攻击IBM-PC及其兼容微机的病毒(称之为DOS病毒)已知的有一百多种,更可怕的是新病毒骤增。单纯靠检查病毒的软件来防疫病毒的进攻,显得软弱无力。理由是,软件只能检查出已知病毒,对未知新病毒的攻击则无能为力;新病毒的增加与软件研制和出版迟后之间的矛盾加剧,使新病毒攻击微型机的可能性增加;检查病毒软件散发的任意性和不严格性会导致软件本身的不完整性和感染新病毒的可能性。所以,要真正防治计算机病毒就要从病毒的产生、传播、感染、治疗的全过程去努力。在防疫方法上要通过法律的、道德的、管理的、技术的等多种途径起作用,而且要实行以防为主的原则。本文主要是以技术上来研究DOS病毒的综合防疫问题,防疫病毒的入侵、检查和消灭已入侵的病毒。
安全堡垒式防疫法简介
为防疫病毒入侵,重要的是切断病毒传入的途径。安全堡垒式防疫法的中心思想是:把计算机系统看作一个要保证其安全的堡垒,采用防御的方法,在堡垒周围设下多层屏障,以防止病毒的攻击。其模型如下图所示。
安全堡垒式防疫法的基本内容
1.管理措施防疫层
在计算机管理措施方面,应特别考虑如下几点:
(1)管理重要数据的计算机系统要指定专人负责。操作人员离开现场时,及时把计算机及磁盘锁上。
(2)需要外购的软件应保证从可信任的计算机公司或商店那里购得。应保证是未开封的原装产品。不要随意在计算机上运行拷来的软件。
(3)不准在用于管理重要数据的计算机系统上运行游戏软件。因为游戏软件是病毒的主要传播载体。
(4)如果微型计算机与网络系统联接,应保证联网通信的对象是可信赖的。
管理措施防疫层会有漏洞,例如在实际中也许会违反规定,或许在密封原装软件中已感染了某种病毒等,这一切必须通过更高一层的防疫法来弥补。
2.操作方法防疫层
为了防止带病毒的软件装入系统或在系统上运行而感染其它软件和尽量减少病毒的破坏性,在操作方法上应遵循如下的一些规范。
(1)每一次购入新软件后,在插入驱动器之前,应先把原装盘的“写保护”缺口封上。
(2)把每份原装软件拷一份备用盘,并封好备用盘的“写保护”缺口,以在系统被感染时重新安装该软件。
(3)在拷备用软盘时,要把它与原装盘进行比较。在DOS系统下,可利用Diskcomp或COMP命令。如果发现有不同之处,则应立即停止使用或利用其它方法来检查是否被病毒感染。
(4)在把新软件装人硬盘之前,先用备用软盘对软件进行测试。检查安全之后,再拷到硬盘的数据分区,而不是系统分区。这样在万一该软件仍有病毒感染时也不会马上感染上系统软件。
(5)在微机从网络录下任何软件或数据时,一定要先存放在软盘上,不要直接录存于硬盘。存入软盘后再按新购入软件时的操作方法办理。
(6)对录入系统中所有的软件都要作一个记录。内容包括:文件名、文件长度、日期、时间,并且记录该软件是何时何地从何人或公司获得。如果在该软件中发现了病毒,则可以根据记录的信息作调查,以便确定病毒的来源。
(7)对所有购入的软件要进行测试,看它是否运行正常,是否完成它所规定范围内的工作。如果发现有什么可疑之处,如显示一些奇怪的信息(例如,感染了stoned病毒的软盘在使用DIR命令列目录时,会显示出一条信息“your pc is now stoned”。实际上,是软盘上的stoned病毒感染给了硬盘分区记录区),或使计算机工作异常(例如,磁盘无休止运转、计算机被锁住、键盘异常、磁盘启动失灵等),这时则应立即关机。可采用删除整个新软件的方法来阻止病毒的入侵,防止进一步的损失。如果有可能,在测试新软件时,最好是在没有硬盘、没有CMOS、没联接网络系统的一个孤立微机上进行。这样可以防止病毒在一开机时,就复制到硬盘、CMOS或网络系统上的其它计算机系统。
(8)如果使用的是一个公用的没有硬盘的计算机,则应保证计算机总是从有“写保护”的DOS系统启动,而且一定要是冷启动,以防止计算机内存感染病毒。
(9)在把软件装入硬盘、或重新装入系统软件时,一定要从封好“写保护”口的原装盘或备用盘装入。这样尽量减少重新装入时病毒感染的可能性。
(10)如果购得了可靠的防病毒软件,则可用来检查已知的病毒。为了防止软件本身的不完整性,可采用不同类型的软件来检查。
(11)不仅对购入的原装软件要拷备用软盘。而且对在计算机系统上自行研制的软件和数据文件都要进行定期拷备用盘。拷备用数据文件盘的周期要视具体情况而定。
在该防疫层中最重要的是把一切装入计算机系统中的软件与数据文件事先准备用软盘。重要的数据要按一定周期准备连续多份备用盘。这是防止病毒破坏最经济、最简单的方法。
3.DOS工具防疫层
这一层的目的是阻止可能入侵的病毒运行而造成破坏和努力检查出那些尚未发现过的新病毒。所以要利用DOS命令和工具来进行一些简单的或高层次的检查与测试。这方法包括如下内容:
(1)在DOS系统下用Type命令定期查看批处理文件(*.bat)和config.sys文件,看是否有改动。例如,病毒可能在Autoexec.bat文件中增加几行。
(2)利用PC-Tool工具来查看隐含文件,看文件长度和日期、时间是否有改动。由于这些文件不可能直接用DIR命令看到,所以是病毒常常隐藏的地方。
(3)用DIR命令检查文件的长度、日期、时间记录是否与备用软盘相同。如果有变动,则要怀疑有病毒感染。
(4)如果希望能发现某些称之为“定时炸弹”的病毒,则可以通过改变计算机系统的日期和时间来测试。用DOS命令Date和Time可把时间分别设置在一个月后的今天、一年之后的今天或一些政治大事件纪念日来分别测试。例如,PLO病毒则在13号星期五搞破坏。
(5)检查每个新软件中可疑的ASCⅡ码字符串。如果发现什么可疑之处,则尽快删除这个软件。用户可使用PC-Tool、Wordstar及其它文字处理或编辑软件,把要查看的文件以文字处理或编辑的形式打开,最好预先设置该文件为只读状态,然后搜索文件看是否有什么奇怪的字符串,例如“Gotcha”或“Dummy”这类肮脏或漂亮的词眼是病毒程序常见的标志。
(6)定期检查磁盘的一些特殊区域:引导记录区,文件分配表、文件根目录区。用户可利用PC-Tool的E命令去查看这些区域。用特殊键printscreen打印出十六进制码和ASCⅡ码。用它与原装盘比较,来判定是否感染上了病毒。引导记录区是目前流行DOS病毒常居留的地方。例如stoned、ping-pong(B)、korea病毒均是感染引导记录区。
(7)如果认为计算机系统遭病毒攻击的风险很大,则可考虑购买一种病毒免疫软件。它一方面可以检查已知病毒,另一方面又象“看门狗”一样监护计算机系统内的每个操作,以防止病毒搞破坏。(肖定文)