计算机病毒的检测

9.3.1　计算机病毒的检测

计算机病毒对系统的破坏离不开当前计算机的资源和技术水平。对病毒的检测可主要从检查系统资源的异常情况入手，逐步深入。

1.异常情况判断

计算机工作时，如出现下列异常现象，则有可能感染了病毒：

（1）屏幕出现异常图形或画面，这些画面可能是一些鬼怪，也可能是一些下落的雨点、字符、树叶等，并且系统很难退出或恢复。

（2）扬声器发出与正常操作无关的声音，如演奏乐曲或是随意组合的、杂乱的声音。

（3）磁盘可用空间减少，出现大量坏簇，且坏簇数目不断增多，直到无法继续工作。

（4）硬盘不能引导系统。

（5）磁盘上的文件或程序丢失。

（6）磁盘读/写文件明显变慢，访问的时间加长。

（7）系统引导变慢或出现问题，有时出现“写保护错”提示。

（8）系统经常死机或出现异常的重启动现象。

（9）原来运行的程序突然不能运行，总是出现出错提示。

（10）打印机不能正常启动。

观察到上述异常情况后，可初步判断系统的哪部分资源受到了病毒侵袭，为进一步诊断和清除做好准备。

2.计算机病毒的检查

（1）检查磁盘主引导扇区

硬盘的主引导扇区、分区表以及文件分配表、文件目录区是病毒攻占的主要目标。

引导型病毒主要攻击磁盘上的引导扇区。硬盘存放主引导记录（MBR）的主引导扇区一般位于0柱面0磁道1扇区。该扇区的前3个字节是跳转指令（D05下），接下来的8个字节是厂商、版本信息，再向下18个字节是BIOS参数，记录有磁盘空间、FAT表和文件目录的相对位置等，其余字节是引导程序代码。病毒侵犯引导扇区的重点是前面的几十个字节。

当发现系统有异常现象时，特别是当发现与系统引导信息有关的异常现象时，可通过检查主引导扇区的内容来诊断故障。方法是采用工具软件，将当前主引导扇区的内容与干净的备份相比较，如发现有异常，则很可能是感染了病毒。

（2）检查FAT表

病毒隐藏在磁盘上，一般要对存放的位置做出“坏簇”信息标志并反映在FAT表中，因此，可通过检查FAT表，看有无意外坏簇，从而判断是否感染了病毒。

（3）检查中断向量

计算机病毒平时隐藏在磁盘上，在系统启动后，随系统或调用的可执行文件进入内存并驻留下来，一旦时机成熟，它就开始发起攻击。病毒隐藏和激活一般是采用中断的方法，即修改中断向量，使系统在适当时候转向执行病毒代码。病毒代码执行和达到了破坏的目的后，再转回到原中断处理程序执行。因此，可通过检查中断向量有无变化来确定是否感染了病毒。

检查中断向量的变化主要是查系统的中断向量表，其备份文件一般为INT.DAT。病毒最常攻击的中断有：磁盘输入/输出中断（13H），绝对读、写中断（25H，26H），时钟中断（08H）等。

（4）检查可执行文件

检查.COM或.EXE可执行文件的内容、长度、属性等，可判断是否感染了病毒。

检查可执行文件的重点是在这些程序的头部，即前面的20个字节左右。因为病毒主要改变文件的起始部分。对于前附式.COM文件型病毒，它们主要感染文件的起始部分，一开始就是病毒代码；对于后附式.COM文件型病毒，虽然病毒代码在文件后部，但文件开始必有一条跳转指令，以使程序跳转到后部的病毒代码；对于.EXE文件型病毒，文件头部的程序入口指针一定会被改变。因此，对可执行文件的检查主要查这些可疑文件的头部。

（5）检查内存空间

计算机病毒在传染或执行时，必然要占据一定的内存空间，并驻留在内存中，等待时机进行传染或攻击。病毒占用的内存空间一般是用户不能覆盖的。因此，可通过检查内存的大小和内存中的数据来判断是否有病毒。

通常采用一些简单的工具软件，如PCTooLS、DEBUG等进行检查。病毒驻留到内存后，为防止DOS系统将其覆盖，一般都要修改系统数据区记录的系统内存数或内存控制块中的数据。如检查出来的内存可用空间为635KB，而你的计算机真正配置的内存空间为640KB，则说明有5KB内存空间被病毒侵占。

虽然内存空间很大，但有些重要数据存放在固定的地点，可首先检查这些地方。如DOS系统启动后，BIOS、变量、设备驱动程序等是放在内存中的固定区域内（0：4000H～0：4FF0H）。根据出现的故障，可检查对应的内存区以发现病毒的踪迹。如打印、通信、绘图等莫名其妙的故障，很可能在检查相应的驱动程序部分时能发现问题。

（6）根据特征查找

一些经常出现的病毒，具有明显的特征，即有特殊的字符串。根据它们的特征，可通过工具软件检查、搜索，以确定病毒的存在和种类。例如，磁盘杀手病毒程序中就有ASCII码“disk killer”，这就是该病毒的特征字符串。杀病毒软件一般都收集了各种已知病毒的特征字符串并构造出病毒特征数据库，这样，在检查、搜索可疑文件时，就可用特征数据库中的病毒特征字符串逐一比较，确定被检文件感染了何种病毒。

这种方法不仅可检查文件是否感染了病毒，并可确定感染病毒的种类，从而能有效地清除病毒。但缺点是只能检查和发现已知的病毒，不能检查新出现的病毒，而且由于病毒不断变形、更新，老病毒也会以新面孔出现。因此，病毒特征数据库和检查软件要不断更新版本，才能满足使用需要。