摘自陈立新《计算机病毒防治百事通》清华大学出版社 q'S[TFMNE
计算机病毒比较法诊断的原理 vh.8m$,
比较法是用原始的或正常的与被检测的进行比较。比较法包括长度比较法、内容比较法、内存比较法、中断比 FFZ?-sE
较法等。比较时可以靠打印的代码清单(比如DEBUG的口命令输出格式)进行比较,或用程序来进行比较(如DOS的 EFDmNud`Q
DISKCOMP、COMP或PCTOOLS等其他软件)。这种比较法不需要专用的查病毒程序,只要用常规DOS软件和 PCTOOLS等 k
76<CX
工具软件就可以进行。而且用这种比较法还可以发现那些尚不能被现有的查病毒程序发现的计算机病毒。因为病毒 olQP>sa
传播得很快,新病毒层出不穷,由于目前还没有做出通用的能查出一切病毒,或通过代码分析,可以判定某个程序 [gUD +
中是否含有病毒的查毒程序,发现新病毒就只有靠比较法和分析法,有时必须结合这两者来一同工作。 K@n-#
1.长度比较法及内容比较法 JG^GEJ
病毒感染系统或文件,必然引起系统或文件的变化,既包括长度的变化,又包括内容的变化。因此,将无毒的 9 D.wW
系统或文件与被检测的系统或文件的长度和内容进行比较,即可发现病毒。长度比较法和内容比较法就是从长度和 F6~
;f;
内容两方面进行比较而得名。 &I
~'2mpk
以长度或内容是否变化做为检测病毒的依据,在许多场合是有效的。但是,众所周知,现在还没有一种方法可 k+[oYd
以检测所有的病毒。长度比较法和内容比较法有其局限性,只检查可疑系统或文件的长度和内容是不充分的。因为: N}/V2K]Q
(1)长度和内容的变化可能是合法的。有些普通的命令可以引起长度和内容变化。 1:<n(?5JI
(2)某些病毒感染文件时,宿主文件长度可保持不变。 {w3<dfJ
上述情况下,长度比较法和内容比较法不能区别程序的正常变化和病毒攻击引起的变化,不能识别保持宿主程 z4D)Xy"/
序长度不变的病毒,无法判定为何种病毒。实践告诉人们,只靠检测长度或内容是不充分的,将长度比较法、内容 vxf09v{-
比较法做为检测病毒的手段之一,与其他方法配合使用,效果更好。 3>3t(M|
2.内存比较法 V"8Go;[
这是一种对内存驻留病毒进行检测的方法。由于病毒驻留于内存,必须在内存中申请一定的空间,并对该空间 zK~_e\m
进行占用、保护。因此,通过对内存的检测,观察其空间变化,与正常系统内存的占用和空间进行比较,可以判定 /NB|N*}O)
是否,有病毒驻留其间。但无法判定为何种病毒。此法对于那些隐蔽型病毒无效。 6miXaAA8
3.中断比较法 \'g7oV;>cI
病毒为实现其隐蔽和传染破坏之目的,常采用“截留盗用”技术,更改、接管中断向量,让系统中断向量转向 yT<"?S>D
执行病毒控制部分。因此,将正常系统的中断向量与有毒系统的中断向量进行比较,可以发现是否有病毒修改和盗 N:64Gko"K
用中断向量。 < (9
BO &
由于高版本的DOS系统在DOS引导之后重新管理一部分BIOS中断服务程序,即将原中断向量保存起来,这时;引 SD~4CtlfI
导型病毒所修改的中断向量也同时被保存起来,因而从中断向量中可能观察不到引导型病毒对中断向量的修改。与 &to~#.qc
PCTOOLS一同提供的MI是一个非常有用的检测工具,它不仅能够显示系统内存大小、内存分配状况, 而且能够显示 q}jh>`d
出哪个驻留程序占用哪些内存空间、接管哪些中断向量。用MI软件可检测出文件型病毒常驻内存及更改部分中断向 Edc3YSg%;
量的信息。 4J'0k<5S
使用比较法能发现异常,如文件的长度有变化,或虽然文件长度未发生变化,但文件内的程序代码发生了变化。 hyPS 6Y'1
对硬盘主引导区或对DOS的引导扇区做检查,比较法能发现其中的程序代码是否发生了变化。由于要进行比较, 保 {TJ"O
留好原始备份是非常重要的,制作备份时必须在元计算机病毒的环境里进行,制作好的备份必须妥善保管,写好标 g'k m*EV
签,贴写好保护签。
)]w&DNc
比较法的好处是简单、方便,不需专用软件。缺点是无法确认病毒的种类名称。另外,造成被检测程序与原始 .(p_YjIA
备份之间差别的原因尚需进一步验证,以查明是由于计算机病毒造成的,或是由于DOS数据被偶然原因, 如突然停 '%e@7Cs
