsheng.com/youxichayuan2010/201007/18.html) |