對(duì)硬盤(pán)進(jìn)行病毒檢測(cè)保護(hù)電腦安全

　　對(duì)硬盤(pán)進(jìn)行病毒檢測(cè)保護(hù)電腦安全！

　　要進(jìn)行傳染，必然會(huì)留下痕跡。生物醫(yī)學(xué)病毒如此，電腦病毒也是一樣。檢測(cè)電腦病毒，就要到病毒寄生場(chǎng)所去檢查，發(fā)現(xiàn)異常情況，并進(jìn)而驗(yàn)明正身，確認(rèn)電腦病毒的存在。電腦病毒靜態(tài)時(shí)存儲(chǔ)于硬盤(pán)中，被激活時(shí)駐留在內(nèi)存中，因此對(duì)電腦病毒的檢測(cè)可以分為對(duì)硬盤(pán)的檢測(cè)和對(duì)內(nèi)存的檢測(cè)。

　　一般對(duì)硬盤(pán)進(jìn)行病毒檢測(cè)時(shí)，要求內(nèi)存中不帶病毒，因?yàn)槟承╇娔X病毒會(huì)向檢測(cè)者報(bào)告假情況。例如4096病毒在內(nèi)存中時(shí)，查看被它感染的文件，不會(huì)發(fā)現(xiàn)該文件的長(zhǎng)度已發(fā)生變化，而當(dāng)在內(nèi)存中沒(méi)有病毒時(shí)，才會(huì)發(fā)現(xiàn)文件長(zhǎng)度已經(jīng)增長(zhǎng)了4096字節(jié);又例如，DIR2病毒在內(nèi)存中，用Debug程序查看被感染文件時(shí)，根本看不到DIR2病毒的代碼，很多檢測(cè)程序因此而漏過(guò)了被感染的文件;還有引導(dǎo)區(qū)型的巴基斯坦智囊病毒，當(dāng)它活躍在內(nèi)存中時(shí)，檢查引導(dǎo)區(qū)就看不到病毒程序而只看到正常的引導(dǎo)扇區(qū)。因此，只有在要求確認(rèn)某種病毒的類(lèi)型和對(duì)其進(jìn)行分析、研究時(shí)，才能在內(nèi)存中帶毒的情況下作檢測(cè)工作。

　　從原始的、未受病毒感染的DOS系統(tǒng)軟盤(pán)啟動(dòng)，可以保證內(nèi)存中不帶病毒。啟動(dòng)必須是上電啟動(dòng)而不是按鍵盤(pán)上的Alt+Ctrl+Del三鍵的那種熱啟動(dòng)，因?yàn)槟承┎《究梢酝ㄟ^(guò)截取鍵盤(pán)中斷，將自己駐留在內(nèi)存中。檢測(cè)硬盤(pán)中的病毒，啟動(dòng)系統(tǒng)軟盤(pán)的DOS版本號(hào)應(yīng)該等于或高于硬盤(pán)內(nèi)DOS系統(tǒng)的版本號(hào)。如果硬盤(pán)上使用了硬盤(pán)管理軟件DM、ADM，硬盤(pán)壓縮存儲(chǔ)管理軟件Stacker、DoubleSpace等，啟動(dòng)系統(tǒng)軟盤(pán)時(shí)應(yīng)把這些軟件的驅(qū)動(dòng)程序括在軟盤(pán)上，并把它們寫(xiě)入config.sys文件中，否則用系統(tǒng)軟盤(pán)引導(dǎo)啟動(dòng)后，將不能訪問(wèn)硬盤(pán)上的所有分區(qū)，使躲藏在其中的病毒逃過(guò)檢查。

　　檢測(cè)硬盤(pán)中的病毒可分成檢測(cè)引導(dǎo)區(qū)型病毒和檢測(cè)文件型病毒。這兩種檢測(cè)的原理上相同，但由于病毒的存儲(chǔ)方式不同，檢測(cè)方法還是有差別的。主要是基于下列四種方法:比較被檢測(cè)對(duì)象與原始備份的比較法;利用病毒特征代碼串進(jìn)行查找的搜索法;搜索病毒體內(nèi)特定位置的特征字識(shí)別法;運(yùn)用反匯編技術(shù)分析被檢測(cè)對(duì)象，確證是否為病毒的分析法。

　　比較法

　　這是用原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或被檢測(cè)的文件進(jìn)行比較的方法，可以用打印的代碼清單(比如Debug的D命令輸出格式)進(jìn)行比較，也可用程序來(lái)進(jìn)行比較(如DOS的DISKCOMP、COMP或PCTOOLS等其它軟件)。比較法不需要專(zhuān)用的查病毒程序，只要用常規(guī)DOS軟件和PCTOOLS等工具軟件就可以進(jìn)行，而且還可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的殺毒軟件發(fā)現(xiàn)的計(jì)算機(jī)病毒。因?yàn)椴《緜鞑サ煤芸�，新病毒層出不窮，而目前還沒(méi)有能查出一切病毒的通用程序，或通過(guò)代碼分析，可以判定某個(gè)程序中是否含有病毒的查毒程序，所以只有靠比較法和分析法，或這兩種方法相結(jié)合來(lái)發(fā)現(xiàn)新病毒。

　　對(duì)硬盤(pán)的主引導(dǎo)區(qū)或?qū)OS的引導(dǎo)扇區(qū)作檢查，用比較法能發(fā)現(xiàn)其中的程序源代碼是否發(fā)生了變化。由于要進(jìn)行比較，因此保留好原始備份是非常重要的。制作備份時(shí)必須在無(wú)電腦病毒的環(huán)境里進(jìn)行，制作好的備份必須妥善保管，寫(xiě)好標(biāo)簽，貼好寫(xiě)保護(hù)。比較法的好處是簡(jiǎn)單、方便，不用專(zhuān)用軟件;缺點(diǎn)是無(wú)法確認(rèn)病毒的種類(lèi)名稱(chēng)。另外，造成被檢測(cè)程序與原始備份之間差別的原因尚需進(jìn)一步驗(yàn)證，以查明是電腦病毒造成的，還是DOS數(shù)據(jù)被偶然原因，如突然停電、程序失控、惡意程序等破壞的。這些要用到以后講的分析法，查看變化部分代碼的性質(zhì)，以此來(lái)確認(rèn)是否存在病毒。