都说防病毒,其实我没什么经验,我甚至说不出哪些病毒发作时是什么样的, 因为我对自己的机器控制很严格,只有我自己编写的病毒程序才可以在上面运行。:-) 下面是我自己在控制过程中的一些体会,请大家批评指正。
1、关于定期检查 很多书上都讲乐,为防止病毒,你一定要定期... ...还要定期... ...或者 你要... ...不要... ...之类的话,可是我没那耐心,经常会忘记定期做什 么,也不能因为怕病毒就不用“来历不明”的软件。所以我不会定期去干什 么事。不过大家有兴趣定期受折磨的话,可以试试他们讲的方法。
他们讲得比较少的一种方法是利用dir,你可以用dir和重定向把目录输出到一 个文件,例如 dir C:\Windows ] FileList.txt,这样你可以定期检查实际的 文件大小、日期等和初始文件有什么不同,从而判断是否有什么情况发生。
2、关于MSINFO32的使用 MSINFO32是Microsoft随Windows95 OSR和Windows 98提供的一个工具(在早期的 Windows95中有没有我记得乐,MS这回总算有点良心),这个程序一般位于 \Program Files\Common Files\Microsoft Shared\MSINFO\MSINFO32.EXE, 你可以在开始菜单中用Run,输入MSINFO32.EXE来启动它。
你可以在左边的Tree中展开“软件环境”开查看当前正在运行的代码,包括驱动 程序,16位模块,32位模块,正在运行的用户态进程,系统启动时要加载的程序, 还有钩子程序,其中对每个模块基本都有说明,那是可以参考的,比如你发现某 个程序很值得怀疑,或某个起启时要加载的程序不订识,看看后面的厂商栏,一 般如果不是Microsoft Corporation,你可能就要找一个人问问是不是他写的病毒 程序?
另外,通过MSINFO32你也可以运行其它工具,点击“工具菜单”,你会发现一些 东西,其中我比较常用的是“系统文件检查器”,它可以验证系统文件是不是有 问题,不过也不可尽信,只能做为参考。
3、利用手边的程序 再谈一下利用手边的程序。现在有很多软件为乐防止被人修改,一般都加乐文件 校验,如果此类程序被病毒感染,则运行它会报一定的信息例如“文件校验错误, 是否继续运行... ...”之类的。我知道的如MagicWin(一种亚洲多语言平台)对 CIH的某些版本就很敏感,如果它被CIH或其它病毒感染,启动时会报出警告信息, 这时候你就该使用杀毒软件查一查病毒乐!
4、自己编写敏感程序 各位如果有程序开发能力,自己可以写一些敏感程序,为了保证程序足够大,可 以多放一些静态数据(有的病毒不感染小文件),然后每次运行这个程序时只是计 算一下自身的较验值,如果有问题就报告一下,也许可以抓住一批病毒。
同样,也可以写一个程序来计算指定一个或一批文件的校验、大小、日期等,并 保存下来,如果那些文件被修改,则校验功能会指出错误所在,你可以由此发现 有否有病毒在活动。
当然,你也可以写程序监控系统的运行,并报告异常的操作,但我认为这是杀毒 软件或病毒监控软件应该做的事情。
