“扬基”病毒的传染模块除了上面的功 能外,还有一个“还原”功能。 它在其INT1CH中断服务程序中设置了 修改INT1H、INT3H中断程序的功能, 旦发现用户在跟踪病毒程序,它就退 出到调用 INT IH、INT3H程序段。 另外,在执行4BH功能调用时,如果发 现是加载后不执行(AL寄存器值不等于 零),病毒程序就认为用户可能要跟踪 病毒程序,即恢复原来的程序写回操作 盘上,把无毒文件调入内存,以此蒙骗 用户
“扬基”病毒的传染模块除了上面的功 能外,还有一个“还原”功能。 它在其INT 1CH中断服务程序中设置了 修改INT 1H 、INT 3H中断程序的功能, 一旦发现用户在跟踪病毒程序,它就退 出到调用INT 1H 、INT 3H程序段。 另外,在执行4BH功能调用时,如果发 现是加载后不执行(AL寄存器值不等于 零),病毒程序就认为用户可能要跟踪 病毒程序,即恢复原来的程序写回操作 盘上,把无毒文件调入内存,以此蒙骗 用户
病毒程序的表现模块是通过INT1CH调 用执行的。 修改后的INT1CH中断服务程序,在被 调用运行到一定次数,并满足触发条件 时,即执行表现程序,此时中断系统的 服务,演奏一段“ Yankee dole”的美国 乐曲,干扰系统的正常工作
病毒程序的表现模块是通过INT 1CH 调 用执行的。 修改后的INT 1CH中断服务程序,在被 调用运行到一定次数,并满足触发条件 时,即执行表现程序,此时中断系统的 服务,演奏一段“Yankee Dodle”的美国 乐曲,干扰系统的正常工作
6.9.2“扬基”病毒的诊治 鉴别系统是否有“扬基”病毒方法是比 较简单的。 对于静态病毒可检查文件是否有病毒程 序的特征字符。 若要检查内存中是否有病毒,则可检查 内存总量是否被减少了4K,也可编制 个短小的测试程序,在运行后考察该程 序是否有病毒的特征字符
6.9.2“扬基”病毒的诊治 鉴别系统是否有“扬基”病毒方法是比 较简单的。 对于静态病毒可检查文件是否有病毒程 序的特征字符。 若要检查内存中是否有病毒,则可检查 内存总量是否被减少了4K,也可编制一 个短小的测试程序,在运行后考察该程 序是否有病毒的特征字符
在发现系统有病毒后,即可用无毒的系统盘重 新启动系统,去掉内存中的病毒,对刚才使用 过的文件检测静态病毒。 如果染毒文件有正常备份文件则可用复制命令 覆盖带毒文件。否则可利用“扬基”病毒传染 模块提供的还原程序。 方法是:在内存中已有“扬基”病毒的情况下, 用 Debug程序来加载染毒文件,再退出 Debug, 则染毒文件已被还原成无毒的了。 依此方法对所有染毒文件进行操作,最后对 Debug. com本身解毒后,用无毒的系统盘重新 启动系统,去掉内存中的病毒
在发现系统有病毒后,即可用无毒的系统盘重 新启动系统,去掉内存中的病毒,对刚才使用 过的文件检测静态病毒。 如果染毒文件有正常备份文件则可用复制命令 覆盖带毒文件。否则可利用“扬基”病毒传染 模块提供的还原程序。 方法是:在内存中已有“扬基”病毒的情况下, 用Debug程序来加载染毒文件,再退出Debug, 则染毒文件已被还原成无毒的了。 依此方法对所有染毒文件进行操作,最后对 Debug.com本身解毒后,用无毒的系统盘重新 启动系统,去掉内存中的病毒
610DIR2病毒 DIR-2病毒是一种文件型病毒,但是其引导 和驻留方式以及传染方式与以往的文件型病 毒截然不同,从某种程度上讲有点类似于引 导型病毒。 之所以称其为文件型病毒是因为它是在被其 感染的文件执行时引导进入系统中,它的传 染对象也是一些在系统中的可执行文件。 该病毒特殊的引导方式和传染机制,标志着 种特殊类型的病毒的出现
6.10 DIR-2病毒 DIR-2病毒是一种文件型病毒,但是其引导 和驻留方式以及传染方式与以往的文件型病 毒截然不同,从某种程度上讲有点类似于引 导型病毒。 之所以称其为文件型病毒是因为它是在被其 感染的文件执行时引导进入系统中,它的传 染对象也是一些在系统中的可执行文件。 该病毒特殊的引导方式和传染机制,标志着 一种特殊类型的病毒的出现