934病毒的检测与消除

(1)病毒发作特征:运行934病毒感染的文件时,系统进入图形状态,驻留内存;PCTOOLS及MEM.EXE不能发现内存减少。 (2)病毒感染特征:只感染COM文件,感染文件长度增加3A6H(934)字节。 (3)病毒感染过程:将3A6H(934)字节长的病毒代码附在COM文件尾,将原COM文件开头4字节移到病毒代码偏移OBH处,即带毒文件长度减29BH偏移处;

一种新病毒的原理和消除

近来,在我校出现了一种新病毒。这种病毒用SCANl04和CPAV1.04均查不出,当病毒驻留内存时,DOS管理的内存并不减少,但用MEM查内存时,COMMAND所用的内存比无毒时占用印内存多了1200字节。且光标消失。根据这一特征可以判断内存是否有毒。这种病毒虽属良性病毒,无其它破坏作用,但在编辑文本时因见不到光标而给我们带来极大的不方便。因其感染后的文件长度增加934字,故笔者给它取名为934病毒。 这种病毒驻留内存时所用的方法与其它病毒截然不同。它使用的是修改MCB(内存控制块)的方法。当运行带毒程序时,病毒的“启动模块”首先获得控制权。