巧用ARJ检测病毒

Author: 辽宁 李波平 Date: 1996-09-13

        ARJ有一个参数i,ARJ i可以检测ARJ文件自身的完整性(而不是压缩包的完整性)。这条命令乍看无多大用处,但有时它却可以帮助你检测病毒。
        病毒按传染机制分为三种:引导型、文件型、混合型。其中文件型病毒主要感染.EXE文件及.COM文件。我们可以利用病毒这一特点来检测它们。
        正常的ARJ文件在执行ARJ i时应显示:CRC OK,若ARJ因为某种原因发生了改变(被病毒感染或被人为改动),执行ARJ i都会显示CRC error。因此可以利用ARJ的敏感性发现新病毒(ARJ自身只要被改动一个字节,就能查出)。
        笔者的作法是:1.在C盘根目录下存放一正常ARJ文件(如ARJ 2.41版,正常为116260字节)。并用软盘作一个“干净”的备份,以便在感染病毒后进行覆盖。2.向AUTOEXEC.bat中添加一行:PATH=……;C:\。此后你就随时在DOS提示符下键入ARJ i来查知内存中是否有病毒了。笔者就是前不久因机器的上位内存突然消失,怀疑有病毒,但用KV200(J)及Kill76.02均查不出时,用这种方法查出了“1150”病毒的。
        此法方便快捷,大家不妨一试。