Enseñarte cómo detectar virus en tu disco duro
Generalmente, la detección de virus en el disco duro requiere que no haya virus en la memoria, porque algunos virus informáticos informarán condiciones de error al detector. Por ejemplo, si hay 4096 virus en la memoria, cuando revise los archivos infectados por ellos, no encontrará que la longitud de los archivos haya cambiado. Sin embargo, cuando no haya virus en la memoria, encontrará que la longitud de los archivos ha aumentado en 4096 bytes; otro ejemplo es que, cuando el virus DIR2 está activo en la memoria, si utiliza el programa de depuración para ver los archivos infectados, no podrá ver el código del virus DIR2 en Por lo tanto, muchos programas de detección pasan por alto los archivos infectados; también hay think tanks paquistaníes que inician virus de tipo sector A, cuando están activos en la memoria, verifican el sector de arranque y no ven el programa de virus sino solo el sector de arranque normal. Por lo tanto, solo cuando es necesario identificar, analizar y estudiar un determinado tipo de virus, el trabajo de detección de virus se puede coordinar en la memoria. Arrancar desde un disquete original del sistema DOS que no haya sido infectado con un virus garantiza que no haya virus en la memoria. El inicio debe ser un inicio, no un inicio en caliente, como presionar Alt Ctrl Del en el teclado, porque algunos virus pueden interceptar las interrupciones del teclado y residir en la memoria. Para detectar virus en un disco duro, el número de versión de DOS del disquete del sistema de arranque debe ser igual o superior al número de versión del sistema DOS en el disco duro. Si se utilizan en el disco duro el software de administración del disco duro DM, ADM, el software de administración de almacenamiento y compresión del disco duro Stacker, DoubleSpace, etc., al iniciar el disquete del sistema, los controladores de estos software deben incluirse en el disquete y escrito en el archivo config.sys; de lo contrario, después de arrancar con un disquete del sistema, todas las particiones del disco duro serán inaccesibles, lo que permitirá que los virus ocultos en ellas escapen a la detección.
La detección de virus en el disco duro se puede dividir en detección de virus del sector de arranque y detección de virus de archivos. Los principios de las dos pruebas son los mismos, pero existen diferencias en los métodos de detección debido a diferencias en cómo se almacena el virus. Se basa principalmente en los cuatro métodos siguientes: el método de comparación que compara el objeto detectado con la copia de seguridad original; el método de búsqueda que utiliza cadenas de firmas de virus para buscar palabras características en ubicaciones específicas dentro del virus; utiliza tecnología de desmontaje para detectar objetos detectados. Un método de análisis que analiza un objeto para confirmar si es un virus. Método de comparación
Este es un método para comparar la copia de seguridad original con el sector de arranque detectado o el archivo detectado. Puede utilizar la lista de códigos impresos (como el formato de salida del comando D de Debug) para comparar. También se pueden utilizar DISKCOMP, COMP u otro software como PCTOOLS para comparar. El método de comparación no requiere un programa especial para eliminar virus y se puede realizar utilizando software y herramientas de DOS convencionales como PCTOOLS. También puede detectar virus informáticos que no pueden ser descubiertos por el software antivirus existente. Debido a que los virus se propagan muy rápido y surgen nuevos virus en una corriente interminable, actualmente no existe ningún programa universal que pueda detectar todos los virus, ni un programa de detección de virus que pueda determinar si un programa contiene virus mediante el análisis de código, por lo que solo podemos Confiar en comparaciones y métodos analíticos, o una combinación de estos dos métodos, para descubrir nuevos virus.
Compruebe el sector de arranque maestro del disco duro o el sector de arranque de DOS. El método de comparación puede encontrar si el código fuente del programa ha cambiado. Debido a esta comparación, es importante conservar una copia de seguridad del archivo original.
Las copias de seguridad deben realizarse en un entorno libre de virus informáticos y deben almacenarse, etiquetarse y protegerse contra escritura de forma adecuada. La ventaja del método de comparación es que es simple y conveniente y no requiere software especial; la desventaja es que no puede confirmar el nombre del tipo de virus; Además, el motivo de la diferencia entre el programa detectado y la copia de seguridad original necesita una verificación adicional para determinar si es causada por un virus informático o si los datos de DOS están dañados debido a razones inesperadas, como un corte repentino de energía, programa fuera de control, programa malicioso, etc. Estos deben utilizar métodos de análisis que se introducirán más adelante para ver la naturaleza de las partes modificadas del código y confirmar si hay un virus. Método de búsqueda
Este método escanea principalmente la cadena específica contenida en cada virus. Si se encuentra una cadena de bytes específica en el objeto detectado, significa que se ha encontrado la cadena de bytes que representa el virus. Este software de detección de virus consta de dos partes: una es una biblioteca de códigos de virus, que contiene cadenas de códigos especialmente seleccionadas para varios virus informáticos, la otra parte es un escáner que utiliza la biblioteca de códigos para escanear virus informáticos que pueden ser identificados por el escáner de virus; El número depende completamente de la cantidad de tipos de virus contenidos en la base del código de virus. La cantidad de virus que un escáner de virus puede identificar depende completamente de la cantidad de tipos de virus contenidos en la base del código de virus. La elección de la cadena del código de virus es muy importante. El código de virus corto tiene solo más de cien bytes y el largo tiene solo 10 KB. El programa debe analizarse cuidadosamente para seleccionar las cadenas de código más representativas que sean suficientes para distinguir el virus de otros virus y otras variantes del virus. En términos generales, la cadena de código consta de varios bytes consecutivos, pero algunos programas de escaneo utilizan cadenas de longitud variable, es decir, la cadena contiene de uno a varios bytes difusos. Cuando el software de escaneo encuentra una cadena de este tipo, puede identificar el virus siempre que pueda coincidir completamente con la cadena, excepto los bytes borrosos. Además, la cadena de firma también debe poder coincidir con las áreas del programa de virus y no virus normales; de lo contrario, se producirán falsos positivos y falsos positivos.
