病毒预防软件的作用原理
病毒预防软件又称为病毒报警软件,它必须在系统启动时尽可能早地装入内存以发挥监控作用。
它监控系统运行时的任何异常的举动,一旦发现有病毒侵入的迹象,立即进行报警,提示用户及时处理。所谓异常举动主要是指病毒在侵入系统时对系统所进行的各种非法修改操作。一般情况下,监视系统的异常举动,主要从以下3个方面来进行:
(一)监视特定的中断向量
系统型的计算机病毒,在侵入系统时,一般都要对中断向量INT 13H,INT 8以及INT 1CH等进行修改,文件型病毒则一般除对以上几种中断进行修改外,还要对中断INT 21H进行修改,病毒程序让这些中断向量指向病毒程序的传染模块,因为这些中断功能调用都是系统运行时经常使用的中断功能调用,病毒程序修改他们以后,就使得病毒程序的传染模块处于激活状态,以便在适当的时候进行传染。由于这样的原因,病毒报警软件在系统运行期间,就要随时监视这些中断向量地址是否被修改,在发现某一中断向量地址被修改时,立即报警。
(二)监视写引导扇区的操作
因为系统型的计算机病毒在进行传染时,主要是将病毒程序的一部分写入磁盘引导区或硬盘的主引导扇区,而磁盘引导扇区或硬盘主引导扇区一般情况下是不允许被进行写操作的,所以报警软件在系统运行期间,只要发现系统运行时引导扇区发生写操作,立即进行报警,以阻止计算机病毒的传染。
(三)监视写可执行文件的操作
文件型的计算机病毒在传染目标文件时,一般是将病毒程序采用链接的方法写入可执行文件.EXE和.COM文件中,而对于一般的应用软件来说,在运行期间一般不可能对可执行文件进行写操作,所以病毒报警软件在系统运行时,如果检测到系统有对可执行文件进行写操作的企图,则表明有病毒试图感染系统,可以报警以便提醒用户及时防止。