0I:10.13374/.j.1ssn1001053x.1997.02.019 第19卷第2期 北京科技大学学报 Vol.19 No.2 1997年4月 Journal of University of Science and Technology Beijing Apr.1997 计算机病毒的预防 蒋逸凡 北京科技大学信息工程学院，北京100083 摘要研究计算机病毒的传染机制，提出了一种预防病毒的新思路，即利用中断NTO8H对内存 中断向量表进行监测；利用中断T13H控制对软盘或硬盘的读写操作，以防病毒对磁盘上某一 物理地址进行瞬间读写. 关键词中断，瞬间读写型病毒，中断向量型病毒 中图分类号TP309, 自80年代后期，计算机病毒像幽灵似地出现了，并且在世界范围内滋生蔓延，现已发展 到上千种，)，其发展和传播速度远比人们预料的要快.近10年来，绝大多数计算机用户都受 到计算机病毒的干扰和威胁.直到现在，不少用户仍时常受到新老病毒的侵害，有的已造成严 重的损失，如何有效地预防计算机病毒的侵害和传播，是广大计算机用户迫切需要解决的实 际问题，也是计算机系统研制开发应用人员面临的一个重大课题. 1计算机病毒的侵蚀机理 预防计算机病毒，首先要对病毒的传染机制有所了解病毒有许多特性，如传染性、潜伏 性、破坏性2引，但是这些特性并不能提供防范病毒的依据.根据本人的研究，发现病毒的传染 不外乎有2种途径：中断向量型和瞬间读写型. (1)中断向量型 一般病毒程序都是通过改变中断向量来向其他文件进行传染的2,3).一旦病毒程序驻留 内存，就具有了传染特性，对系统有了控制权，且对整个系统进行监测.当系统满足病毒程序 所设定的某种条件时，它就对执行文件(COM和EXE)进行传染，只要不关机，病毒就一直驻 留在内存中，随时对磁盘中的执行文件进行先读后写操作，进行传染. (2)瞬间读写型 此类病毒在获得控制权后，它并不改变中断向量，只是在磁盘中寻找满足病毒程序所设 定条件的那些执行文件，将这些文件或分区表或引导区读人内存，加以修改，再写回到原来的 磁盘物理地址中，即传染病毒，这些执行文件或分区表或引导区就带有了病毒，当下次启动机 器或执行这些带有病毒的程序时，就会将病毒代码传染给其他执行文件， 中断型病毒只要进人内存，随时随刻都有可能对其他文件进行传染，危害性较大.而瞬间 读写型病毒，不如中断型病毒危害性大，它执行1次传染1次，很难发现，隐敝性好. 1996-11-18收稿 。第一作者男37岁工程师·第 卷 第 期 年 月 北 京 科 技 大 学 学 报 段 。 计算机病毒 的预 防 蒋逸凡 北 京科技 大 学信息工 程 学 院 ， 北 京 摘要 研究 计算机病毒 的传染机 制 ， 提 出 了 一 种 预 防病毒的新 思 路 ， 即 利 用 中断 对内存 中断向量 表进行监 测 利 用 中断 控 制 对软盘或硬 盘的读 写 操 作 ， 以 防病 毒对磁 盘上 某 一 物理地址进行 瞬 间读写 关键词 中断 ， 瞬间读写型 病 毒 ， 中断向量 型病毒 中图分类号 ， 自 年代 后 期 ， 计 算 机 病 毒像 幽灵 似 地 出现 了 ， 并 且 在 世 界 范 围 内滋 生蔓 延 ， 现 已 发 展 到 上 千 种 ’ ， 〕 ， 其 发展 和 传播 速 度 远 比人们 预料 的要 快 近 年来 ， 绝 大 多 数计算机 用 户都受 到 计算 机病毒 的 干扰 和威 胁 直到 现 在 ， 不 少 用 户 仍 时常受到新 老 病毒 的侵 害 ， 有 的 已 造 成严 重 的损 失 如 何 有 效 地 预 防计算 机病 毒 的侵 害和 传播 ， 是 广大 计算 机 用 户 迫 切 需 要 解 决 的实 际 问题 ， 也是 计算机 系 统研制 开发应用 人 员 面 临 的一个重 大课题 计算机病毒的侵蚀机理 预 防计 算 机病 毒 ， 首 先 要 对病 毒 的传染 机 制有 所 了解 病 毒有 许多 特 性 ， 如传染性 、 潜伏 性 、 破 坏性 ， ， 但是 这 些 特性 并不 能提 供 防 范病毒 的依 据 根 据本 人 的研究 ， 发 现病毒 的传染 不外 乎 有 种 途 径 中断 向量 型 和 瞬 间读写 型 中断 向量 型 一 般病 毒程 序 都是 通 过 改 变 中断 向量 来 向其 他 文 件进 行 传染 的， ’ 一旦 病 毒程 序驻 留 内存 ， 就 具 有 了传 染 特性 ， 对系 统有 了控 制权 ， 且 对整 个 系 统进 行 监 测 当系 统满 足 病 毒 程 序 所 设定 的某 种 条 件 时 ， 它 就 对执行 文件 和 进 行传染 ， 只 要 不 关机 ， 病 毒 就 一 直驻 留在 内存 中 ， 随 时对磁 盘 中的执行 文件进行 先读后 写操 作 ， 进行传染 瞬间读 写 型 此 类病毒在 获得 控 制 权后 ， 它 并不 改变 中断 向量 ， 只是 在 磁 盘 中寻 找满足 病毒程序所 设 定 条件 的那些 执行 文件 ， 将这些 文件 或 分 区 表或 引 导 区读人 内存 ， 加 以 修改 ， 再 写 回到 原来 的 磁盘物理 地址 中 ， 即传染 病 毒 这些 执行 文件 或分 区 表 或 引 导 区 就带有 了病毒 ， 当下 次启 动机 器 或 执行这些 带有 病 毒 的程 序时 ， 就 会将病 毒代码传染 给其他 执行 文件 中断型病 毒只 要 进 人 内存 ， 随 时 随刻都有 可 能 对其他 文件进行传染 ， 危 害性 较 大 而 瞬间 读 写 型病毒 ， 不 如 中断型病 毒危 害性 大 ， 它 执行 次传染 次 ， 很 难 发现 ， 隐敝性 好 一 卜 收稿 第 一作者 男 岁 工 程 师 DOI ：10．13374／j ．issn1001－053x．1997．02．019