电、程序失控、恶意程序等破坏的。这些要用到下面介绍的分析法,查看变化部分代码的性质,以此来确证是否存 p:tp|/
在病毒。另外,当找不到原始备份时,用比较法就不能马上得到结论。从这里可以看到制作和保留原始主引导扇区 4VF]tX?o
和其他数据备份的重要性。 (oCpQDab@
WUYU\J&q3
计算机病毒校验和法诊断的原理 Q+a&a]*KL^
将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期 Iw] ylp
地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染, ,,j> 2Ts
这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。 zvnd@y{[
这种方法既能发现已知病毒,也能发现未知病毒,但是,它不能识别病毒种类,不能报出病毒名称。由于病毒 g|^U?|;p
感染井非文件内容改变的唯一的排他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警, OJydt; a
而且此法也会影响文件的运行速度。 ulg= ,+%r
病毒感染的确会引起文件内容变化,但是校验和法对文件内容的变化太敏感,又不能区分正常程序引起的变动, YJwI@E(l$
而频繁报警。用监视文件的校验和来检测病毒,不是最好的方法。这种方法当遇到软件版本更新、变更口令以及修 w=nS*Qy2
改运行参数时都会误报警。 v8\_6}*I
校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗, j/wQ2"@a
对一个有毒文件算出正常校验和。 wE9z@\z]
校验和法的优点是:方法简单、能发现未知病毒、被查文件的细微变化也能发现。其缺点是:必须预先记录正 \qW^AD(it<
常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽性病毒。 &-IkM%_A9
计算机病毒扫描法诊断的原理 ;\13x][
扫描法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特 phA{jJy?
定字符串,就表明发现了该字符串所代表的病毒。国外管这种按搜索法工作的病毒扫描软件叫SCANNER。 扫描法包 4%yeEc;z
括特征代码扫描法、特征字扫描法。 R%t6sbsNv
1.特征代码扫描法 =yJc pj
病毒扫描软件由两部分组成:一部分是病毒代码库,含有经过特别选定的各种计算机病毒的代码串;另一部分 Cvt/ot-J?
是利用该代码库进行扫描的扫描程序。病毒扫描程序能识别的计算机病毒的数目完全取决于病毒代码库内所含病毒 o<s~455m/
的种类有多少。显而易见,库中病毒代码种类越多,扫描程序能认出的病毒就越多。 FFVh~em{
病毒代码串的选择是非常重要的。选择代码串的规则是: [p0_I7
(1)短小的病毒只有一百多个字节,病毒代码长的有上10KB字节的。 如果随意从病毒体内选一段作为代表该 P
2x.rukT|
病毒的特征代码串,可能在不同的环境中,该特征串并不真正具有代表性,不能用于将该串所对应的病毒检查出来。 iH)vLD
选这种串做为病毒代码库的特征串就是不合适的。 )ARV>(
(2)代码串不应含有病毒的数据区,数据区是会经常变化的。 +4IaX1.
(3)在保持唯一性的前提下,应尽量使特征代码长度短些,以减少时间和空间开销。 Y,4?>:39J
(4)代码串一定要在仔细分析了程序之后才能选出最具代表性的, 足以将该病毒区别于其他病毒和该病毒的 ?6\A$?
其他变种的代码串。 Ql}#mC.>/
选定好的特征代码串是很不容易的,是病毒扫描程序的精华所在。一般情况下,代码串是连续的若干个字节组 XGnC8Be{4
成的串,但是有些扫描软件采用的是可变长串,即在串中包含有一个到几个“模糊”字节。扫描软件遇到这种串时, D_z&G)
只要除“模糊”字节之外的字串都能完好匹配,则也能判别出病毒。 例如给定特征串:“E9 7C 00 10 ? 37 CB” F&+_z&n