Reconocimiento de palabras características
Este es un método desarrollado en base al método de escaneo de cadenas características que se ejecuta más rápido y tiene una tasa de falsas alarmas más baja. El método de reconocimiento de palabras de firma solo necesita extraer algunas palabras de firma clave del virus para formar una base de datos de palabras de firma. Dado que la cantidad de bytes a procesar es pequeña y no es necesario realizar una coincidencia de cadenas, la velocidad de reconocimiento se acelera enormemente. Este método es más adecuado cuando el programa que se está procesando es muy grande. Dado que el método de reconocimiento de palabras de firma presta más atención a las actividades del programa de los virus informáticos, reduce la posibilidad de falsos positivos. El método de escaneo de virus basado en el escaneo de cadenas de firmas es el mismo que el método de escaneo de virus basado en el reconocimiento de caracteres de firma. Solo necesita ejecutar el programa de escaneo de virus para detectar y eliminar los virus conocidos. Usando estos dos métodos, la base de datos de virus debe expandirse continuamente. Una vez que se captura el virus, se extraen las características y se agregan a la base de datos de virus, el programa de eliminación de virus puede detectar y eliminar un nuevo virus.
Por un lado, este método puede confirmar mediante observación si el sector de arranque del disco y los programas contienen virus. Por otro lado, puede identificar el tipo y tipo del virus y determinar si es nuevo. Además, también puede aclarar el virus. Se extrae la estructura general del cuerpo y la cadena de bytes utilizada para identificar las características o características se agrega a la biblioteca de códigos de virus para su uso en programas de escaneo e identificación de virus. Al mismo tiempo, un análisis detallado de los códigos de virus también ayudará a desarrollar los programas antivirus correspondientes. A diferencia de los tres primeros métodos de detección de virus, el uso de métodos analíticos para detectar virus requiere no solo conocimientos relevantes, sino también el uso de herramientas y programas de análisis como Debug y Proview, así como una computadora de prueba especializada. Porque incluso los técnicos que dominan los virus y utilizan software de análisis con un rendimiento perfecto no pueden garantizar completamente que el código del virus se analizará en poco tiempo y es probable que el virus continúe infectando o incluso atacando durante la etapa de análisis, destruyendo el virus; Los datos en el disquete y el disco duro están completamente destruidos, por lo que el análisis debe realizarse en una PC de prueba dedicada sin temor a que los datos contenidos en él se destruyan. No inicie el análisis sin tener las condiciones necesarias. Muchos virus informáticos utilizan autocifrado, antiseguimiento y otras tecnologías, lo que hace que el análisis de virus sea a menudo largo y aburrido. En particular, el código fuente de algunos virus de tipo archivo puede alcanzar más de 10 KB y los niveles del sistema involucrados son muy profundos, lo que hace que el análisis detallado sea muy complicado.
Los métodos de detección y análisis de virus son una tecnología indispensable e importante en el trabajo antivirus. El desarrollo y el desarrollo del rendimiento de cualquier sistema antivirus no pueden separarse del análisis detallado y cuidadoso de varios virus por parte de expertos.
Los métodos de análisis se dividen en dos tipos: estáticos y dinámicos. El análisis estático se refiere al uso de un desensamblador como Debug para imprimir el código del virus en una lista de descompiladores para analizarlo y ver en qué módulos ingresa el virus, qué llamadas al sistema se usan, qué tecnologías se usan y cómo se revierte el proceso del archivo infectado por el virus. y eliminados. Virus, procesos de reparación de archivos, qué códigos se pueden utilizar como códigos de firma y cómo protegerse contra dichos virus, etc. Cuanto mayor sea la calidad del analista, más rápido será el proceso de análisis y más profunda será la comprensión. El análisis dinámico se refiere al uso de herramientas de depuración de programas como Debug para ejecutarse junto con el virus en la memoria, rastrear dinámicamente el virus y observar el funcionamiento específico; proceso del virus, para comprender mejor el principio de funcionamiento del virus basado en el análisis estático. En los casos en que la codificación del virus es relativamente simple, no es necesario el análisis dinámico. Sin embargo, cuando un virus utiliza muchos medios técnicos, es necesario utilizar una combinación de análisis dinámico y análisis estático para completar todo el proceso de análisis.
En resumen, el método de comparar la copia de seguridad original con el programa detectado es adecuado para usar software especial y puede detectar anomalías. Es un método de detección de virus simple y básico que escanea la cadena característica e identifica la característica. El método de caracteres es más adecuado para la mayoría de los usuarios de PC y es conveniente y rápido; sin embargo, es posible que se pasen por alto nuevos virus, por lo que el método de análisis y comparación debe usarse en combinación.
Los virus informáticos se pueden prevenir completamente tomando medidas técnicas y administrativas.