Vaccine program,疫苗程序

在计算机安全方面的一个观察病毒从事典型事情的程序,能够阻止这种行为并向操作员报警。

目前常用的疫苗程序有两种:

1、 针对某一种病毒的疫苗程序:如小球病毒,在DOS(磁盘操作系统)引导扇区的1fch处填上1357h,小球病毒一检测到这个标志就不会对它进行传染了。对于1575文件型病毒,免疫标志是文件尾的内容为0ch和0ah的两个字节,1575病毒若发现文件尾含有这两个字节则不进行传染。这种疫苗可以有效的防止某一种特定病种的感染,但对于不设有感染标识的病毒不能达到免疫的目的。

2、基于自我完整性检查的计算机病毒疫苗程序:目前这种方法只能用于文件而不能用于引导扇区。这种方法的原理是为可执行程序添加一个免疫外壳,同时在免疫外壳中记录有关用于恢复自身的信息。执行具有这种免疫功能的程序时,免疫外科外壳首先得到运行,检查自身程序的大小、校验和、生成日期和生成时间等情况,发现没有异常后,再转去执行受保护的程序。不管什么原因使这些程序本身的特性受到改变或破坏,免疫外壳都可以检测出来并发出警告。可供用户选择的回答有自毁、重新引导启动计算机、自我恢复到未受改变前的情况和继续操作,而不理睬所发生的变化。这种方法不只是针对病毒的,由于其他原因造成的文件变化,在大多数情况下,免疫外科程序都能使文件自身得到复原。