用MEM检测病毒
Author: 广东 何辉煌 Date: 1996-08-02
众所周知,DOS管理下,常规内存只有640KB,病毒只有使用1KB以上的内存块。引导型、系统的病毒会自己预先安排住宿,而文件型病毒则会责令DOS给它找一块内存,由于这个过程是隐秘的,所以DOS并不知道申请内存块的正确文件名,于是内存控制块中文件名一项是一团糟的。所以当用MEM/C/D查看内存时若发现有一个不知名或名称乱成一团的程序占用了大于1KB的内存时,便可断定为病毒,而且是文件型的病毒无疑,笔者就是藉此发现Dabi病毒的。
引导型、系统型病毒由于占据了1KB~4KB的内存,所以分配给系统使用的内存就不够640KB了,如图,我们从中可看出倪端:在Conventional(常规内存)一栏,我们可以看到,MSDOS、HIMEM、EMM386、COMMAND共用去了14+1+3+3=21KB,还剩下616KB,而两者之和637KB<640KB,有问题!笔者由此发现了病毒EXEBug。