Virus 版 (精华区)

作  家: xian (小楼一夜听春雨) on board 'Virus'
题  目: 浅谈杀毒方法(三)(转寄)
来  源: 哈尔滨紫丁香站
日  期: Sat Aug 16 11:56:56 1997
出  处: bbs@bbs.orange.sjtu.edu.cn

发信人: Iceriver (冰河), 信区: virus
标  题: 浅谈杀毒方法(三)
发信站: 饮水思源站 (Fri Aug 15 23:42:55 1997) , 转信

2.文件型病毒
    文件型病毒种类繁多,查不出或查出杀不掉的情况往往会出
现,常常需要自已动手斩妖除魔. 
    文件型病毒唯一同时也显著的特征就是使文件长度增长,曾
看到一本书上论证病毒感染文件而不使文件增长是不可能的,虽
然有点夸张,不过这确实是查找文件型病毒的最好方法.
    对病毒的怀疑始于系统的工作不正常,如速度变慢,常常死机
等,对于文件病毒的确证则在于它使文件长度增加.有部分病毒以
挂对应中断的方法试图掩蔽这一事实,即列表时看到的文件长度
正常.但在某些通过读目录扇得文件长度的软件面前往会失效,如
PCTOOLS5.0等.如果用干净的软盘启动同样也会发现文件长度的增
加. 
    不要轻信某些杀毒软件对于文件长度变化的断言,也不要仅查
看一两个文件就妄下断言说存在或不存在病毒. 当不敢肯定是否存
在病毒时可以将一些干净的可执行文件拷入待查机器,多次执行或
启动,并检查多个文件的长度而后可以确证.
    注意:一个病毒并不是所有文件都感染 -- 3783不感染PCTOOLS
5.0 --,但决不会所有文件都不感染,注意点应放在那些每台机都有
的,平时常常用到的或是启动时必然执行的文件上.

--未完待续 --

                 \
  ----------------\--
  --- 钻石星尘拳   -----
  ----------------/--
                 /

※ 来源:·饮水思源站 bbs.sjtu.edu.cn·[FROM: 202.120.5.219]

--
※ 来源:·哈尔滨紫丁香站 bbs1.hit.edu.cn·[FROM: bbs@bbs.orange.sjtu.]