荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: xhjx (想你!!), 信区: Virus
标 题: 带毒环境下检测、清除病毒的方法
发信站: 荔园晨风BBS站 (Tue Feb 26 12:23:07 2002), 站内信件
近年来,新的计算机病毒发展十分猖獗,而且这些新病毒更加隐蔽、复杂,某
些新病毒所具有的破坏性更大,所带来的损失无法估量。这表明计算机病毒的防治
尤为重要,同时所面临的形势也更加严峻。本文就在带毒环境下检测清除病毒的方
法问题提出一点体会与看法。
一、带毒环境下检测清除病毒的意义
目前在我国流行的病毒一般可分为引导型病毒、文件型病毒和混合型病毒。引
导型病毒的特点是它寄生在软盘的DOS引导扇区和硬盘的主引导记录或DOS引导区中
,开机时由计算机自动读入内存中执行。文件型病毒则将自身附加在可执行文件上
,在执行被感染程序时,病毒首先获得控制权,进行驻留或破坏等活动。混合型病
毒既能感染引导区也能感染可执行文件,具有更强的传染性。常用的杀毒软件有
KV300、公安部的KILL、美国McAfee公司的SCAN和CLEAN等,这些软件各有自身的优
点。但是在一个带毒的环境下,也即在病毒已经驻留在内存中的情况下,这些杀毒
软件都存在不足并可能带来一些不良的后果。
当系统感染一种已知病毒时,KILL和SCAN发现内存中有病毒后,一般是拒绝继
续执行,并要求用干净的盘重新启动。KV300发出类似的警告信息,但提供给用户
一个选择的机会,以确定是否继续执行,很显然,若用户选择继续,所带来的后果
是不可预期的。
当系统感染一种未知病毒时,三种软件在未发现内存中有已知病毒后,都假设
系统中无病毒,忠实地执行检测或清除功能。事实上,这个未知病毒可能会在检测
时传染盘中所有的可执行文件。
由上面的讨论可知,清查病毒时只有从绝对干净的盘启动,而且要求杀毒软件
自身无毒,才能够保证万无一失。然而,由于人们相互拷贝各种软件,很大程度上
帮助了病毒的传播,在许多情况下,要获得一张干净的启动盘很不容易,并且对于
一些对计算机系统了解不是很多的使用者来说,他们根本无法断定一张启动盘是不
是干净的。因此,探讨在带毒环境下进行病毒检测和清除的方法是很有意义的。
二、带毒环境下检测清除病毒的原理
对于一个驻留内存伺机进行传染和破坏的病毒来说,一般都要截取某些中断向
量,当其他程序调用这些中断时,病毒重新取得控制权,判断是否满足特定的条件
,满足则激活传染或破坏部分,在条件不满足的情况下一般是调用原中断服务程序
,实现正常的系统功能。
引导型病毒常接管INT13H、08H、10H等中断;文件型病毒则常接管INT21H、
24H、25H、26H、1CH、13H、10H等中断。
既然病毒是通过接管中断来获取传染和破坏的机会,那么我们是否有办法找回
被病毒接管的中断服务程序的地址,从而杀毒软件可以直接调用原中断,避免激活
病毒?笔者认为这是可能的,因为病毒在接管中断后,一般只对读写操作、文件操
作和执行等子功能调用感兴趣,对于其他一些功能调用,病毒只是简单地调用原中
断服务程序进行处理,并通常使用下列指令进行调用:
jmp xxxx:xxxx
call xxxx:xxxx
jmp far ptr cs:[xxxx]
call far ptr cs:[xxxx]
以INT21H为例,我们可以调用取DOS版本号的子功能3306H,对整个调用过程进
行单步跟踪,并假设病毒驻留的段地址与INT21H原中断段地址是不同的,如果调用
过程中CS发生改变,我们把每次CS改变后执行的第一条指令的地址都记录下来,那
么INT21H原来的中断地址也必定在其中。
但记录的地址不止一个,究竟哪个是我们所要找的呢?这里我们可以假设病毒
在调原中断服务程序时把各个寄存器(指AX、BX、CX、DX、SI、DI、DS、ES)都设置
成我们调用时所设置的值,同时真正的中断服务程序返回时又会改变寄存器的值,
这个假设在绝大多数情况下都是正确的,从该假设出发,只需在各个寄存器值没有
改变的情况下,记录下每次CS改变后的第一条指令的地址,那么在中断返回后,记
录中的最近一个地址就是所需找的原中断地址。需要指出的是,如果内存中还有其
他驻留程序也接管了INT21H,所找到的地址同样绕过了这些驻留程序。
--
┼┼╭ ┈ -‐ ⌒⌒ ╭へ⌒~╭⌒
┼ ╰┼╮ 枯藤老树昏鸦 ⌒⌒╭~;;;;~;;;;;)
┼┼╭─╯ 小桥流水人家 ¤ @ (;;;~;;;;;;~;;;╮
┼┼╰┼╮ 古道西风瘦马 . /\ ╰へ╯:::╰~~~
┼┼╭┼╯ 夕阳西下 断肠人在天涯 ____ ど"-\+-╮ :::
┼┼┼┼╮_____________________________/╭╮\____<\︶<\____________:::__________
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店