檢視查殺病毒/怎樣發現病毒的原始碼


{{查殺病毒/內容頂部}}
　　電腦病毒要進行傳染,必然會留下痕跡。檢測電腦病毒,就是要到病毒寄生場所去檢查,發現異常情況,並進而驗明“正身”,確證電腦病毒的存在。病毒靜態時存儲於磁片中,啟動時駐留在記憶體中。因此對電腦病毒的檢測分為對記憶體的檢測和對磁片的檢測。

　　一般對磁片進行病毒檢測時, 要求記憶體中不帶病毒。因為某些電腦病毒會向檢測者報告假情況。例如4096病毒在記憶體中時,查看被它感染的檔長度時,不會發現該檔的長度已發生變化,而當在記憶體中沒有病毒時, 才會發現檔長度已經增長了4096位元組。DIR 2病毒在記憶體中時,用DEBUG程式查看被感染檔時,根本看不到DIR 2病毒的代碼,很多檢測程式因此而漏過了被其感染的檔。又如引導區型的巴基斯坦智囊病毒,當它活躍在記憶體中時,檢查引導區時看不到病毒程式而只看到正常的引導磁區。

　　因此,只有在要求確認某種病毒的類型和對其進行分析、研究時, 才在記憶體中帶毒的情況下作檢測工作。 

　　從原始的、未受病毒感染的DOS系統軟碟啟動,可以保證記憶體中不帶病毒。啟動必須是上電啟動而不能是按PC機鍵盤上的Alt+Ctrl+Del三個鍵的那種熱啟動,因為某些病毒通過截取鍵盤中斷,會將自己仍然駐留在記憶體中。從這裏可見保留好一份貼好防寫簽的、未被病毒感染的DOS系統軟碟是多麼重要！ 

　　要注意的是, 若要檢測硬碟中的病毒,則啟動系統軟碟的DOS版本應該等於或高於硬碟內DOS系統的版本號。 若硬碟上使用了磁片管理軟體DM或ADM, 磁片壓縮存儲管理軟體Stacker, Double space等,啟動系統軟碟上應把這些軟體的驅動程式包括在軟碟上, 並把它們列入CONFIG. SYS文件中。否則用系統軟碟引導啟動後,將不能訪問硬碟上的所有分區,使躲藏在其中的病毒逃過檢查。 

　　說來說去，最主要的就是檢查病毒需要一個決定乾淨系統，如果病毒已經在殺毒軟體之前工作了，查殺的效果肯定就不好了。
[[Category:查殺病毒]]

{{查殺病毒/內容底部}}