病毒码过滤法
原理:
根据某一部份的特徵,去比对每一个可执行之程式,有该特徵者即判定为该病毒,往往因特徵的选取不当而造成误判,面对新病毒、千面人病毒及变体病毒,因不知其特徵或特徵不易选取,使其早已中毒而不自知。
优点:
操作简单,比对迅速可隔离大部份已知病毒。
缺点:
病毒码选取不当,易造成误判,病毒只数过多,比对费时,且遇到新病毒时,常中毒而不自知。
例如:
八十年叁月六日所爆发的一只STONED 3(即米开朗基罗),当天有很多人的硬碟被破坏了,其原因是很多程式无该病毒之病毒码,因此在不知其特徵的情况下,就无法防止。但使用ZLOCK Cases 之用户,则安然无恙,直至八十一年米毒方为大家所熟悉。
采用者:
GSCAN(金帅)、BVK(金帅)、VIRUS HUNTER(倚天)、TRACER(GOD WARE)、
ANTI-VIRUS(CENTRAL POINT/NORTON)、SCAN(McAFEE)。
■加值总和法
原理:
将原始程式码做特殊计算,记录下来,由於每一个可执行程式都被做上记录,所以程式只要一有异样,就会马上被发现,因其不根据病毒码,系根据程式本身所记录的资料,故不会误判。但其在做特殊运算记录前,须确定程式无毒,因其判定根据为当时之记录,如已遭感染,则其记录为一已中毒之程式,所以执行前须利用其他程式确定。
优点:
因其不认病毒码,故不会误判,亦不须时常更新版本,对新病毒依然有效。
缺点:
作记录前需确定无毒,而程式本身无法做这项工作,需仰赖其它程式完成,使用者若自行修改程式或组译执行档,亦会被提出警告。
须对程式做备份,以便中毒後用备份去覆盖中毒程式,故使用前须有万全的准备。
采用者:
MSCAN(神通)、ANTI-VIRUS。
■移植检查法
原理:
事前对每一个档案移植一段自我检查程式,只要程式受感染就会自我发现、自我治疗,这一自我还原之预备动作,为移植一段自我检查码到可执行程式後,如同加值总和法,需事前确定程式无毒,且须对每一程式做同一动作。
优点:
因对原程式做好还原预备动作,只要程式受到感染,就会自行还原,无须靠备份程式加以覆盖。
因其对原程式做检查码,故不认病毒码、不需时常更新版本,对於新的病毒依然有效。
缺点:
做还原预备动作前,需确定无毒,而程式本身无法做这一项工作,须仰赖其它程式,对每一程式都需作一自我检查程式,十分麻烦,且每一个程式的档案长度都会增加,占用许多记忆空间。
采用者:
病毒克星(VIRUS BUSTER)、病毒免疫大师(第叁波)、ANTI-VIRUS、
V-SHIELD(McAFEE)。
以上叁种方式若遇到隐形式病毒,则根本无法发觉。
例如:
82年4月才发现的新型隐形病毒 ─DREAMING KING ( 瞑国王),因为它为新发现的病毒,故病毒过滤法定无法於中毒时拦截,而且其每次感染均会自行编码,病毒码的采码工作十分不易;如欲检查被该毒感染的档案,则由於DREAMING KING 会植入DOS 系统内,监控DOS 的行为,并且将程式的正确资料还原,故加值总和法与移植检查法也无法查出档案已中毒。
■防写卡:
原理:
利用硬体控制硬碟的防写动作,使病毒不易侵入。但当用户真正要写资料时,却可能使病毒有机可乘。
优点:
由硬体直接控制写入的动作,病毒在该卡关闭状态无法对硬碟进行感染或破坏。
缺点:
当使用者需做写入动作时,即失去侦测病毒之能力。
例如:
NOCOPY是档案感染型的病毒,该毒仅在作COPY的动作时才进行感染,若在COPY的状态下中此毒,该卡丝毫无防御能力。
采用者:
C:CURE(Leprechaun)。
■EEPROM:
原理:
利用记忆体的技术,备份 PARTITION TABLE、BOOT SECTOR,每次开机作比对,一旦发现异状即表示中毒,可马上进行备份覆盖的解毒动作。
优点:
发现中毒时,可用备份覆盖解毒。
缺点:
对於合法的修改也会当成病毒,对於档案感染型兼开机型、爆炸型病毒则无用。
使用者亦可自行以硬碟或软碟备份开机区资料,取代所提供的功能。
例如:
CANCER是开机型兼档案感染型的病毒,每当执行中毒档案时,便感染硬碟的开机区,亦可对档案进行感染,EEPROM此时并无法对病毒的感染进行拦截。
采用者:
PC-Cillin(趋势)。
■防止软碟启动卡:
原理:
由於开机型病毒常由软碟开机时进入,故此卡或防毒晶片在即时预防病毒由软碟进入。
优点:
可避免因软碟开机所引起的部份开机型病毒。
缺点:
