Hymn病毒的检测和清除

笔者最近在一台486微机上发现名为Hymn的病毒.此病毒是一种典型的文件型病毒,它传染特定的COM、EXE文件,染毒文件长度增加930字节.用现有的KV系列、KILL系列及SCAN等清毒软件均无法查出,用DUCKV(1.34版)能查出该病毒名,却无法清除.为此,对该病毒进行分析,找到了检测和清除的方法.一、病毒引导代码用debug把染毒文件调入内存,有如下引导代码:     

USTC病毒的检测与清除

最近,笔者发现了一种新病毒,广泛流行于PC机上,用目前的Kill、Scan及最新的Cpav 2.1均不能测出.该病毒长度为919个字节,由于尾部有“USTC’四个字符,所以笔者紧其取名为“USTC”病毒.USTC病毒是一种文件型病毒,它只感染.EXE文件,由于病毒在感染.EXE文件的,仅仅修改了.EXE文件的文件头中保存的该.EXE文件载入内存执行定位时SP的值,没有修改IP的值,所以受感染的文件一般增长919至934个字节.该病毒修改了DOS功能调用INT 21H,其病毒INT 21H的入口在XXXX:0156处.在带有USTC病毒的内存中断向量表0000:0084处,可看到此病毒入口地址.当带有USTC病毒的文件运行时,程序首先执行病毒体部分,病毒直接读出中断向量表0000:0188处(INT62H的中断向量地址)的值,通过判断该值是否为55AAH来确定采统是否已感染病毒.如果不是55AAH,病毒便认为系统没有受到感染,于是就启动感染模块.     

1099病毒的检测及清除

1099病毒是一种文件型病毒,攻击扩展名为EXE和COM的可执行DOS文件。该病毒代码长度为1099字节,故称其为“1099病毒”。1 1099病毒感染文件的特点及危害性 该病毒不感染长度低于2KB的文件。病毒代码附着在被感染文件尾部,文件长度增量为1099B 1～16B。原因是该病毒总是将自身复制到原文件末尾之后的第一个节地址(即能被16整除的磁盘地址)处,而在病毒体首字节与原文件末尾之间任意填充内容,导致文件长度增     

“848”病毒的检测与清除

“848”是流行于PC机上的一种计算机病毒,它专门感染包括COMMAND.COM在内的COM型文件,被感染的文件长度增加848个字节,故称为“848”病毒.当带有848病毒的文件运行时,程序首先跳转到病毒体部分,执行DOS功能调用INT21的BB功能,这是病毒程序自加的功能、通过判断AX里的返回值是否等于1111h.来确定系统是否感染病毒.如果AX里的内容不是这个值,则病毒便认为系统中没有受到感染,于是就启动感染过程.     

噪声病毒的检测与清除

一、概 述 最近作者所在单位机房运行MS DOS操作系统的PC系统上感染并流行一种新的操作系统型病毒,该病毒在硬盘上占据硬盘的0面0柱1扇区,即硬盘分区表所存放的扇区,在软盘上则占据软盘的0面0道1扇区。根据笔者对该未知的操作系统型病毒的分析,发现它是CMOS病毒的变种。由于在病毒程序中有字符串“I am Li Xibin！”,故可知它是国内某人修改CMOS病毒后形成的新病毒。笔者使用的微机不慎感染上病毒,并很快传染所有未加写保护的软盘。因没有可清除该病毒的软件,笔者对病毒程序进行了剖析,现给出检测与清除该病毒的办法并公之于众。由于该病毒在发作     

1831病毒的分析,检测与清除

１８３１病毒的分析、检测与清除张世庆江苏工学院机械工程系（２１２０１３）１引言最近，在不少计算机上发现了一种怪现象：一些可执行文件的长度增加；当加载一个可执行文件时，加载速度明显变慢；用反病毒软件如ＣＰＡＶ，ｕｔｓｃａｎ等查毒，查不出病毒存在。为了验...     

[MacGyver]病毒的检测及清除

笔者在本校机房中遇到一种病毒,用美国防毒协会发放的SCAN116版检查报告是[MacG]病毒,但相应的CLEAN116却不能清除,因此笔者对病毒作分析.一、特征①病毒属文件型病毒,只感染.EXE型文件,并将文件时间改为20××年.文件染毒后比原来增长2824字节,文件中有字串MACGYVER V1.0.②病毒修改文件头,使首先执行一跳转语句,首先载入病毒体代码.     

1099病毒的检测与清除

“1099”是流行于PC机上的一种文件型病毒,激发时随机性地改写硬盘,故又名“随机格式化”病毒,改写后的硬盘全是些无用的“垃圾”数据,是种恶性病毒。目前,CPAV2.0和KILL68对之尚不能构成威胁。 本文首先用传统方法对该病毒进行剖析,然后提出一种检测和消除文件型病毒的“模糊分析法”,并给出C语言源程序,完全脱离汇编语言知识,使得普通微机用户也能快速掌握,从而针对新出现的病毒,设计出自己的杀毒工具来。     

一种新发现病毒的分析,检测与清除

本文对一种新发现的文件型病毒－１０９１病毒的特征和机制进行了较详细的分析，并据此给出了病毒的检测与清除方法。     

检测并清除文件型病毒的一种通用型新方法

在名目繁多的计算机病毒群中,文件型病毒数目可观,至少占整个病毒总量的百分之七十以上,因此,及时检测、消灭文件型病毒至关重要.本文根据文件型病毒的特点,提出一种检测并清除该类病毒的一种通用型新方法—”模糊分析法”,并给出具体实例,完全脱离汇编语言知识,使得一般微机用户也能快速掌握,从而针对新出现的病毒,设计出自己的杀毒工具来.     

DIR—2病毒的分析及其检测清除

本文分析了在PC系列机上流行的DIR—2病毒的传染机理及危害情况,给出了几种简便的检测方法和一个简单且行之有效的清除程序。     

清除病毒的通用方法

最近,出现了很多新的计算机病毒,用KILL、CPAV等杀毒工具和防病毒卡都不能清除。因为这些杀毒工具和防病毒卡只能清除已知的病毒,对于病毒变种和新的病毒就无能为力了。 因此,只有从病毒的本质来研究清除病毒的方法,才能彻底解决病毒带来的困扰。 1.如何发现病毒 其实,发现病毒并不困难,因为病毒感染时会有异常表现。只要发现了异常的现象,就应怀疑是病毒。     

V2000病毒的分析,检测与防治

本文介绍了V2000病毒的危害、症状及其病毒程序的构造,并在分析V2000病毒的基础上,提出了检测V2000病毒和对被它感染的文件进行消毒的方法。     

手动清除病毒的方法

计算机及网络的普及给病毒的发展带来了空间,病毒危害着整个网络的安全。本文从病毒的本质及病毒在电脑中的寄生方式分析病毒,并介绍手动清除病毒的思路及方法。     

清除1099病毒及其变形的方法

“1099”病毒是近年来流行的一种文件型病毒。激发时，将会随机性地改写硬盘，故有的资料称之为“随机格式化病毒”，被改写的硬盘中，文件数据全部丢失，所以是一种“恶性病毒”。1099病毒的感染能力很强，在运行了一个染毒文件后，它就驻留内存，然后在DIR命令下，每列一次目录时，就感染当前目录下的一个可执行文件，先感染．EXE文件，再感染．COM文件。一旦COMMAND．COM文件被感染，则每次开机后它就驻留内存，伺机继续感染其它的可执行文件。研究此病毒可以用如下方法：先把一个无毒的．EXE文件或者．COM文件以．CMP文件复…