除了因软碟开机所引起的开机型病毒之外,对於所有档案感染型病毒、特洛伊型病毒以及开机型兼档案感染型病毒,即无法防治。
例如:
大榔头第六代(HAMMER VI) 即为开机型兼档案感染型病毒,此毒即使不透过软碟开机,亦可能由档案的感染,达到formAT硬碟的破坏力,使用防
止软碟启动卡此时就无法尽到保护的责任。
采用者:
PC-cillin、V-card(DIGITAL)、VirusStop(Multix)。
■智慧侦防解毒法
原理:
根据病毒的行为,事先预知病毒的动作,进而拦截开机型、档案感染型、特洛伊型病毒,不必对程式作特殊处理,不需检查病毒码,无需事先处理,任何中毒程式皆可侦测出来及防止其破坏爆炸。
其解毒方式为对旧有病毒提供现成之解毒配方,对新病毒进行采样、分析程式,根据分析配出新配方,解掉新病毒。
优点:
无须任何事前预备,可安心使用每个程式,无需花时间比对病毒码,不浪费时间、也不因此而误判,对事前毫无症状之炸弹型病毒亦可防止其破坏;对已中毒,而无乾净之备份程式亦可救回。
缺点:
观念独特、操作方式不如其它程式为人所熟悉;功能甚多,每一功能都有其步骤,不如其它单一功能、单一操作简单。
改进:
尽量简化其步骤及其讯息使得使用更方便。
采用者:
ZLOCK(金帅)、ZCOP(金帅)、ZCA(金帅)。
■总结:
目前的防毒产品,可概分为由硬体辅助或纯软体来执行,以硬体为辅的解毒产品,其功能几乎均以硬碟开机或备份开机区资料为主。然而,以1990 年以後出品的AMI BIOS而言,就已经提供了设定由硬碟开机的功能,足可取代由硬碟辅助的解毒软体。使用者於电脑开机时,可压 或 键即进入BIOS的设定,其中选择 ADVANCED BIOS SETUP,将游标移至
选项,设定,即完成了由硬碟开机的设定。
至於,开机区资料的备份,当然可用软碟或硬碟来存放。
为了防止开机型病毒及蔓延更广的档案感染型、爆坏力更强的特洛伊型病毒的为害,慎选功能齐全的防毒软体,方能一劳永逸。
以下为各种防毒原理的比较:
●:中毒前或中毒後安装,均可正常工作。
⊙:必须中毒前安装才可正常工作。
/:无提供此功能。
X:无法做到。
注:DREAMING KING 为82年4月发现之新病毒,关於该项之测试结果,以82年4月
之版本为主。
┌──────┐
│防毒十大守则│
└──────┘
1.平常准备可正常开机之软式磁片,并贴上防写贴纸。
※检查电脑的任何问题,或者是解毒,最好在没有病毒干扰的环
境下进行,才能完整测出真正的原因,或是彻底解决病毒的侵
入。
2.重要资料,必须备份。
※资料是最重要的,程式损坏了可重新COPY,甚至再买一份,但
是自己键入的资料,可能是叁年的会计资料,可能是画了叁个
月的图形,结果某一天,硬碟坏了或者病毒的因素,会让人欲
哭无泪,所以一般性的备份是绝对必要的。
3.记住COMMAND.COM 之长度,若有异常,即有中毒的可能。
※中毒的程式,绝大部份会改变长度,所以记住一个常见程式的
长度,有助於判定是否有中病毒,尤其是COMMAND.COM 档,这
部份如果被病毒感染,则你的电脑将体无完肤。
4.经常利用DOS指令MEM或CHKDSK,检验记忆体之使用情形,若BASE
RAM异常,少於640KB,则有中毒的可能。
※利用CHKDSK检查MEMORY之大小,一般为 655360 total bytes
memory,若中病毒,此数字将减少。
5.尽量避免在无防毒软体的机器上,使用电脑磁片。
※一般人都以为不要使用别人的磁片,即可防毒,但是不要随便
用别人的电脑也是非常重要的,否则有可能带一大堆毒回家。
6.使用新进软体时,先用扫毒程式检查,可减少中毒机会。
※主动检查,可以过滤大部份的病毒。
7.准备一份具有侦毒、防毒、解毒及重建功能之软体,将有助於杜
绝病毒。
8.遇到电脑有不明音乐传出或当机时,而硬碟的灯持续亮着,应即
刻关机。
※发现电脑HDISK 的灯持续闪烁,可能是病毒正在formAT硬碟。
9.若硬碟资料已遭到破坏,不必急着formAT,因病毒不可能在短时
间内,将全部硬碟资料破坏,故可利用灾後重建的解毒程式,加
以分析,重建受损状态。
※重建硬碟是有可能的,救回的机率相当高。
10.请尊重原产品之智慧财产权,并支持国人自制的优良软体。
P.2
*************************************************************
